Bezpečnostní přehled: E-shopy jsou plné škodlivých kódů

Pavel Houser , 24. říjen 2016 12:00 0 komentářů
Bezpečnostní přehled: E-shopy jsou plné škodlivých kódů

Provozovatelé e-shopů neopravují zranitelnosti. Vývoj bezpečnostního trhu podle IDC. Zneužívaná chyba ve Windows i MS Office. Zranitelnosti a opravy: Dirty COW, VeraCrypt, systémy CMS. Správa šifrovacích klíčů v éře cloudu.

Následuje pravidelný bezpečnostní přehled vytvářený především podle webů ZDNet, CNet, The Register a HelpNet Security.

Budoucnost PKI

Studie Ponemon Institute tvrdí, že organizace budou muset přehodnotit přístup ke správě šifrovacích klíčů. Vede k tomu vzrůstající používání cloudových aplikací i zařízení internetu věcí. Stále více aplikací využívá správu a distribuci veřejných šifrovacích klíčů (PKI). PKI zde ovšem bývá implementováno způsobem, kdy organizace netuší, zda takto půjde podporovat i aplikace nasazované v budoucnosti (problémy uvádí 58 % respondentů). Firmy nemají implementovány technologie pro zneplatnění certifikátů. Pro zajištění infrastruktury PKI se stále více používají hardwarové bezpečnostní moduly.

Po nějaké době se ČR opět dostala na titulní stránky webů/rubrik o IT bezpečnosti: V Praze byl zatčen ruský občan Jevgenij N., který podle FBI a Interpolu a stál za obřím únikem dat z LinkedIn v roce 2012. USA požadují jeho vydání. Viz také zprávička

Jak chránit zákazníky kompromitovaných e-shopů?

Willem de Groot ze společnosti byte.nl (poskytovatel hostingu) testoval 255 tisíc e-shopů z hlediska jejich zabezpečení. Přítomnost škodlivého kódu, který se snažil sbírat údaje o platebních kartách, hesla nebo další citlivé údaje, byla zjištěna skoro u 6 000 z nich. Znamená to o dost větší podíl než před rokem. Jedná se o e-shopy různého typu a nejenom malé: řada z kompromitovaných obchodů používala platformu Magento Enterprise Edition, což je typické pro velké aplikace. Za pozornost stojí i to, že obě skupiny obchodů, z loňska i letoška, se překrývaly – v některých systémech tedy ani za rok nebyla provedena náprava. Někteří majitelé e-shopů reagují na upozornění o problému tak, že příslušnou platební službu poskytuje třetí strana, problém je tedy u ní a jich se netýká. Když Groot seznam kompromitovaných obchodů zveřejnil, pohrozili mu mnozí provozovatelé žalobou, takže data raději stáhl. Uvádí, že sice zastává politiku zodpovědného zveřejňování bezpečnostních děr, v tomto případě jsou ale ohroženi i zákazníci e-shopů, které je třeba varovat. Podle jeho názoru by možným řešením bylo, kdyby s takovými obchody odmítli spolupracovat vydavatelé platebních karet, ještě jednodušší se pak zdá, kdyby je Google zařadil na blacklist v rámci projektu Safe Browsing.

Trh slušně poroste

Podle IDC stoupnou firemní výdaje za zabezpečení z letošních 74 miliard dolarů na 102 miliard v roce 2020. Odpovídá to průměrnému meziročnímu růstu 8,3 %, což je více než dvojnásobek růstu tržeb za IT jako celek. Za vývojem trhu bude stát především rostoucí poptávka zdravotnického průmyslu a přetrvávající velké výdaje finančních institucí, telekomunikačních společností i vlád. Již letos představují největší kategorii bezpečnostních řešení služby (45 %), a to včetně řízených bezpečnostních služeb. Další velké kategorie představuje jednotné řízení hrozeb (UTM), řízení identit a přístupu a software provádějící behaviorální analýzu. K prognóze IDC ovšem jiní analytici dodávají, že podle nich dojde k paradoxu: i přes růst výdajů na zabezpečení budou přitom bezpečnostní incidenty stále častější a pro oběti dražší.

Na Twitteru byl publikován link na obří MongoDB databázi společnosti Modern Business Solutions, která obsahovala personální informace o lidech pohybujících se v automobilovém a realitním byznysu v USA. Uniklo asi 58 milionů záznamů obsahujících jména, fyzické adresy, data narození, e-maily a mobilní čísla. Když nic jiného, podvodníci mohou s těmito informacemi zkoušet účinnější phishing. Firma Modern Business Solutions si vysloužila kritiku i za to, jak s postiženými (ne)komunikovala.

