Jak se bránit ransomwaru – co nastavit systém tak, aby hromadné šifrování souborů musel povolit uživatel ručně? Dále nepodporovaný a zranitelný Apple QuickTime je i v produktech Adobe. Firmy málo využívají bezpečnostní řešení specializovaná na virtualizované prostředí.
Následuje pravidelný bezpečnostní přehled vytvářený především podle webů ZDNet, CNet, The Register a HelpNet Security.

Ochrana proti ransomwaru od zaměstnance NSA

Vyvinut byl nový samostatný a zdarma dostupný nástroj na ochranu proti ransomwaru v prostředí OS X. Jak v této souvislosti média neopomenula dodat, hlavním tvůrcem nástroje RansomWhere? je Patrick Wardle, bývalý zaměstnanec tajné služby NSA a nyní šéf bezpečnostního výzkumu ve firmě Synack. RansomWhere? pracuje tak, že zastavuje nedůvěryhodné procesy, kam zařadí i pokus o šifrování souborů, a jejich další spuštění musí uživatel potvrdit. Podobné ochranné prostředky jsou k dispozici jen pro Windows. RansomWhere? je zatím v raném stadiu vývoje a funguje reaktivně, tj. malware může např. zašifrovat několik souborů, než ochrana aktivitu zaregistruje. V tuto chvíli také nástroj sleduje pouze domovské adresáře uživatelů.

QuickTime v produktech Adobe

Dále nepodporovaný Apple QuickTime, který se doporučuje ve Windows odinstalovat (viz starší bezpečnostní přehled http://www.itbiz.cz/clanky/bezpecnostni-prehled-sluzby-microsoftu-proti-stinovemu-it), představuje problém rovněž pro Adobe. QuickTime totiž vyžadují některé kodeky v Adobe After Effects i dalších produktech pro zpracování videa. Adobe oznámila, že pracuje na odstranění této závislosti (a obecně na tom, aby její produkty používaly vlastní technologie a nespoléhaly na software třetích stran), termín však stanoven nebyl.

Nový TeslaCrypt

Nové verze ransomwaru TeslaCrypt (4.0 a 4.1) se již nešíří pouze pomocí exploit kitů, ale také phishingovými e-maily. Využívá se především downloader v podobě souboru JavaScriptu, který se posílá jako zip (o komprimovaných souborech JS jako nové oblíbené metodě útočníků viz předcházející bezpečnostní přehled). Na rozdíl od starších verzí není pro nové verze TeslaCrypt zatím k dispozici žádný dešifrovací nástroj. Bezpečnostní firma Endgame v této souvislosti uvádí, že posledním trendem v oblasti ransomwaru je velké zrychlení vývoje, tj. krátká doba uvádění nových verzí, které bezpečnostní nástroje nedetekují, a navíc nové šifrování není aktuálně prolomeno.

Unikly osobní údaje asi 93 milionů mexických voličů. Došlo k tomu v důsledku chybné konfigurace databáze MongoDB hostované v Amazon AWS, která umožňovala přístup k údajům bez oprávnění. Uniklé údaje zahrnovaly např. jména, adresy, povolání, data narození, ID voliče, jména rodičů… I když z hlediska samotného počtu kompromitovaných záznamů se nejedná o rekord, znepokojující je, co všechno uniklé údaje v tomto případě zahrnují. Samozřejmě se tím zvyšuje riziko úspěšnosti phishingu nebo krádeží identity.

Juniper vydal bezpečnostní záplaty pro svou platformu Juno Spaces. Základní problém byl v implementaci Javy, zranitelnosti umožňovaly eskalaci oprávnění, ale i CSFR nebo vsunutí příkazů. Opravená verze má číslo 15.2R1, v ní jsou také již nové verze Javy. Chyby byly zneužitelné i vzdáleně. Juniper k tomu dodává, že systém Junos Space by měl mít povolen přístup pouze z důvěryhodných sítí, nikoliv nastavenu správu přes Internet.

Experti Kaspersky Lab prolomili šifrování ransomwaru CryptXXX, který se šíří především prostřednictvím exploit kitu Angler. Podvodníci požadují výkupné 500 dolarů za zašifrovaný systém, malware kromě vlastního počítače také šifruje data na připojených úložištích. Dešifrovací utilita je k dispozici a byla také přidána do nástroje RannohDecryptor. John Snow z Kaspersky Lab uvedl, že i když CryptXXX k šifrování používá algoritmus RSA4096, prolomení nebylo příliš obtížné.

CSIRT varuje/informuje

Pomocí vyděračských e-mailů si neznámý kybernetický gang přišel na 100 000 dolarů. E-maily, jejichž obsahem byla výhrůžka spuštění rozsáhlého DDoS útoku, byly rozeslány do firem po celém světě. Adresáti těchto e-mailů často patrně zaplatili částku 10,08 bitcoinu, a to i přesto, že nebyl fakticky spuštěn jediný skutečný útok.

