Bezpečnostní přehled: Hackerská soutěž Pwn2Own

Pavel Houser , 29. březen 2016 12:50 0 komentářů
Bezpečnostní přehled: Hackerská soutěž Pwn2Own

Co říkají čísla o vývoji zero day útoků? Chyba Badlock. Jak se sdílí informace o zranitelnostech? Objevena byla hromada chyb, mimo jiné v Androidu a v iOS, vydána záplava oprav.

Následuje pravidelný bezpečnostní přehled vytvářený především podle webů ZDNet, CNet, The Register a HelpNet Security.

USA stíhají v nepřítomnosti 7 íránských hackerů, kteří měli provádět např. útoky na americké banky. Akce byla podle amerických úřadů přímo zorganizována teheránským režimem.

Rovněž zpráva z USA: Medializovaný spor „FBI vs. Apple“ pokračuje. Objevují se informace, že k prolomení hesla telefonu asistence Appplu ani nemusí být nezbytná. Viz také: Kauza Apple vs. soud USA dále bobtná http://www.itbiz.cz/zpravicky/kauza-apple-vs-soud-usa-dale-bobtna

Google uvolnil BinDiff, svůj nástroj pro porovnávání binárních souborů, který má firma údajně nasazeni i interně. Bezpečnostní specialisté BinDiff využívají pro kontrolu oprav i analýzu malwaru. Software Google získal v roce 2011 spolu s akvizicí německé společností Zynamics. Tehdy se BinDiff prodával za více než 1 000 dolarů, cena licence před uvolněním softwaru byla 200 dolarů.

Proběhlo pravidelné klání Pwn2Own

Na každoroční hackerské soutěži Pwn2Own si autoři exploitů přišli na 460 000 dolarů. John Leyden na The Register spočítal, že Windows byly prolomeny celkem šestkrát, OS X pětkrát, Flash Player čtyřikrát, Safari třikrát, Microsoft Edge dvakrát a Chrome jednou. Hlavním sponzorem byla společnost Trend Micro, která od HP koupila TippingPoint, jednu z firem tradičně vykupujících bezpečnostní zranitelnosti. Nicméně HP (respektive HP Enterprise) finančně letos akci podpořila také.

Objevila se diskuse, zda Wassenaarské smlouvy nějak brání se na této akci účastnit lidem z EU (exploit lze prý chápat jako vývoz zbraní apod.).

Zranitelnosti a opravy: třikrát Android

Google vydal mimořádnou záplatu pro chybu v jádře Androidu. Zranitelnost CVE-2015-1805 se primárně týká linuxového jádra ve verzi 3.18. Problém spočívá v eskalace oprávnění, aplikace může spouštět kód na úrovni jádra. Distribuce záplaty závisí na jednotlivých dodavatelích zařízení/telekomunikačních operátorech. Dalším krokem Google je pochopitelně odstraňování aplikací, které problém zneužívají, z Google Play.

Loni objevenou chybu v knihovně Stagefright lze zneužít. Příslušný postup byl zveřejněn a zranitelné jsou tímto způsobem miliony (podle některých odhadů až 850 milionů) zařízení se systémem Android. Stačí navštívit podvodný web, kompromitace zařízení se provádí pomocí videosouboru. Útočník přitom dokáže obejít i obrannou techniku znáhodnění adresního prostoru ASLR.

Chybu CVE-2015-3864 Google opravil loni v říjnu, otázka však je, na kolika zařízeních tato aktualizace dnes chybí.

Podle firmy Dr.Web je v asi 40 modelech levnějších telefonů s Androidem ve firmwaru přítomen adware Gmobi, provádějící především shromažďování citlivých informací a doručování další reklamy. Stejně tak se prý nachází v celé řadě jinak legitimních aplikací na Google Play, a to proto, že ho jeho autoři přidávají do vývojových nástrojů pro Android. Mezi takto „upravenými“ aplikacemi byly údajně mj. Trend Micro Dr.Safety (bezplatná verze) nebo Asus WebStorage. Dodavatelé již zjednali nápravu.

...a jednou iOS

Matthew Green, profesor z Johns Hopkins University, uvádí že v šifrování iOS se nachází chyba, která umožňuje přístup ke zprávám v iMessages. Podrobnosti zatím nebyly publikovány, dokud Apple chybu neopraví.

