Bezpečnostní přehled: Červ Coficker stále mezi námi

Pavel Houser , 07. prosinec 2015 16:00 0 komentářů
Rubriky: Security
Bezpečnostní přehled: Červ Coficker stále mezi námi

Jak zajistit spolehlivý generátor náhodných čísel? Windows pro Internet věcí a zabezpečení. Obliba ElasticSearch láká i podvodníky. V ČR se ve srovnání se světem na IT bezpečnosti šetří. Hacktivisté i podvodníci se chystají na americké prezidentské volby.

Následuje pravidelný bezpečnostní přehled vytvářený především podle webů ZDNet, CNet, The Register a HelpNet Security.

Conficker jako hrozba pro podniky stále vede CheckPoint vydal seznam 10 nejrozšířenějších rodin malwaru – celosvětově a z hlediska akcí cílených na organizace, nikoliv jednotlivé uživatele. Pořadí je následující:

  1. Conficker

  2. Sality

  3. Cutwail

  4. Neutrino EK

  5. Gamarue

  6. Agent

  7. Pushdo

  8. Alman

  9. ZeroAccess

  10. Fareit

První 3 rodiny zahrnují 40 % všech zaznamenaných útoků. Celkově se z aktuálního pořadí vyvozuje jako trend, že největší oblibu má dnes zapojovat ovládnuté počítače do botnetu a zneužívat je pro rozesílání spamu a útoky DDoS. Takto lze ovládnutý stroj zneužívat déle. Teprve exploit kit Neutrino na 4. místě je více spojen s ransomwarem – i když samotný základní malware obvykle obsahuje funkcionalitu schopnou stahovat další programy, takže původní vektor a konečná forma poškození jsou do jisté míry nezávislé. Poznámka: Zajímavé přitom je, jak je Conficker už strašně starý, první verze se objevila v roce 2008.

Windows 10 pro IoT nevynucují aktualizace

Nová edice Windows 10 IoT Core Pro je určena pro OEM výrobce zařízení z kategorie internetu věcí. Výrobci si sami mohou nastavit, jakým způsobem budou zařízení získávat aktualizace. Simon Sharwood na webu The Register kritizuje, že službu Windows Server Update Services lze prostě vypnout; což nakonec může být zdůvodněno tím, že aktualizace někdy bez ptaní mění třeba politiky sdílení informací. Výsledkem však budou zařízení otevřená útokům. Když vidíme, jaký je dnes s vestavěnými zařízeními typu směrovačů problém (na rozdíl od PC nebo serveru se často prostě někam „postaví“ a dál jim už nikdo nevěnuje pozornost), nestálo by za to zrovna zde aktualizace prostě vynucovat?

ElasticSearch terčem útoků

Podvodníci se letos více zaměřují na servery ElasticSearch, které podniky se stále větší oblibou používají pro vyhledávání v podnikových informacích. Přispěla k tomu zejména dvojice chyb CVE-2015-5377 a CVE-2015-1427 objevená na počátku letošního roku, které obě umožňují vzdálené spuštění kódu. Výzkumníci firmy AlienVault uvádějí, že jakmile v rámci honeypotu nainstalovali ElasticSearch, rázem se zde objevili roboti – zejména fBots (DDoS-Boti) a iBots – kteří se pokusili server infikovat a udělat z něho součást botnetu. Spíše než s krádežemi informací jsou tyto kompromitované servery údajně zneužívány k útokům DDoS, protože na rozdíl od ovládaných klientských systémů mají k dispozici větší šířku pásma.

