Bezpečnostní přehled: Na Pwn2Own tentokrát padl i Chrome

Pavel Houser , 14. březen 2013 08:00 0 komentářů
Bezpečnostní přehled: Na Pwn2Own tentokrát padl i Chrome

Domácí události, hackerská soutěž Pwn2Own, druhé březnové úterý a záplaty Microsoftu... Následuje pravidelný bezpečnostní přehled vytvářený především podle webů ZDNet, CNet, The Register a HelpNet Security. Tentokrát více i z domácích zdrojů.

Významnou událostí uplynulého týdne byly DDoS útoky i u nás. Zasáhly zpravodajské servery, banky, Seznam i mobilní operátory.

Český CSIRT (Computer Security Incident Response Team) vydal k situaci 2 tiskové zprávy. Jedna uvádí, že sdružení CZ.NIC je útok připravené: „Nepřetržitý provoz DNS je zajišťován pomocí soustavy sekundárních jmenných serverů. Ty jsou vedle dvou lokalit v České republice umístěny také v USA, Chile, Japonsku, Rakousku, Německu, Švédsku, Velké Británii.“

CZ.NIC vyvinul nástroj, který dokáže simulovat útok stejné intenzity, jako byly ty v minulém týdnu. V současnosti ho používá k testování vlastní infrastruktury, ale uvažuje se i o jeho nabídce dalším stranám.

Analýza samotného útoku: DDoS byl realizován SYN Flood s podvržením IP adresy. Nedá se proto jednoduše říct, kdo to má na svědomí (např. kde je geografický zdroj útoku).

Otázka může také znít: má vůbec smysl mluvit o útoku DDoS, nebo ve skutečnosti vycházel z jednoho místa (tedy DoS)? Viz komentář na ITBiz.

Objevily se první pokusy vyčíslit škody, které tímto způsobem vznikly. A co motivace útočníků? Kybernetické útoky v minulém týdnu neměly podle převažujícího názoru za cíl získat citlivá data/instalovat do napadených systémů malware. „O napadeních za účelem odcizení interních údajů se totiž ve více než 80 % neví ještě následující měsíc od jejich provedení,“ uvedl Martin Hanzal, výkonný ředitel společnosti SodatSW a člen pracovní skupiny NATO Industrial Advisory Group. „Tento typ útoků neznamená vážnou hrozbu získání nebo poškození uložených dat a informací v napadených systémech. Podobné útoky "pouze" omezují komfort a zvyky, které jsme si za poslední dobu osvojili a neradi se jich vzdáváme.“

Co se týče domácího dění v oblasti IT bezpečnosti, tak si řada médií smlsla i na kauze nabourání systému UniCredit Bank, byť podle všeho bez jiných než mediálních následků.

13. 3., druhé úterý v měsíci a tedy březnové záplaty Microsoftu. Vydáno 7 bulletinů zabezpečení, z toho 4 kritické. Jedna z kritických zranitelností se týká všech podporovaných verzí Windows, od XP SP3 po Windows 8 a RT i všech verzí Internet Exploreru; ke vzdálenému spuštění kódu zde stačí navštívit podvodný web. Kritický je rovněž problém se SilverLight (cca konkurence Flash), což zasahuje i platformu Mac OS X. Další dvě z kritických chyb se týkají nástroje Visio/Microsoft Office Filter Pack (Wolfgang Kandek, CTO bezpečnostní firmy Qualys, se v této souvislosti podivuje, proč tak zdůrazňovat zrovna takovýto problém) a serverového softwaru SharePoint (zde však už třeba mít nějaký přístup. tj. jde o eskalaci oprávnění).

