Proběhla konference RSA. Další aktualizace WordPressu. Jak souvisí mobilní malware a Ebola? Na koho nejlépe cílit phishing? Jak bezpečná jsou chytrá města? Následuje pravidelný bezpečnostní přehled vytvářený především podle webů ZDNet, CNet, The Register a HelpNet Security.
Bitcoin a ransomware
Za klesající cenou bitcoinu prý může stát ransomware. Do systému přibývá nabídka, protože vyděrači tímto způsobem mohou anonymně „zkasírovat“ své oběti, nicméně měny se chtějí co nejrychleji zbavit. Etay Maor z IBM uvádí, že související diskuze je nyní častá např. na rusky psaných podzemních fórech. Protože podvodníci navíc očekávají další pokles měny, snaží se ji zbavovat co nejrychleji a požadavky na výpalné ještě „zdražují“ a výsledkem může být kladná zpětná vazba.
Poznámka: Na druhé straně pokud oběti vyděračům platí v bitcoinech, musejí je někde kupovat (většina asi tuto měnu jinak nevlastní, ať už jde o jednotlivce nebo podniky; zvlášť pokud předpokládáme, že oběti ransomwaru se rekrutují spíše z méně zkušených uživatelů), což by mělo zase generovat odpovídající poptávku…? Stálo by za to se podívat, jak hodnota bitcoinu koreluje s kampaněmi ransomwaru, respektive těmi z nich, které za dešifrování dat požadují platbu v této měně.
A ještě jedna novinka ze světa ransomwaru. Výzkumníci ze společnosti Cisco vytvořili nástroj, který dokáže (v některých případech) dešifrovat obsah, který zamkl malware TeslaCrypt. Podvodníci tvrdili, že šifrování probíhá asymetrickým algoritmem RSA-2048, ve skutečnosti se však používá symetrický algoritmus AES a klíč lze někdy obnovit ze souboru, který si malware vytváří na infikovaném zařízení.
Javu střídá Flash
Téměř všechny skupiny útočníků (90 %), které se zaměřovaly na Javu, se nyní přeorientovávají na Flash. Hlavní roli mělo sehrát loňské rozhodnutí Microsoftu začít v Internet Exploreru blokovat neaktuální verze Javy. Uvádějí to alespoň Tim Rains, Matt Miller a David Watson z Microsoftu. Přes polovinu nových exploitů v exploit kitech loni zneužívalo chyb v přehrávači Flash Player; po většinu času se nejednalo o chyby zero day, často šlo navíc o zranitelnosti opravené už dávno. Microsoft se ovšem nevyjádřil k otázce, zda tedy Flash nepotká stejný osud jako Javu, tj. automatické blokování starších verzí. V nových verzích Chrome a MSIE by se Flash měl aktualizovat automaticky. Současné statistiky praví, že aktuální verzi plug-inu mají skoro všichni ve Windows 8.1, ale jen asi 80 % uživatelům s Windows 7.
Mobilní malware na Západě prý moc nehrozí
Výzkum organizace Dambala publikovaný na letošní konferenci RSA přirovnává mobilní malware k Ebole – jde o přeceněnou hrozbu, alespoň v USA a západních zemích. V roce 2014 jen 0,0064 % analyzovaných mobilních zařízení realizovalo připojení do domén nacházejících se na blacklistech. Pro srovnání, pravděpodobnost, že do člověka v životě udeří blesk, je 0,01 %. Dambala doporučuje, abychom se na závažnost problému podívali selským rozumem: setkali jsme se na svém mobilních zařízení někdy s malwarem? Známe někoho, komu se to stalo?
Kontrola ze strany prý Applu funguje dobře, stejně jako Google Bouncer. K bezpečí stačí se pohybovat v autorizovaných obchodech a vyvarovat se výrazně rizikového chování. Jiná věc je, že se smartphonem stejně jako na PC se uživatel může stát obětí phishingu nebo při ztrátě zařízení přijít o kritická data. To ale není přímo záležitost mobilního malwaru.
Chytrá města nikdo netestuje
Taktéž na konferenci RSA byla prezentována studie IOActive Labs, podle které existuje mnoho bezpečnostních zranitelností v systémech pro chytrá města. Konkrétně byly uvedeny senzory, na jejichž základě se řídí dopravní provoz. Jednou z příčin má být propojení těchto systémů se zařízeními z předsíťové doby, kdy se otázky zabezpečení prakticky neřešily. Tyto systémy Internetu věcí jsou z podstaty složité a navíc dodavatelé nepodporují jejich bezpečnostní testování (lze srovnat se situací, kdy dodavatelé softwaru naopak platí za reportované zranitelnosti). Kvůli ceně a komplexnosti systémů lze těžko bez podpory dodavatelů provádět nějaké systematičtější testování. Achillovou patou těchto systémů bývá bezpečnost přenášených dat (slabé šifrovací algoritmy a špatně navržená správa klíčů) a také řízení aktualizací, což je obecně slabý článek Internetu věcí.
