Bezpečnostní přehled: Kolik zero day chyb mají v trezorech tajné služby

Opravy Microsoftu včetně problému Secure Boot. Jak je s bezpečnostními riziky jednotlivých komponent SAP. Exodus Intelligence přeplácí v odměnách za zranitelnosti Apple i Google. Prognózy vývoje trhu: Jak to bude s poptávkou po firewallech ve světě cloudu a budoucnost systémů DLP.
Následuje pravidelný bezpečnostní přehled vytvářený především podle webů ZDNet, CNet, The Register a HelpNet Security.

Srpnové aktualizace Microsoftu a Adobe

Srpnové záplaty Microsoftu: opraveno bylo 38 zranitelností, mj. v prohlížečích Ege a Internet Explorer, v MS Office a ve Windows – zde chyba umožňuje útočníkům obejít řízení bootování (secure boot/UEFI).

Záplaty MS16-095 a MS16-096 představují kritické aktualizace pro Internet Explorer a Edge; ke vzdálenému spuštění kódu může dojít už při návštěvě podvodného webu.
Záplata MS16-100 umožňuje komukoliv s oprávněním administrátora nebo s fyzickým přístupem k zařízení obcházet ochranu spouštění operačního systému, bootovat libovolný operační systém, ale především do systému přidávat bootkity/rootkity. Reálně to znamená ohrožení především pro uživatele tabletů s Windows RT – zařízení bez aktualizace de facto nejdou bezpečně zamknout.

Záplata MS16-100 pak řeší problém, kdy při zpracování speciálně upraveného souboru PDF mohlo dojít ke spuštění kódu.

MS16-099 je oprava porušení paměti při otevření škodlivých dokumentů v MS Office, opět může dojít ke spuštění kódu. Opravy se týkají i verze MS Office pro Mac OS.
Medializována byla zejména otázka secure boot. Už v červenci byla pro tento problém určena záplata MS16-064, otázkou je, zda problém má vůbec nějaké úplné řešení. Na druhé straně podle jiných komentátorů o nic zásadního nejde, protože zneužití vyžaduje fyzický přístup k zařízení a ani pak není triviální.

Adobe v rámci srpnových záplat nevydala žádné opravy pro přehrávač Flash Player ani pro Acrobat/Reader.

Bezpečnostní služby podle Gartnera

Poptávka po bezpečnostních službách jako důsledek nedostatku odborníků
Prognóza vývoje IT bezpečnosti podle Gartneru:

• Výdaje na bezpečnost se budou stále více přesouvat směrem ke službám, zejména v důsledku nedostatku vhodných odborníků na pracovním trhu. Objevují se služby jako řízená detekce a odražení útoků (MDR), stále více poskytovatelů MDR se zaměřuje také na středně velké organizace.

• Průměrná prodejní cena firewallů poroste v následujících dvou letech o 2-3 % ročně. Souvisí to zejména s vyšší poptávkou po špičkových modelech ze strany poskytovatelů cloudových i jiných služeb. Postupně kvůli stále většímu podílu IT v cloudu ale začne oslabovat poptávka po firewallech od samotných podniků.

• Do roku 2018 nasadí 90 % organizací (tedy o polovinu více než dnes) alespoň jeden typ integrovaného řešení typu DLP (prevence úniku dat). Zdaleka nepůjde už jen o reakci na legislativní/regulační požadavky. (Zdroj: tisková zpráva společnosti Gartner)

Imperva hledá kupce?

Bezpečnostní společnost Imperva nedosáhla očekávaných výsledků (příjmy za druhé čtvrtletí asi 60 milionů dolarů, ztráta 25 milionů) a významní akcionáři navrhují soustředit se na prodej firmy. Imperva byla založena v Izraeli a nabízí webové aplikační firewally nebo nástroje proti útokům DDoS. Mezi možnými kupci zmiňuje The Register Cisco, IBM, Symantec nebo Raytheon. Produkty Imperva by dobře zapadly do portfolia Cisca. Letos se už jedna obří akvizice v oblasti IT bezpečnosti odehrála, když Symantec koupil za 4,65 miliard dolarů Blue Coat.

Bezpečnost různých komponent a oborových implementací SAP se liší

Společnost ERPScan vydala další analýzu zabezpečení systémů SAP. Nejzranitelnějšími částmi těchto systémů z hlediska množství zranitelností mají být moduly CRM (řízení vztahů se zákazníky), SRM (řízení vztahů s dodavateli) a EP (podnikový portál). Co se týče jednotlivých oborových řešení SAP, nejvíce problémů mají systémy pro banky, maloobchod, automobilový průmysl, rozvodné sítě a správu reklamy. Problémem také je, že cloudové a mobilní technologie způsobují, že stále více systémů SAP je plně přístupných přes Internet. V rámci průzkumu se podařilo identifikovat celosvětově více než 36 000 systémů SAP, z toho 69 % bylo takto plně přístupných. Množství záplat, které SAP uvolnil za rok, sice meziročně pokleslo, ale z toho těžko dělat konkrétnější závěry, protože jedna oprava nyní často pokrývá více zranitelností.

