Bezpečnostní přehled: Od volantu po trezor

Pavel Houser , 03. srpen 2015 08:30 0 komentářů
Bezpečnostní přehled: Od volantu po trezor

Hacknutý automobil, rizika chytrých hodinek a nově také chytrých sejfů. Malware Potato Express se v Rusku podivně vetřel do šifrovacího softwaru. Zranitelnosti a opravy: Chrome, WordPress, hypervisor Xen, Stagefright na Androidu. Následuje pravidelný bezpečnostní přehled vytvářený především podle webů ZDNet, CNet, The Register a HelpNet Security.

Konečně přichází Windows 10, nové vlastnosti se týkají i bezpečnostních funkcí. První dojmy z nového OS: Windows 10 na vlastní kůži a na notebooku Toshiba

Problémy hodinek: na všech úrovních

Výzkumníci z HP uvádějí, že veškeré modely testovaných chytrých hodinek obsahují nějaké bezpečnostní zranitelnosti. Testovány byly hodinky s iOS i Androidem, včetně souvisejících ekosystémů aplikací a cloudových služeb. Problémem má být např. slabá politika v oblasti hesel (neblokuje se po neúspěšných pokusech), nedostatečné šifrování komunikace (SSL se používá, ale může jít o staré verze/krátké šifrovací klíče zdolatelné hrubou silou) nebo webové rozhraní při přístupu ke cloudu – zde může útočník zkoušet třeba známé triky spojené s resetem „zapomenutého“ hesla. Nedostatky se vyskytují i při aktualizaci firmwaru, kdy se opět používá nedostatečné šifrování, někdy scházejí i podpisy/certifikáty, takže lze namísto aktualizace zkoušet podsunout malware, např. při útocích man-in-the-middle. Míra rizik samozřejmě souvisí i s tím, jaké osobní údaje a další citlivé informace konkrétní chytré hodinky obsahují.

Nový Chrome verze 44.0.2403.89 pro Windows, Mac i Linux opravuje 43 bezpečnostních chyb, mezi nimi 12 kritických (řada z nich umožňuje např. útok buffer overflow). Za reportované zranitelnosti Google tentokrát vyplatil asi 40 000 dolarů.

U auta může útočník hýbat už i volantem

Značně medializovány byly i u nás zranitelnosti chytrých automobilů Chrysler (Jeep Cherokee). Útočník mohl v tomto případě ovládnout nejen pomocné systémy, ale i vlastní řízení – převodovku a brzdy, volant při couvání. Problém se údajně týká až 1,4 milionu vozů.

Na chybu upozornili Charlie Miller a Chris Valasek. Útočníkovi stačilo znát veřejnou IP adresu systému auta, při připojení pak chyběla žádost o autentizaci. Výrobce rychle vydal aktualizaci, kterou je ale třeba nainstalovat ručně přes USB, což řada uživatelů neudělá, i když se to bude asi provádět i u prodejců nebo v servisech. Následovalo proto také jednání s poskytovateli sítí, aby možné útoky byly blokovány na této úrovni. Chrysler nicméně dodává, že Millerovi a Valasekovi trvalo hacknutí několik měsíců a není známo, že by útok vzhledem k jeho obtížnosti někdo reálně prováděl.

Řada zavedených odvětví, která se dosud nemusela zabývat bezpečností informačních technologií jako vážnou hrozbou, bude mít značně podfinancované bezpečnostní technologie, služby a procesy v oblasti IT,“ uvádí k incidentu např. tisková zpráva společnosti Dimension Data. Viz také: Mohou autonomní auta zabíjet své řidiče?

Ve Wordpressu byla objevena cross-site scripting zranitelnost, která umožňuje uživatelům s nižšími oprávněními ovládnout celý server. Opravená verze obsahuje i další aktualizace, její číslo je 4.2.3.

