Rozbor popularity ransomwaru v porovnání s konkurenčními typy malwaru. Tři kritické záplaty Applu. Co přináší Android 7.0 Nougat. Manažeři IT věří cloudu víc než lidem z vlastního oddělení. Proč řídit botnet pomocí Twitteru.

Následuje pravidelný bezpečnostní přehled vytvářený především podle webů ZDNet, CNet, The Register a HelpNet Security.

Vysoká důvěra v cloud

Průzkum SADA Systems mezi manažery podnikového IT vede k závěru, že veřejný cloud je vnímán jako technologie bezpečnější než vlastní (on-premise) datová centra. 51 % respondentů pokládá veřejný cloud za typ infrastruktury nejbezpečnější, 58 % pak za řešení nejvhodnější i s přihlédnutím k dalším faktorům (flexibilita, cena…). Na důvěryhodné dodavatele veřejného cloudu by se IT manažeři ve firmách byli ochotni spolehnout více než na své oddělení. Obavy ani ne tak z bezpečnosti, ale spíše v to, aby poskytovatel cloudu dokázal stabilně nabízet své služby, nezkrachoval apod. Přechod služeb do veřejného cloudu trvá nejčastěji 3–6 měsíců (45 % respondentů), ve 23 % případů se migrace stihne do 3 měsíců.

Ransomware je snadnější než bankovní trojany

David Emm z Kaspersky Lab podává na ZDNet následující pohled na růst popularity ransomwaru mezi podvodníky. (Mimochodem se zde připomíná, že první ransomware PC Cyborg se měl objevit už v roce 1989; dejme tomu, že útočník mohl tehdy hrozit uživateli „vypršením licence“ apod. a požadovat platbu; jak ale mohl oběť přesvědčit, aby uvěřila, že před internetovou komunikací počítač pak odemkne? To se třeba slibovalo poslání záchranné diskety poštou? Nebo šlo pouze o „policejní“ ransomware ve smyslu vydírání, který ale data nešifroval?)

Hlavní motivace: bankovní trojany, které také umožňují bezprostřední zisk, je mnohem těžší naprogramovat a přizpůsobovat jednotlivým finančním institucím/službám. Malware je stejně třeba stále obměňovat, aby se úspěšněji vyhýbal detekci. Ransomware je až na samotné šifrování prostě celkem primitivní, nesofistikovaná, a proto efektivní metoda. Plus lze spojit s bitcoinem a podvodníci se tak mohou snadno anonymizovat.

V poslední době se navíc ransomware používá i pro cílenější útoky na větší organizace; v takovém případě se pak za odemknutí dat požaduje velká částka. Stále více lidí bude také ochotno platit vyděračům, kteří jim zablokují chytrá mobilní zařízení; kde přitom uživatelé navíc podstatně méně dodržují nějaké bezpečnostní zásady, nemají nainstalováno speciální zabezpečení atd.

Penetrační test spojený s opravami

Publikován byl zdrojový kód aplikace Mechanical Phish. Jedná se o nástroj pro penetrační testování a hledání chyb (jako je Metasploit), měl by ovšem objevené zranitelnosti také automaticky látat. Jedná se o program ze Santa Barbara University (hlavní autor Giovanni Vigna), který vznikl v rámci soutěže americké armádní agentury DARPA; prozatím je ke kódu ale k dispozici jen velmi nedostatečná dokumentace, není jasné, co přesně tedy dokáže automatizovat.

Android, nové verze a rychlost aktualizací

Studie firmy Apteligent analyzuje, jak rychle přecházejí na nové verze jednotliví výrobci zařízení s Androidem. Konkrétně studie mapuje upgrade z Android 5.x Lollipop na Android 6.0 Marshmallow v letošním roce. Ze srovnání vyšla špatně ZTE (prakticky ignorování nové verze) a Sony (upgrade začal pozdě a probíhal pomalu). Rychle nasazovala Motorola (u malé sady zařízení vůbec jako první), HTC a LG, Samsung začal později, ale postupoval rychle – aktuálně mají všichni tito 4i dodavatelé zhruba stejný počet zařízení na nové verzi.

(Poznámka: Důležitější z pohledu rizik pro uživatele je ovšem aplikace bezpečnostních záplat než upgrade na novou verzi OS.)

Google již začal dodávat Android 7.0 Nougat, v příštích týdnech budou aktualizovány telefony Nexus. V září se pak na trhu objeví LG 200, první smartphone, kde bude Android 7 již předinstalovaný. V nové verzi operačního systému jsou inovovány některé bezpečnostní funkce. Direct Boot/Secure Boot by mělo umožnit spuštění aplikací ještě předtím, než uživatel zařízení odemkne po restartu nebo novém bootování. Šifrování je implementováno na úrovni jednotlivých souborů. K dispozici je také větší kontrola uživatelů nad aplikacemi spuštěnými s maximálními oprávněními (aplikace nemohou měnit PIN/hesla a mělo by být také snazší je odinstalovat). Pro podnikové uživatele lze zapnout i funkci, která umožňují realizovat spojení pouze prostřednictvím VPN.

