Bezpečnostní přehled: Jak probíhá evoluce ransomwaru

Pavel Houser , 14. září 2015 08:00 0 komentářů
Rubriky: Security
Bezpečnostní přehled: Jak probíhá evoluce ransomwaru

Zářijové záplaty Microsoftu – 5 kritických balíčků, pro Internet Explorer i Edge. Malware Turla skrývá své řídicí servery pomocí satelitní sítě. Populární hackerské akci Pwn2Own hrozí, že přijde o svého hlavního sponzora. Rizika bezdrátových disků. Následuje pravidelný bezpečnostní přehled vytvářený především podle webů ZDNet, CNet, The Register a HelpNet Security.

Zářijové opravy Microsoftu a Adobe

Druhé úterý v září byly vydány pravidelné záplaty Microsoftu. 12 bulletinů zabezpečení opravuje celkem 56 zranitelností. Kritické aktualizace jsou určeny pro Internet Explorer, MS Office, Windows Vista a Windows Server 2008. Celkem 5 bulletinů zabezpečení řeší chyby, které mohou vést ke vzdálenému spuštění kódu i bez další interakce uživatele. Kritická kumulativní aktualizace pro Internet Explorer (ms15-094) mj. látá i zranitelnost, kde již byl popsán možný postup zneužití. Stejně tak kritická je i záplata pro nový prohlížeč MS Edge ve Windows 10 (ms15-095). Další kritický bulletin (ms15-097) opravuje problémy ve Windows/MS Office/Lync, přičemž jedna z těchto chyb je již aktivně zneužívána. Kritická je rovněž sada záplat ms15-098 pro operační systémy a ms15-099, která je kromě MS Office určena i pro server SharePoint.

Adobe současně vydala kritickou záplatu pro přehrávač Shockwave Player.

Ze světa Androidu

AppLock od společnosti DoMobile slouží k ochraně částí systému Android, kdy jsou pro přístup třeba speciální hesla, rootovské oprávnění apod. Aplikaci užívá údajně až 100 milionů lidí. Noam Rathaus z firmy Beyond Security ovšem uvádí, že aplikace samotná je plná chyb a všechny její mechanismy lze v důsledku toho poměrně snadno obejít.

Společnost Zscaler detekovala podvodnou aplikaci pro Android, která fotí uživatele při sledování pornografického obsahu a pak ho prostřednictvím těchto fotografií vydírá. Fotografie se zobrazují na displeji, nedají se odstranit. Ransomware požaduje 500 dolarů.

Poznámka: Není to příliš složité? Není klasická metoda, prostě zařízení a data v něm zamknout, jednodušší/účinnější?

Nová vylepšená varianta ransomwaru Simplocker pro Android se maskuje jako přehrávač Flash Player, respektive příslušné kodeky. Pro komunikaci s řídicím serverem používá tento malware protokol XMPP. Check Point na základě sledování komunikace odhaduje, že zaplatit je ochotno až 10 % majitelů infikovaných mobilních zařízení, a to částku mezi 200 a 500 dolary. Počet obětí nové verze vyděračského programu se zatím odhaduje na desítky tisíc, postup dešifrování zamčeného obsahu není znám.

Problém v Bugzille

Mozilla přiznala, že od září 2014 (ale možná ještě o rok déle) byl kompromitován privilegovaný účet v systému pro hlášení chyb Bugzilla. Podvodníci tak asi rok měli přístup k informacím o bezpečnostním chybám ve Firefoxu ještě předtím, než byla k dispozici oprava. Uvádí se, že v „okně“ mezi informací a chybě a její záplatou mohlo být k útokům zneužíváno až 10 kritických zranitelností. Pravděpodobně nešlo o narušení samotného systému, ale majitel příslušného účtu použil své heslo ještě někde jinde a až přes kompromitaci třetí strany se dostalo do rukou útočníků.

