Bezpečnostní přehled: E-shopy jsou plné škodlivých kódů

Pavel Houser , 24. říjen 2016 12:00 0 komentářů
Bezpečnostní přehled: E-shopy jsou plné škodlivých kódů

Provozovatelé e-shopů neopravují zranitelnosti. Vývoj bezpečnostního trhu podle IDC. Zneužívaná chyba ve Windows i MS Office. Zranitelnosti a opravy: Dirty COW, VeraCrypt, systémy CMS. Správa šifrovacích klíčů v éře cloudu.

Následuje pravidelný bezpečnostní přehled vytvářený především podle webů ZDNet, CNet, The Register a HelpNet Security.

Budoucnost PKI

Studie Ponemon Institute tvrdí, že organizace budou muset přehodnotit přístup ke správě šifrovacích klíčů. Vede k tomu vzrůstající používání cloudových aplikací i zařízení internetu věcí. Stále více aplikací využívá správu a distribuci veřejných šifrovacích klíčů (PKI). PKI zde ovšem bývá implementováno způsobem, kdy organizace netuší, zda takto půjde podporovat i aplikace nasazované v budoucnosti (problémy uvádí 58 % respondentů). Firmy nemají implementovány technologie pro zneplatnění certifikátů. Pro zajištění infrastruktury PKI se stále více používají hardwarové bezpečnostní moduly.

Po nějaké době se ČR opět dostala na titulní stránky webů/rubrik o IT bezpečnosti: V Praze byl zatčen ruský občan Jevgenij N., který podle FBI a Interpolu a stál za obřím únikem dat z LinkedIn v roce 2012. USA požadují jeho vydání. Viz také zprávička

Jak chránit zákazníky kompromitovaných e-shopů?

Willem de Groot ze společnosti byte.nl (poskytovatel hostingu) testoval 255 tisíc e-shopů z hlediska jejich zabezpečení. Přítomnost škodlivého kódu, který se snažil sbírat údaje o platebních kartách, hesla nebo další citlivé údaje, byla zjištěna skoro u 6 000 z nich. Znamená to o dost větší podíl než před rokem. Jedná se o e-shopy různého typu a nejenom malé: řada z kompromitovaných obchodů používala platformu Magento Enterprise Edition, což je typické pro velké aplikace. Za pozornost stojí i to, že obě skupiny obchodů, z loňska i letoška, se překrývaly – v některých systémech tedy ani za rok nebyla provedena náprava. Někteří majitelé e-shopů reagují na upozornění o problému tak, že příslušnou platební službu poskytuje třetí strana, problém je tedy u ní a jich se netýká. Když Groot seznam kompromitovaných obchodů zveřejnil, pohrozili mu mnozí provozovatelé žalobou, takže data raději stáhl. Uvádí, že sice zastává politiku zodpovědného zveřejňování bezpečnostních děr, v tomto případě jsou ale ohroženi i zákazníci e-shopů, které je třeba varovat. Podle jeho názoru by možným řešením bylo, kdyby s takovými obchody odmítli spolupracovat vydavatelé platebních karet, ještě jednodušší se pak zdá, kdyby je Google zařadil na blacklist v rámci projektu Safe Browsing.

Trh slušně poroste

Podle IDC stoupnou firemní výdaje za zabezpečení z letošních 74 miliard dolarů na 102 miliard v roce 2020. Odpovídá to průměrnému meziročnímu růstu 8,3 %, což je více než dvojnásobek růstu tržeb za IT jako celek. Za vývojem trhu bude stát především rostoucí poptávka zdravotnického průmyslu a přetrvávající velké výdaje finančních institucí, telekomunikačních společností i vlád. Již letos představují největší kategorii bezpečnostních řešení služby (45 %), a to včetně řízených bezpečnostních služeb. Další velké kategorie představuje jednotné řízení hrozeb (UTM), řízení identit a přístupu a software provádějící behaviorální analýzu. K prognóze IDC ovšem jiní analytici dodávají, že podle nich dojde k paradoxu: i přes růst výdajů na zabezpečení budou přitom bezpečnostní incidenty stále častější a pro oběti dražší.

Na Twitteru byl publikován link na obří MongoDB databázi společnosti Modern Business Solutions, která obsahovala personální informace o lidech pohybujících se v automobilovém a realitním byznysu v USA. Uniklo asi 58 milionů záznamů obsahujících jména, fyzické adresy, data narození, e-maily a mobilní čísla. Když nic jiného, podvodníci mohou s těmito informacemi zkoušet účinnější phishing. Firma Modern Business Solutions si vysloužila kritiku i za to, jak s postiženými (ne)komunikovala.

