Bezpečnostní přehled: Proč se vyplatí útoky zrovna na oddělení HR

Pavel Houser , 09. leden 2017 12:00 0 komentářů
Bezpečnostní přehled: Proč se vyplatí útoky zrovna na oddělení HR

O nadužívání slova hacking. Statistiky zranitelností CVE za loňský rok, vyhrály Android a Adobe. Policie chce přístup k datům zavražděného zákazníka Amazonu. Novinky ze světa ransomwaru. Databáze MongoDB přístupné bez hesla. Se zabezpečením e-mailu jsou na tom firmy prý hůře než koncoví uživatelé.

Následuje pravidelný bezpečnostní přehled vytvářený především podle webů ZDNet, CNet, The Register, SecurityWeek a HelpNet Security.

Kauza Amazon Echo Po kauze FBI vs. Apple (zamčený iPhone) je zde další obdobný případ. Policie v Arkansasu požaduje od Amazonu záznam ze zařízení Echo. Jedná se o chytrý přehrávač, který se ovládá hlasem – dokáže tedy zaznamenávat zvuk. Zařízení stálo v bytě zavražděného a v den vraždy se prokazatelně používalo. Neví se ovšem, co přesně Echo zaznamenává a nějak ukládá (=zda i něco jiného, než co vyhodnotí jako ovládací příkazy), tj. zda takto lze v principu vůbec získat nějaké informace relevantní pro vyšetřování. Po zavraždění vlastníka zařízení by policie přístup ke cloudovému úložišti zavražděného každopádně ráda dostala, Amazon zatím odmítá heslo poskytnout a trvá na soudním příkazu. (Poznámka: oproti kauze kolem iPhonu jsou zde ovšem i rozdíly. Apple se odmítl podvolit i soudnímu příkazu. Apple navíc uváděl, že přístup k zařízení vůbec nemá, protože neexistuje backdoor. To u účtu na Amazonu a podobné službě lze tvrdit hůře, provozovatel např. musí dokázat obnovit přístup k účtu při zapomenutí hesla.)

Lajdáctví, nebo hacking? Zack Whittaker na ZDNet se zamýšlí nad tím, jak se dnes jakýkoliv únik dat často označuje za hacknutí (konkrétně inspirací ke komentáři byl unik dat ze státní instituce v Nevadě). Jinak řečeno, slovo je velmi nadužívané. Pokud si člověk vygoogluje seznam zařízení, které třeba umožňují přístup na nesmazatelné defaultní oprávnění, jde potom ovládnutí takového zařízení vůbec označovat za hacking? Věc má minimálně ještě jednu další stránku. Když někdo špatně nakonfiguruje web nebo FTP server, takže příslušné citlivé informace jsou volně přístupné, pak se provozovatel označením incidentu za hacking celkem zbavuje odpovědnosti a skrývá, že šlo prostě o jeho vlastní lajdáctví. Takže i v Nevadě začala oficiální místa najednou mluvit o „útoku“, „krádeži dat“. Neoprávněný přístup do systému je ovšem trestný čin (a to bez ohledu na to, zda jsou nějaká data zkopírována), může se to v nějakém ohledu vztahovat i na toho, kdo si příslušná „volně přístupná“ data zobrazil, eventuálně je zkopíroval a pak poslal dál?

Přes chytré měřáky lze vypnout i zabezpečení Netanel Rubin z filrmy Vaultra upozorňuje na rizika chytrých měřičů a dalších zařízení pro ovládání spotřeby elektřiny v domácnosti. Útočníci mohou získat k zařízení přístup např. kvůli nevhodné implementaci bezdrátové komunikace. Jindy se mohou za zařízení vydávat pomocí vlastního aparátu někde v sousedství. Rizika se neomezují na podvody s vyúčtováním nebo vypnutím systému, ale tímto způsobem lze potenciálně nastavovat odběry až tak, že se zničí další zařízení a vznikne riziko požáru. Rubin též demonstroval, jak útočník může ovládnutím tohoto systému posléze získat kontrolu i nad další domácí elektronikou a třeba vypnout zabezpečení a otevřít dveře.

