Bezpečnostní přehled: E-shopy jsou plné škodlivých kódů

Pavel Houser , 24. říjen 2016 12:00 0 komentářů
Bezpečnostní přehled: E-shopy jsou plné škodlivých kódů

Provozovatelé e-shopů neopravují zranitelnosti. Vývoj bezpečnostního trhu podle IDC. Zneužívaná chyba ve Windows i MS Office. Zranitelnosti a opravy: Dirty COW, VeraCrypt, systémy CMS. Správa šifrovacích klíčů v éře cloudu.

Následuje pravidelný bezpečnostní přehled vytvářený především podle webů ZDNet, CNet, The Register a HelpNet Security.

Budoucnost PKI

Studie Ponemon Institute tvrdí, že organizace budou muset přehodnotit přístup ke správě šifrovacích klíčů. Vede k tomu vzrůstající používání cloudových aplikací i zařízení internetu věcí. Stále více aplikací využívá správu a distribuci veřejných šifrovacích klíčů (PKI). PKI zde ovšem bývá implementováno způsobem, kdy organizace netuší, zda takto půjde podporovat i aplikace nasazované v budoucnosti (problémy uvádí 58 % respondentů). Firmy nemají implementovány technologie pro zneplatnění certifikátů. Pro zajištění infrastruktury PKI se stále více používají hardwarové bezpečnostní moduly.

Po nějaké době se ČR opět dostala na titulní stránky webů/rubrik o IT bezpečnosti: V Praze byl zatčen ruský občan Jevgenij N., který podle FBI a Interpolu a stál za obřím únikem dat z LinkedIn v roce 2012. USA požadují jeho vydání. Viz také zprávička

Jak chránit zákazníky kompromitovaných e-shopů?

Willem de Groot ze společnosti byte.nl (poskytovatel hostingu) testoval 255 tisíc e-shopů z hlediska jejich zabezpečení. Přítomnost škodlivého kódu, který se snažil sbírat údaje o platebních kartách, hesla nebo další citlivé údaje, byla zjištěna skoro u 6 000 z nich. Znamená to o dost větší podíl než před rokem. Jedná se o e-shopy různého typu a nejenom malé: řada z kompromitovaných obchodů používala platformu Magento Enterprise Edition, což je typické pro velké aplikace. Za pozornost stojí i to, že obě skupiny obchodů, z loňska i letoška, se překrývaly – v některých systémech tedy ani za rok nebyla provedena náprava. Někteří majitelé e-shopů reagují na upozornění o problému tak, že příslušnou platební službu poskytuje třetí strana, problém je tedy u ní a jich se netýká. Když Groot seznam kompromitovaných obchodů zveřejnil, pohrozili mu mnozí provozovatelé žalobou, takže data raději stáhl. Uvádí, že sice zastává politiku zodpovědného zveřejňování bezpečnostních děr, v tomto případě jsou ale ohroženi i zákazníci e-shopů, které je třeba varovat. Podle jeho názoru by možným řešením bylo, kdyby s takovými obchody odmítli spolupracovat vydavatelé platebních karet, ještě jednodušší se pak zdá, kdyby je Google zařadil na blacklist v rámci projektu Safe Browsing.

Trh slušně poroste

Podle IDC stoupnou firemní výdaje za zabezpečení z letošních 74 miliard dolarů na 102 miliard v roce 2020. Odpovídá to průměrnému meziročnímu růstu 8,3 %, což je více než dvojnásobek růstu tržeb za IT jako celek. Za vývojem trhu bude stát především rostoucí poptávka zdravotnického průmyslu a přetrvávající velké výdaje finančních institucí, telekomunikačních společností i vlád. Již letos představují největší kategorii bezpečnostních řešení služby (45 %), a to včetně řízených bezpečnostních služeb. Další velké kategorie představuje jednotné řízení hrozeb (UTM), řízení identit a přístupu a software provádějící behaviorální analýzu. K prognóze IDC ovšem jiní analytici dodávají, že podle nich dojde k paradoxu: i přes růst výdajů na zabezpečení budou přitom bezpečnostní incidenty stále častější a pro oběti dražší.

Na Twitteru byl publikován link na obří MongoDB databázi společnosti Modern Business Solutions, která obsahovala personální informace o lidech pohybujících se v automobilovém a realitním byznysu v USA. Uniklo asi 58 milionů záznamů obsahujících jména, fyzické adresy, data narození, e-maily a mobilní čísla. Když nic jiného, podvodníci mohou s těmito informacemi zkoušet účinnější phishing. Firma Modern Business Solutions si vysloužila kritiku i za to, jak s postiženými (ne)komunikovala.