HP se bojí dál sponzorovat Pwn2Own

Pwn2Own, známá konference, kde se předvádějí zranitelnosti, přišla o svého dlouholetého sponzora, společnost HP (ta se k akci dostala přes program výkupu zero day zranitelností u TippingPoint, který posléze připadl 3Comu a ten zase HP). Rozhodnutí HP má být dáno obavou, aby se společnost nedostala do kolize s aktualizovanými mezinárodními dohodami (tzv. Wassenaar Arrangement), které upravují práci se softwarovými exploity. HP prý za právníky utratilo přes milion dolarů, ale výsledkem je jen nejistota, takže je bezpečnější dát od akce ruce pryč. Na související téma viz také: HP zvažuje prodej firmy TippingPoint

Zájemci údajně zatím nabízejí 200-300 milionů dolarů. TippingPoint příliš nezapadá do koncepce ani jedné ze dvou společností, na něž se HP hodlá v blízké budoucnosti rozdělit.

Šifrování nemusí stačit

Výzkumníci z Microsoftu chtějí na akci ACM Conference on Computer and Communications Security prezentovat, jak dochází k úniku citlivých lékařských informací, třebaže jsou uchovávány v šifrované podobě. Problém má být tam, kde se k šifrování používá technologie CryptDB; řadu dat lze v otevřené podobě prý získat např. z paměti a dočasných souborů kompromitovaných počítačů.

Tavis Ormandy z Googlu přišel na vzdáleně zneužitelnou chybu v produktech Kaspersky, která umožňovala získat práva správce. Zneužití se odehrálo přes buffer overflow a zranitelná byla instalace řešení ve výchozí konfiguraci. Opravu se doporučuje nasadit co nejrychleji.

CSIRT.CZ varuje/oznamuje

Bezdrátové pevné disky Seagate mají tajný backdoor spočívající v nedokumentované telnet službě s nastaveným jménem a heslem – root. Problém se týká zařízení Seagate Wireless Plus Mobile Storage, Seagate Wireless Mobile Storage a LaCie FUEL. Záplata je již k dispozici.

Podle CERT.org a The Register jde celkem o tři různé zranitelnosti: Útočník s bezdrátovým přístupem mohl tímto způsobem jednak stahovat všechny soubory, jednak nahrávat obsah do výchozího sdíleného adresáře. V obecnější rovině problém spočívá v tom, že bezdrátové disky se spíše chovají jako souborové servery/sítě v malém.

Opravená verze firmwaru má číslo 3.4.1.105. Podobně jako třeba u domácích směrovačů lze však krajně pochybovat o tom, že záplata bude nasazována plošně. Prozatím nejsou k dispozici informace o tom, že by tato zranitelnost byla zneužívána. K tomu je potřeba, aby se útočník nacházel v dosahu bezdrátové sítě zařízení.

Ze světa firem

Rusky hovořící kyberšpionážní skupina Turla využívá bezpečnostní slabiny v globální satelitní síti, aby zabránila odhalení svých aktivit a fyzické polohy. Skupina nejdříve sleduje stahování ze satelitu, aby identifikovala aktivní IP adresy uživatelů, kteří jsou v ten moment on-line a používají satelitní internet. Poté si vybere on-line IP adresu, která (bez vědomí uživatele) zamaskuje řídicí server. Následně jsou infikované počítače instruovány, aby odeslaly data směrem k vybraným IP adresám. Data cestují skrze konvenční linky k teleportům poskytovatele satelitního internetu, dále do satelitů a nakonec ze satelitu k uživatelům s vybranou IP adresou. Odtud jdou teprve na samotný server (obvykle už klasicky, satelitní připojení se většinou používá jen jednosměrně pro download), kdo chce sledovat proces, skončí ale u „náhradní“ IP adresy.