2016: Návrat hacktivismu, prezidentské volby v USA

Analýza Experian Data Breach Resolution pro rok 2016: Opět vzroste míra hacktivismu, kdy cílem bude především poškození dobré pověsti „nepřátelského subjektu“. Za tímto cílem budou zveřejňována kompromitovaná data; obětí budou ovšem i jednotlivci, zaměstnanci, obchodní partneři či zákazníci takto postižené organizace... Protože v roce 2016 se konají americké prezidentské volby, cílem pro hacktivisty budou i prezidentští kandidáti, jejich spolupracovníci, týmy apod. Přitom kampaně se dnes vyhrávají mj. právě zpracováním obrovského množství dat (viz i popisy, jakou hloubku cílení dokázala mít už předešlá Obamova kampaň), která jsou v systémech připojených on-line, což samozřejmě bude pro útočníky všeho druhu představovat obrovské lákadlo.

SOHO router Belkin N150 je zranitelný vůči útokům CSFR, vsunutí HTML/JavaScriptu i únosům relace. Navíc zde běží server služby Telnet, k němuž lze přistupovat pomocí výchozích přihlašovacích údajů (root/root). Kdokoliv se tím může snadno přihlásit k zařízení s veškerými oprávněními. Akce sice musí vycházet z místní sítě, k tomu v ní však vzdálenému útočníkovi stačí kompromitovat jiné zařízení a rovnou může získat kontrolu i nad směrovačem.

Novinky ze světa Chrome

Chrome 47 přináší opravy 41 zranitelností. Anonymní lovec bezpečnostních chyb si za reportování 3 zneužitelných děr v AppCache přišel na více než 30 000 dolarů. Celkem Google za zranitelnosti v předešlé verzi zaplatil přes 100 000 dolarů.

Google rovněž oznámil, že od příštího března přestane podporovat Chrome na 32bitových verzích Linuxu, tj. prohlížeč už nebude dále aktualizován (ale samozřejmě existují i plně open source podoby, takže i aktuální verzi si pro Lin32 půjde sestavit a využívat i automatizaci, jen se tím už nehodlá zabývat přímo Google).

Raspberry, generování klíčů a entropie

Raspberry Pi se spuštěným Debian Linuxem („Raspbian“) generuje potenciálně slabé klíče SSH. Důsledkem může být útok typu man-in-the-middle a útočník zachytí přihlašovací údaje pro přístup ke vzdálenému terminálu. Problém má být cca v tom, že po prvním spuštění se šifrovací klíče nevytvářejí s hardwarovou podporou. Výzkumníci v této souvislosti upozorňují na svět vestavěných systémů a internetu věcí, kdy systémy prý po uvedení do provozu nemají k dispozici „dostatek entropie“, aby mohly účinně generovat náhodná čísla jinak než s pomocí funkcí přímo vestavěných do hardwaru.

CSIRT varuje/oznamuje

Vývojáři Node.js, systému pro psaní vysoce škálovatelných internetových aplikací, uvolnili bezpečnostní záplatu opravující několik bezpečnostních zranitelností.

Objeveno bylo několik závažných zranitelností v zabezpečovacím systému Videofied od francouzské společnosti RSI Video Technologies. Při přenosu dat na server kvůli chybě v návrhu (šifrovací klíč lze odvodit ze sériového čísla přenášeného v nezašifrované podobě) hrozí zneužití typu man-in-the-middle. Útočník může podvrhnout či zmanipulovat alarmová hlášení nebo odposlouchávat datovou komunikaci ze zařízení včetně videí. (Zdroj: Národní centrum kybernetické bezpečnosti)

Poznámka: Lze např. dohledat, kdo vše v ČR tento systém nabízí. Dle dodavatelů je celosvětově nasazeno více než milion instalací.