Analýza společnosti Fortinet tvrdí, že v posledních třech měsících útočníci zintenzivnili zájem o domácí směrovače. Cílí především na zařízení Netcore, D-Link a Asus, u nichž jsou známé neopravené zranitelnosti. Ve stejné době analýza Esetu ukázala, že z 12 000 zkoumaných směrovačů jich 15 % používala slabá hesla a u 7 % zařízení byly zjištěny závažné bezpečnostní nedostatky na úrovni firmwaru.

Dva roky po svém objevu představuje Ghost Push podle čínské bezpečnostní firmy Cheetah Mobile stále nejrozšířenější malware pro Android, a to navzdory tomu, že je schopen běžet pouze do verze 5 (Lollipop) a jeho tvůrci ho vůbec neportovali na verze 6 (Marshmallow) a 7 (Nougat). Malware nebyl v poslední době zaznamenán na Google Play, ale stále se šíří dalšími kanály a podvodníci ho s oblibou vkládají do podvodných nebo upravených open source aplikací. Trojský kůň Ghost Push také brání dalším aplikacím, aby získaly oprávnění roota.

Zranitelnosti a opravy

Anton Ivanov z Kaspersky Lab uvádí, že jedna ze zranitelností, kterou Microsoft opravil v úterý 11. 10., byla již předtím zneužívána pro zero day útoky. Konkrétně jde o chybu CVE-2016-3393 (odpovídající bulletin zabezpečení MS16-120), která umožňuje zvýšení oprávnění i vzdálené spuštění kódu. Skupina zvaná FruityArmor zneužívala tento problém ve zpracování fontů a grafiky (Microsoft Graphics Component) pomocí webů obsahujících speciální fonty True Type. Viz také: Kritické záplaty pro Windows i prohlížeče, nový způsob distribuce oprav

Aplikace Nine, náhrada Outlooku pro Android, obsahovala bezpečnostní chybu, která umožňovala krádeže přístupových oprávnění k serveru MS Exchange. Problém odhalil Derek Abdine z Rapid7 Labs, zneužití mohl provést útočník v pozici man-in-the-middle. Dodavatel Nine, společnost 9FoldersInc, již vydala záplatu. Nine si z Google Play dosud stáhlo přes milion uživatelů.

Osm kritických zranitelností (a řada dalších chyb) bylo objeveno v šifrovacím softwaru VeraCrypt. Na problémy upozornili výzkumníci společnosti Quarkslab v rámci auditu, který financoval Open Source Technology Improvement Fund. Auditoři ovšem dodávají, že provést podobný test pro všechny rozšířenější šifrovací nástroje by bylo příliš drahé. Nová verze VeraCrypt 1.19 část (nikoliv všechny) uvedených zranitelností opravuje.

Zalátána byla chyba Dirty COW (CVE-2016-5195) v jádře Linuxu, která umožňovala zvýšení uživatelských práv.

CSIRT varuje/oznamuje: 2krát systémy CMS

Útočníci zneužívají zero day chybu v plug-inu WP Marketplace pro WordPress. Na postižené weby nahrávají backdoor.

V komponentě ja-k2-filter-and-search redakčního (CMS) systému Joomla byla objevena zero day zranitelnost umožňující zneužití pomocí SQL injection.

Ze světa firem

Malware StrongPity cílí na zájemce o šifrovací software (poznámka PH: předpoklad, že na počítači se pak budou spíše nacházet cenná data?). Podvodníci vytvořili např. podvodnou stránku předstírající, že jde o dodavatele šifrovacího softwaru WinRAR. Útočníkům se dokonce podařilo nějak dostat malware i na web jednoho z distributorů tohoto softwaru, takže oběti si ho stahovaly přímo odtud. Kromě WinRAR byly vytvořeny podvodné stránky imitující také šifrovací software TrueCrypt. Nejvíce obětí bylo v Itálii, Belgii a Turecku. Hrozba je klasifikována jako velmi pokročilá, řazená do kategorie APT. (Zdroj: tisková zpráva společnosti Kaspersky Lab)

K iniciativě No More Ransom se přidaly policie dalších 13 zemí. (Zdroj: tisková zpráva společnosti Kaspersky Lab)

Dell EMC představil nová bezpečnostní řešení pro koncová zařízení i datová centra. Nové portfolio zahrnuje produkty Dell Data Protection, Endpoint Security Suite Enterprise a MozyEnterprise a MozyPro pro zabezpečení dat v cloudu, ověřování identity RSA SecurID Access, ochranu proti hrozbám RSA NetWitness Endpoint a softwarově definovanou ochranu dat v cloudu pro datová centra. Řešení představená na konferenci Dell EMC World budou jako celek dostupná ještě před koncem roku. (Zdroj: tisková zpráva společnosti Dell)

