Flashové reklamy v síti Googlu skončí. Knihovna glibc opravena, pozor na zranitelnosti v Cisco Adaptive Security Appliance a v hypervisoru Xen. Podíl spamu dále klesá.
Následuje pravidelný bezpečnostní přehled vytvářený především podle webů ZDNet, CNet, The Register a HelpNet Security.
Další rána pro Flash
Od 30. 6 nebude možné do reklamních sítí Googlu (AdWords a DoubleClick) nahrávat reklamy ve formátu Flash. V roce 2017 se už Flash v sítích Googlu nebude vůbec zobrazovat. Google již blokuje flashové bannery v Chrome a nepožívá Flash ve výchozím nastavení YouTube, pro videa přestal Flash podporovat také Facebook.
Flash byl dlouhodobě významným bezpečnostním rizikem a vektorem zero day útoků. Adobe se s tím na rozdíl od jiného svého rozšířeného produktu, Acrobat Readeru, nepodařilo nic moc udělat, zero day chyb neubývalo. Viz také: Zero day chyby a nejistá budoucnost formátu Flash.
Poznámka: S podporou Flash jako první přestal (respektive nezačal) u svých mobilních zařízení Apple. Podle některých komentátorů šlo ještě o Jobsovu pomstu za to, jakým způsobem Adobe přistupovala k vývoji svých grafických a DTP programů pro Mac OS X (kdy Apple zřejmě potřeboval Adobe víc než naopak).
Také Instagram začal nabízet dvoufaktorovou autentizaci na bázi zasílané SMS.
Botnet s pevnou pracovní dobou?
Loni v říjnu policie ve Velké Británii a USA rozbila botnet Dridex, jeho hlavní provozovatel původem z Moldavska byl zatčen. Nyní se ale podle analýzy Symantecu zdá, že Dridex je opět na scéně. Původní síť ovládaných počítačů zřejmě obsahovala více segmentů, které používaly různé skupiny útočníků a i po technické stránce dokáží tyto části asi fungovat na sobě relativně nezávisle. Symantec na základě analýz botnetu mimochodem uvádí, že funguje jako provozovaný „zaměstnanci“, kteří mají padla; jiná než automatizovaná aktivita se přerušuje o víkendech nebo přes Vánoce. Provozovatelé Dridexu šíří především bankovní malware.
Od roku 2011, kdy Facebook začal vyplácet odměny za reportované bezpečnostní zranitelnosti, firma utratila již 4,3 milionů dolarů – za 2 400 hlášených a uznaných chyb. Programu se účastní asi 800 lidí, hlavně z Indie, ale třeba také z Egypta či z Trinidadu a Tobago. Vyplácená částka již neroste, alespoň za rok 2015 byla mírně nižší než předloni. Zajímavé je, že ve výčtu hlavních reportovaných zranitelností dle kategorií se uvádí nejen cross-site scripting (XSS) a cross-site request forgery (CSRF), ale i „business logic“.
Kampaň BlackEnergy má velký dosah
Kampaň trojského koně BlackEnergy, která na konci loňského roku možná vedla k výpadkům ukrajinských elektrorozvodných sítí, souvisí i s podobnými útoky na ukrajinské těžební firmy a společnosti podnikající v železniční dopravě. K takovému závěru alespoň došla analýza firmy Trend Micro. Podle ní jde u BlackEnergy zřejmě o největší průnik do řídicích průmyslových systémů od roku 2010, kdy červ Stuxnet narušil íránské systémy na obohacování uranu.
Zranitelné hypervisory
Na hackerském klání skupiny Pwn2Own se bude soutěžit také o to, komu se podaří kompromitovat hypervisor VMware, tj. z verze pro Windows se dostat z úrovně hostovaného na hostitelský systém. Odměna je 75 000 dolarů. Již tradičně odměnu získají také ti, kdo předvedou zero day zranitelnosti v různých webových prohlížečích nebo v plug-inu Flash.
Vydána byla nová verze hypervisoru Xen (4.6.1), tvůrci do ní nicméně zapomněli zahrnout dvě bezpečnostní záplaty (XSA-155 a XSA-162, první z nich útočníkovi umožňuje spuštění kódu). Uživatelé by měli zkontrolovat, jakou verzi mají aktuálně nainstalovanou, a případně opravy doinstalovat ručně.
The Register upozorňuje, že v případě Xenu jde už o druhou podobnou „organizační“ chybu v poslední době: loni v prosinci organizace omylem porušila svoji vlastní politiku zveřejňování bližších informací o zranitelnostech vždy až 2 týdny po vydání záplaty, aby uživatelé měli čas na její nasazení (Xen se používá i v obřích projektech typu Amazon Web Services, kde aktualizace může být složitější/delší).