Střední manažeři lepším cílem než TOP vedení
Studie bezpečnostní firmy Proofpoint ukazuje, že cílený phishing směřuje stále více na střední management raději než na členy vedení firem. Tito lidé také častěji klikají na odkazy v podezřelých e-mailech. V průměru prý oběť klikne na odkaz v každém 25. phishgingovém e-mailu (což ale ještě nemusí znamenat infekci, tj. úspěšné provedení útoku jako celku). Zajímavé je, že tento poměr prý málo závisí na tom, kolik phishingu člověk dostává (respektive filtry mu ho pustí do schránky), spíše na jeho pozici v zaměstnání a oboru zaměstnavatele. Nejvíce útočníci cílí nepřekvapivě na firmy podnikající v oblasti bankovnictví, pojišťovnictví a finančních služeb, vzrůstá také zájem o data zdravotnických organizací.
Lidé nejčastěji klikají, pokud odkazy mají vést na nějaké doručené oznámení (hlasové zprávy, faxy…), klesá účinnost odkazů deklarovaných jako oznámení ze sociálních sítí. U triků s výpisy z účtů, potvrzením objednávek apod. se útočníkům více osvědčují podvodné přílohy v e-mailu než přímé URL odkazy, a to bez ohledu na to, že e-mailové brány přímo spustitelné soubory obvykle plošně blokují.
Experti prý chybí i ve světě
Prognóza Frost & Sullivan uvádí, že celosvětově bude do 5 let chybět 1,5 milionů odborníků na zabezpečení IT. 62 % podniků zúčastněných v průzkumu tvrdí, že mají nedostatek specialistů na zabezpečení, a to i přesto, že rozpočet by jim umožňoval přijmout další lidi. V roce 2013 byl tento poměr 56 %. 45 % respondentů se snaží řešit nedostatek bezpečnostních specialistů outsourcingem/externími řízenými službami (managed security services). Taktéž 45 % předpovídá další nárůst výdajů za bezpečnostní technologie – to je nejvíc v historii konání těchto průzkumů od roku 2004.
Viz předcházející bezpečnostní přehled k situaci v ČR
CSIRT.CZ varuje
Je dostupná nová verze WordPress 4.1.2. Jedná se o verzi opravující kritickou zranitelnost XSS existující ve všech předchozích verzích a několik dalších zranitelností. Kritickou XSS zranitelnost opravuje i aktualizace další řady, WordPress 4.2.1.
MySQL A SSL
Adam Goodman z Duo Security upozorňuje na potenciální problém s MySQL umožňující útok man-in-the-middle. Útočník mezi klientem a serverem údajně může v závislosti na konfiguraci serveru vypnout SSL, takže komunikace pak začne probíhat nešifrovaně, aniž si toho je uživatel vědom. Problém je to starší, Goodman tvrdí, že Oracle už loni vydal záplatu, jenže jen pro nějaké verze a s omezenou funkčností. Zneužitelnost je samozřejmě omezená: útočník musí být mezi databázovým serverem a klientem, navíc musí jít o typ nějak citlivé komunikace, značná část internetových přenosů funguje v otevřené podobě standardně.
Další studijní obor kybernetické bezpečnosti
Na Fakultě informatiky MU lze nově studovat kybernetickou bezpečnost. Do pilotního ročníku si mohli uchazeči podat přihlášku do konce dubna, další přijímací řízení bude otevřeno na podzim. „Odborníci na kybernetickou bezpečnost musí mít znalosti nejen z oboru informatiky, ale musí být schopni vyhodnotit například i právní a ekonomické dopady případných rozhodnutí přijatých v době skutečného ohrožení,“ uvedl Radim Polčák z Ústavu práva a technologií Právnické fakulty MU, který se na přípravě nové specializace spolupodílel. Obor je výsledkem dlouhodobé spolupráce mezi Masarykovou univerzitou a Národním bezpečnostním úřadem.
