Bezpečnostní přehled: Kampaň Rocket Kitten

Pavel Houser , 30. březen 2015 07:00 0 komentářů
Bezpečnostní přehled: Kampaň Rocket Kitten

Bankovní malware Zeus má bratra - PoSeidon krade údaje o kartách z platebních terminálů. Firmy si vyvíjejí vlastní mobilní aplikace příliš rychle, výsledkem jsou zranitelnosti. Skončila letošní soutěž Pwn2Own. Čeští zaměstnanci používají soukromé e-maily pro práci více než jinde v Evropě. Následuje pravidelný bezpečnostní přehled vytvářený především podle webů ZDNet, CNet, The Register a HelpNet Security.

Spěch je špatný rádce

Průzkum Ponemon Institute a IBM X-Force ukázal, že až 40 % ze zkoumaných velkých firem (včetně těch z žebříků Fortune apod.) má nedostatečně zabezpečené své vlastní mobilní aplikace. Až třetina z těchto firem mobilní aplikace, které si vyvinuly a nasadily, prakticky vůbec netestovala. Hlavní příčinou problému je spěch s vývojem a nasazením.

Studie dále zjistila rozšířené potíže se zabezpečením koncových zařízení (nejen v souvislosti s trendem BYOD, ale i firemních mobilů), k tomu často neexistují funkční systémy řízení dat, které by zabránily kritická data na taková zařízení kopírovat apod. Navíc používání mobilních zařízení v nezabezpečených Wi-Fi sítích hrozí i ztrátou přístupových údajů a otevřením brány do zbytku firemní sítě.

Zeus a PoSeidon

Cisco uvádí, že byl objeven nový malware označovaný jako PoSeidon. Je to nástroj pro bankovní podvody, vychází z předchozího kódu Zeus, cílí nicméně na pokladní terminály (Point of Sale, POS). Zeus je zde kombinován s nástrojem BlackPOS, který řádil hlavně v roce 2013. Uvádí se, že malware umí při transakci odečítat pouze informace o kartě s magnetickým proužkem, zabezpečení EMV prolomit nedokáže. Keylogger a další nástroje se při transakci snaží kromě odečtu PINu z paměti terminálu vytáhnout i číslo karty, PoSeidon si ho pak kontroluje podle Luhnova algoritmu. Čísla karet, která jsou uznána jako možná, se teprve odesílají na řídicí servery někde v ruských doménách.

Makra stále hrozí

Trend Micro upozorňuje na sérii útoků Rocket Kitten, která zasáhla Evropu a Izrael. Cílem se staly zejména vládní a akademické instituce a firmy z IT průmyslu. Použitými prostředky byly dokumenty v MS Office, které uživatele vyzývaly k povolení maker (tzv. kampaň Ghole). Sofistikovanější verze útoků (kampaň Woollen-GoldFish) pracovala i se sociálním inženýrstvím a zneužíváním cloudových úložišť. Volba cílů svědčí podle Trend Micro o tom, že za útokem by mohl stát Írán.

Skončila Pwn2Own

Na soutěži Pwn2Own byl nakonec prolomen i Chrome. Nejúspěšnějším účastníkem akce byl jihokorejský bezpečnostní výzkumník Jung Hoon Lee, který si přišel celkem na 225 000 dolarů (a notebooky použité při demonstracích, to už byly ovšem relativně jen drobné). K průlomu Chrome došlo kvůli chybě s přetečením zásobníku, bylo třeba ještě přidat chybu umožňující eskalaci uživatelských práv ve Windows.

Velmi rychle zareagovala Mozilla, zranitelnosti Firefoxu demonstrované na Pwn2Own jsou již opraveny. Viz předešlý bezpečnostní přehled: Neobstál Internet Explorer, Firefox ani Flash Player

Srovnání prohlížečů

Studie Secunia Vulnerability Review uvádí, že na sledovaných počítačích bylo zjištěno více zranitelností v Chrome než v Internet Exploreru a Firefoxu. Analýza je založena na údajích, které poskytuje nástroj pro správu aktualizací Personal Software Inspector. (Poznámka: Jak se v tom přesně vyznat? Vzhledem k tomu, že Chrome se vesměs aktualizuje bez interakce uživatele, měly by záplaty naopak být nasazovány nejspolehlivěji...? Jinak žebříček nijak nehodnotí chyby dle jejich závažnosti. Secunia Personal Software Inspector je zdarma pro osobní použití, uživatelé představují dost speciální segment.) Viz také: Comguard zařadil do produktové nabídky značku Secunia

Yoast SEO, plug-in pro WordPress, obsahoval další bezpečnostní chybu (XSS). Záplata již je k dispozici.

Alexander Polyakov stáhl svou prezentaci plánovanou na konferenci BlackHat, která měla být věnována bezpečnostní zranitelnosti v SAP Afaira, tedy řešení pro správu podnikových mobilních zařízení. Polyakov uvedl, že chyby se nepodařilo včas opravit, přičemž pravidla konference neumožňují v takovém případě zveřejnit informace, které by útočníci mohli zneužít. Základním problémem má být možnost zvyšovat uživatelská oprávnění a dále triky, jimiž útočníci uživatele přimějí k návštěvě podvodných serverů.