Oprava Cisco ASA
Zařízení řady Cisco Adaptive Security Appliance (firewally, přepínače, směrovače i čistě softwarové moduly) obsahovala kritickou zranitelnost. Chybu CVE-2016-1287 mohl vzdálený útočník zneužít zasláním speciálních UDP paketů. Zranitelnost, na kterou upozornili výzkumníci firmy, Exodus Intelligence, je již opravena, záplatu se doporučuje nasadit co nejrychleji. Pokusy o zneužití zatím nebyly oznámeny, projevily by se zřejmě hlavně růstem provozu na portu 500, eventuálně 4500.
Počet domén zabezpečených pomocí DNSSEC v roce 2015 představoval 477 037 z celkových 1 230 330 domén druhé úrovně v TLD .cz. V roce 2015 se oproti roku 2014 podíl takto zabezpečených domén prakticky nezměnil. (Zdroj: Domain Report 2015 sdružení CZ.NIC)
CSIRT varuje/oznamuje
Byla opravena závažná chyba v knihovně glibc používané v linuxových distribucích i dalších operačních systémech. Zranitelnost může vést ke vzdálenému spuštění kódu.
Poznámka: Opravená verze má číslo 2.18. Vlastní chyba se týkala překladu doménových jmen, když příliš dlouhá číselná adresa mohla vyvolat přetečení zásobníku.
Siemens vydal aktualizaci firmwaru pro své zařízení SIMATIC S7-1500 z řady programovatelných automatů (PLC). Zalátané zranitelnosti umožňovaly útok na dostupnost zařízení (DoS), i když pouze útočníkům zevnitř sítě. (Zdroj: Národní centrum kybernetické bezpečnosti)
Ze světa firem
Nový maninframe IBM z13s má být optimalizován pro prostředí hybridního cloudu a integrace šifrování do hardwaru (včetně použití speciálních koprocesorových karet) umožňuje zabezpečit data bez většího dopadu na výkon systému. Mainframe se dodává i se specializovaným bezpečnostním softwarem a službou Cyber Security Analytics; součástí je učení běžného chování uživatelů a na tomto základě pak detekce anomálních situací. (Zdroj: tisková zpráva společnosti IBM)
Axis představil nástroj Site Designer – webovou aplikaci, která umožňuje projektantům integrovaných systémů a instalačním firmám ušetřit čas a námahu potřebnou při návrhu ucelených bezpečnostních řešení. Aplikace obsahuje šablony pro celou škálu bezpečnostních požadavků a poskytuje interaktivní vedení při návrhu systémů až do 100 kamer. (Zdroj: tisková zpráva společnosti Axis Communications)
Securitas nabízí český stavebním firmám nový typ mobilního zabezpečení – na bázi dočasné instalace IP kamer (jako doplnění fyzické ostrahy i nezávisle na ní). (Zdroj: tisková zpráva společnosti Securitas)
Česká spořitelna upozorňuje na novou phishingovou kampaň; podvodné e-maily obsahující odkaz na „přihlašovací web“ měly jako adresu odesílání uvedeno servis.24.com. (Zdroj: tisková zpráva České spořitelny)
Visa Europe oznámila rozšíření své platební tokenizační služby, tj. rozšíření stávající podpory mobilních bezkontaktních plateb. (Zdroj: tisková zpráva asociace Visa Europe)
Představena byla služba Barracuda Vulnerability Manager, nástroj pro kontrolu zabezpečení webů, který provádí testování nejčastějších zranitelností (SQL injection, cross-site scripting…). (Zdroj: tisková zpráva společnosti Gesto Communications (distributor Barracuda pro ČR a SR))
Podíl spamu na veškeré e-mailové komunikaci v roce 2015 poklesl na 55 %. Rok předtím to bylo o 11 % více. Více než tři čtvrtiny (79 %) všech odeslaných e-mailů byly menší než 2 kB, což ukazuje na trvalý pokles velikosti e-mailů spamovacích kampaní. Co se týče témat ve phishingu, objevuje se už i využívání olympiády v Brazílii. (Zdroj: tisková zpráva společnosti Kaspersky Lab)
Již asi 10 let působící skupina Poseidon má být zajímavá mj. tím, že její phishing i mlaware se zaměřuje na systémy s brazilskou portugalštinou. (Zdroj: tisková zpráva společnosti Kaspersky Lab)
Psali jsme na ITBiz.cz
Na téma zabezpečení na ITBiz viz také:
Malware může z ERP pronikat do průmyslových systémů SCADA
Obrana vybuduje novou datovou síť odolnou proti kyberútokům
Úřad rozdělil veřejnou zakázku na dvě části. V první etapě, která je předmětem aktuální zakázky, má být budována páteřní a přístupová vrstva datové sítě. Navazující druhá etapa bude zaměřena na služby, zejména hlasovou komunikaci, a související doplnění lokálních sítí.
