Bezpečnostní přehled: Lze malware šířit přes Windows Update?

Pavel Houser , 15. září 2011 10:14 0 komentářů
Rubriky: Security
Bezpečnostní přehled: Lze malware šířit přes Windows Update?

Kompromitované torrentové servery šířily falešné antiviry. Intel představil bezpečnostní software „pod“ operačním systémem. Rizika typosquattingu. Největší škodou při kybernetických útocích je ztráta času. Následuje pravidelný čtvrteční bezpečnostní přehled.

„Comodohacker“, tedy člověk, která sám sebe prohlašuje za odpovědného za krádeže digitálních certifikátů Comodo a nedávno i společnosti Diginotar, přišel s dalším silným tvrzením. Chlubí se, že by dokázal distribuovat falešné aktualizace Microsoftu pomocí služby Windows Update. Údajně „rozebral“ celý protokol této služby a zvládne např. imitovat WinVerifyTrust API, které slouží ke kontrole podpisu u stahovaných souborů.

Pokud by to skutečně takto fungovalo, mohl by útočník instalovat malware prakticky na všechny počítače s Windows. Microsoft ale podobnou možnost rezolutně popírá. Klient Windows Update podle Microsoftu povolí pouze instalaci binárních souborů podepsaných přímo kořenovou certifikační autoritou Microsoftu.

Zdroj: CNet

Typosquatting, tedy triky s překlepy v URL, se vyplácí. Mohou mít relativně neškodnou formu, kdy je adresa podobná nějakému hodně navštěvovanému webu oblepena reklamou. Pak přirozeně existují phishingové podvody, kdy útočník imituje např. bankovní službu a snaží se od uživatelů získat přihlašovací údaje. Zajímavou variantou typosquattingu je sbírat e-maily s překlepem v názvu domény. Podle výzkumníků je tímto druhem útoku nechráněna celá řada firem z žebříčku Fortune 500, z velkých IT společností např. Yahoo, Dell, Cisco, IBM, HP a IBM.

Nejčastějším překlepem při posílání e-mailů má být údajně vynechání první tečky v adrese typu xx.company.com. Právě s tím kalkulují útočníci a registrují si doménu xxcompany.com. Jednou z možností je nepoužívat poštovní adresy v tomto tvaru. Jinou obranou je sledovat, zda si tyto domény neregistruje nějaký vychytralec. Další je pak konfigurace vnitřních DNS systémů tak, aby e-maily na tuto doménu vůbec nešly odeslat...

Dva experimentátoři z firmy Godai Group dokázali za 6 měsíců získat 120 000 e-mailů s překlepy v adrese. Celkem 20 GB dat zahrnovalo např. obchodní tajemství, faktury, ale i uživatelská jména a hesla. Kromě přímého zneužití informací může útočník samozřejmě v konverzaci také zkusit pokračovat a provádět útok typu man-in-the-middle (jedna možnost – útočník přepošle e-mail na správnou adresu a spoléhá na to, že příjemce mu prostě odpoví bez toho, aby zkoumal URL; a odpověď opět přeposlat atd.).

Zdroj: HelpNet Security

Krádež certifikátů společnosti RSA nemusela být provedena z Číny. Objevuje se i názor, že za útokem stála skupina Russian Business Network (RBN). Analytici i výzvědné služby si mnohdy údajně ulehčují práci, jakmile dojde k nějakému rozsáhlejšímu incidentu, je nejjednodušší ukázat prstem na Čínu. Při určování původců útoku se obecně prý přikládá také přílišný význam zjištěným IP adresám, přitom útočníci mohou snadno použít např. IP adresu kompromitovaného počítače, a záměrně tak od sebe odvést pozornost. Jaké jsou ale důkazy pro podíl RBN při útoku na RSA? Údajně byly použity stejné Flux DNS servery, jaké RBN používá k rozesílání spamu.

Zdroj: InfoSec

Soubory ve výměnných sítích jsou plné malwaru. Riziko ale mohou představovat i samotné aplikace pro sdílení. Útočníci před několika dny ovládli dva populární bittorentové weby bittorrent.com a utorrent.com. Kdo si chtěl ze serveru stáhnout aplikaci pro sdílení souborů, nainstaloval si malware – do P2P klienta byl totiž vložen falešný antivirus Secure Shield.

Malware se šířil asi 2 hodiny, než byl incident zjištěn a provozovatelé získali nad servery kontrolu. Nebylo oznámeno, kolik lidí si zatím falešný antivirus stáhlo.

Zdroj: The Register, CNet

Akvizice McAfee ze strany Intelu přináší první plody. CEO Intelu Paul Otellini představil na konferenci Intel Developer Forum v San Francisku technologii DeepSafe. Mělo by jít o jakýsi antivirus nebo jiný bezpečnostní software „pod“ operačním systémem, ve virtualizované vrstvě hned nad hardwarem, tak jak to umožňuje architektura procesorů Core a Xeon.