Analýza společnosti Fortinet tvrdí, že v posledních třech měsících útočníci zintenzivnili zájem o domácí směrovače. Cílí především na zařízení Netcore, D-Link a Asus, u nichž jsou známé neopravené zranitelnosti. Ve stejné době analýza Esetu ukázala, že z 12 000 zkoumaných směrovačů jich 15 % používala slabá hesla a u 7 % zařízení byly zjištěny závažné bezpečnostní nedostatky na úrovni firmwaru.

Dva roky po svém objevu představuje Ghost Push podle čínské bezpečnostní firmy Cheetah Mobile stále nejrozšířenější malware pro Android, a to navzdory tomu, že je schopen běžet pouze do verze 5 (Lollipop) a jeho tvůrci ho vůbec neportovali na verze 6 (Marshmallow) a 7 (Nougat). Malware nebyl v poslední době zaznamenán na Google Play, ale stále se šíří dalšími kanály a podvodníci ho s oblibou vkládají do podvodných nebo upravených open source aplikací. Trojský kůň Ghost Push také brání dalším aplikacím, aby získaly oprávnění roota.

Zranitelnosti a opravy

Anton Ivanov z Kaspersky Lab uvádí, že jedna ze zranitelností, kterou Microsoft opravil v úterý 11. 10., byla již předtím zneužívána pro zero day útoky. Konkrétně jde o chybu CVE-2016-3393 (odpovídající bulletin zabezpečení MS16-120), která umožňuje zvýšení oprávnění i vzdálené spuštění kódu. Skupina zvaná FruityArmor zneužívala tento problém ve zpracování fontů a grafiky (Microsoft Graphics Component) pomocí webů obsahujících speciální fonty True Type. Viz také: Kritické záplaty pro Windows i prohlížeče, nový způsob distribuce oprav

Aplikace Nine, náhrada Outlooku pro Android, obsahovala bezpečnostní chybu, která umožňovala krádeže přístupových oprávnění k serveru MS Exchange. Problém odhalil Derek Abdine z Rapid7 Labs, zneužití mohl provést útočník v pozici man-in-the-middle. Dodavatel Nine, společnost 9FoldersInc, již vydala záplatu. Nine si z Google Play dosud stáhlo přes milion uživatelů.

Osm kritických zranitelností (a řada dalších chyb) bylo objeveno v šifrovacím softwaru VeraCrypt. Na problémy upozornili výzkumníci společnosti Quarkslab v rámci auditu, který financoval Open Source Technology Improvement Fund. Auditoři ovšem dodávají, že provést podobný test pro všechny rozšířenější šifrovací nástroje by bylo příliš drahé. Nová verze VeraCrypt 1.19 část (nikoliv všechny) uvedených zranitelností opravuje.

Zalátána byla chyba Dirty COW (CVE-2016-5195) v jádře Linuxu, která umožňovala zvýšení uživatelských práv.

CSIRT varuje/oznamuje: 2krát systémy CMS

Útočníci zneužívají zero day chybu v plug-inu WP Marketplace pro WordPress. Na postižené weby nahrávají backdoor.

V komponentě ja-k2-filter-and-search redakčního (CMS) systému Joomla byla objevena zero day zranitelnost umožňující zneužití pomocí SQL injection.

Ze světa firem

Malware StrongPity cílí na zájemce o šifrovací software (poznámka PH: předpoklad, že na počítači se pak budou spíše nacházet cenná data?). Podvodníci vytvořili např. podvodnou stránku předstírající, že jde o dodavatele šifrovacího softwaru WinRAR. Útočníkům se dokonce podařilo nějak dostat malware i na web jednoho z distributorů tohoto softwaru, takže oběti si ho stahovaly přímo odtud. Kromě WinRAR byly vytvořeny podvodné stránky imitující také šifrovací software TrueCrypt. Nejvíce obětí bylo v Itálii, Belgii a Turecku. Hrozba je klasifikována jako velmi pokročilá, řazená do kategorie APT. (Zdroj: tisková zpráva společnosti Kaspersky Lab)

K iniciativě No More Ransom se přidaly policie dalších 13 zemí. (Zdroj: tisková zpráva společnosti Kaspersky Lab)

Dell EMC představil nová bezpečnostní řešení pro koncová zařízení i datová centra. Nové portfolio zahrnuje produkty Dell Data Protection, Endpoint Security Suite Enterprise a MozyEnterprise a MozyPro pro zabezpečení dat v cloudu, ověřování identity RSA SecurID Access, ochranu proti hrozbám RSA NetWitness Endpoint a softwarově definovanou ochranu dat v cloudu pro datová centra. Řešení představená na konferenci Dell EMC World budou jako celek dostupná ještě před koncem roku. (Zdroj: tisková zpráva společnosti Dell)

