Bezpečnostní přehled: Kolik se platí za exploity na černém trhu

Pavel Houser , 06. červen 2016 12:45 0 komentářů
Bezpečnostní přehled: Kolik se platí za exploity na černém trhu

Bloatware na noteboocích nejen obtěžuje, ale představuje i bezpečnostní rizika. Může soud/policie přinutit člověka k odemčení biometricky chráněného zařízení? Ředitelé bank se někdy o kybernetických incidentech vůbec nedozvědí.

Následuje pravidelný bezpečnostní přehled vytvářený především podle webů ZDNet, CNet, The Register a HelpNet Security.

Notebooky jsou děravé

Analýza Duo Security upozorňuje na to, že notebooky řady výrobců obsahují předinstalované programy (bloatware) s bezpečnostními chybami. Nejenže tyto dodatečně přidávané utility (ať už jde o trial verze, nástroje podpory výrobce nebo různé manuály a aktualizační mechanismy) zpomalují systém, aniž by uživateli reálně něco přinášely, ale ještě k tomu představují bezpečnostní riziko. Platí to pro notebooky Acer, Asus, Dell, HP i Lenovo. Ve všech studovaných zařízeních byl přítomen bloatware s bezpečnostními problémy.

Na přelomu let 2014/2015 se předinstalovaným programům začala věnovat větší pozornost kvůli kauze adwaru Superfish na počítačích Lenovo, šlo však, alespoň dle průzkumu Duo Security, pouze o špičku ledovce.

Co se týče samotných bezpečnostních chyb, nejhorší jsou aktualizátory. V nástrojích všech pěti výše uvedených výrobců (liší se pochopitelně dle modelů, ale třeba i podle regionů) byla objevena vždy alespoň jedna kritická zranitelnost umožňující vzdálené spuštění kódu. Samotné chyby mohou být různé (práce s certifikáty, nastavení TLS...), dalším problémem je, že tyto programy mívají přiřazena vysoká oprávnění.

Aktualizace: Společnost Lenovo sama vyzvala uživatele, aby si kvůli bezpečnostním rizikům odinstalovali Lenovo Accelerator Applications.

Heslo vs. biometrie

Zajímavý problém. Člověk nemůže být (u nás, v USA...) obviněn/potrestán za to, že odmítne dešifrovat svá data. Je to jako kdyby odmítl vypovídat – i když samozřejmě soud k takovému chování může přihlédnout jak při rozhodování o (ne)vině, tak při stanovení výše trestu. K tomu, aby člověk odemkl heslem svůj smartphone, ho však nikdo nemůže nutit.

Jak je to ale při ochraně biometrií? Takový otisk prstu lze odebrat i bez souhlasu vyšetřovaného, nemluvě o vyfotografování oka. Znamená to, že bychom měli biometrickou ochranu považovat za zásadně méně bezpečnou? Nebo by se právo pro oba tyto případy mělo sjednotit?

Trh s exploity

Na systému exploit.in se objevila nabídka zero day exploitu pro Windows od verze 2000 po nejnovější Windows 10. Požadovaná cena je 90 000 dolarů. Vzhledem k tomu, jak údajně funguje příslušný podzemní obchodní systém (peníze zůstávají v úschovně, možná reklamace), bude exploit zřejmě funkční. Přitom samo o sobě chyba prý ani neumožňuje vzdálené spuštění kódu, pouze eskalaci práv, tj. je třeba ji kombinovat s jinými zranitelnostmi. Analytici i firmy platící za reportované zranitelnosti alespoň mají nějaké informace o cenách na nelegálních trzích.

Ransomware i červ v jednom

Microsoft vydal varování před novým ransomwarem Zcrypt. Šíří se pomocí phishingu, maker v dokumentech nebo falešných instalátorů, z napadených systémů pak dále přes síťové disky nebo přenosná média (tj. současně červ, což u ransomwaru je spíše ojedinělé). Požaduje výkupné ekvivalent 500 dolarů v bitcoinech, tato částka postupně roste. Antivirové programy Zcrypt často detekují, samotné šifrování ovšem prolomeno není. Microsoft doporučuje přechod na Windows 10, kde tato infekce údajně nefunguje.

Průzkum KPMG: 12 % výkonných ředitelů (CEO) bank uvádí, že nemají žádné prostředky, jak zjistit, zda v jejich systémech došlo za poslední 2 roky ke kompromitaci kybernetickým útokem. U viceprezidentů a dalších členů vedení (C-úroveň mimo příslušné specializace na IT/bezpečnost) byl tento podíl ovšem ještě vyšší. Šlo o průzkum institucí s hodnotou přes 20 miliard dolarů.

Zranitelnosti a opravy

Google opravil 42 zranitelností v prohlížeči Chrome, nejvyšším stupněm závažnosti bylo označeno 9 z nich. Za report chyb dostali výzkumníci 65 000 dolarů, z toho 30 000 Polák Mariusz Mlynski. Google současně poděkoval těm, kdo na zabezpečení Chrome pracují ještě v průběhu životního cyklu – tak, aby se díry do stabilní verze vůbec nedostaly. Jako velmi přínosné pro odhalování zranitelností byly uvedeny nástroje AddressSanitizer, MemorySanitizer, Control Flow Integrity a LibFuzzer.