Ze světa firem

Téměř tři čtvrtiny společností (73 %) spoléhají na to, že jejich virtuální prostředí ochrání klasická řešení pro zabezpečení koncových bodů. V těchto případech ale hrozí snížení výkonu systémů. Třetina podniků (34 %) netuší, že svou virtualizovanou infrastrukturu mohou zabezpečit pomocí specializovaných řešení. Výsledky studie Kaspersky Lab ukázaly, že pouze 27 % společností používá řešení, která jsou určena pro virtuální prostředí. Téměř polovina z nich (48 %) využívá možnosti varianty s agentem. Specializovaná řešení bez agenta (agentless) nebo s nenáročným agentem (light-agent) nejsou tak běžná, používají se jen v 35 %, resp. 15 % případů. (Zdroj: tisková zpráva společnosti Kaspersky Lab, průzkum ve 25 zemích včetně ČR)

Trend Micro rozšiřuje své aktivity v České republice a na Slovensku. V červnu tohoto roku otevře v Praze novou pobočku, do které přijme až 30 nových zaměstnanců. Většina z nich se přidá k IT specialistům z Tipping Point, který Trend Micro získalo v říjnu loňského roku. Tipping Point mj. provozuje analytickou laboratoř Digital Vaccine Labs, která má svou pobočku i v ČR. (Zdroj: tisková zpráva společnosti Trend Micro)

Fortinet jmenoval Petra Katzera na pozici Major Account Manager pro Českou republiku. Firma oznámila i další personální změny. (Zdroj: tisková zpráva společnosti Fortinet)

Michal Hebeda bude ve společnosti Sophos zastávat funkci sales engineer pro region NEEMEA (Skandinávie, střední a východní Evropa, Střední Východ a Afrika) se zaměřením na Českou republiku a Slovensko. (Zdroj: tisková zpráva společnosti Sophos)

Představeny byly nové řady bezpečnostních zařízení Check Point 1400, 3000 a 5000. Cílem těchto řešení dle dodavatele má být poskytnout zákazníkům prevenci hrozeb pro šifrovaný provoz a přitom provozní flexibilitu s maximální propustností (kontrola šifrovaného provozu SSL obecně ovlivňuje propustnost). Jednotlivá nová zařízení jsou určena pro firmy různých velikostí. (Zdroj: tisková zpráva společnosti Check Point Software Technologies)

Statistiky Check Point: V únoru se poprvé dostal do Top 10 škodlivých kódů mobilní malware, v březnu trend pokračoval a HummingBad byl 6. nejčastějším malwarem na světě. Poprvé byl mobilní škodlivý kód také v Top 10 za celé čtvrtletí, a to přestože byl HummingBad objeven až v únoru. Ukazuje to na velmi rychlý růst útoků na mobilní zařízení se systémem Android. HummingBad funguje jako trvalý rootkit na zařízení, instaluje podvodné aplikace a umožňuje další škodlivé aktivity, jako například instalace keyloggeru, krádež přihlašovacích údajů a obcházení šifrování e-mailů pro lepší zachycení podnikových dat útočníky. (Zdroj: tisková zpráva společnosti Check Point Software Technologies)

Služby Barracuda Essentials for Office 365 a Barracuda Email Security Service byly rozšířeny o ochranu proti phishingu a pokročilým hrozbám. (Zdroj: tisková zpráva společnosti Gesto Communications)

Cisco již třetí rok po sobě vyhlašuje ve spolupráci s Fakultou elektrotechnickou ČVUT v Praze soutěž Cisco Outstanding Thesis Award, jejímž cílem je najít talenty pro práci v kybernetické bezpečnosti. Soutěž je určena pro studenty bakalářského, magisterského a doktorandského programu na libovolné vysoké škole v ČR a SR. Do soutěže lze přihlásit libovolnou absolventskou práci obhájenou v roce 2016, která spadá do okruhu počítačových věd, zejména strojového učení. Autoři nejlepších prací získají finanční odměnu 10 000, 25 000 respektive 35 000 korun a také referenci pro své budoucí zaměstnavatele. Pořadatel se snaží takto najít i lidi, kteří nestudují počítačové obory. Loni uspěla studentka, jejíž práce byla zaměřena na automatické rozpoznání buněk ve fotografii Petriho misky. (Zdroj: tisková zpráva společnosti Cisco)

Nově představený Acer Chromebook 14 for Work nabízí v oblasti zabezpečení integrované řešení TPM (Trusted Platform Module) pro ochranu souborů. (Zdroj: tisková zpráva společnosti Acer)

Statistiky loňského vývoje malwaru dle studie 2015 MVPs – The most vulnerable players. Loni se objevilo 8 822 nových zranitelností, což je o 25 % více než v předchozím roce. Nejohroženějším jednotlivým operačním systémem byl v roce 2015 Apple OS X (384 zranitelností), nicméně celkově nejvíce zranitelností měly Microsoft Windows se 6 různými systémy uvedenými mezi 10 nejohroženějšími. Systém Windows 10 byl vloni s 53 zranitelnostmi až 12. nejohroženější. Mezi webovými prohlížeči byl nejohroženější Microsoft Explorer (231 zranitelností), Google Chrome (187), Mozilla Firefox (178) a Apple Safari (135). U mobilních zařízení nejvíce zranitelností zaznamenal Apple iOS (375), Microsoft Windows RT (celkem 277), Google Android (130), ale také Apple Watch OS (53) nebo Apple TV OS (46). U aplikací „zvítězila“ Adobe s nejohroženější aplikací Adobe Flash Player (314) a třemi dalšími mezi pěti nejzranitelnějšími aplikacemi; na čtvrtém místě jsou Apple iTunes se 100 zranitelnostmi. Aplikace Microsoft Office ve třech posledních verzích zaznamenaly dohromady pouze 27 zranitelností. (Zdroj: tisková zpráva společnosti GFI)