Apple po delší době opravil chybu v AppStore. Problém se měl týkat krádeže oprávnění při přístupu přes WiFi (nedostatečně implementované šifrování a možnost únosu relace). Útočník pak mohl získat soukromé informace a na iOS systém oběti instalovat nežádoucí, tj. extrémně drahé aplikace (předpokládejme, že v centrálně spravovaném AppStore jinak nebyl malware). Na problém už loni v létě Apple upozornil Elie Bursztein, který je zaměstnán v Googlu, nicméně šlo údajně o jeho soukromý výzkum. Ukázka zneužití:

Proběhlo každoroční hackerské klání Pwn2Own na kanadské bezpečnostní konferenci CanSecWest. Hlavním sponzorem bylo HP, respektive koupená firma TippingPoint (již dlouho provozující program Zero Day Initiative, tj. platbu za reportované zranitelnosti); jen v hotovosti vyplatila HP úspěšným exploitérům 480 000 dolarů, navíc spolu s notebooky použitými při akci etc.

Zajímavý je snad pohled na předběžné ocenění eventuálních úspěšných exploitů. U „čistých“ prohlížečů byla cena samozřejmě stanovena výš než u těch s Javou nebo pluginy Adobe. Za nejhůře prolomitelný organizátoři pokládali Google Chrome na Windows 7 – zde se za úspěch nabízelo 100 000 dolarů.

Google přitom ještě před zahájením pravidelného klání opravil 10 zranitelností v prohlížeči Chrome. (Kritická nebyla žádná z nich, 6 mělo podle Google druhý nejzávažnější statut.) Chrome byl navíc jasně nejodolnější i v dosavadní historii soutěže. Na opačném konci žebříčku stál browser Safari, čemuž odpovídala i cena nabízena za exploit.

Výsledek samotné akce ovšem tyto odhady poněkud zpochybnil: Prolomit se letos totiž podařilo úplně vše. Hned několika úspěchů dosáhl tým francouzské bezpečnostní společnosti Vupen. Oněch výše zmíněných 100 000 dolarů za skalp Chrome pak připadlo expertům z MWR Labs. A stejně jako dodavatelé zbrojili těsně před soutěží, zareagovali i hned po ní. Google i Mozilla již vydali první záplaty demonstrovaných chyb.

Google souběžně na CanSecWest ještě organizoval soutěž Pwnium, ta je však zaměřena na samotný operační systém Chromium. Zde zadané podmínky úspěšného hacku naopak jako celek splněny nebyly.

Na téma podnikové IT bezpečnosti na ITBiz viz také: Podnikové sítě ohrožuje hlavně rizikové chování zaměstnanců.

Společnost CheckPoint tvrdí, že z hlediska typických poskytovatelů podnikových aplikací byly loni největším zdrojem hrozeb produkty Oracle, s odstupem následuje Apple a Microsoft, dále Adobe, Cisco a IBM. Asi nejméně zranitelností bylo za loňský rok odhaleno u produktů HP.

Společnost Zoner software nabízí majitelům www stránek zabezpečení SSL certifikátem. Výhodou nabídky má být cena. Certifikát GeoTrust True BusinessID EV lze při objednávce na 2 roky pořídit za 2 495 Kč (+ DPH)/rok.

Zdroj: tisková zpráva společnosti Zoner software

„Jsme svědky toho, že vývoj v oblasti pravidel pro cloud computing je velice nerovnoměrný,“ uvádí Robert Holleyman, prezident BSA. „Nekompatibilní regulace týkající se ochrany soukromí a bezpečnosti znemožňují pohyb dat přes hranice. Až příliš mnoho zemí na světě si chce uzurpovat části cloudu pro sebe. Kvůli tomu není možné těžit ze vzájemné spolupráce, z čehož by nakonec profitovali všichni.“

Zdroj: tisková zpráva organizace BSA

RSA, bezpečnostní divize EMC, představila tři nová řešení pro bezpečnostní operační centra (SOC, Security Operations Center) a nedávno uvedenou platformu RSA Security Analytics. Cílem je především pomoci bezpečnostním analytikům nastavovat priority a stanovit rizika i hodnotu aktiv napříč organizací.

Zdroj: tisková zpráva společnosti EMC

Eset prezentoval na veletrhu CeBIT své řešení Secure Authentication. Jde o bezpečnou mobilní dvoufaktorovou autentizaci pomocí jednorázového hesla, která pro bezpečné připojení k firemní síti využívá mobilní telefony koncových uživatelů. Secure Authentication funguje na zařízeních iPhone a Blackberry, telefonech s OS Android, Windows Phone 7 a 8, Windows Mobile a telefonech založených na J2ME. Řešení podporuje i ověřování na základě SMS zpráv.