Uri Kanonov a Avishai Wool, výzkumníci Tel Aviv University, upozornili na 3 zranitelnosti (CVE-2016-1919, CVE-2016-1920 a CVE-2016-3996) ve starších verzích Android/Knox. I když chyby jsou již opraveny, na řadě starších telefonů se jistě používají neaktualizované verze. Problém má být hlavně ve sdílení služeb Knox a uživatelských aplikací. Nejnovější verze Samsung Knox je dle výzkumníků bezpečnější, ale některé funkce opět nejsou kvůli pohodlí uživatelů implementovány důsledně.

Jak informoval The Register, anonymní tester uvádí, že nalezl 50 bezpečnostních zranitelností typu SQL injection v Oracle eBusiness Suite od verze 11.5 do aktuální 12.2.

CSIRT varuje/oznamuje

Demonstrován byl vzdálený útok na NTP server, který umožnil s pomocí levného zařízení měnit čas. Problém se týká stratum 1 NTP serverů, které jsou řízené pomocí rádiových signálů.

Ze světa firem

Výzkumníci společnosti Check Point objevili 2 zranitelnosti, které mohou být zneužity ke změně oprávnění a vzdáleným útokům (manipulace se SMS zprávami) na mobilní zařízení LG. Výrobce již vydal pro obě chyby opravu. (Zdroj: tisková zpráva společnosti CheckPoint)

Objeveny byly podvodné domény, v nichž se nabízejí falešné vstupenky na olympiádu v Rio de Janiero. Některé tyto weby přitom využívají i (levné) SSL certifikáty, doprovází je i spamová kampaň. (Zdroj: tisková zpráva společnosti Kaspersky Lab)

Společnost HP představila nový software, který dle dodavatele nabízí vylepšení bezpečnosti, mobility a výkonnosti tiskového řešení. HP Access Control Secure Pull Print nabízí autentifikační možnosti softwaru HP Acces Control jako samostatnou aplikaci, veškeré nástroje pro monitoring a zabezpečení tisku z mobilních zařízení lze řídit stejným způsobem jako u tisku z PC. HP Access Control 15.2 umožňuje řízení tisku napříč celou IT infrastrukturou bez ohledu na množství domén. (Zdroj: tisková zpráva společnosti)

Psali jsme na ITBiz.cz

Na téma zabezpečení na ITBiz viz také:

Symantec: KLDR možná stojí za hackerskými útoky na banky v Asii: Při útocích byl totiž použit podobný malware jako v případě Sony. Podle Symantecu by šlo o první případ, kdy jsou „státní“ útoky prostě krádeží peněz z cizích účtů.

Hackeři útočili. Kvůli zákonu umožňujícímu cenzuru českého internetu


Komentáře


RSS 

Komentujeme

Zákaznické karty čekají změny

Pavel Houser , 17. leden 2017 13:00
Pavel Houser

Jedna z technologií, která se už po léta prakticky nezměnila, i když by mohla? Prý karty zákazníků d...

Více





Kalendář

06. 02.

07. 02.
konference G2B TechEd
15. 02. IDC Predictions 2017
18. 02. WordCamp Praha 2017
RSS 

Zprávičky

Policie odložila prověřování IT na ministerstvu zemědělství

ČTK , 24. leden 2017 17:00

Policisté přestali zkoumat okolnosti, za jakých ministerstvo zemědělství nakupovalo v letech 2005 až...

Více 0 komentářů

Výrobce obrazovek LG Display vykázal ve čtvrtletí rekordní zisk

ČTK , 24. leden 2017 13:00

Jihokorejskému výrobci obrazovek LG Display vzrostl ve čtvrtém čtvrtletí provozní zisk na rekordních...

Více 0 komentářů

Čtvrtletní zisk Samsungu se díky čipům více než zdvojnásobil

ČTK , 24. leden 2017 11:00

Zisk jihokorejského výrobce elektroniky Samsung Electronics se ve čtvrtém čtvrtletí více než zdvojná...

Více 0 komentářů

Starší zprávičky

Rockaway získala minoritní podíl v Techloop.io

ČTK , 23. leden 2017 16:30

Investiční firma Rockaway Ventures získala minoritní podíl ve firmě Techloop.io, která zprostředkov...

Více 0 komentářů

Za vznícení mobilů Samsungu mohly baterie, firma odloží Galaxy S8

ČTK , 23. leden 2017 12:00

Za případy vznícení chytrých telefonů Galaxy Note 7 jihokorejské společnosti Samsung Electronics stá...

Více 0 komentářů

Foxconn zvažuje velkou investici do továrny v USA

ČTK , 23. leden 2017 08:29

Tchajwanská společnost Foxconn zvažuje, že investuje přes sedm miliard dolarů (zhruba 177 miliard Kč...

Více 0 komentářů

ČTÚ pohrozil O2 a Vodafonu odebráním licencí na LTE kvůli cenám

ČTK , 22. leden 2017 14:00

Český telekomunikační úřad (ČTÚ) znovu vyzval operátory O2 a Vodafone, aby do měsíce snížili velkoob...

Více 1 komentářů