Ze světa firem

60 % českých společností ovlivnil incident týkající se bezpečnosti jejich interních informací. Podle letošní studie Kaspersky Lab a B2B International jsou nejčastější příčinou ztráty dat zaměstnanci. Výzkum o informační bezpečnosti podniků probíhal mezi 5 500 IT odborníky z 26 zemí světa včetně ČR. 19 % uživatelů přiznalo, že alespoň jednou za rok ztratili mobilní zařízení s uloženými firemními daty. (Zdroj: tisková zpráva společnosti Kaspersky Lab)

Napadení DDoS zažilo po celém světě již 16 % a v ČR 9 % firem. U IT podniků tento podíl stoupl na 21 % společností po celém světě, 22 % u finančních služeb a 24 % u telekomunikačních organizací. (Zdroj: tisková zpráva společnosti Kaspersky Lab)

Operace, při níž spolupracovaly bezpečnostní orgány po celém světě v čele s FBI, Interpolem a Europolem, narušila infrastrukturu botnetu Dorkbot, včetně jeho řídících serverů v Asii, Evropě a Severní Americe. Došlo také k zabavení domén, čímž se narušila schopnost operátorů botnetu zneužívat počítače svých obětí. (Zdroj: tisková zpráva společnosti Eset)

Exekutorská komora varuje před podvodnými e-maily vyzývajícími k úhradě údajného dluhu. Kampaň tentokrát používá předmět „DRUHE UPOZORNENI NA NARIZENOU EXEKUCI“. Druhá kampaň obsahuje název Justičně exekutorská mafie, v těle fingovanou obsahuje chybovou hlášku o nezobrazitelnosti a škodlivý odkaz. (Zdroj. Exekutorská komora ČR)

Psali jsme na ITBiz

Na téma zabezpečení na ITBiz viz také: Platební systémy hotelů Hilton byly napadeny červem

Hackeři zaútočili na australský meteorologický úřad

Akce je údajně dílem čínských špionů. Meteorologický úřad vlastní jeden z nejvýkonnějších australských superpočítačů. Možná nebyl cílem sám o sobě, ale útočníci se přes něj chtěli dostat do systému australského ministerstva obrany.


Komentáře

RSS 

Komentujeme

Další na řadě je bezpečnost

Richard Jan Voigts , 09. říjen 2017 00:00
Richard Jan Voigts

Co všechno lze automatizovat pomocí strojového učení? Larry Ellison, technologický ředitel společnos...

Více







Kalendář

24. 10. VeeamON Forum 2017
25. 10.

26. 10.
Profesia days 2017
26. 10. Acronis Roadshow 2017
RSS 

Zprávičky

ÚOHS začal posuzovat změnu vlastníka AutoContu

ČTK , 23. říjen 2017 11:15

V IT má Komárkova skupina rychle rostoucí byznys datových center své firmy DataSpring....

Více 0 komentářů

Google investoval do alternativní taxislužby Lyft

ČTK , 23. říjen 2017 09:00

Už v květnu podepsal Lyft dohodu o spolupráci s divizí samořídících aut Alphabetu.

...

Více 0 komentářů

Objem digitálních plateb i nadále roste

Pavel Houser , 23. říjen 2017 08:00

Nastupuje nový platební ekosystém...

Více 0 komentářů

Starší zprávičky

ČSÚ: Volební weby byly nedostupné kvůli útoku DDoS

Pavel Houser , 22. říjen 2017 17:43

Výpadky prezentačních server vznikly na straně externího dodavatele komunikačních služeb. ...

Více 0 komentářů

Úřad pro ochranu osobních údajů vyšetřuje e-shop Mall.cz kvůli úniku hesel

ČTK , 22. říjen 2017 08:00

Obchodu Mall.cz odcizili hackeři údaje až ke 750 000 starších uživatelských účtů....

Více 0 komentářů

Firma vypsala odměnu za odhalení digitálního podpisu slovenského ministra

ČTK , 21. říjen 2017 08:00

Problém se týká čipů německého výrobce Infineon Technologies, které Slovensko používá v občanských p...

Více 0 komentářů

Electro World v účetním roce zmírnil ztrátu na 92 milionů Kč

ČTK , 20. říjen 2017 12:00

Firma se soustředila na zlepšení prodejní a distribuční sítě a rozšíření sortimentu....

Více 0 komentářů