Bezpečnostní přehled: Kolik se platí za exploity na černém trhu

Pavel Houser , 06. červen 2016 12:45 0 komentářů
Bezpečnostní přehled: Kolik se platí za exploity na černém trhu

Bloatware na noteboocích nejen obtěžuje, ale představuje i bezpečnostní rizika. Může soud/policie přinutit člověka k odemčení biometricky chráněného zařízení? Ředitelé bank se někdy o kybernetických incidentech vůbec nedozvědí.

Následuje pravidelný bezpečnostní přehled vytvářený především podle webů ZDNet, CNet, The Register a HelpNet Security.

Notebooky jsou děravé

Analýza Duo Security upozorňuje na to, že notebooky řady výrobců obsahují předinstalované programy (bloatware) s bezpečnostními chybami. Nejenže tyto dodatečně přidávané utility (ať už jde o trial verze, nástroje podpory výrobce nebo různé manuály a aktualizační mechanismy) zpomalují systém, aniž by uživateli reálně něco přinášely, ale ještě k tomu představují bezpečnostní riziko. Platí to pro notebooky Acer, Asus, Dell, HP i Lenovo. Ve všech studovaných zařízeních byl přítomen bloatware s bezpečnostními problémy.

Na přelomu let 2014/2015 se předinstalovaným programům začala věnovat větší pozornost kvůli kauze adwaru Superfish na počítačích Lenovo, šlo však, alespoň dle průzkumu Duo Security, pouze o špičku ledovce.

Co se týče samotných bezpečnostních chyb, nejhorší jsou aktualizátory. V nástrojích všech pěti výše uvedených výrobců (liší se pochopitelně dle modelů, ale třeba i podle regionů) byla objevena vždy alespoň jedna kritická zranitelnost umožňující vzdálené spuštění kódu. Samotné chyby mohou být různé (práce s certifikáty, nastavení TLS...), dalším problémem je, že tyto programy mívají přiřazena vysoká oprávnění.

Aktualizace: Společnost Lenovo sama vyzvala uživatele, aby si kvůli bezpečnostním rizikům odinstalovali Lenovo Accelerator Applications.

Heslo vs. biometrie

Zajímavý problém. Člověk nemůže být (u nás, v USA...) obviněn/potrestán za to, že odmítne dešifrovat svá data. Je to jako kdyby odmítl vypovídat – i když samozřejmě soud k takovému chování může přihlédnout jak při rozhodování o (ne)vině, tak při stanovení výše trestu. K tomu, aby člověk odemkl heslem svůj smartphone, ho však nikdo nemůže nutit.

Jak je to ale při ochraně biometrií? Takový otisk prstu lze odebrat i bez souhlasu vyšetřovaného, nemluvě o vyfotografování oka. Znamená to, že bychom měli biometrickou ochranu považovat za zásadně méně bezpečnou? Nebo by se právo pro oba tyto případy mělo sjednotit?

Trh s exploity

Na systému exploit.in se objevila nabídka zero day exploitu pro Windows od verze 2000 po nejnovější Windows 10. Požadovaná cena je 90 000 dolarů. Vzhledem k tomu, jak údajně funguje příslušný podzemní obchodní systém (peníze zůstávají v úschovně, možná reklamace), bude exploit zřejmě funkční. Přitom samo o sobě chyba prý ani neumožňuje vzdálené spuštění kódu, pouze eskalaci práv, tj. je třeba ji kombinovat s jinými zranitelnostmi. Analytici i firmy platící za reportované zranitelnosti alespoň mají nějaké informace o cenách na nelegálních trzích.

Ransomware i červ v jednom

Microsoft vydal varování před novým ransomwarem Zcrypt. Šíří se pomocí phishingu, maker v dokumentech nebo falešných instalátorů, z napadených systémů pak dále přes síťové disky nebo přenosná média (tj. současně červ, což u ransomwaru je spíše ojedinělé). Požaduje výkupné ekvivalent 500 dolarů v bitcoinech, tato částka postupně roste. Antivirové programy Zcrypt často detekují, samotné šifrování ovšem prolomeno není. Microsoft doporučuje přechod na Windows 10, kde tato infekce údajně nefunguje.

Průzkum KPMG: 12 % výkonných ředitelů (CEO) bank uvádí, že nemají žádné prostředky, jak zjistit, zda v jejich systémech došlo za poslední 2 roky ke kompromitaci kybernetickým útokem. U viceprezidentů a dalších členů vedení (C-úroveň mimo příslušné specializace na IT/bezpečnost) byl tento podíl ovšem ještě vyšší. Šlo o průzkum institucí s hodnotou přes 20 miliard dolarů.

Zranitelnosti a opravy

Google opravil 42 zranitelností v prohlížeči Chrome, nejvyšším stupněm závažnosti bylo označeno 9 z nich. Za report chyb dostali výzkumníci 65 000 dolarů, z toho 30 000 Polák Mariusz Mlynski. Google současně poděkoval těm, kdo na zabezpečení Chrome pracují ještě v průběhu životního cyklu – tak, aby se díry do stabilní verze vůbec nedostaly. Jako velmi přínosné pro odhalování zranitelností byly uvedeny nástroje AddressSanitizer, MemorySanitizer, Control Flow Integrity a LibFuzzer.