Zranitelnosti a opravy. 3 kritické chyby v iOS

Apple vydal mimořádné bezpečnostní záplaty pro zařízení se systémem iOS. Údajně je již zneužíval např. exploit kit Pegasus, který si kupují i vlády. Konkrétně byly zalátány následující zranitelnosti: CVE-2016-4655 (chyba ověření vstupu, která aplikacím umožňuje získat přístup k jádru systému), CVE-2016-4656 (porušení paměti umožňuje vzdálené spuštění kódu) a CVE-2016-4657 (chyba v jádru prohlížeče WebKit, umožňuje vzdálené spuštění kódu už při návštěvě podvodného webu). Opravená verze iOS má číslo 9.3.5.

Opravy se dočkala chyba v knihovně GnuPG, konkrétně v generátoru náhodných čísel. Nicméně dle tvůrců projektu nešlo o tak vážný problém, generované šifrovací klíče by i tak měly být dostatečně odolné proti útokům hrubou silou.

CSIRT varuje/oznamuje

Objevil se nový ransomware Alma. Dešifrovací program rychle dala k dispozici společnost PhishLabs.

Ze světa firem

Panasonic Business vyvíjí technologii pro vyhledávání dronů. Každý senzor může díky síti 32 mikrofonů a PTZ CCTV kameře detekovat dron na vzdálenost až 300 m v zorném úhlu 150°. Vyhledávač dronů analyzuje okolní zvuky, které vylučuje z vyhledávání. (Zdroj: tisková zpráva společnosti Panasonic)

Podíl spamu v celkovém objemu e-mailové komunikace se ve druhém čtvrtletí tohoto roku zvýšil na 57,3 % (meziročně o 4 %, o 1 % ve srovnání s předcházejícím čtvrtletím). Hlavní témata spamu: politika (prezidentské volby v USA), sport (olympiáda). V červnu došlo k poklesu phishingu (detekováno jako pokles souborů ZIP v přílohách e-mailu), což zřejmě souviselo s technickými problémy, které měly údajně provozovatelé botnetu Nercus. (Zdroj: tisková zpráva společnosti Kaspersky Lab)

Kaspersky Lab rozšířila svou spolupráci s firmou VMware. Nejnovější verze Kaspersky Security for Virtualization má díky spolupráci s platformou VMware NSX zajistit vyšší bezpečnost softwarově definovaným datovým centrům. (Zdroj: tisková zpráva společnosti Kaspersky Lab)

Probíhá nová kampaň využívající škodlivého kódu Nemucod. V aktuální verzi instaluje do infikovaných zařízení backdoor Kovter. Malware skrytě před uživatelem otevírá okna a kliká na reklamu, může takto současně otevírat až 30 oken prohlížeče. Intenzitu své aktivity malware přizpůsobuje tomu, jak se zařízením pracuje uživatel. Kovter se šíří především phishingovými e-maily s přílohou ve formátu ZIP, která obsahuje škodlivý javascript. (Zdroj: tisková zpráva společnosti Eset)

Analytici Esetu objevil první botnet, který ovládá zařízení s Adroidem pomocí příkazů v podobě tweetů – malware Android/Twitoor je aktivní od letošního července. Příkazy z Twitteru obvykle aktivují stahování dalších škodlivých aplikací nebo mění řídicí účet. Podle Esetu se komunikační kanály škodlivých aplikací založené na sociálních sítích špatně detekují a lze je obtížně blokovat – a zároveň je pro podvodníky snadné převést komunikaci na jiný účet v rámci téže sociální sítě. To vše znamená výhody oproti klasickému řízení ovládaných zařízení pomocí C&C serverů. Twitter v této roli podvodníci zneužili poprvé již v roce 2009. (Zdroj: tisková zpráva společnosti Eset)

České firmy trápí v oblasti sdílení dat hlavně nepřehlednost a roztříštěnost informací (54 %), neexistující bezpečnostní politika pro správu dat (53 %), nekontrolovaný přístup z různých zařízení (45 %) a ukládání dat do externích úložišť typu Dropbox či Google Drive (23 %). Při používání BYOD zařízení mají firmy obavy především z krádeže či úniku citlivých dat (73 %) a nakažení malwarem (54 %). (Zdroj: průzkum společnosti Acronis)

Česká spořitelna varuje před novým podvodných profilem na Facebooku, který imituje její Servis 24. (Zdroj: Česká spořitelna)