Bezpečnostní přehled: Problémy s WordPressem bez konce

Pavel Houser , 11. květen 2015 08:45 2 komentářů
Bezpečnostní přehled: Problémy s WordPressem bez konce

Lidé plošně používají už nepodporované programy. Čím dál víc firem z ČR má zkušenost s DDoS útokem. Jak ovládnout chirurgického robota, jak dopadli čeští odborníci na kyberbezpečnostním cvičení NATO, návrat makrovirů... Následuje pravidelný bezpečnostní přehled vytvářený především podle webů ZDNet, CNet, The Register a HelpNet Security.

Bezpečnost chirurgických robotů

Na University of Washington zkoumali zabezpečení vzdáleně ovladatelných chirurgických robotů. U systému Raven II dospěli k závěru, že systém lze hackout, vyřadit z provozu, přepisovat instrukce i měnit pohyby robota. Předpokládá se, že chirurgičtí roboti by se mohli používat v extrémních podmínkách, kde k dispozici není ani stabilní internet, takže ke komunikaci/ovládání by se využívaly i satelity a drony. Samotné nyní demonstrované zneužití se provádělo na úrovni síťové komunikace, tj. nebylo záležitostí vlastního robota Raven II ve smyslu koncového bodu. Problémy ovšem mohou být i zde.

Zranitelné aplikace pro iOS

Zranitelnosti v často používané knihovně AFNetworking znamenají riziko až pro 25 000 aplikací pro iOS včetně některých aplikací bankovních. Právě opravené chyby umožňovaly útoky typu man-in-the-middle. K odposlouchávání bylo potřeba mít pouze libovolný platný SSL certifikát (tj. problém byl v kontrole adresy webového serveru). Nyní by aktualizovat měli i správci/vývojáři aplikací.

Opravy pro Safari

Apple vydal tři bezpečnostní záplaty pro Safari, které opravují jádro WebKit. Jedna z chyb může dát útočníkovi přístup k souborovému systému na lokálním disku, druhá vést ke vzdálenému spuštění kódu už při návštěvě webu. Aktuální verze pro jednotlivé systémy Mac OS X mají nyní čísla Safari 8.0.6, 7.1.6 a 6.2.6. Prohlížeč ve verzi pro iOS podle všeho odpovídajícím způsobem zranitelný není, zde žádné záplaty alespoň vydány nebyly.

Vedou Java, QuickTime a Adobe Reader

Podle analýzy společnosti Secunia je pořadí nejčastěji chybějících aktualizací na počítačích uživatelů (nerozlišovány domácnosti a firmy) následující: Java 7, Apple QuickTime 7, Adobe Reader X, Adobe Reader XI. Útočníci mohou této situace nejsnáze zneužívat pomocí rozesílaných podvržených PDF dokumentů. Mezi další nejrizikovější aplikace se ještě řadí uTorrent a VLC Media Player. Pořadí vychází z podílu neaktualizované verze ve vztahu ke všem uživatelům dané aplikace/platformy (tj. v absolutním měřítku používá např. více lidí Adobe Reader XI než X, tj. více je i takto zranitelných; i když pouze 11 % lidí má neaktualizovaný Internet Explorer, míra ohrožení je zde dána i rozšířením programu v absolutních číslech atd.). V průměru každý 20. program na počítači už není výrobcem podporován, tj. je sice „aktuální“, ale žádné opravy eventuálních zranitelností se již nevydávají.

Návrat makrovirů

Microsoft upozorňuje, že makroviry jsou opravdu zpět a aktuálně je takto získaným malwarem infikováno až půl milionu počítačů. Obětí téměř vždy naletí na tvrzení, že povolení maker je potřeba k řádnému fungování připojeného dokumentu. Nejčastější současné makro-hrozby jsou Microsoftem označovány jako Adnel, Bartallex, Donoff, Jeraps a Ledod, po povolení stahují a spouští trojské koně nebo další downloadery. Firemní administrátoři by např. měli plošně zakázat makra ve starších verzích MS Office.

