Bezpečnostní přehled: Kolik se platí za exploity na černém trhu
Bloatware na noteboocích nejen obtěžuje, ale představuje i bezpečnostní rizika. Může soud/policie přinutit člověka k odemčení biometricky chráněného zařízení? Ředitelé bank se někdy o kybernetických incidentech vůbec nedozvědí.
Následuje pravidelný bezpečnostní přehled vytvářený především podle webů ZDNet, CNet, The Register a HelpNet Security.
Notebooky jsou děravé
Analýza Duo Security upozorňuje na to, že notebooky řady výrobců obsahují předinstalované programy (bloatware) s bezpečnostními chybami. Nejenže tyto dodatečně přidávané utility (ať už jde o trial verze, nástroje podpory výrobce nebo různé manuály a aktualizační mechanismy) zpomalují systém, aniž by uživateli reálně něco přinášely, ale ještě k tomu představují bezpečnostní riziko. Platí to pro notebooky Acer, Asus, Dell, HP i Lenovo. Ve všech studovaných zařízeních byl přítomen bloatware s bezpečnostními problémy.
Na přelomu let 2014/2015 se předinstalovaným programům začala věnovat větší pozornost kvůli kauze adwaru Superfish na počítačích Lenovo, šlo však, alespoň dle průzkumu Duo Security, pouze o špičku ledovce.
Co se týče samotných bezpečnostních chyb, nejhorší jsou aktualizátory. V nástrojích všech pěti výše uvedených výrobců (liší se pochopitelně dle modelů, ale třeba i podle regionů) byla objevena vždy alespoň jedna kritická zranitelnost umožňující vzdálené spuštění kódu. Samotné chyby mohou být různé (práce s certifikáty, nastavení TLS...), dalším problémem je, že tyto programy mívají přiřazena vysoká oprávnění.
Aktualizace: Společnost Lenovo sama vyzvala uživatele, aby si kvůli bezpečnostním rizikům odinstalovali Lenovo Accelerator Applications.
Heslo vs. biometrie
Zajímavý problém. Člověk nemůže být (u nás, v USA...) obviněn/potrestán za to, že odmítne dešifrovat svá data. Je to jako kdyby odmítl vypovídat – i když samozřejmě soud k takovému chování může přihlédnout jak při rozhodování o (ne)vině, tak při stanovení výše trestu. K tomu, aby člověk odemkl heslem svůj smartphone, ho však nikdo nemůže nutit.
Jak je to ale při ochraně biometrií? Takový otisk prstu lze odebrat i bez souhlasu vyšetřovaného, nemluvě o vyfotografování oka. Znamená to, že bychom měli biometrickou ochranu považovat za zásadně méně bezpečnou? Nebo by se právo pro oba tyto případy mělo sjednotit?
Trh s exploity
Na systému exploit.in se objevila nabídka zero day exploitu pro Windows od verze 2000 po nejnovější Windows 10. Požadovaná cena je 90 000 dolarů. Vzhledem k tomu, jak údajně funguje příslušný podzemní obchodní systém (peníze zůstávají v úschovně, možná reklamace), bude exploit zřejmě funkční. Přitom samo o sobě chyba prý ani neumožňuje vzdálené spuštění kódu, pouze eskalaci práv, tj. je třeba ji kombinovat s jinými zranitelnostmi. Analytici i firmy platící za reportované zranitelnosti alespoň mají nějaké informace o cenách na nelegálních trzích.
Ransomware i červ v jednom
Microsoft vydal varování před novým ransomwarem Zcrypt. Šíří se pomocí phishingu, maker v dokumentech nebo falešných instalátorů, z napadených systémů pak dále přes síťové disky nebo přenosná média (tj. současně červ, což u ransomwaru je spíše ojedinělé). Požaduje výkupné ekvivalent 500 dolarů v bitcoinech, tato částka postupně roste. Antivirové programy Zcrypt často detekují, samotné šifrování ovšem prolomeno není. Microsoft doporučuje přechod na Windows 10, kde tato infekce údajně nefunguje.
