Bezpečnostní přehled: Privilegované účty vs. zero day

Pavel Houser , 07. září 2015 08:00 0 komentářů
Rubriky: Security
Bezpečnostní přehled: Privilegované účty vs. zero day

Jsou obavy z malwaru na grafické kartě v současnosti přehnané? Microsoft se snaží sbírat více uživatelských dat i ve Windows 7 a 8. Rizika TOR pro firemní sítě. Jak by měli provozovatelé on-line reklamních sítí bránit propagaci podvodných aktivit? Způsoby přihlašování by se neměly kvůli pohodlí uživatelů příliš zjednodušovat. Následuje pravidelný bezpečnostní přehled vytvářený především podle webů ZDNet, CNet, The Register a HelpNet Security.

Jak blokovat TOR

IBM, respektive její bezpečnostní divize X-Force, vydala další doporučení blokovat ve firemních sítích provozy typu TOR. Tyto sítě se stále více zneužívají pro distribuci ransomwaru, nadále z výstupních uzlů TOR vycházejí i pokusy o SQL injection, DoS útoky a skenování zranitelností. Infrastruktura TOR se podvodníkům hodí i pro řízení ovládaných počítačů.

Přitom existuje celá řada aktualizovaných seznamů uzlů TOR, takže na firemním firewallu je lze blokovat bez ohledu na proměnlivé protokoly/porty apod. Triky. Ani TOR není všemocný, má pouze konečné množství zdrojů.

Microsoft přidává peníze objevitelům bezpečnostních zranitelností.

Maximální odměna se zvýšila na 100 000 dolarů. V podstatě je nyní Microsoft ochoten platit za chyby ve Windows 10, Azure Active Directory, Microsoft Account a Remote App.

Reklam na malware přibývá

Podle průzkumu společnosti Cyphort vzrostlo v loňském roce o 325 % množství reklam propagujících malware, odkazy na podvodné weby a další škodlivé aktivity – míněno ve sledovaných legálních on-line reklamních sítích. V některých případech tyto reklamy odkazují na legitimní, ale aktuálně kompromitovaný web; zadavatelé často začínají s legitimní reklamou, samotná propagace malwaru trvá časově omezenou dobu (např. jen přidáním přesměrování, podvodný typ reklamy se zobrazí jen občas nebo nějaké skupině návštěvníků), což má tyto aktivity zakrýt. Provozovatelé reklamních systémů mohou samozřejmě reklamy častěji skenovat (nejen na začátku kampaně), používat aktualizované blacklisty atp.

Zaostřeno na privilegované účty

Kurt Mueffelmann ze společnosti Cryptzone upozorňuje, že 80 % úspěšných útoků ve firemních sítích bylo provedeno pomocí zneužitých privilegovaných účtů. K nim se podvodníci dostaly kvůli špatným heslům nebo phishingem; naproti tomu úspěšné zneužívání zero day zranitelností hraje jen mnohem menší roli. Obrana by se tedy měla zaměřit právě na privilegované uživatele (samotné IT administrátory, vedení firmy, vývojáře, lidi v obchodu, financích, HR...) s přístupy k citlivým systémům a datům. Útočníci s přístupem k privilegovaným účtům se mohou v podnikové síti skrytě pohybovat i mnoho měsíců.

Kdo má privilegované přístupy, ať se mu klidně znepříjemňuje život. To znamená vždy povinnost vícefaktorového přehlašování/ověření, pro každou relaci zvlášť, pro každé zařízení zvlášť, veškerá komunikace musí být šifrována atd. Vzdálený přístup je sice rizikem, perimetr dnes ovšem nefunguje, nejlepší je proto považovat za nebezpečnou zónu celé prostředí. Není také důvod, proč by měl existovat jeden typ „plného přístupu“, ředitelé mohou mít přístup ke všem informacím, ale žádný ping nebo sledování provozu v síti apod.

