Bezpečnostní přehled: Privilegované účty vs. zero day

Pavel Houser , 07. září 2015 08:00 0 komentářů
Rubriky: Security
Bezpečnostní přehled: Privilegované účty vs. zero day

Jsou obavy z malwaru na grafické kartě v současnosti přehnané? Microsoft se snaží sbírat více uživatelských dat i ve Windows 7 a 8. Rizika TOR pro firemní sítě. Jak by měli provozovatelé on-line reklamních sítí bránit propagaci podvodných aktivit? Způsoby přihlašování by se neměly kvůli pohodlí uživatelů příliš zjednodušovat. Následuje pravidelný bezpečnostní přehled vytvářený především podle webů ZDNet, CNet, The Register a HelpNet Security.

Jak blokovat TOR

IBM, respektive její bezpečnostní divize X-Force, vydala další doporučení blokovat ve firemních sítích provozy typu TOR. Tyto sítě se stále více zneužívají pro distribuci ransomwaru, nadále z výstupních uzlů TOR vycházejí i pokusy o SQL injection, DoS útoky a skenování zranitelností. Infrastruktura TOR se podvodníkům hodí i pro řízení ovládaných počítačů.

Přitom existuje celá řada aktualizovaných seznamů uzlů TOR, takže na firemním firewallu je lze blokovat bez ohledu na proměnlivé protokoly/porty apod. Triky. Ani TOR není všemocný, má pouze konečné množství zdrojů.

Microsoft přidává peníze objevitelům bezpečnostních zranitelností.

Maximální odměna se zvýšila na 100 000 dolarů. V podstatě je nyní Microsoft ochoten platit za chyby ve Windows 10, Azure Active Directory, Microsoft Account a Remote App.

Reklam na malware přibývá

Podle průzkumu společnosti Cyphort vzrostlo v loňském roce o 325 % množství reklam propagujících malware, odkazy na podvodné weby a další škodlivé aktivity – míněno ve sledovaných legálních on-line reklamních sítích. V některých případech tyto reklamy odkazují na legitimní, ale aktuálně kompromitovaný web; zadavatelé často začínají s legitimní reklamou, samotná propagace malwaru trvá časově omezenou dobu (např. jen přidáním přesměrování, podvodný typ reklamy se zobrazí jen občas nebo nějaké skupině návštěvníků), což má tyto aktivity zakrýt. Provozovatelé reklamních systémů mohou samozřejmě reklamy častěji skenovat (nejen na začátku kampaně), používat aktualizované blacklisty atp.

Zaostřeno na privilegované účty

Kurt Mueffelmann ze společnosti Cryptzone upozorňuje, že 80 % úspěšných útoků ve firemních sítích bylo provedeno pomocí zneužitých privilegovaných účtů. K nim se podvodníci dostaly kvůli špatným heslům nebo phishingem; naproti tomu úspěšné zneužívání zero day zranitelností hraje jen mnohem menší roli. Obrana by se tedy měla zaměřit právě na privilegované uživatele (samotné IT administrátory, vedení firmy, vývojáře, lidi v obchodu, financích, HR...) s přístupy k citlivým systémům a datům. Útočníci s přístupem k privilegovaným účtům se mohou v podnikové síti skrytě pohybovat i mnoho měsíců.

Kdo má privilegované přístupy, ať se mu klidně znepříjemňuje život. To znamená vždy povinnost vícefaktorového přehlašování/ověření, pro každou relaci zvlášť, pro každé zařízení zvlášť, veškerá komunikace musí být šifrována atd. Vzdálený přístup je sice rizikem, perimetr dnes ovšem nefunguje, nejlepší je proto považovat za nebezpečnou zónu celé prostředí. Není také důvod, proč by měl existovat jeden typ „plného přístupu“, ředitelé mohou mít přístup ke všem informacím, ale žádný ping nebo sledování provozu v síti apod.