Nová technologie by měla představovat účinnou zbraň např. proti rootkitům, které se ukrývají v sektoru MBR (master boot record) a pro operační systém i jeho aplikace jsou tedy prakticky neviditelné. DeepSafe umožní stálé sledování procesů v paměti a procesoru, což by mělo odhalovat nežádoucí změny.

Podle dosud neúplných informací se zdá, že operační systém si zřejmě bude „myslet“, že běží přímo na hardwaru, DeepSafe zde bude fungovat asi trochu podobně jako hypervisor. (Není ale např. úplně jasné, jak si bude rozumět s jinými hypervisory.)

Zdroj: The Register, CNet

Studie společnosti McAfee „Caution: Malware Ahead“ se zaměřuje na malware určený pro počítače v automobilech a další bezpečnostní aspekty těchto systémů. Popisují se zde reálné incidenty i metody, které mohou útočníci použít. Vesměs jde o techniky vyvinuté univerzitními výzkumnými týmy, obvykle naštěstí v podobě proof-of-concept. Útok proti systémům v automobilech nemusí vést pouze ke krádeži vozidla – vždyť Nevada již povolila auta řízená počítačem...

Zdrojový report: McAfee

Podle analýzy Symantec/Norton způsobuje počítačová kriminalita celosvětově škody v roční výši 114 miliard dolarů – což jsou však pouze přímé finanční ztráty. Pokud se k tomu připočte ještě čas, který obětí ztratí v souvislosti s incidentem, pak se toto číslo zvedne o 274 miliard dolarů až na 388 miliard dolarů – což má být třeba více, než je velikost černého trhu s marihuanou, kokainem a heroinem (dohromady). Kybernetický zločin měl v loňském roce 431 milionů obětí. 10 % z lidí pracujících on-line má podle studie nějakou zkušenost s kriminalitou vztahující se k mobilních telefonům. 54 % respondentů připouští přímou zkušenost s počítačovými viry nebo jiným malwarem.

Zdroj: HelpNet Security

Tento týden uvolňoval záplaty nejen Microsoft. Společnost Adobe vydala aktualizovaný Acrobat a Reader. Opraveno bylo 14 zranitelností včetně kritických. Zneužití není úplně snadné, protože aplikace spíše zhavaruje, je však možné i vzdálené spuštění kódu a plné ovládnutí postiženého systému; sandbox nepředstavuje proti zneužití dostatečnou ochranu. Nejnovější zalátaná verze Redaderu X má nyní číslo 10.1.1.

Zdroj: Net Security


Komentáře

RSS 

Komentujeme

V datových centrech už nejde o Windows?

Pavel Houser , 22. březen 2017 12:47
Pavel Houser

Trevor Pott si na The Register pokládá otázku o budoucnosti serverových Windows na platformě ARM. ...

Více






Kalendář

20. 03.

24. 03.
CeBIT 2017
21. 03.

24. 03.
Amper
23. 03. Cloud computing v praxi
RSS 

Zprávičky

Workplace Hub pro optimalizaci systémů i procesů

Pavel Houser , 23. březen 2017 16:09

Konica Minolta v partnerství se společnostmi Microsoft, HPE, Sophos, Canonical a BrainTribe přichází...

Více 0 komentářů

Jen necelá polovina firem pravidelně zkoumá data o zákaznících

ITBiz.cz , 23. březen 2017 14:30

Podle studie společnosti Oracle pouze 44 % firem pravidelně zkoumá data o svých zákaznících s cílem ...

Více 0 komentářů

Google umožní sdílení polohy přes aplikaci Google Maps

ČTK , 23. březen 2017 13:30

Uživatelé populární mapové aplikace Google Maps budou moci od příštího týdne sdílet s ostatními svou...

Více 0 komentářů

Starší zprávičky

V affiliate marketingu se u nás letos protočí 3 miliardy

ITBiz.cz , 23. březen 2017 10:00

Celkový objem trhu online affiliate marketingu e-shopů v ČR a SR činil v roce 2016 dle odhadů VIVnet...

Více 0 komentářů

Amazon koupí předního arabského e-prodejce Souq.com

ČTK , 23. březen 2017 08:45

Americký internetový prodejce Amazon se dohodl na koupi sta procent akcií dubajského on-line prodejc...

Více 0 komentářů

Nejméně aktualizované aplikace na PC: Java a Flash

Pavel Houser , 23. březen 2017 08:30

Dále z průzkumu: Windows XP jsou stále nainstalovány na 6 % zkoumaných počítačů. SSD má jen málo lid...

Více 0 komentářů

Výdaje kybernetického úřadu budou letos 214 milionů Kč

ČTK , 23. březen 2017 07:00

Výdaje nového Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB) by letos měly být zh...

Více 0 komentářů