Uri Kanonov a Avishai Wool, výzkumníci Tel Aviv University, upozornili na 3 zranitelnosti (CVE-2016-1919, CVE-2016-1920 a CVE-2016-3996) ve starších verzích Android/Knox. I když chyby jsou již opraveny, na řadě starších telefonů se jistě používají neaktualizované verze. Problém má být hlavně ve sdílení služeb Knox a uživatelských aplikací. Nejnovější verze Samsung Knox je dle výzkumníků bezpečnější, ale některé funkce opět nejsou kvůli pohodlí uživatelů implementovány důsledně.

Jak informoval The Register, anonymní tester uvádí, že nalezl 50 bezpečnostních zranitelností typu SQL injection v Oracle eBusiness Suite od verze 11.5 do aktuální 12.2.

CSIRT varuje/oznamuje

Demonstrován byl vzdálený útok na NTP server, který umožnil s pomocí levného zařízení měnit čas. Problém se týká stratum 1 NTP serverů, které jsou řízené pomocí rádiových signálů.

Ze světa firem

Výzkumníci společnosti Check Point objevili 2 zranitelnosti, které mohou být zneužity ke změně oprávnění a vzdáleným útokům (manipulace se SMS zprávami) na mobilní zařízení LG. Výrobce již vydal pro obě chyby opravu. (Zdroj: tisková zpráva společnosti CheckPoint)

Objeveny byly podvodné domény, v nichž se nabízejí falešné vstupenky na olympiádu v Rio de Janiero. Některé tyto weby přitom využívají i (levné) SSL certifikáty, doprovází je i spamová kampaň. (Zdroj: tisková zpráva společnosti Kaspersky Lab)

Společnost HP představila nový software, který dle dodavatele nabízí vylepšení bezpečnosti, mobility a výkonnosti tiskového řešení. HP Access Control Secure Pull Print nabízí autentifikační možnosti softwaru HP Acces Control jako samostatnou aplikaci, veškeré nástroje pro monitoring a zabezpečení tisku z mobilních zařízení lze řídit stejným způsobem jako u tisku z PC. HP Access Control 15.2 umožňuje řízení tisku napříč celou IT infrastrukturou bez ohledu na množství domén. (Zdroj: tisková zpráva společnosti)

Psali jsme na ITBiz.cz

Na téma zabezpečení na ITBiz viz také:

Symantec: KLDR možná stojí za hackerskými útoky na banky v Asii: Při útocích byl totiž použit podobný malware jako v případě Sony. Podle Symantecu by šlo o první případ, kdy jsou „státní“ útoky prostě krádeží peněz z cizích účtů.

Hackeři útočili. Kvůli zákonu umožňujícímu cenzuru českého internetu


Komentáře


RSS 

Komentujeme

Chatbot mluví za mrtvého – od nápadu k realizaci

Pavel Houser , 30. listopad 2016 13:00
Pavel Houser

Na webu The Verge popsala Casey Newton příběh dvou přátel (Eugenia Kuyda a Roman Mazurenko). Peripet...

Více





Kalendář


RSS 

Zprávičky

Telefony Nokia se příští rok vrátí na trh

ČTK , 02. prosinec 2016 10:30

Chytré telefony se značkou Nokia se objeví zpátky na trhu v příštím roce. Finská společnost Nokia dn...

Více 2 komentářů

CETIN nabídne příští rok operátorům připojení až 250 Mbit/s

ČTK , 01. prosinec 2016 17:00

Společnost Česká telekomunikační infrastruktura (CETIN) zvýší od května příštího roku rychlost inter...

Více 0 komentářů

Akcie Samsungu stouply na nový rekord

ČTK , 01. prosinec 2016 12:00

Akcie jihokorejské společnosti Samsung Electronics dnes stouply o více než čtyři procenta na nový re...

Více 0 komentářů

Starší zprávičky

FBI bude moci s povolením soudu pronikat do jakýchkoli počítačů

ČTK , 01. prosinec 2016 10:30

V americkém Senátu dnes selhal poslední pokus o zablokování rozšířených policejních pravomocí, které...

Více 2 komentářů

Gartner:Prodej tabletů v ČR letos klesne o osm procent na 1,1 mil

ČTK , 30. listopad 2016 14:00

Zájem o tablety letos dále klesá. Prodej tabletů a hybridních notebooků na českém trhu se letos sníž...

Více 0 komentářů

Grafen opracovaný laserem

Pavel Houser , 30. listopad 2016 11:00

Na Iowa State University přišli s další metodou pro tištění grafenových součástek. V tomto případě j...

Více 0 komentářů

GFI Software přichází s beta verzí pokročilé cloudové ochrany e-mailu

Petr Velecký , 29. listopad 2016 18:00

Beta verzi své nejnovější cloudové platformy pro zajištění bezpečnosti a kontinuity provozu podnikov...

Více 0 komentářů