Intel mírní obavy z malwaru na GPU

Divize Intel Security, respektive McAfee Labs, uklidňuje uživatele ohledně možnosti, že by se malware skrýval na grafické kartě, eventuálně na čipsetech základní desky. Obavy z tohoto druhu škodlivého softwaru se letos zvýšily po demonstraci zvané JellyFish (o JellyFish viz jeden z předcházejících bezpečnostních přehledů), jsou však zřejmě přehnané. I malware, který se vyhne CPU a hlavní paměti RAM, může být stále viditelný i pro standardní nástroje k ochraně koncových bodů.

Studie uvádí, že tento typ malwaru ostatně není tak nový, vždyť i nástroje pro skrytou těžbu bitcoinů se pokoušejí už asi 4 roky využívat i výpočetní výkon grafických karet. McAfee Labs dále uvádějí, že GPU malware je dnes hrozbou srovnatelnou s rootkity před 10 lety (poznámka: to ale zase není tak docela uklidňující, ne?).

WhatsUp místo e-mailu

Podvodníci pomocí modelu pump-and-dump vyhnali za jediný den cenu akcií firmy Avra Inc. o 640 %. Za jediný den (21. srpna), během kterého došlo k prudkému výkyvu nahoru a dolů, se na burze OTCMKTS zobchodovaly akcie asi za 1,7 milionu dolarů. Cathal McDaid ze společnosti AdaptiveMobile v této souvislosti upozorňuje na zajímavost: v kampani byly použity výhradně mobilní kanály (WhatsUp), nikoliv e-mailový spam. Mobilní spam vycházel z ruských telefonních čísel, dosud byly hlavním zdrojem těchto podvodů čísla s předvolbou Číny, Indie a a USA.

Více údajů sbírají už i Windows 7 a Windows 8

Andrew Orlowski na The Register upozorňuje, že pro Microsoft má bezplatný upgrade na Windows 10 jako jeden z přínosů sběr uživatelských dat. Data jsou anonymizována, otázky ohledně soukromí představují jinou část problému. Orlowski vysvětluje, že pro Microsoft mají data o uživatelích svou cenu v každém případě, alespoň v tom smyslu, že zde zatím zaostává za Googlem. Celá tato debata se však dosud soustřeďuje na Windows 10. Poslední aktualizace (KB3068708, KB3075249 a KB3080149) pro Windows 7 a 8 přitom Microsoftu umožňují získat celou řadu dalších údajů i ze starších verzí Windows, protože s instalací byla přepsána nastavení pro sdílení dat. Konkrétně tak Microsoft získá např. statistiky, jaké aplikace se používají nejčastěji, jak dlouho a jaké funkce v nich, nebo o snímky paměti, které mají odhalit příčiny pádu operačního systému.

Monitoring lze zakázat, ale je to poměrně obtížné, navíc se obcházejí nástroje pro ochranu soukromí od třetích stran. Orlowski hodnotí vše tak, že samotné anonymizované sbírání dat sice uživatelům nemusí vadit, nicméně způsob, jakým ho Microsoft do systémů dostává a jak komplikuje vypnutí této funkce, nedělá společnosti zrovna dobrou reklamu.

CSIRT.CZ varuje/oznamuje

Cisco vydalo záplaty pro vzdáleně zneužitelnou zranitelnost týkající se produktů UCS Director a Integrated Management Controller.

Ze světa firem

Placení pomocí mobilů, průzkum v ČR a SR: Obliba digitálních peněženek je větší na Slovensku, kde je využívá 17 % dotázaných, jež vlastní smartphone, v České republice je tento podíl pouze 9 %. Nejzajímavější platební metodou do budoucna je podle respondentů placení pomocí otisku prstu (ČR: 64 %, SK: 68 %). Zdroj: tisková zpráva společnosti MasterCard

Vydána byla nová verze řešení Eset Mail Security pro Microsoft Exchange Server. Verze 6 podle dodavatele přidává např. pokročilou kontrolu paměti, která monitoruje chování procesů hned po rozbalení v paměti – díky tomu je systém schopen detekovat i šifrované hrozby. Exploit blocker chrání aplikace před zneužitím jejich bezpečnostních chyb. Novou podobu má také antispam a uživatelské rozhraní. Pro skenování lze nyní využívat i cloudovou databázi hrozeb Eset Live Grid. Zdroj: tisková zpráva společnosti Eset

