Bezpečnostní přehled: Od volantu po trezor

Pavel Houser , 03. srpen 2015 08:30 0 komentářů
Bezpečnostní přehled: Od volantu po trezor

Hacknutý automobil, rizika chytrých hodinek a nově také chytrých sejfů. Malware Potato Express se v Rusku podivně vetřel do šifrovacího softwaru. Zranitelnosti a opravy: Chrome, WordPress, hypervisor Xen, Stagefright na Androidu. Následuje pravidelný bezpečnostní přehled vytvářený především podle webů ZDNet, CNet, The Register a HelpNet Security.

Konečně přichází Windows 10, nové vlastnosti se týkají i bezpečnostních funkcí. První dojmy z nového OS: Windows 10 na vlastní kůži a na notebooku Toshiba

Problémy hodinek: na všech úrovních

Výzkumníci z HP uvádějí, že veškeré modely testovaných chytrých hodinek obsahují nějaké bezpečnostní zranitelnosti. Testovány byly hodinky s iOS i Androidem, včetně souvisejících ekosystémů aplikací a cloudových služeb. Problémem má být např. slabá politika v oblasti hesel (neblokuje se po neúspěšných pokusech), nedostatečné šifrování komunikace (SSL se používá, ale může jít o staré verze/krátké šifrovací klíče zdolatelné hrubou silou) nebo webové rozhraní při přístupu ke cloudu – zde může útočník zkoušet třeba známé triky spojené s resetem „zapomenutého“ hesla. Nedostatky se vyskytují i při aktualizaci firmwaru, kdy se opět používá nedostatečné šifrování, někdy scházejí i podpisy/certifikáty, takže lze namísto aktualizace zkoušet podsunout malware, např. při útocích man-in-the-middle. Míra rizik samozřejmě souvisí i s tím, jaké osobní údaje a další citlivé informace konkrétní chytré hodinky obsahují.

Nový Chrome verze 44.0.2403.89 pro Windows, Mac i Linux opravuje 43 bezpečnostních chyb, mezi nimi 12 kritických (řada z nich umožňuje např. útok buffer overflow). Za reportované zranitelnosti Google tentokrát vyplatil asi 40 000 dolarů.

U auta může útočník hýbat už i volantem

Značně medializovány byly i u nás zranitelnosti chytrých automobilů Chrysler (Jeep Cherokee). Útočník mohl v tomto případě ovládnout nejen pomocné systémy, ale i vlastní řízení – převodovku a brzdy, volant při couvání. Problém se údajně týká až 1,4 milionu vozů.

Na chybu upozornili Charlie Miller a Chris Valasek. Útočníkovi stačilo znát veřejnou IP adresu systému auta, při připojení pak chyběla žádost o autentizaci. Výrobce rychle vydal aktualizaci, kterou je ale třeba nainstalovat ručně přes USB, což řada uživatelů neudělá, i když se to bude asi provádět i u prodejců nebo v servisech. Následovalo proto také jednání s poskytovateli sítí, aby možné útoky byly blokovány na této úrovni. Chrysler nicméně dodává, že Millerovi a Valasekovi trvalo hacknutí několik měsíců a není známo, že by útok vzhledem k jeho obtížnosti někdo reálně prováděl.

Řada zavedených odvětví, která se dosud nemusela zabývat bezpečností informačních technologií jako vážnou hrozbou, bude mít značně podfinancované bezpečnostní technologie, služby a procesy v oblasti IT,“ uvádí k incidentu např. tisková zpráva společnosti Dimension Data. Viz také: Mohou autonomní auta zabíjet své řidiče?

Ve Wordpressu byla objevena cross-site scripting zranitelnost, která umožňuje uživatelům s nižšími oprávněními ovládnout celý server. Opravená verze obsahuje i další aktualizace, její číslo je 4.2.3.