Cisco vydalo záplaty pro systém iOS. Chyby umožňovaly útoky DoS na postižené zařízení, útočníci se eventuálně mohli pokusit k nim získat i omezený přístup. Konkrétně byly zranitelné funkce Autonomic Network Infrastructure, která je určena pro správu přepínačů a směrovačů podporujících IPv6.

CSIRT.CZ varuje

Chyba CVE-2011-2461 zůstává zneužitelná i po čtyři roky staré záplatě. Problém se týká souborů Shockwave Flash kompilovaných s pomocí vývojářského kitu Flex.

Byla objevena zranitelnost IP telefonů řady Cisco Small Business SPA300 a SPA500 ve verzi 7.5.5 a novějších. Útočníci mohou vzdáleně odposlouchávat hovory z postiženého telefonu nebo z něj vzdáleně vést vlastní hovory. Zdroj: Národní centrum kybernetické bezpečnosti

Ze světa firem

39 % zaměstnanců českých malých a středně velkých firem si práci, kterou vykonávají doma, zasílají přes soukromý e-mail, samozřejmě v nezašifrované podobě. Bezpečné nástroje na sdílení dokumentů využívá jen necelá třetina z nich; ve firmách jsou podporovány mnohem častěji, ale lidé je ignorují nebo využívají vedle e-mailu. Nadřízení o potenciálně rizikovém chování zaměstnanců většinou vědí a vše rovněž ignorují. Situace v ČR se podle výsledků průzkumu přitom prý liší od většiny evropských zemí, kde je využívání soukromých e-mailových účtů pro pracovní účely mnohem omezenější. Zdroj: tisková zpráva společnosti Microsoft

Společnost Principal engineering zahajuje spolupráci s francouzskou výzkumnou laboratoří QuarksLab. Služby QuarksLabu zahrnují ofenzivní bezpečnost, jako jsou testy spolehlivosti obrany a detekce průniků. V praxi se například jedná se o simulované útoky na elektronická bankovnictví, platební karty, mobilní platební aplikace, e-shopy, služby e-governmentu apod. Zdroj: tisková zpráva společnosti QuarksLab

Check Point představil nový celosvětový partnerský program. Zdroj: tisková zpráva společnosti Check Point Software Technologies

Představen byl DDoS Defender, systém pro automatickou detekci a zastavení hrozeb typu Distributed Denial of Service, který je určen pro ochranu infrastruktury poskytovatelů internetu a jejich zákazníků. Podle dodavatele toto řešení na bázi toků (NetFlow) umožňuje analyzovat provoz a detekovat probíhající útok i na nejrychlejších 100Gb/s sítích. Zdroj: tisková zpráva společnosti Invea-Tech

Psali jsme na ITBiz

Na téma bezpečnosti na ITBiz viz také:


Komentáře

RSS 

Komentujeme

Skutečně software pohltí svět?

Pavel Houser , 22. duben 2017 14:00
Pavel Houser

Výrok, podle něhož má software pojídat svět, jako první použil (zřejmě) Marc Andreessen v roce 2011 ...

Více





RSS 

Zprávičky

FabLab: brněnská dílna pro start-upy i technické nadšence

Pavel Houser , 23. duben 2017 09:00

3D dílna nabízí např. laserovou řezačku, 3D tiskárny a 3D skener. FabLab Brno je součástí celosvětov...

Více 0 komentářů

3 % Čechů již byla okradena při platbách online

Pavel Houser , 22. duben 2017 12:00

Ve většině případů šlo o částku do 5 000 Kč....

Více 0 komentářů

Senát zrušil plošné výjimky ze zveřejňování smluv v registru

ČTK , 22. duben 2017 10:00

Senát dnes schválil zrušení plošných výjimek ze zveřejňování smluv v jejich registru. Postavil se dn...

Více 0 komentářů

Starší zprávičky

Polovina českých měst prý uvažuje o využití IoT

ITBiz.cz , 21. duben 2017 14:00

Sedm procent českých měst a obcí už využívá internet věcí (IoT) pro efektivnější samosprávu, nejčast...

Více 0 komentářů

Asociace slovenských operátorů je proti vyřazení českých stanic

ČTK , 21. duben 2017 13:00

Za přehnaný označila asociace sdružující slovenské kabelové operátory (APKT) požadavek tamní soukrom...

Více 0 komentářů

Yoga A12, nový tablet do firem

Pavel Houser , 21. duben 2017 10:00

Společnost Lenovo představila další přírůstek do své rodiny zařízení s operačním systémem Android. ...

Více 0 komentářů

Policie eviduje sebepoškozování kvůli internetové hře

ČTK , 21. duben 2017 07:00

Policie zaznamenala několik případů sebepoškození pořezáním v rámci internetové hry Modrá velryba. N...

Více 2 komentářů