Nedestruktivní ochrana proti dronům

Airbus spolu s kalifornským start-upem Dedron vyvíjejí a nabízejí systém, který by měl prostor chránit před drony. Pomocí kamer, radarů a dalších senzorů lze dron detekovat na 10 km; systém poté přeruší jeho komunikaci se základnou (přitom se má rušit pouze toto a ostatní části pásma zůstat nedotčené). Služba se nabízí jako ochrana letišť nebo např. proti pašování, špionáži a terorismu. Odhalení a zneškodnění dronu je v tomto případě nedestruktivní. Stroj po přerušení komunikace udělá to, co má nastavené v programu pro případ poruchy – typicky se vrátí na základnu nebo se pokusí přistát.

Kolik se platí za opravy, nový program Applu

Microsoft má speciální nový program pro placení za zranitelnosti v prohlížeči Edge. Za chyby umožňující vzdálené spuštění kódu bude Microsoft vyplácet autorům 500 až 1500 dolarů, odměny se mají týkat i testovacích verzí prohlížeče. Projekt bude fungovat do května příštího roku.

Apple má oznámil nový program plateb za bezpečnostní zranitelnosti na konferenci Black Hat. Největší nabízená částka 200 000 dolarů se bude týkat chyb spojených s funkcemi secure boot, druhé maximum 100 000 dolarů pak může být vyplaceno za zranitelnosti v bezpečnostní platformně secure enclave. Viz také: Apple odmění hackery za informace o bezpečnostních nedostatcích

Firma Exodus Intelligence Apple přeplácí, za zranitelnosti v iOS 9.3 a novějším je ochotna vyplácet až 500 000 dolarů. Za exploit v Google Chrome nabízí až 150 000 dolarů, dvakrát tolik, než je maximální částka nabízená z Googlem. Co se pak týče odměn za zranitelnosti ve Windows 10 a prohlížeči Edge, zde jsou rozdíly mnohařádové (Microsoft v minulosti za zranitelnosti nechtěl platit vůbec, není má několik těchto programů, ale omezené co do pokrytých produktů i finančních částek). K zákazníkům Exodus Intelligence patří bezpečnostní složky, dodavatelé zabezpečení i firmy specializující se na penetrační testování.

Nové verze Chrome

Nová verze prohlížeče Google Chrome 52 (číslo 52.0.2743.116) přináší opravu 10 bezpečnostních chyb včetně 4 kritických. Z toho 2 se týkaly přetečení haldy v integrované čtečce PDF.

Google plánuje, že verze Chrome 55, která by se měla objevit do konce roku, dále omezí podporu pro přehrávání formátu Flash. Pouze tam, kde nebude k dispozici video (animace, hra…) v podobě HTML 5, bude uživateli nabídnuto, aby použil plug-in pro Flash, každou takovou akci však bude muset explicitně povolit. (Google uvádí, že kromě notoricky známých problémů Flash s bezpečností je HTML 5 i rychlejší a šetrnější k bateriím přenosných zařízení.)

Ransomware Cerber se objevil v nové verze, pro kterou zatím není k dispozici žádná metoda dešifrování (koncovka zašifrovaných souborů .cerber2).

Tajné služby zase tolik nezranitelností neukrývají, alespoň v USA

Studie Columbia University vede k závěru, že americké tajné služby mají v trezoru schovány mnohem méně zero day zranitelností, než se všeobecně předpokládá. Jeden z autorů analýzy Jason Healey odhaduje, že nepůjde o víc než 50 zranitelností. V administrativě proti sobě totiž působí síly s opačnými zájmy, když na jedné straně stojí ministerstvo obrany, na druhé straně ministerstva vnitra, financí a obchodu, které požadují příslušné informace, aby chyby mohly být co nejrychleji opraveny.

CSIRT varuje/oznamuje

Zranitelností Quadrooter jsou ohroženy telefony s Androidem využívající čipset Qualcomm. Odhadem se jedná o 900 000 zařízení.

Ze světa firem

Odhadem tisíce Čechů a Slováků již přišli o přístupové údaje ke svým účtům na Facebooku na základě fiktivní zprávy o teroristickém útoku v Praze. Odkaz obvykle vede z již infikovaného účtu a předkládá oběti falešnou přihlašovací stránku. (Zdroj: tisková zpráva společnosti Eset, další informace)

Špionážní platforma ProjectSauron zřejmě funguje od roku 2011, poprvé byl zaznamenán loni. Vykazuje stopy vlivu kapaní Duqu, Flame, Equation a Regin. Jedná se o malware mířící především na státní instituce (vláda, armáda, vědecká výzkumná centra, telefonní operátoři a finanční organizace), který se snaží dostat k šifrované komunikaci. Zaznamenán byl převážně v Rusku, Švédsku, Íránu a Itálii. (Zdroj: tisková zpráva společnosti Kaspersky Lab)

Psali jsme na ITBiz.cz

Na téma zabezpečení viz také:

Bezpečnostní přehled: Jak skrýt kampaň na malware v reklamních systémech

Hackeři napadli poskytovatele hostingu pro pražskou kartu Lítačka