Nejnovější index hrozeb Check Point. Ransomware se v září poprvé dostal do top 3 nejrozšířenějších malwarových rodin: malware Locky byl zodpovědný v průběhu září za 6 % všech detekovaných útoků po celém světě. Podíl ransomwaru v rámci všech útoků vzrostl o 13 %. Na 1. místě je celosvětově stále červ Conficker, na 2. místě Sality. Z hlediska rizikovosti v jednotlivých zemích se ČR i Slovensko posunuly mezi méně bezpečné. Co se týče škodlivých kódů v ČR, zde podle rozšíření po červu Conficker následují ransomwary Cryptowall a Locky. (Zdroj: tisková zpráva společnosti Check Point)

Novým produktem určeným pro domácí uživatele je Eset Smart Security Premium. K novinkám má patřit integrované šifrování a správce hesel. Součástí produktu je i ochrana před útoky pomocí skriptů, zabezpečení kamery a domácího směrovače. (Zdroj: tisková zpráva společnosti Eset)

42 % organizací má zkušenosti s mobilními bezpečnostními incidenty, 82 % organizací očekává, že počet mobilních incidentů ještě vzroste. (Zdroj: tisková zpráva Počítačové školy Gopas)

Představena byla cloudová služba Barracuda Email Threat Scan for Office 365, tj. ochrana před hrozbami šířenými e-mailem pro uživatele MS Office 365. Zdroj: tisková zpráva společnosti Gesto Communications (distributor Barracuda Networks pro ČR a Slovensko)

Psali jsme na ITBiz.cz

Na téma zabezpečení na ITBiz viz také:

Bezpečný router Turris Omnia poprvé naživo

Kybernetické útoky jsou sofistikovanější, experti trénují obranu

Podle tiskové zprávy brněnské Masarykovy univerzity: Experti tentokrát v komplikovaném scénáři bránili bezpečnost systému spravujícího železniční síť, a tím i transport s jaderným odpadem.


Komentáře

RSS 

Komentujeme

Umělá inteligence rozpoznává tvář zločince

Pavel Houser , 27. červen 2017 12:30
Pavel Houser

Když dnes člověk prohlásí, že rysy tváře souvisejí se zločinností, bude za šarlatána, který chce kří...

Více






Kalendář

25. 06.

29. 06.
Cisco Live 2017
22. 07.

27. 07.
Black Hat 2017
27. 07.

30. 07.
Defcon 2017
RSS 

Zprávičky

Amazon usnadní službami českým podnikům prodej v zahraničí

ČTK , 28. červen 2017 12:00

České firmy při prodeji v jiných zemích často bojují s bariérami, jako jsou vysoké dopravní náklady ...

Více 0 komentářů

Lenovo představuje nové portfolio datových center

Pavel Houser , 28. červen 2017 10:00

Portfolio produktů ThinkSystem spojuje pod jednotnou značkou servery, úložiště a síťové systémy. ...

Více 0 komentářů

Do systému eReceptů zapojena čtvrtina lékařů a většina lékáren

ČTK , 28. červen 2017 09:00

Od 1. ledna příštího roku bude vydávání elektronických receptů pro všechny lékaře povinné. ...

Více 0 komentářů

Starší zprávičky

Nvidia bude spolupracovat s Volvem a VW na samořízených autech

ČTK , 28. červen 2017 08:00

Volvo hodlá uvést autonomní auta na trh do roku 2021, Audi o rok dříve....

Více 0 komentářů

ČR mezi 10 nejpostiženějšími zeměmi ransomwarového útoku

Pavel Houser , 28. červen 2017 07:00

K aktuálním útokům ransomwarem, který byl zaznamenán nejprve na Ukrajině a v Rusku, začaly vydávat s...

Více 0 komentářů

Hackeři napadli ukrajinské banky a podniky, i ruskou Rosněfť

ČTK , 27. červen 2017 18:27

Ukrajinu dnes zasáhla největší vlna hackerských útoků v historii země, informovalo ukrajinské minist...

Více 0 komentářů

Google dostal od Evropské komise rekordní pokutu 2,4 miliardy eur

ČTK , 27. červen 2017 13:06

Google se musí začít ke konkurenčním srovnávačům cen chovat stejně jako k vlastní službě. ...

Více 1 komentářů