Intel mírní obavy z malwaru na GPU

Divize Intel Security, respektive McAfee Labs, uklidňuje uživatele ohledně možnosti, že by se malware skrýval na grafické kartě, eventuálně na čipsetech základní desky. Obavy z tohoto druhu škodlivého softwaru se letos zvýšily po demonstraci zvané JellyFish (o JellyFish viz jeden z předcházejících bezpečnostních přehledů), jsou však zřejmě přehnané. I malware, který se vyhne CPU a hlavní paměti RAM, může být stále viditelný i pro standardní nástroje k ochraně koncových bodů.

Studie uvádí, že tento typ malwaru ostatně není tak nový, vždyť i nástroje pro skrytou těžbu bitcoinů se pokoušejí už asi 4 roky využívat i výpočetní výkon grafických karet. McAfee Labs dále uvádějí, že GPU malware je dnes hrozbou srovnatelnou s rootkity před 10 lety (poznámka: to ale zase není tak docela uklidňující, ne?).

WhatsUp místo e-mailu

Podvodníci pomocí modelu pump-and-dump vyhnali za jediný den cenu akcií firmy Avra Inc. o 640 %. Za jediný den (21. srpna), během kterého došlo k prudkému výkyvu nahoru a dolů, se na burze OTCMKTS zobchodovaly akcie asi za 1,7 milionu dolarů. Cathal McDaid ze společnosti AdaptiveMobile v této souvislosti upozorňuje na zajímavost: v kampani byly použity výhradně mobilní kanály (WhatsUp), nikoliv e-mailový spam. Mobilní spam vycházel z ruských telefonních čísel, dosud byly hlavním zdrojem těchto podvodů čísla s předvolbou Číny, Indie a a USA.

Více údajů sbírají už i Windows 7 a Windows 8

Andrew Orlowski na The Register upozorňuje, že pro Microsoft má bezplatný upgrade na Windows 10 jako jeden z přínosů sběr uživatelských dat. Data jsou anonymizována, otázky ohledně soukromí představují jinou část problému. Orlowski vysvětluje, že pro Microsoft mají data o uživatelích svou cenu v každém případě, alespoň v tom smyslu, že zde zatím zaostává za Googlem. Celá tato debata se však dosud soustřeďuje na Windows 10. Poslední aktualizace (KB3068708, KB3075249 a KB3080149) pro Windows 7 a 8 přitom Microsoftu umožňují získat celou řadu dalších údajů i ze starších verzí Windows, protože s instalací byla přepsána nastavení pro sdílení dat. Konkrétně tak Microsoft získá např. statistiky, jaké aplikace se používají nejčastěji, jak dlouho a jaké funkce v nich, nebo o snímky paměti, které mají odhalit příčiny pádu operačního systému.

Monitoring lze zakázat, ale je to poměrně obtížné, navíc se obcházejí nástroje pro ochranu soukromí od třetích stran. Orlowski hodnotí vše tak, že samotné anonymizované sbírání dat sice uživatelům nemusí vadit, nicméně způsob, jakým ho Microsoft do systémů dostává a jak komplikuje vypnutí této funkce, nedělá společnosti zrovna dobrou reklamu.

CSIRT.CZ varuje/oznamuje

Cisco vydalo záplaty pro vzdáleně zneužitelnou zranitelnost týkající se produktů UCS Director a Integrated Management Controller.

Ze světa firem

Placení pomocí mobilů, průzkum v ČR a SR: Obliba digitálních peněženek je větší na Slovensku, kde je využívá 17 % dotázaných, jež vlastní smartphone, v České republice je tento podíl pouze 9 %. Nejzajímavější platební metodou do budoucna je podle respondentů placení pomocí otisku prstu (ČR: 64 %, SK: 68 %). Zdroj: tisková zpráva společnosti MasterCard