Analýza společnosti Forensiq tvrdí, že podvodné mobilní aplikace, které stahují bez vědomí uživatele reklamu a simulují na ní lidské interakce, připraví inzerenty ročně až o miliardu dolarů. Sledováno bylo asi 5 000 druhů tohoto typu malwaru; některé aplikace dokázaly stáhnout na zařízení denně až 2 GB reklamy.

Bezpečnostní výzkumník Robert Simmons uvolnil pod open source licencí skenovací framework PlagueScanner. Jedná se o rozhraní, které pomocí agentů sjednocuje antivirové motory Avast, BitDefender, Eset, Trend Micro, Microsoft (Windows Defender) a Clam. Produkt je určen pro ty, kdo chtějí takto skenovat soubory obsahující citlivé firemní informace, takže je nehodlají nechat analyzovat ve veřejných internetových službách kombinujících více motorů, ale preferují on-premise řešení.

Kde je USB, je i problém

Další věc, kterou lze dnes hacknout: chytré sejfy. Na Defconu, který se příští týden koná v Las Vegas, má být demonstrováno, jak ovládnout zařízení Brink CompuSafe Galileo, která se používají hlavně v maloobchodním prodejnách, fast foodech apod – jen v USA má být v provozu asi 14 000 těchto zařízení. U zařízení tohoto typu bývá rizikem už samotný fakt, že mají USB vstup (The Register prostě říká, že systém je USBed), k tomu se mohou přidávat i rizika zastaralých operačních systémů (embedded Windows XP apod.). Podle demonstrátorů ze společnosti Bishop Fox stačí přijít se speciální klíčenkou/diskem, zjistit, kolik je v zařízení peněz, asi za minutu trezor otevřít atd. Samozřejmě pro zloděje stále zůstávají rizika, např. kamerové systémy, ty by mohl někdo narušit, ovšem pak postup nejspíš zase vyžaduje insidera.

Objevena byla nová zranitelnost v hypervisoru Xen. Chyba CVE-2015-5154 znamená, že hostovaná aplikace může získat přístup k hostitelskému systému. Jako možné řešení se uvádí zakázat funkci emulovaných jednotek CD-ROM.

CSIRT.CZ varuje

Mobilní telefony s Androidem ohrožuje chyba v nástroji Stagefright, který zajišťuje přehrávání videa. Pro provedení útoku stačí útočníkovi uživatelovo telefonní číslo, na které zašle speciální MMS zprávu. Problém spočívá především v tom, že aplikace Stagefright má téměř rootovská práva, takže jejím ovládnutím útočník prakticky získá kontrolu nad telefonem. Není zatím jasné, kdy bude k dispozici oprava a jak se bude na dotčená zařízení (mohlo by jít až o miliardu smartphonů) distribuovat. Poznámka: Bližší informace nejsou známy, vlastní ukázka má být tento týden předvedena na Black Hatu v Las Vegas.

Ze světa firem

Gemalto zveřejňuje výsledky nejnovějšího průzkumu 2015 Data Security Confidence Index (DSCI). Průzkum probíhal v řadě zemí včetně ČR. 62 % českých manažerů odpovědných za IT bezpečnost by nesvěřily svá osobní data do „správy“ vlastní organizace. IT a bezpečnostní ředitelé z ČR patří mezi nejpesimističtější co do důvěry v bezpečnostní nástroje pro odhalování nových hrozeb – plných 84 % se nedomnívá, že by tato řešení byla letos účinnější než před rokem. Závěr studie: Více se soustředit na citlivá data, méně na perimetr – tak, aby data zůstala nějak chráněná i po neoprávněném průniku do sítě organizace. Zdroj: tisková zpráva společnosti Gemalto

62 % majitelů společností a zaměstnanců po celém světě užívají k práci soukromá mobilní zařízení. Čím menší společnost, tím víc majitelé i zaměstnanci podceňují rizika související s BYOD. Zdroj: tisková zpráva společnosti Kaspersky Lab