Další potíž eBay

Jaanus Kääp z firmy Clarified Security upozorňuje, že systém pro zasílání zpráv používaný na eBay obsahuje XSS zranitelnost. Výsledkem může být krádež relace, respektive útočník se může vydávat za jiného uživatele. Kääp tvrdí, že informace publikoval, protože přes jeho upozornění dodavateli chyba zůstala neopravená rok. Výzkumník postupoval mimo samotný bezpečnostní program eBay, kde se objevitelé zavazují k mlčenlivosti a podle závažnosti reportovaného problému získávají finanční odměnu. EBay měla v poslední době bezpečnostní problémy i v souvislosti se systémem Magento. Viz také: Check Point objevil vážnou zranitelnost v e-commerce platformě Magento

CSIRT.CZ varuje

Tisíce počítačů a webserverů s operačními systémy Linux a FreeBSD byly v posledních pěti letech infikovány sofistikovaným malwarem Mumblehard, který změnil napadené stroje na spamboty. Podle společnosti Eset se malware do systémů dostal pomocí zranitelností v redakčních systémech WordPress a Joomla.

Znovu WordPress

Zprávy o chybách ve WordPressu i jeho plug-inech se v poslední době opakují se železnou pravidelností. David Dede ze společnosti Sucuri upozorňuje na problémy např. s doplňky Twenty Fifteen a JatPack, v prvním případě již dochází i k pokusům o zneužívání. První s plug-inů je v instalacích WordPressu nastaven jako výchozí, i druhý je ale přítomen na více než milionu webů. Rizikovost těchto zranitelností spočívá v tom, že postižené weby lze poměrně snadno najít a stejně tak samotný útok nevyžaduje speciální technické znalosti. (Ostatně na problémy WordPressu v poslední době i speciálně upozornila FBI.)

Každoroční cvičení v Tallinnu

Česká republika se již podruhé zapojila do mezinárodního kybernetického cvičení Locked Shields 2015 (LS15). Pátého ročníku tohoto technicky orientovaného cvičení se letos zúčastnil rekordní počet více než čtyř set odborníků z oblasti kybernetické bezpečnosti z celkem 16 zemí včetně týmu NATO Computer Incident Response Capability. I přes silnou konkurenci dosáhla ČR také v tomto roce nadprůměrných výsledků. Toto největší mezinárodní technické cvičení v oblasti kybernetické bezpečnosti je každoročně pořádáno v estonském Tallinnu prostřednictvím NATO. Zdroj: Národní centrum kybernetické bezpečnosti

Ze světa firem

Zatímco v roce 2012 svůj účet přes internet spravovalo 65,4 % klientů, v roce 2015 je to již 82 %. Na popularitě získává také mobilní bankovnictví, které pravidelně využívá 24 % klientů. 62 % klientů raději volí jednoduché zabezpečení svého účtu před bezpečnějším vícefaktorovým. Navíc 40 % klientů neaktualizuje svá hesla. Zdroj: tisková zpráva: České bankovní asociace

Barracuda Networks představila produkt CudaEye Local+. Umožňuje ukládat HD video záznamy z IP bezpečnostních kamer, přičemž záznam je chráněn šifrováním. Videodata jsou primárně ukládána lokálně; následně je možné nahrát tyto záznamy na zabezpečené cloudové úložiště VideoVault a centrálně spravovat. Zdroj: tisková zpráva společnosti Gesto Communications

Cisco a Airbus Defence and Space se rozhodly spolupracovat při vývoji nových produktů a řešení pro obranu, bezpečnost a satelitní komunikaci. Airbus není jen druhý největší výrobce letadel na světě, ale jeho divize Airbus Defence and Space stojí i za projektem nejmodernějšího víceúčelového bitevního letounu Eurofighter Typhoon nebo kosmickou raketou Ariane 5, která slouží k vynášení satelitů na oběžnou dráhu. Zdroj: tisková zpráva společnosti Cisco