Vydána byla nová verze řešení Eset Mail Security pro Microsoft Exchange Server. Verze 6 podle dodavatele přidává např. pokročilou kontrolu paměti, která monitoruje chování procesů hned po rozbalení v paměti – díky tomu je systém schopen detekovat i šifrované hrozby. Exploit blocker chrání aplikace před zneužitím jejich bezpečnostních chyb. Novou podobu má také antispam a uživatelské rozhraní. Pro skenování lze nyní využívat i cloudovou databázi hrozeb Eset Live Grid. Zdroj: tisková zpráva společnosti Eset

Axis vylepšuje své bezpečnostní síťové kamery Q1755 a Q1755-E o funkci Wide Dynamic Range - Dynamic Capture, která umožňuje dosáhnout čistšího a ostřejšího obrazu. Zdroj: tisková zpráva společnosti Axis Communication

Každá pátá společnost se domnívá, že její on-line služby by měli proti DDoS útokům primárně chránit ti, kdo jí zajišťují IT služby, zejména poskytovatelé sítí; reálně škody nicméně vesměs zaplatí výhradně postižená firma. Během 12 měsíců se s útokem DDoS setkalo 28 % malých firem a 48 % velkých organizací (podíl z těch, které poskytují služby prostřednictvím Internetu). Zdroj: tisková zpráva společnosti Kaspersky Lab/průzkum B2B International

Izraelská firma CyberGym se rozhodla otevřít v ČR svou první komerční „tréninkovou arénu“ v Evropě. Zákazníci se v ní mají naučit bránit proti kybernetickým útokům. Aréna bude stát nedaleko Prahy v obci Řitka a její spuštění je plánováno na únor 2016. Provoz arény zahrnuje i zázemí, které má být schopno maximálně napodobit infrastrukturu zákazníků včetně produkčního prostředí (ať už jde např. o dopravní firmy, energetické společnosti nebo banky). Zdroj: tisková zpráva společnosti CyberGym

Psali jsme na ITBiz

Na téma zabezpečení na ITBiz viz také: * USA chystají sankce proti hackerům z Číny


Komentáře

RSS 

Komentujeme

Bezpečnost IT a tygří logika

Pavel Houser , 14. únor 2017 11:00
Pavel Houser

Jak praví známý vtip, běží-li za vámi tygr, netřeba se pohybovat rychleji než šelma – stačí předběhn...

Více






Kalendář

20. 03.

24. 03.
CeBIT 2017
25. 03. INSPO 2017
28. 04. Oracle Code 2017
RSS 

Zprávičky

Procesor Exynos 9 Series má zvýšit výkon mobilních zařízení

Pavel Houser , 27. únor 2017 14:43

Procesor je vyrobený 10nm FinFET technologií.

...

Více 0 komentářů

Navrhované daňové změny mohou způsobit odliv IT specialistů

ITBiz.cz , 27. únor 2017 12:00

Návrh ČSSD na zavedení daňové progrese by mohl výrazným způsobem ohrozit oblast podnikových služeb, ...

Více 6 komentářů

V USA zemřel hráč PC her během 24hodinového herního maratonu

ČTK , 27. únor 2017 10:00

Ve Spojených státech zemřel hráč počítačových her během 24hodinového herního maratonu, jehož cílem b...

Více 0 komentářů

Starší zprávičky

Samsung představil nové Gear VR s ovladačem

ITBiz.cz , 26. únor 2017 20:23

Samsung představil zcela nové brýle Gear VR s ovladačem, kterými rozšiřuje vlastní portfolio zařízen...

Více 0 komentářů

3 nové smartphony Nokia s Androidem

ITBiz.cz , 26. únor 2017 20:12

Znovuzrození se dočkala Nokia 3310....

Více 1 komentářů

Acer uvádí smartphony Liquid Z6E

ITBiz.cz , 26. únor 2017 19:38

Technologie BlueLightShield snižuje míru vystavení modrému světlu....

Více 0 komentářů

V Barceloně začíná Mobile World Congress 2017

ITBiz.cz , 26. únor 2017 16:14

LG G6 je jednou z prvním novinek představených v Barceloně. Smarpthone pro sledování videa a fotogra...

Více 0 komentářů