Aktualizace: Chyba je již opravena, Apple vydal záplaty pro prakticky veškeré své produkty včetně OS X, AppleTV a watchOS. Aktuální verze iOS má číslo 9.3. Na úrovni iOS další záplaty látají mj. potenciální rizika se zpracováním formátu PDF, fontů a připojení zařízení do podvodných sítí Wi-Fi.

Chyba v antiviru

Řešení Symantec Endpoint Protection obsahovalo tři bezpečnostní zranitelnosti, uživatelům se doporučuje aktualizovat. Např. chyby XSS a SQL injection ve správcovské webové konzoli umožňovaly zvýšit práva v systému (nikoliv ale přístup zcela bez přihlášení). Třetí chyba umožňovala obejít omezení, které na chráněném zařízení blokuje spouštění podezřelých kódů. Verze SEP v12.1 a starší se doporučuje aktualizovat na 12.1 RU6 MP4, Symantec též radí omezit vzdálený přístup ke konzoli pro správu.

Další záplaty: Java a Cisco

Oracle vydal opravu kritické zranitelnosti v Javě (CVE-2016-0636). Chyba je zneužitelná už při návštěvě podvodného webu, i když to vyžaduje mít Javu povolenou v prohlížeči. I přesto, že problém se označuje za velmi závažný, útoky zatím zaznamenány nebyly.

Sadu záplat vydalo také Cisco. Zranitelné jsou produkty se softwarem IOS, IOS XE a Unified Communications Manager. Chyba na úrovni protokolu SIP je zneužitelná i vzdáleně pomocí zaslání podvodné zprávy, je proto třeba aktualizovat (jedinou alternativou je zakázat na zařízení protokol SIP).

Microsoft oznámil, že jeho program odměn za reportované bezpečnostní zranitelnosti se rozšířil i na aplikaci OneDrive.

Zero day hrozby v roce 2015

Nejvýznamnější bezpečnostní incidenty roku 2015 podle Trend Micro: seznamka Ashley Madison, společnost Hacking Team, americký úřad Office of Personal Management a zdravotní pojišťovna Anthem. Bylo zaznamenáno více než 100 zero day hrozeb, z nichž velkou část využívala kampaň Pawn Storm. Mezi exploit kity získal největší podíl Angler. Zdroj: tisková zpráva společnosti Trend Micro

*Obdobná analýza Secunia: *Množství zero day zranitelností loni zůstalo zhruba na úrovni roku 2014. Celkem Secunia loni evidovala 16 081 bezpečnostních chyb v 2 484 produktech od 263 dodavatelů. 2 573 z těchto chyb nebylo opraveno v den zveřejnění informace. Secunia nicméně do kategorie zero day zahrnuje jen zranitelnosti, u nichž došlo k pokusům o zneužití nebo byl mechanismus zneužití publikován alespoň formou proof-of-concept. Pak počet zero day hrozeb vychází na 25, stejně jako předloni. Na Windows dále pokračoval pokles zranitelností operačního systému na úkor aplikací třetích stran. V 5 webových prohlížečích bylo loni objeveno přes 1 000 bezpečnostních chyb, opět víceméně stejně jako v roce 2014.

CSIRT varuje/oznamuje

Vývojáři Samby a Microsoftu pracují na přípravě záplat pro několik zranitelností týkajících se téměř všech verzí Windows a Samby. Tyto zranitelnosti byly souhrnně nazvány Badlock.

Další informace: Na chybu upozornil jeden z vývojářů Samby Stefan Metzmacher. Závažností se dle analytiků srovnává se zranitelností Heartbleed. Záplata by měla být uvolněna 12. dubna. Jak si glosátoři všímají, kolem zranitelnosti se podařilo vytvořit pěkné PR, má vlastní stránky, ba i logo... Podrobnosti známy nejsou, ale předpokládá se, že půjde o nějakou chybu na úrovni protokolu SMB; zřejmě už v jeho návrhu, proto se pak zranitelnost týká implementací jak v Sambě, tak i ve Windows.

