margin-top: 125px; border: 1px solid gray; } -->

Bezpečnostní přehled: Jak rychle se opravuje jádro Linuxu a Windows

Pavel Houser , 20. únor 2013 08:00 7 komentářů
Bezpečnostní přehled: Jak rychle se opravuje jádro Linuxu a Windows

IPhone se dá odemknout, telefony s Androidem lze zase šoupnout na mrazák. Útoky proti MacOS X, je Čína a Západ již ve studené kybernetické válce? Následuje pravidelný bezpečnostní přehled vytvářený především podle bezpečnostních rubrik webů ZDNet, CNet, The Register a HelpNet Security.

Výzkumníci z FireEye upozornili na novou zero day zranitelnost v Adobe Readeru/Acrobatu a již zaznamenali i pokusy o zneužití prostřednictvím škodlivého PDF souboru. Adobe má opět plné ruce práce, protože v minulém týdnu byla vydána kritická oprava pro přehrávač Flash Player (obecně je problém v Readeru zřejmě vážnější – minimálně v tom smyslu, že s PDF více či méně pracuje každý).

Web Jailbreak Nation publikoval způsob, jak se bez znalosti hesla dostat k obsahu zamčeného iPhonu. Liší se informace o tom, jaké verze iOS jsou takto zranitelné.

Útočník může ze zařízení telefonovat, posílat e-maily a tímto způsobem lze např. exportovat kontakty, k aplikacím by přístup být neměl a instalovat malware zřejmě nedokáže. I tak ale jde o závažný problém, který se Apple zřejmě bude snažit rychle opravit. Metoda útoku využívá především volání na nouzová (emergency) čísla, rušení příkazů a různé restarty; kroků je několik, takže nehrozí náhodné zneužití, postup lze však snadno reprodukovat i bez technických znalostí a následující video se již prý stihlo rozšířit.

Ukázkové video

Prolomit se údajně dá ochrana v telefonech Android. Z telefonu vypnutého/zamčeného před malou chvílí lze totiž získat obsah paměti RAM – ideálně, když se zařízení rychle šoupne do mrazáku a nechá se hodinu při teplotě nějakých -10 C (jak podotýká The Register, Android 4 – Ice Cream k tomu vyzývá už svým názvem).

Tvrdí to alespoň studie, jejímiž autory jsou Tilo Müller, Michael Spreitzenbarth, a Felix Freiling z norimberské Friedrich-Alexander University. Postup byl testován na Samsung Galaxy Nexus, jako software byl použit Frost. Z paměti RAM se podařilo získat šifrovací klíče AES a s jejich pomocí pak přístup k celému zařízení. Lze zkusit i útok hrubou silou na PIN a poslední možností je zkopírovat celý image paměti do počítače a potřebné klíče či jiná data získat až zde.

Podobný postup byl v minulosti navržen i proti notebookům.

Facebook oznámil, že jeho systém byl kompromitován pomocí zero day zranitelnosti v Javě. Data uživatelů nicméně tento incident neměl ovlivnit.

Jeden z vývojářů Facebooku navštívil kompromitovaný web. Výsledně byl jeho notebook infikován malwarem, který se dostal i na další firemní počítače. Systémy byly plně záplatované, šlo však o jednu ze zero day zranitelností v Javě, kterou Oracle opravil až později. Po zjištění podezřelého chování prošla síť forenzním šetřením, původ problému byl odhalen a vše uvedeno do původního stavu.

Další hacky:

Twitter řetězce BurgerKing (logo a název účtu změněno na McDonald). Apple: útočníci se pokusili proniknout do některých počítačů zaměstnanců, podle firmy však nedošlo k žádnému úniku dat. Zdrojem útoku měl být web iPhonedevsdk (nenavštěvovat), použita byla zranitelnost v Javě. Podle dalších zdrojů byly kompromitovány i počítače s MacOS X v řadě dalších firem včetně Facebooku (viz výše – pravděpodobně jde o jediný incident).

Společnost Intego varuje před novým malwarem pro MacOS, který označuje jako Pinsized. Jedná se o backdoor/trojského koně, který šifrovaným kanálem zasílá informace na vzdálený server. Rozsah infekce ani další podrobnosti dosud nejsou známy (souvislost s předchozí informací nejasná).

Současně se objevily názory, že internetové útoky vycházející z Číny se již dají charakterizovat jako „studená kybernetická válka“ vedená proti západním společnostem.