Nejzranitelnější produkt: Android Analýza databáze CVE zranitelností (spravuje společnost Mitre) za loňský rok poskytuje následující údaje. Celkem bylo za rok zaznamenáno přes 10 000 zranitelností. Co se jednotlivých produktu týče, nejvíce děr bylo objeveno v Androidu (523 záznamů), v žebříčku dodavatelů vede Adobe (celkem 1 383 záznamů, speciálně Flash Player 266 záznamů). Pořadí dalších dodavatelů: Microsoft (1 325), Google (695), Apple (611). V žebříčku produktů je na 2. místě Debian (319) a na 3. Ubuntu (278), často však kvůli chybám v balíčcích třetích stran, které jsou součástí příslušných distribucí, nikoliv samotných operačních systémů. A u Androidu je množství chyb dáno zase i tím, že Google za jejich reportování štědře platí, takže velké množství lidí má motivaci je hledat.

Volně přístupné databáze MongoDB Asi 2 000 databází MongoDB, které byly bez přístupné z Internetu bez jakýchkoliv oprávnění, napadl ransomware. Victor Gevers z GDI.foundation uvedl, že část správců útočníkům požadovaných 0,2 bitcoinů opravdu zaplatilo. Každopádně na velké množství databází MongoDB přístupných bez hesla se upozorňuje už pár let, jejich množství klesá jen zvolna. V rámci Amazon Web Services až 78 % používaných implementací MongoDB obsahuje nějaký bezpečností problém. Napadnutelné databáze lze celkem snadno dohledat (takto lze najít asi 25 000 aplikací, je tedy skoro s podivem, že ransomware nenapadl všechny).

Zranitelnosti a opravy Google vydal první letošní sadu záplat pro Android (přesněji řečeno, opravy jsou rozděleny do dvou balíčků, na samotný systém a ovladače + software výrobců zařízení). Z 95 opravených zranitelností je 22 označeno jako kritické, 50 má pak povahu eskalace oprávnění. Kritická zranitelnost CVE-2017-0381, umožňující vzdálené spuštění kódu, se vztahuje ke komponentě Mediaserver, kterou je třeba látat velmi často. Další kritické zranitelnosti se týkají souborového systému jádra, sybsystému paměti jádra, zavaděče Qualcomm a ovladačů Nvidia, MediTek a Qualcomm (pro software Qualcomm byly uvolněny navíc ještě opravy tří dalších kritických chyb).

Kaspersky opravil ve svém softwaru chybu, která mohla uživatelům způsobovat problémy při ověřování certifikátů SSL (tj. pak např. nefungovaly určité weby).

Emsisoft publikoval nástroj pro odemčení souborů zašifrovaných ransomwarem Globe3 (verze Globe a Globe2 byly prolomeny už dříve). Globe3 může mít celou řadu podob, protože k dispozici je nástroj umožňující podvodníkům malware přizpůsobit na míru podle konkrétních cílů.

CSIRT.CZ upozorňuje/varuje Nová kampaň cílí na HR oddělení. Využívá faktu, že pracovníci oddělení lidských zdrojů otevírají přílohy z neznámých zdrojů nejčastěji. Zatím tento útok používá ransomware GoldenEye (varianta Petya). Lze očekávat, že se připojí i ostatní producenti ransomwaru.

Poznámky: V minulosti podobné akce prováděl ransomware Cerber. Jak uvádí Check Point, stávající kampaň běží především v Německu. Průvodní e-maily většinou obsahovaly 2 přílohy, neškodný PDF s životopisem, který měl zaměstnance HR oddělení přimět otevřít samotný škodlivý Excel a povolit makra. Allan Liska, bezpečnostní analytik Recorded Future, v této souvislosti poznamenává, že firmy jsou proti ransomwaru paradoxně zranitelnější než koncoví uživatelé. Microsoft, Google, Yahoo a další poskytovatelé webových e-mailů mají totiž mnohem efektivnější filtry než běžné společnosti, také umí mnohem rychleji identifikovat nové hrozby a začít je filtrovat. Nedokonalost technologií pro zabezpečení e-mailu v podnicích je podle Lisky vůbec hlavním důvodem nástupu ransomwaru v loňském roce.

