Bezpečnostní přehled: Na Pwn2Own tentokrát padl i Chrome

Pavel Houser , 14. březen 2013 08:00 0 komentářů
Bezpečnostní přehled: Na Pwn2Own tentokrát padl i Chrome

Domácí události, hackerská soutěž Pwn2Own, druhé březnové úterý a záplaty Microsoftu... Následuje pravidelný bezpečnostní přehled vytvářený především podle webů ZDNet, CNet, The Register a HelpNet Security. Tentokrát více i z domácích zdrojů.

Významnou událostí uplynulého týdne byly DDoS útoky i u nás. Zasáhly zpravodajské servery, banky, Seznam i mobilní operátory.

Český CSIRT (Computer Security Incident Response Team) vydal k situaci 2 tiskové zprávy. Jedna uvádí, že sdružení CZ.NIC je útok připravené: „Nepřetržitý provoz DNS je zajišťován pomocí soustavy sekundárních jmenných serverů. Ty jsou vedle dvou lokalit v České republice umístěny také v USA, Chile, Japonsku, Rakousku, Německu, Švédsku, Velké Británii.“

CZ.NIC vyvinul nástroj, který dokáže simulovat útok stejné intenzity, jako byly ty v minulém týdnu. V současnosti ho používá k testování vlastní infrastruktury, ale uvažuje se i o jeho nabídce dalším stranám.

Analýza samotného útoku: DDoS byl realizován SYN Flood s podvržením IP adresy. Nedá se proto jednoduše říct, kdo to má na svědomí (např. kde je geografický zdroj útoku).

Otázka může také znít: má vůbec smysl mluvit o útoku DDoS, nebo ve skutečnosti vycházel z jednoho místa (tedy DoS)? Viz komentář na ITBiz.

Objevily se první pokusy vyčíslit škody, které tímto způsobem vznikly. A co motivace útočníků? Kybernetické útoky v minulém týdnu neměly podle převažujícího názoru za cíl získat citlivá data/instalovat do napadených systémů malware. „O napadeních za účelem odcizení interních údajů se totiž ve více než 80 % neví ještě následující měsíc od jejich provedení,“ uvedl Martin Hanzal, výkonný ředitel společnosti SodatSW a člen pracovní skupiny NATO Industrial Advisory Group. „Tento typ útoků neznamená vážnou hrozbu získání nebo poškození uložených dat a informací v napadených systémech. Podobné útoky "pouze" omezují komfort a zvyky, které jsme si za poslední dobu osvojili a neradi se jich vzdáváme.“

Co se týče domácího dění v oblasti IT bezpečnosti, tak si řada médií smlsla i na kauze nabourání systému UniCredit Bank, byť podle všeho bez jiných než mediálních následků.

13. 3., druhé úterý v měsíci a tedy březnové záplaty Microsoftu. Vydáno 7 bulletinů zabezpečení, z toho 4 kritické. Jedna z kritických zranitelností se týká všech podporovaných verzí Windows, od XP SP3 po Windows 8 a RT i všech verzí Internet Exploreru; ke vzdálenému spuštění kódu zde stačí navštívit podvodný web. Kritický je rovněž problém se SilverLight (cca konkurence Flash), což zasahuje i platformu Mac OS X. Další dvě z kritických chyb se týkají nástroje Visio/Microsoft Office Filter Pack (Wolfgang Kandek, CTO bezpečnostní firmy Qualys, se v této souvislosti podivuje, proč tak zdůrazňovat zrovna takovýto problém) a serverového softwaru SharePoint (zde však už třeba mít nějaký přístup. tj. jde o eskalaci oprávnění).