Kampaň Turla funguje už asi 8 let. Malware nakazil stovky počítačů ve více než 45 zemích a mezi napadenými byly i vlády, velvyslanectví, armády či vzdělávací, výzkumné a farmaceutické společnosti. Zdroj: tisková zpráva společnosti Kaspersky Lab

Na český trh přichází nová verze Kaspersky Endpoint Security 10 for Mac. Podnikové řešení pro počítače Apple je dostupné jako součást řady Kaspersky Endopoint Security for Business. Doplněny byly např. technologie pro ochranu před on-line hrozbami. Zdroj: tisková zpráva společnosti Kaspersky Lab

Canon vyvíjí vysoce citlivou síťovou kameru vybavenou rychlým objektivem s velkým zvětšením. Kamera dokáže snímat barevný obraz i během noci a na velkou vzdálenost. Produkt má najít uplatnění v městských kamerových systémech a při monitorování důležitých součástí infrastruktury. Zdroj: tisková zpráva společnosti Canon

Nové verze řešení pro elektronickou výměnu dokladů Orion EDI 2016 přináší v oblasti zabezpečení certifikaci ISO 27001. Zdroj: tisková zpráva společnosti CCV Informační systémy

Nový phishingový útok proti klientům České spořitelny má za cíl vylákat potvrzovací SMS kód. Podvodníci zneužívají skutečné obchodní kampaně České spořitelny v internetovém bankovnictví SERVIS 24, která se týká hypoték. Zdroj: Česká spořitelna

Psali jsme na ITBiz

Na téma zabezpečení na ITBiz viz také:

  • Rozpočty na bezpečnost rostou, utrácejí je ale manažeři bezpečnosti moudře? I když peněz je víc, nakupují se za ně víceméně stále stejné technologie. Tedy takové, které se neukázaly jako příliš účinné – alespoň pokud uvážíme na neustále rostoucí počet incidentů s narušením dat. Kritizovat by se dala především strategie zaměřená na firewally, respektive obecněji na (již téměř neexistující) perimetr sítí.

Komentáře

RSS 

Komentujeme

AI i její tvůrci před soudem

Pavel Houser , 22. duben 2018 09:30
Pavel Houser

John Kingston z anglické University of Brighton poskytl pro The Register svůj pohled na právní odpov...

Více







RSS 

Zprávičky

Čínská služba pro streamování hudby Tencent míří na burzu

ČTK , 23. duben 2018 11:19

Spotify byla nedávno ohodnocena na 30 miliard dolarů. 25 miliard očekávaných u Tencentu je také obro...

Více 0 komentářů

Obchod s kryptoměnami se stěhuje mimo burzy

ČTK , 23. duben 2018 09:00

Objem obchodování s kryptoměnami je oproti konci roku poloviční....

Více 0 komentářů

Čtvrtina Čechů vyzkoušela služby sdílené ekonomiky

ČTK , 23. duben 2018 08:00

Více než polovina lidí zná služby Zonky (74 procent) a Uber (62 procent)....

Více 0 komentářů

Starší zprávičky

Před 25 lety byl zpřístupněn webový prohlížeč Mosaic

ČTK , 21. duben 2018 15:22

Mosaic se zrodil v průběhu roku 1992 v hlavě Marca Andreessena a jeho kolegy Erica Biny....

Více 0 komentářů

Těžba bitcoinů při kurzu pod 8 600 dolarů je ztrátová

ČTK , 20. duben 2018 11:21

Analytici se domnívají, že poptávka po hardwaru pro těžbu bitcoinů dál klesne, stejně jako cena kryp...

Více 1 komentářů

Netflixu prudce stoupají příjmy i počet odběratelů

ČTK , 20. duben 2018 09:36

Čistý zisk ve čtvrtletí stoupl na 290,1 milionu dolarů, neboli 64 centů na akcii....

Více 0 komentářů

Zájem o přijímače s digitálním rádiem je minimální

ČTK , 20. duben 2018 08:00

Český rozhlas na konci loňského roku rozšířil pokrytí digitálním signálem na 40 % populace....

Více 3 komentářů