Ze světa firem 38 % finančních institucí připouští, že je vzhledem ke komplexnímu technologickému prostředí stále složitější rozeznat podvodnou transakci od běžné. Specializované řešení proti finančním podvodům má zavedeno pouze 57 % z nich. Zdroj: tisková zpráva společnosti Kaspersky Lab

Pouze 30 % uživatelů internetu vytváří pro každý svůj účet unikátní heslo. Každý 10. používá stejné heslo pro všechny služby. 47 % lidí používá ve svých heslech kombinaci malých a velkých písmen a 64 % kombinují písmena a čísla. Zdroj: tisková zpráva společnosti Kaspersky Lab

Škodlivý kód Danger byl i v závěru roku 2016 nerozšířenější hrozbou v ČR; prosincových 46 % je ovšem přece jen méně něž 54% podíl v listopadu. Tento malware se šíří především pomocí e-mailů se škodlivými přílohami. Danger stahuje další škodlivé kódy, tj. oběti ohrožuje variabilním způsobem.

Top 10 hrozeb v ČR za prosinec 2016

  1. JS/Danger.ScriptAttachment (46 %)

  2. JS/TrojanDownloader.Nemucod (4 %)

  3. VBA/TrojanDownloader.Agent.CFL (3 % )

  4. JS/Kryptik.RE (2 %)
  5. VBA/TrojanDownloader.Agent.CCV (2 %)

  6. VBA/TrojanDownloader.Agent.CFA (2 %)

  7. VBA/TrojanDownloader.Agent.CEF (2 %)

  8. VBA/TrojanDownloader.Agent.CDE (2 %)

  9. VBA/TrojanDownloader.Agent.CDO (2 %)

  10. VBA/TrojanDownloader.Agent.CEW (2 %)

Zdroj: tisková zpráva společnosti Eset

Barracuda NextGen Firewall je nově k dispozici i pro Google Cloud Platform. Zdroj: tisková zpráva společnosti Gesto Communications (distributor Barracuda Networks pro ČR a SR)

Psali jsme na ITBiz.cz

Na téma zabezpečení na ITBiz viz také

Doporučení FBI pro zvýšení bezpečnosti IT

Bezpečnostní přehled: Rok starý a nový


Komentáře

RSS 

Komentujeme

Skutečně software pohltí svět?

Pavel Houser , 22. duben 2017 14:00
Pavel Houser

Výrok, podle něhož má software pojídat svět, jako první použil (zřejmě) Marc Andreessen v roce 2011 ...

Více





RSS 

Zprávičky

O2 zvýšila do března čistý zisk o tři procenta na 1,29 miliardy

ČTK , 30. duben 2017 12:00

Operátor O2 zvýšil v prvním čtvrtletí zisk o tři procenta na 1,29 miliardy korun. Konsolidované výno...

Více 0 komentářů

Amazon za čtvrtletí zvýšil tržby i zisk

ČTK , 30. duben 2017 09:00

Čtvrtletní zisk a tržby amerického internetového obchodu Amazon překonaly očekávání. Zisk v prvním k...

Více 0 komentářů

Nintendo hlásí prudký růst tržeb, pomohla nová konzole Switch

ČTK , 29. duben 2017 16:00

Čtvrtletní tržby japonského výrobce videoher Nintendo se díky silné poptávce po nové herní konzoli S...

Více 0 komentářů

Starší zprávičky

Turecko na internetu zablokovalo přístup k Wikipedii

ČTK , 29. duben 2017 13:49

Turecko zablokovalo přístup k Wikipedii - volně přístupné encyklopedii na internetu. Důvodem je obsa...

Více 0 komentářů

Čtvrtletní zisk Microsoftu dík cloudovým službám vzrostl o 28 pct

ČTK , 29. duben 2017 10:00

Čistý zisk amerického softwarového gigantu Microsoft ve třetím čtvrtletí finančního roku meziročně s...

Více 0 komentářů

Čtvrtletní zisk a tržby majitele Googlu výrazně vzrostly

ČTK , 28. duben 2017 15:00

Čistý zisk americké společnosti Alphabet, která je majitelem internetového gigantu Google, v prvním ...

Více 0 komentářů

Bývalí manažeři Olympusu mají zaplatit miliardy za účetní podvod

ČTK , 28. duben 2017 14:00

Skupina bývalých vedoucích pracovníků japonské společnosti Olympus musí firmě zaplatit odškodné 58,8...

Více 0 komentářů