Axis vylepšuje své bezpečnostní síťové kamery Q1755 a Q1755-E o funkci Wide Dynamic Range - Dynamic Capture, která umožňuje dosáhnout čistšího a ostřejšího obrazu. Zdroj: tisková zpráva společnosti Axis Communication

Každá pátá společnost se domnívá, že její on-line služby by měli proti DDoS útokům primárně chránit ti, kdo jí zajišťují IT služby, zejména poskytovatelé sítí; reálně škody nicméně vesměs zaplatí výhradně postižená firma. Během 12 měsíců se s útokem DDoS setkalo 28 % malých firem a 48 % velkých organizací (podíl z těch, které poskytují služby prostřednictvím Internetu). Zdroj: tisková zpráva společnosti Kaspersky Lab/průzkum B2B International

Izraelská firma CyberGym se rozhodla otevřít v ČR svou první komerční „tréninkovou arénu“ v Evropě. Zákazníci se v ní mají naučit bránit proti kybernetickým útokům. Aréna bude stát nedaleko Prahy v obci Řitka a její spuštění je plánováno na únor 2016. Provoz arény zahrnuje i zázemí, které má být schopno maximálně napodobit infrastrukturu zákazníků včetně produkčního prostředí (ať už jde např. o dopravní firmy, energetické společnosti nebo banky). Zdroj: tisková zpráva společnosti CyberGym

Psali jsme na ITBiz

Na téma zabezpečení na ITBiz viz také: * USA chystají sankce proti hackerům z Číny


Komentáře


RSS 

Komentujeme

Chatbot mluví za mrtvého – od nápadu k realizaci

Pavel Houser , 30. listopad 2016 13:00
Pavel Houser

Na webu The Verge popsala Casey Newton příběh dvou přátel (Eugenia Kuyda a Roman Mazurenko). Peripet...

Více





Kalendář


RSS 

Zprávičky

Ruská Centrální banka oznámila masivní útok hackerů

ČTK , 06. prosinec 2016 11:00

Do systému ruské Centrální banky se letos dostali hackeři a s pomocí zfalšovaných hesel se pokusili ...

Více 0 komentářů

CETIN vydal dluhopisy za 25 miliard Kč

ČTK , 05. prosinec 2016 18:00

Česká telekomunikační infrastruktura (CETIN) upsala dluhopisy v eurech a korunách v celkovém objemu ...

Více 1 komentářů

Nahradí otisky prstů přístupová hesla?

ČTK , 05. prosinec 2016 14:30

Zní to jako skvělý nápad: zapomeňte na hesla a zamykejte telefon místo nich otiskem svého prstu. Je ...

Více 1 komentářů

Starší zprávičky

Počítač a internet má na jižní Moravě více než 75 pct domácností

ČTK , 05. prosinec 2016 10:30

Počet jihomoravských domácností, které mají počítač a přístup k internetu, se loni přehoupl na jižní...

Více 0 komentářů

Vodafone zvýšil do září počet zákazníků na 3,54 milionu

ČTK , 04. prosinec 2016 18:00

Mobilní operátor Vodafone zvýšil do konce září počet zákazníků na českém trhu meziročně o 146.000 na...

Více 0 komentářů

Nový škodlivý program ukradl údaje k milionu účtů Google

ČTK , 02. prosinec 2016 14:00

Nový škodlivý program Goolian narušil bezpečnost více než jednoho milionu účtů Google. Šíří se na za...

Více 1 komentářů

Telefony Nokia se příští rok vrátí na trh

ČTK , 02. prosinec 2016 10:30

Chytré telefony se značkou Nokia se objeví zpátky na trhu v příštím roce. Finská společnost Nokia dn...

Více 2 komentářů