Kevin Mitnick, respektive jeho současná firma, získal další zakázku. Má být poradcem při zajištění systémů pro ekvádorské prezidentské volby. (Ekvádor nabízí azyl Julianu Assangemu, podle Mitnicka to ale nemá mít souvislost.)

Poznámka: Názory na to, jakou šanci mají lidé odsouzení na počítačovou trestnou činnost, získat práci na druhé straně barikády, se různí. Bezpečnostní firmy se většinou takové lidi najímat zdráhají. Dnes 49letý Mitnick dostal 15 let, skutečně ve vězení si pobyl mezi roky 1995 až 2000.

Zdroj: Phys.org

Analýza Trustwave SpiderLabs uvádí: kritické loni záplatované chyby v linuxovém jádře byly známy v průměru více než 2 roky. Opravy pro jádro Windows mají vznikat asi dvakrát rychleji – průměrné hodnoty pro oba OS mají být konkrétně 857 a 375 dní. John Yeo, ředitel Trustwave EMEA, uvádí, že je to v důsledku roztříštěného, „distribuovaného“ vývoje Linuxu, kdy často není jasné, kdo by měl být vlastně odpovědný za vývoj opravy. Nicméně z toho těžko něco přímo vyvozovat pro bezpečnost jednotlivých OS; např. variabilita v sestavování Linuxu zase znamená, že chyba neohrožuje plošně. Tolik alespoň Trustwave.

Poznámka: Nejde o samotnou otázku open source vs. proprietární vývoj. Jádra obou OS mají nejdelší dobu oprav, lépe je na tom Cisco iOS, PHP i Wordpress. Studie ještě navíc rozlišuje stranu klienta a serveru. Potíž je v tom, že tak, jak byla analýza koncipována, spadlo do kategorií loni opravených kritických chyb v jádrech velmi málo položek: U Windows CVE-2010-5082 a CVE-2012-0181, u Linuxu CVE-2012-2100 a CVE-2012-2319. Z toho asi těžko dělat nějakou statistiku.

Websense Security Labs uvádí, že meziročně se počet útoků pomocí škodlivých webů zvýšil až o 600 %. Většina (až 85 %) z těchto útoků byla realizována pomocí kompromitace legitimních serverů. Jenom asi 8 % ze zkoumaného takto šířeného malwaru interaguje s registry operačního systému, což ztěžuje detekci na základě behaviorální analýzy. Pouze asi třetina škodlivých odkazů posílaných e-mailem či v sociálních sítích používá zkracování odkazů.

Studie dále uvádí, že 1/10 škodlivých mobilních aplikací vyžaduje od uživatele souhlas s instalací dalších aplikací. Legitimní programy se takto prakticky nechovají. Jenže podíl 10 % je strašně málo na to, aby s mobilním malwarem šlo na tomto základě efektivně bojovat...

Anonymous vyhlásili, že zkusí blokovat streamované video s projevem prezidenta Obamy. Postupovali tak mj. na protest Obamově podpisu na zákonu o kybernetické bezpečnosti, jehož deklarovaným cílem je zvýšit sdílení bezpečnostních informací mezi vládními agenturami a komerční sférou. Podle News.com ale pokusy Anonymous (došlo-li k nim) nepřinesly viditelné výsledky.

Zdroj: Phys.org

Sophos rozšířil svoji nabídku produktů a služeb pro oblast síťové bezpečnosti o tři nová zařízení. Sophos UTM 525 a Sophos UTM 625 jsou systémy určené pro jednotnou správu hrozeb. Třetí zařízení Sophos RED 50 umožňuje nasadit ucelené a centrálně spravované řešení jednotné správy hrozeb na středně velkých firemních pobočkách.

Zdroj: tisková zpráva společnosti Sophos


Komentáře

Luboš Doležel 21. únor 2013 09:06

To číslo u Linuxu je absurdní. Bezpečnostní chyby v jádře se zpravidla opravují ihned a určitě se nečeká dva roky.

Michal Kubeček #2
Michal Kubeček 21. únor 2013 09:44

Ty dva roky nejsou od nalezení chyby, ale od (zpětně zjištěného) momentu, kdy se chyba v kódu objevila. Podíváme-li se místo toho na datum vytvoření (rezervace) toho CVE, už to tak hrozně nevypadá: CVE-2012-2319 založena 19.4., oprava commitnuta 5.5. a stable update vydán 7.5.; CVE-2012-2100 založena 19.4., fix commitnut 10.1. a stable update vydán 25.1 (ano, dříve, než se z toho vůbec stalo CVE).