TrueCryptRussia.ru: zamotaný příběh

Malware Potato Express útočil na různé cíle především na Ukrajině. Útoky tohoto malwaru jsou vedené dosud nepoužívanými metodami. Pozoruhodná je zejména souvislost s šifrovacím softwarem TrueCrypt. Do ruské verze TrueCryptu útočníci vložili trojského koně, který jednak dokáže instalovat malware skupiny Potato, a také funguje jako plně vybavený špionážní modul. Ten dokáže působit v utajení: směřuje pouze na vybrané cíle a navíc se aktivuje pouze na počítačích dlouhodobých uživatelů aplikace TrueCrypt. Pouze na těchto počítačích prohledává podle zadaného algoritmu data a odesílá je na řídící servery.

Skrývat soubory malware za názvy odvozené od některého známého software je starý trik. Ale v daném případě experti společnosti Eset zjistili, že stránky TrueCryptRussia.ru slouží nejen k distribuci infikovaného šifrovacího softwaru TrueCrypt, ale také k hostování malwaru ze skupiny Potato - a dokonce fungují i jako řídící server pro „trojanizovanou“ verzi TrueCrypt.

Zdaleka ne veškerý software TrueCrypt ze zmíněné ruské stránky je ale infikovaný. „Trojanizovanou“ verzi nabídne server ke stažení pouze počítačům, které splňují specifická (zatím neodhalená) kritéria. Toto opatření ukazuje, že celá operace je řízena profesionály, kteří jdou po omezeném okruhu cílů. Zdroj: tisková zpráva společnosti Eset

Psali jsme na ITBiz

Na téma zabezpečení na ITBiz viz také:


Komentáře


RSS 

Komentujeme

Zákaznické karty čekají změny

Pavel Houser , 17. leden 2017 13:00
Pavel Houser

Jedna z technologií, která se už po léta prakticky nezměnila, i když by mohla? Prý karty zákazníků d...

Více





Kalendář

06. 02.

07. 02.
konference G2B TechEd
15. 02. IDC Predictions 2017
22. 02. IT mezi paragrafy
RSS 

Zprávičky

Facebook postaví v Dánsku datové centrum

ČTK , 20. leden 2017 14:00

Americký provozovatel sociální sítě Facebook postaví v dánském městě Odense nové datové centrum, kte...

Více 0 komentářů

Americký Oracle převezme českou programátorskou firmu Apiary

ČTK , 20. leden 2017 12:00

Americký výrobce podnikového softwaru Oracle podepsal dohodu o převzetí české programátorské firmy A...

Více 0 komentářů

Internetová ekonomika za pět let posílila o 15 procent na 188 miliard

ČTK , 20. leden 2017 07:00

Objem internetové ekonomiky se předloni proti roku 2011 zvýšil o 15 procent na 188 miliard korun. Na...

Více 0 komentářů

Starší zprávičky

Facebook zřídí v Paříži svůj první inkubátor pro začínající firmy

ČTK , 19. leden 2017 14:00

Americká sociální síť Facebook zřídí v Paříži svůj první inkubátor pro začínající firmy, tzv. startu...

Více 0 komentářů

Toshiba prý zvažuje o osamostatnění své polovodičové divize

ČTK , 19. leden 2017 11:00

Japonská společnost Toshiba Corp. zvažuje oddělení svých aktivit v oblasti výroby polovodičů do samo...

Více 0 komentářů

Sněmovna uzákoní pravidla pro informační systémy veřejné správy

ČTK , 19. leden 2017 07:00

Sněmovna zřejmě uzákoní pravidla pro to, jaké funkční vlastnosti mají mít informační systémy ve veře...

Více 0 komentářů

ÚOOÚ za nevyžádaná obchodní sdělení uložil i půlmilionovou pokutu

ČTK , 18. leden 2017 14:00

Úřad pro ochranu osobních údajů (ÚOOÚ) v souvislosti s nevyžádanými obchodními sděleními udělil loni...

Více 0 komentářů