Apple po delší době opravil chybu v AppStore. Problém se měl týkat krádeže oprávnění při přístupu přes WiFi (nedostatečně implementované šifrování a možnost únosu relace). Útočník pak mohl získat soukromé informace a na iOS systém oběti instalovat nežádoucí, tj. extrémně drahé aplikace (předpokládejme, že v centrálně spravovaném AppStore jinak nebyl malware). Na problém už loni v létě Apple upozornil Elie Bursztein, který je zaměstnán v Googlu, nicméně šlo údajně o jeho soukromý výzkum. Ukázka zneužití:

Proběhlo každoroční hackerské klání Pwn2Own na kanadské bezpečnostní konferenci CanSecWest. Hlavním sponzorem bylo HP, respektive koupená firma TippingPoint (již dlouho provozující program Zero Day Initiative, tj. platbu za reportované zranitelnosti); jen v hotovosti vyplatila HP úspěšným exploitérům 480 000 dolarů, navíc spolu s notebooky použitými při akci etc.

Zajímavý je snad pohled na předběžné ocenění eventuálních úspěšných exploitů. U „čistých“ prohlížečů byla cena samozřejmě stanovena výš než u těch s Javou nebo pluginy Adobe. Za nejhůře prolomitelný organizátoři pokládali Google Chrome na Windows 7 – zde se za úspěch nabízelo 100 000 dolarů.

Google přitom ještě před zahájením pravidelného klání opravil 10 zranitelností v prohlížeči Chrome. (Kritická nebyla žádná z nich, 6 mělo podle Google druhý nejzávažnější statut.) Chrome byl navíc jasně nejodolnější i v dosavadní historii soutěže. Na opačném konci žebříčku stál browser Safari, čemuž odpovídala i cena nabízena za exploit.

Výsledek samotné akce ovšem tyto odhady poněkud zpochybnil: Prolomit se letos totiž podařilo úplně vše. Hned několika úspěchů dosáhl tým francouzské bezpečnostní společnosti Vupen. Oněch výše zmíněných 100 000 dolarů za skalp Chrome pak připadlo expertům z MWR Labs. A stejně jako dodavatelé zbrojili těsně před soutěží, zareagovali i hned po ní. Google i Mozilla již vydali první záplaty demonstrovaných chyb.

Google souběžně na CanSecWest ještě organizoval soutěž Pwnium, ta je však zaměřena na samotný operační systém Chromium. Zde zadané podmínky úspěšného hacku naopak jako celek splněny nebyly.

Na téma podnikové IT bezpečnosti na ITBiz viz také: Podnikové sítě ohrožuje hlavně rizikové chování zaměstnanců.

Společnost CheckPoint tvrdí, že z hlediska typických poskytovatelů podnikových aplikací byly loni největším zdrojem hrozeb produkty Oracle, s odstupem následuje Apple a Microsoft, dále Adobe, Cisco a IBM. Asi nejméně zranitelností bylo za loňský rok odhaleno u produktů HP.

Společnost Zoner software nabízí majitelům www stránek zabezpečení SSL certifikátem. Výhodou nabídky má být cena. Certifikát GeoTrust True BusinessID EV lze při objednávce na 2 roky pořídit za 2 495 Kč (+ DPH)/rok.

Zdroj: tisková zpráva společnosti Zoner software

„Jsme svědky toho, že vývoj v oblasti pravidel pro cloud computing je velice nerovnoměrný,“ uvádí Robert Holleyman, prezident BSA. „Nekompatibilní regulace týkající se ochrany soukromí a bezpečnosti znemožňují pohyb dat přes hranice. Až příliš mnoho zemí na světě si chce uzurpovat části cloudu pro sebe. Kvůli tomu není možné těžit ze vzájemné spolupráce, z čehož by nakonec profitovali všichni.“

Zdroj: tisková zpráva organizace BSA

RSA, bezpečnostní divize EMC, představila tři nová řešení pro bezpečnostní operační centra (SOC, Security Operations Center) a nedávno uvedenou platformu RSA Security Analytics. Cílem je především pomoci bezpečnostním analytikům nastavovat priority a stanovit rizika i hodnotu aktiv napříč organizací.

Zdroj: tisková zpráva společnosti EMC

Eset prezentoval na veletrhu CeBIT své řešení Secure Authentication. Jde o bezpečnou mobilní dvoufaktorovou autentizaci pomocí jednorázového hesla, která pro bezpečné připojení k firemní síti využívá mobilní telefony koncových uživatelů. Secure Authentication funguje na zařízeních iPhone a Blackberry, telefonech s OS Android, Windows Phone 7 a 8, Windows Mobile a telefonech založených na J2ME. Řešení podporuje i ověřování na základě SMS zpráv.