Průzkum KPMG: 12 % výkonných ředitelů (CEO) bank uvádí, že nemají žádné prostředky, jak zjistit, zda v jejich systémech došlo za poslední 2 roky ke kompromitaci kybernetickým útokem. U viceprezidentů a dalších členů vedení (C-úroveň mimo příslušné specializace na IT/bezpečnost) byl tento podíl ovšem ještě vyšší. Šlo o průzkum institucí s hodnotou přes 20 miliard dolarů.
Zranitelnosti a opravy
Google opravil 42 zranitelností v prohlížeči Chrome, nejvyšším stupněm závažnosti bylo označeno 9 z nich. Za report chyb dostali výzkumníci 65 000 dolarů, z toho 30 000 Polák Mariusz Mlynski. Google současně poděkoval těm, kdo na zabezpečení Chrome pracují ještě v průběhu životního cyklu – tak, aby se díry do stabilní verze vůbec nedostaly. Jako velmi přínosné pro odhalování zranitelností byly uvedeny nástroje AddressSanitizer, MemorySanitizer, Control Flow Integrity a LibFuzzer.
Uri Kanonov a Avishai Wool, výzkumníci Tel Aviv University, upozornili na 3 zranitelnosti (CVE-2016-1919, CVE-2016-1920 a CVE-2016-3996) ve starších verzích Android/Knox. I když chyby jsou již opraveny, na řadě starších telefonů se jistě používají neaktualizované verze. Problém má být hlavně ve sdílení služeb Knox a uživatelských aplikací. Nejnovější verze Samsung Knox je dle výzkumníků bezpečnější, ale některé funkce opět nejsou kvůli pohodlí uživatelů implementovány důsledně.
Jak informoval The Register, anonymní tester uvádí, že nalezl 50 bezpečnostních zranitelností typu SQL injection v Oracle eBusiness Suite od verze 11.5 do aktuální 12.2.
CSIRT varuje/oznamuje
Demonstrován byl vzdálený útok na NTP server, který umožnil s pomocí levného zařízení měnit čas. Problém se týká stratum 1 NTP serverů, které jsou řízené pomocí rádiových signálů.
Ze světa firem
Výzkumníci společnosti Check Point objevili 2 zranitelnosti, které mohou být zneužity ke změně oprávnění a vzdáleným útokům (manipulace se SMS zprávami) na mobilní zařízení LG. Výrobce již vydal pro obě chyby opravu. (Zdroj: tisková zpráva společnosti CheckPoint)
Objeveny byly podvodné domény, v nichž se nabízejí falešné vstupenky na olympiádu v Rio de Janiero. Některé tyto weby přitom využívají i (levné) SSL certifikáty, doprovází je i spamová kampaň. (Zdroj: tisková zpráva společnosti Kaspersky Lab)
Společnost HP představila nový software, který dle dodavatele nabízí vylepšení bezpečnosti, mobility a výkonnosti tiskového řešení. HP Access Control Secure Pull Print nabízí autentifikační možnosti softwaru HP Acces Control jako samostatnou aplikaci, veškeré nástroje pro monitoring a zabezpečení tisku z mobilních zařízení lze řídit stejným způsobem jako u tisku z PC. HP Access Control 15.2 umožňuje řízení tisku napříč celou IT infrastrukturou bez ohledu na množství domén. (Zdroj: tisková zpráva společnosti)
Psali jsme na ITBiz.cz
Na téma zabezpečení na ITBiz viz také:
Symantec: KLDR možná stojí za hackerskými útoky na banky v Asii: Při útocích byl totiž použit podobný malware jako v případě Sony. Podle Symantecu by šlo o první případ, kdy jsou „státní“ útoky prostě krádeží peněz z cizích účtů.
Hackeři útočili. Kvůli zákonu umožňujícímu cenzuru českého internetu