Analýza společnosti Fortinet tvrdí, že v posledních třech měsících útočníci zintenzivnili zájem o domácí směrovače. Cílí především na zařízení Netcore, D-Link a Asus, u nichž jsou známé neopravené zranitelnosti. Ve stejné době analýza Esetu ukázala, že z 12 000 zkoumaných směrovačů jich 15 % používala slabá hesla a u 7 % zařízení byly zjištěny závažné bezpečnostní nedostatky na úrovni firmwaru.

Dva roky po svém objevu představuje Ghost Push podle čínské bezpečnostní firmy Cheetah Mobile stále nejrozšířenější malware pro Android, a to navzdory tomu, že je schopen běžet pouze do verze 5 (Lollipop) a jeho tvůrci ho vůbec neportovali na verze 6 (Marshmallow) a 7 (Nougat). Malware nebyl v poslední době zaznamenán na Google Play, ale stále se šíří dalšími kanály a podvodníci ho s oblibou vkládají do podvodných nebo upravených open source aplikací. Trojský kůň Ghost Push také brání dalším aplikacím, aby získaly oprávnění roota.

Zranitelnosti a opravy

Anton Ivanov z Kaspersky Lab uvádí, že jedna ze zranitelností, kterou Microsoft opravil v úterý 11. 10., byla již předtím zneužívána pro zero day útoky. Konkrétně jde o chybu CVE-2016-3393 (odpovídající bulletin zabezpečení MS16-120), která umožňuje zvýšení oprávnění i vzdálené spuštění kódu. Skupina zvaná FruityArmor zneužívala tento problém ve zpracování fontů a grafiky (Microsoft Graphics Component) pomocí webů obsahujících speciální fonty True Type. Viz také: Kritické záplaty pro Windows i prohlížeče, nový způsob distribuce oprav

Aplikace Nine, náhrada Outlooku pro Android, obsahovala bezpečnostní chybu, která umožňovala krádeže přístupových oprávnění k serveru MS Exchange. Problém odhalil Derek Abdine z Rapid7 Labs, zneužití mohl provést útočník v pozici man-in-the-middle. Dodavatel Nine, společnost 9FoldersInc, již vydala záplatu. Nine si z Google Play dosud stáhlo přes milion uživatelů.

Osm kritických zranitelností (a řada dalších chyb) bylo objeveno v šifrovacím softwaru VeraCrypt. Na problémy upozornili výzkumníci společnosti Quarkslab v rámci auditu, který financoval Open Source Technology Improvement Fund. Auditoři ovšem dodávají, že provést podobný test pro všechny rozšířenější šifrovací nástroje by bylo příliš drahé. Nová verze VeraCrypt 1.19 část (nikoliv všechny) uvedených zranitelností opravuje.

Zalátána byla chyba Dirty COW (CVE-2016-5195) v jádře Linuxu, která umožňovala zvýšení uživatelských práv.

CSIRT varuje/oznamuje: 2krát systémy CMS

Útočníci zneužívají zero day chybu v plug-inu WP Marketplace pro WordPress. Na postižené weby nahrávají backdoor.

V komponentě ja-k2-filter-and-search redakčního (CMS) systému Joomla byla objevena zero day zranitelnost umožňující zneužití pomocí SQL injection.

Ze světa firem

Malware StrongPity cílí na zájemce o šifrovací software (poznámka PH: předpoklad, že na počítači se pak budou spíše nacházet cenná data?). Podvodníci vytvořili např. podvodnou stránku předstírající, že jde o dodavatele šifrovacího softwaru WinRAR. Útočníkům se dokonce podařilo nějak dostat malware i na web jednoho z distributorů tohoto softwaru, takže oběti si ho stahovaly přímo odtud. Kromě WinRAR byly vytvořeny podvodné stránky imitující také šifrovací software TrueCrypt. Nejvíce obětí bylo v Itálii, Belgii a Turecku. Hrozba je klasifikována jako velmi pokročilá, řazená do kategorie APT. (Zdroj: tisková zpráva společnosti Kaspersky Lab)

K iniciativě No More Ransom se přidaly policie dalších 13 zemí. (Zdroj: tisková zpráva společnosti Kaspersky Lab)