V ČR se 28 % firem, které poskytují své služby online, setkalo za posledních dvanáct měsíců s DDoS útokem. Ukázal to průzkum Kaspersky Lab a B2B International. V porovnání s celosvětovými statistikami je na tom ČR o něco lépe – ve světě čelilo DDoS útokům 38 % online společností, v Evropě pak 32 %. Podle celosvětových dat z průzkumu trpí útoky DDoS v největší míře IT společnosti: 49 % respondentů z tohoto oboru uvedlo, že za poslední rok alespoň jednou čelili napadení. Zdroj: tisková zpráva společnosti Kaspersky Lab

Axis přichází s novými HDTV PTZ kamerami, které kombinují videodohled a technologie pro živý streaming a webcast. Jedná se o modely Axis V5914 a V5915. Zdroj: tisková zpráva společnosti Axis Communications

Nové rodiny procesorů Intel Xeon E7-8800/4800 v3 nabízejí vyšší výkon šifrování. Implementace Intel AES-NI provedená ve spolupráci s firmou Cloudera nabízí 2,5násobné zrychlení při šifrování mimo špičku, takže celá datová sada Hadoop může být zašifrována se systémovými náklady od 1 do 4 % v závislosti na zátěži. Zdroj: tisková zpráva společnosti Intel

Psali jsme na ITBiz

Na téma bezpečnosti na ITBiz viz také:


Komentáře

Pavel Šimerda #0
Pavel Šimerda 11. květen 2015 10:00

Opravte si název v nadpisu.

Václav Maletínský 11. květen 2015 15:01

Opraveno, díky za upozornění


RSS 

Komentujeme

Chatbot mluví za mrtvého – od nápadu k realizaci

Pavel Houser , 30. listopad 2016 13:00
Pavel Houser

Na webu The Verge popsala Casey Newton příběh dvou přátel (Eugenia Kuyda a Roman Mazurenko). Peripet...

Více





Kalendář


RSS 

Zprávičky

Telefony Nokia se příští rok vrátí na trh

ČTK , 02. prosinec 2016 10:30

Chytré telefony se značkou Nokia se objeví zpátky na trhu v příštím roce. Finská společnost Nokia dn...

Více 2 komentářů

CETIN nabídne příští rok operátorům připojení až 250 Mbit/s

ČTK , 01. prosinec 2016 17:00

Společnost Česká telekomunikační infrastruktura (CETIN) zvýší od května příštího roku rychlost inter...

Více 0 komentářů

Akcie Samsungu stouply na nový rekord

ČTK , 01. prosinec 2016 12:00

Akcie jihokorejské společnosti Samsung Electronics dnes stouply o více než čtyři procenta na nový re...

Více 0 komentářů

Starší zprávičky

FBI bude moci s povolením soudu pronikat do jakýchkoli počítačů

ČTK , 01. prosinec 2016 10:30

V americkém Senátu dnes selhal poslední pokus o zablokování rozšířených policejních pravomocí, které...

Více 2 komentářů

Gartner:Prodej tabletů v ČR letos klesne o osm procent na 1,1 mil

ČTK , 30. listopad 2016 14:00

Zájem o tablety letos dále klesá. Prodej tabletů a hybridních notebooků na českém trhu se letos sníž...

Více 0 komentářů

Grafen opracovaný laserem

Pavel Houser , 30. listopad 2016 11:00

Na Iowa State University přišli s další metodou pro tištění grafenových součástek. V tomto případě j...

Více 0 komentářů

GFI Software přichází s beta verzí pokročilé cloudové ochrany e-mailu

Petr Velecký , 29. listopad 2016 18:00

Beta verzi své nejnovější cloudové platformy pro zajištění bezpečnosti a kontinuity provozu podnikov...

Více 0 komentářů