Zdroj: tisková zpráva Masarykovy univerzity
Viz také: V Česku chybí experti kybernetické bezpečnosti, výchova trvá roky
V Brně se otevřel Polygon
Fyzický i virtuální prostor, kde budou moci odborníci simulovat kybernetické útoky a trénovat obranu, se otevřel na Masarykově univerzitě v Brně. Tzv. Kybernetický polygon umožní vytvořit simulaci počítačové sítě v bezpečném uzavřeném prostředí, takže útoky je zde možné zkoumat a testovat bez rizika vlivu na reálnou vnější infrastrukturu. Polygon bude sloužit univerzitním odborníkům na kybernetickou bezpečnost, k výuce studentů, firmám sídlícím ve vědecko-technickém parku CERIT, bezpečnostním složkám státu a bezpečnostním týmům kritických infrastruktur. Využívat jej bude i Národní bezpečnostní úřad pro školení svých specialistů a pro různá cvičení nebo testování.
Zdroj: tisková zpráva Masarykovy univerzity, Zpráva ČTK
Ochrana 400G sítí
Invea-Tech a sdružení Cesnet vyvíjejí zařízení, které pomůže zvýšit spolehlivost a bezpečnost vysokorychlostních sítí. „Pracujeme na zařízení, hardwarově akcelerované síťové kartě, která bude umět zpracovávat a filtrovat provoz budoucích sítí pracujících s rychlostí 400 Gb/s a tím je aktivně chránit,“ uvedl Viktor Puš ze sdružení Cesnet. Jádrem nového zařízení bude specializovaný síťový hardware založený na technologii FPGA. Cesnet a Invea-Tech již společně vyvinuli síťovou kartu podporující 100G Ethernet (COMBO-100G). Novinkou má být také možnost filtrace síťového provozu na základě informací z aplikační vrstvy. Zadavatelem projektu s rozpočtem téměř 15 milionů korun je Technologická agentura ČR.
Zdroj: tisková zpráva společnosti Invea Tech
Ze světa firem
VMware představuje open source projekt Lightwave zaměřený na oblast identity a správy přístupu, který má rozšířit bezpečnost a firemní využití aplikací určených pro cloud. Lightwave umožní firmám zajistit kontrolu přístupu a funkce pro správu identity napříč celou infrastrukturou a skupinou aplikací, včetně stádií jejich vývojového cyklu. Technologie bude optimalizovaná pro kontejnerizované aplikace ve virtuálním prostředí.
Zdroj: tisková zpráva společnosti VMware
Přestože investice do oblasti bezpečnosti stabilně rostou, existují oblasti, které jsou pro řadu organizací stále značnou technologickou výzvou. Jednou z nich je detekce průniků a odhalování incidentů. Podle analytiků společnosti Gartner by podniky a organizace měly ve větší míře začít využívat analytická bezpečností řešení typu SIEM (Security Information and Event Management), nebo UBA (User Behavior Analytics).
Zdroj: tisková zpráva společnosti Gartner
Na trh přichází první kamera z nové řady Axis Q37. Model Q3709-PVE je kopulová bezpečnostní kamera se třemi snímači s rozlišením 4K, které dohromady zajišťují 180° záběr s rozlišením až 33 megapixelů a video stream s parametry 3 × 4K při 30 snímcích za sekundu nebo 3 × 11 megapixelů při 20 snímcích. Zařízení je určeno pro videodohled v rozlehlých otevřených prostorech, v ulicích měst, v logistických centrech a na letištích či nádražích.
Zdroj: tisková zpráva společnosti Axis Communications
Nová podoba podvodného e-mailu vzbuzuje dojem, že byla zaslána Českou národní bankou a požaduje po klientovi ověření původu jeho peněz. Průvodní e-mail je tentokrát psán zjevně divnou češtinou („jsme povinné Vás identifikovat a zjistit zákonný původ vašich peněz, aby tento požadavek splnit, je nutné dokončit proces identifikací“).
Zdroj: tisková zpráva společnosti Česká spořitelna, oznámení ČNB
Psali jsme na ITBiz
Na téma bezpečnosti na ITBiz viz také:
*Pentagon má novou kybernetickou strategii
*Experti na kryptografii diskutovali o možnostech zákonného prolamování dat
Šéf NSA Michael Rogers uvedl, že „nechce zadní vrátka, ale chce přední dveře, na nichž by bylo několik velkých zámků.“ Rogers tak naznačil, že by technologické firmy mohly vytvořit jakýsi master klíč, který by následně rozdělily a distribuovaly jednotlivým vládním subjektům tak, aby žádná osoba nebo agentura sama o sobě nebyla schopna dešifrovat komunikaci či data.