Nejnovější index hrozeb Check Point. Ransomware se v září poprvé dostal do top 3 nejrozšířenějších malwarových rodin: malware Locky byl zodpovědný v průběhu září za 6 % všech detekovaných útoků po celém světě. Podíl ransomwaru v rámci všech útoků vzrostl o 13 %. Na 1. místě je celosvětově stále červ Conficker, na 2. místě Sality. Z hlediska rizikovosti v jednotlivých zemích se ČR i Slovensko posunuly mezi méně bezpečné. Co se týče škodlivých kódů v ČR, zde podle rozšíření po červu Conficker následují ransomwary Cryptowall a Locky. (Zdroj: tisková zpráva společnosti Check Point)

Novým produktem určeným pro domácí uživatele je Eset Smart Security Premium. K novinkám má patřit integrované šifrování a správce hesel. Součástí produktu je i ochrana před útoky pomocí skriptů, zabezpečení kamery a domácího směrovače. (Zdroj: tisková zpráva společnosti Eset)

42 % organizací má zkušenosti s mobilními bezpečnostními incidenty, 82 % organizací očekává, že počet mobilních incidentů ještě vzroste. (Zdroj: tisková zpráva Počítačové školy Gopas)

Představena byla cloudová služba Barracuda Email Threat Scan for Office 365, tj. ochrana před hrozbami šířenými e-mailem pro uživatele MS Office 365. Zdroj: tisková zpráva společnosti Gesto Communications (distributor Barracuda Networks pro ČR a Slovensko)

Psali jsme na ITBiz.cz

Na téma zabezpečení na ITBiz viz také:

Bezpečný router Turris Omnia poprvé naživo

Kybernetické útoky jsou sofistikovanější, experti trénují obranu

Podle tiskové zprávy brněnské Masarykovy univerzity: Experti tentokrát v komplikovaném scénáři bránili bezpečnost systému spravujícího železniční síť, a tím i transport s jaderným odpadem.


Komentáře


RSS 

Komentujeme

Zákaznické karty čekají změny

Pavel Houser , 17. leden 2017 13:00
Pavel Houser

Jedna z technologií, která se už po léta prakticky nezměnila, i když by mohla? Prý karty zákazníků d...

Více





Kalendář

06. 02.

07. 02.
konference G2B TechEd
15. 02. IDC Predictions 2017
22. 02. IT mezi paragrafy
RSS 

Zprávičky

Telefónica má zaplatit 1,7 miliardy Kč Tykačovým firmám

ČTK , 17. leden 2017 15:00

Španělská telekomunikační společnost Telefónica má zaplatit firmám podnikatele Pavla Tykače 1,7 mili...

Více 0 komentářů

Embarcadero oznamuje podporu Desktop Bridge v produktu RAD Studio

ITBiz.cz , 17. leden 2017 12:00

Společnost Embarcadero Technologies (divize společnosti Idera), vedoucí dodavatel softwarových řešen...

Více 0 komentářů

Pokrytí LTE loni stouplo na 98 procent populace

ČTK , 17. leden 2017 07:00

Pokrytí Česka rychlými mobilními sítěmi LTE se loni zvýšilo na 98 procent populace, což je o čtyři p...

Více 0 komentářů

Starší zprávičky

Reuters: Hlavní příčinou potíží telefonů Galaxy Note 7 je baterie

ČTK , 16. leden 2017 14:00

Hlavní příčinou samovzněcování některých chytrých telefonů Galaxy Note 7 byla baterie. Podle zdroje ...

Více 0 komentářů

Facebook v Německu spustí systém pro ověřování pravdivosti zpráv

ČTK , 16. leden 2017 07:00

Internetová sociální síť Facebook v příštích týdnech zavede v Německu systém pro ověřování pravdivos...

Více 0 komentářů

Yahoo Japan zvažuje třídenní víkend, chce zaměstnance motivovat

ČTK , 15. leden 2017 15:00

Japonská internetová společnost Yahoo Japan zvažuje, že by do roku 2020 zavedla třídenní víkend. Chc...

Více 0 komentářů

Uber se dohodl s Google na využití jeho map

ČTK , 15. leden 2017 12:32

Internetová firma Google nově propojila své mapy s poskytovatelem přeprav Uber. S novou aktualizací ...

Více 1 komentářů