Zdroj: tisková zpráva organizace Eset

Společnost Cisco zveřejnila výsledky studie Annual Security Report. Zdůrazňuje rizika legitimních, ale kompromitovaných webů či reklamních systémů. „Nejvíce bezpečnostních hrozeb se nenachází na pornografických stránkách, webech s ilegální nabídkou léků či hazardními hrami, ale na běžných legitimních webech s nejvyšší návštěvností, jako jsou vyhledávače, internetové obchody nebo sociální sítě. Konkrétně na webech online obchodů hrozí 21krát častěji a na vyhledávačích 27krát častěji setkání se škodlivým obsahem než na stránkách s nelegálním softwarem. Kliknutí na online inzerci znamená 182krát vyšší riziko zavlečení škodlivého malwaru než návštěva webů s pornografickým obsahem.“

Další vývoj zabezpečení Cisco spojuje především s internetem věcí. „Pro bezpečnostní experty tak začne být zásadní schopnost porozumět samotnému obsahu přenášených dat a nikoliv jen chránit koncová zařízení. Ochrana se tak přesune více k samotné síti.“

Zdroj: tisková zpráva organizace Cisco

Společnost BlackBerry bude při prověřování aplikací pro BlackBerry World používat specializovanou službu pro skenování aplikací od Trend Micro. Nové i stávající aplikace v internetovém obchodě BlackBerry World se budou kontrolovat prostřednictvím reputačních technologií (cloudová služba Trend Micro Mobile Application Reputation Service).

Zdroj: tisková zpráva organizace TrendMicro


Komentáře

RSS 

Komentujeme

Kradená auta: Další úkol pro bezpečnostní kamery

Pavel Houser , 16. srpen 2017 06:30
Pavel Houser

Bezpečnostní kamery, které hledají ukradená vozidla nebo mají za úkol vozidlo jednoznačně identifiko...

Více






Kalendář

24. 08. Webinář Synology - DSM 6.1 - Virtual Machine Manager
27. 08.

31. 08.
VMworld 2017
01. 09.

06. 09.
IFA 2017
RSS 

Zprávičky

Útočníci si oblíbili sadu exploitů Lost in Translation

Pavel Houser , 22. srpen 2017 10:21

Studie mapuje vývoj malwaru v České republice a ve světě ve druhém čtvrtletí. ...

Více 0 komentářů

České Radiokomunikace nabízejí i privátní cloud

Pavel Houser , 22. srpen 2017 08:00

Řešení je podle CRA vhodné pro provoz citlivých, náročných a exponovaných aplikací a ukládání citliv...

Více 0 komentářů

LG V30 bude mít displej OLED FullVision

Pavel Houser , 21. srpen 2017 11:42

P-OLED vzniká umísťováním pixelů na plastový substrát, který je mnohem pevnější než skleněná základn...

Více 0 komentářů

Starší zprávičky

Jak funguje byznys na tuzemském YouTube

ČTK , 21. srpen 2017 09:47

Zájem Čechů o sledování videí na YouTube vzrostl letos meziročně o 35 procent. Poptávka se přesouvá ...

Více 0 komentářů

9 z 10 e-shopů nesplnilo zákonné povinnosti

ITBiz.cz , 20. srpen 2017 14:00

Česká obchodní inspekce pravidelně monitoruje dodržování zákonů v oblasti prodeje zboží v e-shopech....

Více 0 komentářů

Lenovo ve ztrátě, k zisku se má vrátit do 2 let

ČTK , 19. srpen 2017 10:12

Firma nevylučuje zdražení svých výrobků, aby udržela ziskové marže....

Více 0 komentářů

Generální ředitel Infosysu nečekaně rezignoval

ČTK , 19. srpen 2017 09:30

Od doby, co Sikka nastoupil do čela firmy, akcie stouply o více než pětinu....

Více 0 komentářů