Kolemjdouci #3
Kolemjdouci 21. únor 2013 14:27

Nedej boze, ze by se nekdo podival na popis tech chyb.
U windows obe: ..allows local users to gain privileges..
U linuxu chyby fs. Jeden se moc nepouziva a u druheho musite pripojit ext4, k cemuz obvykle potrebujete root prava.
Tyhle statistiky jsou k nicemu.

Michal Kubeček #4
Michal Kubeček 21. únor 2013 15:12

Pozor, ona je to sice chyba HFS+, který prakticky nikdo nepoužívá, ale pokud půjde o desktop s automatickým mountováním USB mass storage zařízení (a autodetekcí typu filesystému), tak stačí, aby v jádře byla podpora a je zaděláno na problém.

Na druhou stranu, jedno z těch windowsových CVE je z roku 2010, což je docela zarážející.

Bezejmenný #5
Bezejmenný 23. únor 2013 12:09

Mám dotaz na autora článku: Můžete uvést doslovnou citaci (v angličtině) na které se zakládá informace o době oprav chyb v linuxovém jádře? Ptám se, protože věta "kritické loni záplatované chyby v linuxovém jádře byly známy v průměru více než 2 roky" je absurdní pro každého, kdo je seznámen s vývojovým procesem jádra. Původní report od Trustwave SpiderLabs se mi získat nepodařilo. Článek na ZDNetu to popisuje úplně jinak: "Vulnerabilities in the Linux kernel fixed in 2012 went unpatched for more than two years on average". Vůbec se tam nezmiňuje, že ty chyby byly _známé_ více než dva roky. Doba opravy známé chyby a doba setrvání chyby v jádře jsou úplně jiné statistiky.

AntiFUD #6
AntiFUD 24. únor 2013 18:28

Je to FUD

Petr Klíma #7
Petr Klíma 27. únor 2013 12:57

Není to FUD.

Je to lež, a to zcela vědomá.

U linuxu se doba počítá od doby kdy chyba vznikla (chyba v programování), ale nikdo o ní nevěděl. Oprava byla v řádu dní ...

U windows se doba počítá od doby kdy byla chyba objevena, tzn. ona tam mohla klidně být už od XP. Oprava byla v řádu let ...


RSS 

Komentujeme

Chatbot mluví za mrtvého – od nápadu k realizaci

Pavel Houser , 30. listopad 2016 13:00
Pavel Houser

Na webu The Verge popsala Casey Newton příběh dvou přátel (Eugenia Kuyda a Roman Mazurenko). Peripet...

Více





Kalendář

20. 03.

24. 03.
CeBIT 2017
RSS 

Zprávičky

Nový zákon o výzkumu chystá "blacklist" příjemců i ministerstvo

ČTK , 09. prosinec 2016 16:31

Velké změny ve fungování Grantové a Technologické agentury, novou vědeckou radu ČR i takzvaný "black...

Více 0 komentářů

Fitbit koupil průkopníka chytrých hodinek Pebble

ČTK , 09. prosinec 2016 15:00

Americký výrobce chytrých náramků a hodinek Fitbit koupil software, patenty a další aktiva duševního...

Více 0 komentářů

Američané možná umožní v letadlech telefonování přes wi-fi

ČTK , 09. prosinec 2016 13:00

Aerolinky ve Spojených státech by v budoucnu mohly umožňovat telefonování v letadle s použitím wi-fi...

Více 2 komentářů

Starší zprávičky

Česká pošta od ledna zdraží posílání do zahraničí o pět až 20 Kč

ČTK , 09. prosinec 2016 11:39

Česká pošta od ledna zvýší ceny za posílání listovních zásilek do zahraničí o pět korun, balíky podr...

Více 0 komentářů

Za vzněcováním smartphonu iPhone 6 jsou vnější vlivy, tvrdí Apple

ČTK , 08. prosinec 2016 11:30

Firma Apple odmítla podezření čínských uživatelů svého chytrého telefonu iPhone 6, že za problémy s ...

Více 0 komentářů

Verizon prodá firmě Equinix datová centra za 3,6 miliardy USD

ČTK , 08. prosinec 2016 10:00

Největší americký mobilní operátor Verizon Communications prodá specializované společnosti Equinix 2...

Více 0 komentářů

Tchajwanský Foxconn jedná o rozšíření svých aktivit v USA

ČTK , 07. prosinec 2016 15:00

Tchajwanská společnost Foxconn jedná o rozšíření svých aktivit ve Spojených státech. Oznámila to dne...

Více 0 komentářů