Zdroj: tisková zpráva organizace Eset

Společnost Cisco zveřejnila výsledky studie Annual Security Report. Zdůrazňuje rizika legitimních, ale kompromitovaných webů či reklamních systémů. „Nejvíce bezpečnostních hrozeb se nenachází na pornografických stránkách, webech s ilegální nabídkou léků či hazardními hrami, ale na běžných legitimních webech s nejvyšší návštěvností, jako jsou vyhledávače, internetové obchody nebo sociální sítě. Konkrétně na webech online obchodů hrozí 21krát častěji a na vyhledávačích 27krát častěji setkání se škodlivým obsahem než na stránkách s nelegálním softwarem. Kliknutí na online inzerci znamená 182krát vyšší riziko zavlečení škodlivého malwaru než návštěva webů s pornografickým obsahem.“

Další vývoj zabezpečení Cisco spojuje především s internetem věcí. „Pro bezpečnostní experty tak začne být zásadní schopnost porozumět samotnému obsahu přenášených dat a nikoliv jen chránit koncová zařízení. Ochrana se tak přesune více k samotné síti.“

Zdroj: tisková zpráva organizace Cisco

Společnost BlackBerry bude při prověřování aplikací pro BlackBerry World používat specializovanou službu pro skenování aplikací od Trend Micro. Nové i stávající aplikace v internetovém obchodě BlackBerry World se budou kontrolovat prostřednictvím reputačních technologií (cloudová služba Trend Micro Mobile Application Reputation Service).

Zdroj: tisková zpráva organizace TrendMicro


Komentáře


RSS 

Komentujeme

Zákaznické karty čekají změny

Pavel Houser , 17. leden 2017 13:00
Pavel Houser

Jedna z technologií, která se už po léta prakticky nezměnila, i když by mohla? Prý karty zákazníků d...

Více





Kalendář

06. 02.

07. 02.
konference G2B TechEd
15. 02. IDC Predictions 2017
18. 02. WordCamp Praha 2017
RSS 

Zprávičky

Rockaway získala minoritní podíl v Techloop.io

ČTK , 23. leden 2017 16:30

Investiční firma Rockaway Ventures získala minoritní podíl ve firmě Techloop.io, která zprostředkov...

Více 0 komentářů

Za vznícení mobilů Samsungu mohly baterie, firma odloží Galaxy S8

ČTK , 23. leden 2017 12:00

Za případy vznícení chytrých telefonů Galaxy Note 7 jihokorejské společnosti Samsung Electronics stá...

Více 0 komentářů

Foxconn zvažuje velkou investici do továrny v USA

ČTK , 23. leden 2017 08:29

Tchajwanská společnost Foxconn zvažuje, že investuje přes sedm miliard dolarů (zhruba 177 miliard Kč...

Více 0 komentářů

Starší zprávičky

ČTÚ pohrozil O2 a Vodafonu odebráním licencí na LTE kvůli cenám

ČTK , 22. leden 2017 14:00

Český telekomunikační úřad (ČTÚ) znovu vyzval operátory O2 a Vodafone, aby do měsíce snížili velkoob...

Více 1 komentářů

Menší e-shopy kvůli EET zruší platbu kartou

ČTK , 22. leden 2017 07:00

Řada menších tuzemských e-shopů od března, kdy pro ně začne platit elektronická evidence tržeb (EET...

Více 2 komentářů

Na další rozvoj ekonomického systému bude Praha vypisovat tendry

ČTK , 21. leden 2017 14:00

Na další rozvoj ekonomického systému Ginis bude Praha vypisovat jednotlivé veřejné zakázky. Pražští ...

Více 0 komentářů

Tržby IBM klesaly i ve 4.čtvrtletí loňského roku, akciím se daří

ČTK , 21. leden 2017 07:00

Americká počítačová společnost International Business Machines (IBM) zaznamenala další, již devatená...

Více 0 komentářů