Ze světa firem

Pouze 42 % dotazovaných profesionálů v oblasti kybernetické bezpečnosti využívá sdílených informací o hrozbách. Respondenti průzkumu uvádějí, že největšími bariérami pro sdílení informací o kybernetických hrozbách jsou firemní politiky (54 %), regulace v odvětví (24 %) a nedostatek informací (24 %). Při odpovědi na otázku, jaké typy dat o hrozbách jsou ochotni sdílet, uvedli respondenti chování malwaru (72 %), reputaci URL (58 %), reputaci externích IP adres (54 %), reputaci certifikátu (43 %) a reputaci souborů (37 %). (Zdroj: tisková zpráva společnosti Intel)

Podle analýzy McAfee Labs vzrostlo v posledním čtvrtletí roku 2015 zneužívání ransomwaru o 26 % oproti čtvrtletí předchozímu. (Zdroj: tisková zpráva společnosti Intel)

Průzkum společností Kaspersky Lab a B2B International ukázal, že pomocí DDoS útoků napadají počítačoví zločinci kromě zákaznických portálů a transakčních systémů i interní webové služby, operace nebo připojení. Zvláště náchylné k interním DDoS útokům byly podniky ve výrobní sféře. Čtvrtina z nich tvrdí, že kyberkriminálníci napadli její operační systém, a více než třetina si všimla změn na souborových serverech. Téměř každá pátá společnost zaznamenala napadení síťového připojení. (Zdroj: tisková zpráva společnosti Kaspersky Lab)

Nově schvalovaná evropská norma pro ochranu osobních údajů vstoupí v platnost na jaře 2018. Nové evropské obecné nařízení je ve stávající tuzemské legislativě ve velkém měřítku již obsaženo a uplatňováno. Norma ale přinese i změny: Podniky s více než 250 zaměstnanci nebo subjekty, jejichž hlavní činnost správce nebo zpracovatele spočívá ve zpracování osobních údajů (vztahuje se i na pouhá úložiště dat), budou povinny mít vlastního inspektora ochrany údajů. (Zdroj: tisková zpráva advokátní kanceláře Taylor Wessing Praha)

Psali jsme na ITBiz.cz

Na téma zabezpečení na ITBiz viz také: Bezpečnostní přehled: Malware i pro iPhone bez jailbreakingu


Komentáře


RSS 

Komentujeme

Chatbot mluví za mrtvého – od nápadu k realizaci

Pavel Houser , 30. listopad 2016 13:00
Pavel Houser

Na webu The Verge popsala Casey Newton příběh dvou přátel (Eugenia Kuyda a Roman Mazurenko). Peripet...

Více





Kalendář

20. 03.

24. 03.
CeBIT 2017
RSS 

Zprávičky

Výdaje Čechů za telekomunikační služby klesly na 429 Kč měsíčně

ČTK , 11. prosinec 2016 10:55

Výdaje Čechů za telekomunikační a poštovní služby klesly za posledních šest let o čtyři procenta na ...

Více 0 komentářů

Nový zákon o výzkumu chystá "blacklist" příjemců i ministerstvo

ČTK , 09. prosinec 2016 16:31

Velké změny ve fungování Grantové a Technologické agentury, novou vědeckou radu ČR i takzvaný "black...

Více 0 komentářů

Fitbit koupil průkopníka chytrých hodinek Pebble

ČTK , 09. prosinec 2016 15:00

Americký výrobce chytrých náramků a hodinek Fitbit koupil software, patenty a další aktiva duševního...

Více 0 komentářů

Starší zprávičky

Američané možná umožní v letadlech telefonování přes wi-fi

ČTK , 09. prosinec 2016 13:00

Aerolinky ve Spojených státech by v budoucnu mohly umožňovat telefonování v letadle s použitím wi-fi...

Více 2 komentářů

Česká pošta od ledna zdraží posílání do zahraničí o pět až 20 Kč

ČTK , 09. prosinec 2016 11:39

Česká pošta od ledna zvýší ceny za posílání listovních zásilek do zahraničí o pět korun, balíky podr...

Více 0 komentářů

Za vzněcováním smartphonu iPhone 6 jsou vnější vlivy, tvrdí Apple

ČTK , 08. prosinec 2016 11:30

Firma Apple odmítla podezření čínských uživatelů svého chytrého telefonu iPhone 6, že za problémy s ...

Více 0 komentářů

Verizon prodá firmě Equinix datová centra za 3,6 miliardy USD

ČTK , 08. prosinec 2016 10:00

Největší americký mobilní operátor Verizon Communications prodá specializované společnosti Equinix 2...

Více 0 komentářů