Analýza společnosti Forensiq tvrdí, že podvodné mobilní aplikace, které stahují bez vědomí uživatele reklamu a simulují na ní lidské interakce, připraví inzerenty ročně až o miliardu dolarů. Sledováno bylo asi 5 000 druhů tohoto typu malwaru; některé aplikace dokázaly stáhnout na zařízení denně až 2 GB reklamy.

Bezpečnostní výzkumník Robert Simmons uvolnil pod open source licencí skenovací framework PlagueScanner. Jedná se o rozhraní, které pomocí agentů sjednocuje antivirové motory Avast, BitDefender, Eset, Trend Micro, Microsoft (Windows Defender) a Clam. Produkt je určen pro ty, kdo chtějí takto skenovat soubory obsahující citlivé firemní informace, takže je nehodlají nechat analyzovat ve veřejných internetových službách kombinujících více motorů, ale preferují on-premise řešení.

Kde je USB, je i problém

Další věc, kterou lze dnes hacknout: chytré sejfy. Na Defconu, který se příští týden koná v Las Vegas, má být demonstrováno, jak ovládnout zařízení Brink CompuSafe Galileo, která se používají hlavně v maloobchodním prodejnách, fast foodech apod – jen v USA má být v provozu asi 14 000 těchto zařízení. U zařízení tohoto typu bývá rizikem už samotný fakt, že mají USB vstup (The Register prostě říká, že systém je USBed), k tomu se mohou přidávat i rizika zastaralých operačních systémů (embedded Windows XP apod.). Podle demonstrátorů ze společnosti Bishop Fox stačí přijít se speciální klíčenkou/diskem, zjistit, kolik je v zařízení peněz, asi za minutu trezor otevřít atd. Samozřejmě pro zloděje stále zůstávají rizika, např. kamerové systémy, ty by mohl někdo narušit, ovšem pak postup nejspíš zase vyžaduje insidera.

Objevena byla nová zranitelnost v hypervisoru Xen. Chyba CVE-2015-5154 znamená, že hostovaná aplikace může získat přístup k hostitelskému systému. Jako možné řešení se uvádí zakázat funkci emulovaných jednotek CD-ROM.

CSIRT.CZ varuje

Mobilní telefony s Androidem ohrožuje chyba v nástroji Stagefright, který zajišťuje přehrávání videa. Pro provedení útoku stačí útočníkovi uživatelovo telefonní číslo, na které zašle speciální MMS zprávu. Problém spočívá především v tom, že aplikace Stagefright má téměř rootovská práva, takže jejím ovládnutím útočník prakticky získá kontrolu nad telefonem. Není zatím jasné, kdy bude k dispozici oprava a jak se bude na dotčená zařízení (mohlo by jít až o miliardu smartphonů) distribuovat. Poznámka: Bližší informace nejsou známy, vlastní ukázka má být tento týden předvedena na Black Hatu v Las Vegas.

Ze světa firem

Gemalto zveřejňuje výsledky nejnovějšího průzkumu 2015 Data Security Confidence Index (DSCI). Průzkum probíhal v řadě zemí včetně ČR. 62 % českých manažerů odpovědných za IT bezpečnost by nesvěřily svá osobní data do „správy“ vlastní organizace. IT a bezpečnostní ředitelé z ČR patří mezi nejpesimističtější co do důvěry v bezpečnostní nástroje pro odhalování nových hrozeb – plných 84 % se nedomnívá, že by tato řešení byla letos účinnější než před rokem. Závěr studie: Více se soustředit na citlivá data, méně na perimetr – tak, aby data zůstala nějak chráněná i po neoprávněném průniku do sítě organizace. Zdroj: tisková zpráva společnosti Gemalto

62 % majitelů společností a zaměstnanců po celém světě užívají k práci soukromá mobilní zařízení. Čím menší společnost, tím víc majitelé i zaměstnanci podceňují rizika související s BYOD. Zdroj: tisková zpráva společnosti Kaspersky Lab