Dell EMC představil nová bezpečnostní řešení pro koncová zařízení i datová centra. Nové portfolio zahrnuje produkty Dell Data Protection, Endpoint Security Suite Enterprise a MozyEnterprise a MozyPro pro zabezpečení dat v cloudu, ověřování identity RSA SecurID Access, ochranu proti hrozbám RSA NetWitness Endpoint a softwarově definovanou ochranu dat v cloudu pro datová centra. Řešení představená na konferenci Dell EMC World budou jako celek dostupná ještě před koncem roku. (Zdroj: tisková zpráva společnosti Dell)

Nejnovější index hrozeb Check Point. Ransomware se v září poprvé dostal do top 3 nejrozšířenějších malwarových rodin: malware Locky byl zodpovědný v průběhu září za 6 % všech detekovaných útoků po celém světě. Podíl ransomwaru v rámci všech útoků vzrostl o 13 %. Na 1. místě je celosvětově stále červ Conficker, na 2. místě Sality. Z hlediska rizikovosti v jednotlivých zemích se ČR i Slovensko posunuly mezi méně bezpečné. Co se týče škodlivých kódů v ČR, zde podle rozšíření po červu Conficker následují ransomwary Cryptowall a Locky. (Zdroj: tisková zpráva společnosti Check Point)

Novým produktem určeným pro domácí uživatele je Eset Smart Security Premium. K novinkám má patřit integrované šifrování a správce hesel. Součástí produktu je i ochrana před útoky pomocí skriptů, zabezpečení kamery a domácího směrovače. (Zdroj: tisková zpráva společnosti Eset)

42 % organizací má zkušenosti s mobilními bezpečnostními incidenty, 82 % organizací očekává, že počet mobilních incidentů ještě vzroste. (Zdroj: tisková zpráva Počítačové školy Gopas)

Představena byla cloudová služba Barracuda Email Threat Scan for Office 365, tj. ochrana před hrozbami šířenými e-mailem pro uživatele MS Office 365. Zdroj: tisková zpráva společnosti Gesto Communications (distributor Barracuda Networks pro ČR a Slovensko)

Psali jsme na ITBiz.cz

Na téma zabezpečení na ITBiz viz také:

Bezpečný router Turris Omnia poprvé naživo

Kybernetické útoky jsou sofistikovanější, experti trénují obranu

Podle tiskové zprávy brněnské Masarykovy univerzity: Experti tentokrát v komplikovaném scénáři bránili bezpečnost systému spravujícího železniční síť, a tím i transport s jaderným odpadem.


Komentáře


RSS 

Komentujeme

Chatbot mluví za mrtvého – od nápadu k realizaci

Pavel Houser , 30. listopad 2016 13:00
Pavel Houser

Na webu The Verge popsala Casey Newton příběh dvou přátel (Eugenia Kuyda a Roman Mazurenko). Peripet...

Více





Kalendář

RSS 

Zprávičky

Tchajwanský Foxconn jedná o rozšíření svých aktivit v USA

ČTK , 07. prosinec 2016 15:00

Tchajwanská společnost Foxconn jedná o rozšíření svých aktivit ve Spojených státech. Oznámila to dne...

Více 0 komentářů

Nejvyšší soud USA se postavil na stranu Samsungu proti Applu

ČTK , 07. prosinec 2016 12:30

Americký nejvyšší soud se v mnohaletém patentovém sporu mezi výrobci chytrých telefonů Apple a Samsu...

Více 0 komentářů

Evropská komise Microsoftu schválila převzetí sítě LinkedIn

ČTK , 07. prosinec 2016 10:30

Evropská komise schválila americké softwarové společnosti Microsoft záměr koupit za 26 miliard dolar...

Více 0 komentářů

Starší zprávičky

Porozumění větám, konkurence pro Turingův test

Pavel Houser , 06. prosinec 2016 18:00

Konverzační roboti mají stále problémy pochopit věty, kde smysl nelze vyvodit ze samotné gramatické ...

Více 0 komentářů

Americká GoDaddy koupí evropský webhosting Host Europe

ČTK , 06. prosinec 2016 16:00

Americký registrátor internetových domén GoDaddy, který je ve svém oboru největší na světě, se dohod...

Více 0 komentářů

Ruská Centrální banka oznámila masivní útok hackerů

ČTK , 06. prosinec 2016 11:00

Do systému ruské Centrální banky se letos dostali hackeři a s pomocí zfalšovaných hesel se pokusili ...

Více 0 komentářů

CETIN vydal dluhopisy za 25 miliard Kč

ČTK , 05. prosinec 2016 18:00

Česká telekomunikační infrastruktura (CETIN) upsala dluhopisy v eurech a korunách v celkovém objemu ...

Více 1 komentářů