TrueCryptRussia.ru: zamotaný příběh

Malware Potato Express útočil na různé cíle především na Ukrajině. Útoky tohoto malwaru jsou vedené dosud nepoužívanými metodami. Pozoruhodná je zejména souvislost s šifrovacím softwarem TrueCrypt. Do ruské verze TrueCryptu útočníci vložili trojského koně, který jednak dokáže instalovat malware skupiny Potato, a také funguje jako plně vybavený špionážní modul. Ten dokáže působit v utajení: směřuje pouze na vybrané cíle a navíc se aktivuje pouze na počítačích dlouhodobých uživatelů aplikace TrueCrypt. Pouze na těchto počítačích prohledává podle zadaného algoritmu data a odesílá je na řídící servery.

Skrývat soubory malware za názvy odvozené od některého známého software je starý trik. Ale v daném případě experti společnosti Eset zjistili, že stránky TrueCryptRussia.ru slouží nejen k distribuci infikovaného šifrovacího softwaru TrueCrypt, ale také k hostování malwaru ze skupiny Potato - a dokonce fungují i jako řídící server pro „trojanizovanou“ verzi TrueCrypt.

Zdaleka ne veškerý software TrueCrypt ze zmíněné ruské stránky je ale infikovaný. „Trojanizovanou“ verzi nabídne server ke stažení pouze počítačům, které splňují specifická (zatím neodhalená) kritéria. Toto opatření ukazuje, že celá operace je řízena profesionály, kteří jdou po omezeném okruhu cílů. Zdroj: tisková zpráva společnosti Eset

Psali jsme na ITBiz

Na téma zabezpečení na ITBiz viz také:


Komentáře

RSS 

Komentujeme

Další na řadě je bezpečnost

Richard Jan Voigts , 09. říjen 2017 00:00
Richard Jan Voigts

Co všechno lze automatizovat pomocí strojového učení? Larry Ellison, technologický ředitel společnos...

Více







Kalendář

21. 10. WordCamp Brno 2017
24. 10. VeeamON Forum 2017
25. 10.

26. 10.
Profesia days 2017
RSS 

Zprávičky

Electro World v účetním roce zmírnil ztrátu na 92 milionů Kč

ČTK , 20. říjen 2017 12:00

Firma se soustředila na zlepšení prodejní a distribuční sítě a rozšíření sortimentu....

Více 0 komentářů

Dohoda o ochraně dat mezi EU a USA prošla první kontrolou

ČTK , 20. říjen 2017 08:00

Cílem dohody je chránit osobní údaje osob v EU předávané společnostem v USA. ...

Více 0 komentářů

Operátoři: Metro by mohlo být signálem pokryté do konce roku 2018

ČTK , 20. říjen 2017 08:00

Operátoři mají enormní zájem na pokrytí pražského metra, a to na vlastní náklady....

Více 0 komentářů

Starší zprávičky

Firmu Moravia IT koupil britský konkurent RWS Holding

ČTK , 19. říjen 2017 21:26

Mezi zákazníky firmy specializující se na lokalizaci a testování softwaru patří např. Microsoft, IBM...

Více 0 komentářů

Státní ústav pro kontrolu léčiv hájí elektronické recepty

ČTK , 19. říjen 2017 10:00

V ČR se vydá 60-70 milionů papírových receptů ročně. Podle ministerstva je elektronizace zdravotnict...

Více 0 komentářů

Ransomware Locky v září masivně útočil ve světě i v ČR

Pavel Houser , 19. říjen 2017 09:30

Locky se neobjevil v Top 10 škodlivých kódů od listopadu 2016....

Více 0 komentářů

Podnikové služby tvoří už 5 % českého HDP

Pavel Houser , 19. říjen 2017 09:00

Podnikové služby v ČR rostly o 19 %, největší boom zažívají centra poskytující IT služby....

Více 0 komentářů