Bezpečnostní přehled: Servery obsahují zranitelné implementace PHP

Pavel Houser , 05. leden 2015 07:00 0 komentářů
Bezpečnostní přehled: Servery obsahují zranitelné implementace PHP

Čína údajně zakázala Gmail. Zažijí makroviry renesanci? Google chce pokračovat v automatickém zveřejňování bezpečnostních zranitelností 90 dní po oznámení výrobci. Kromě PHP představují na serverech problém také redakční (CMS) systémy. Následuje pravidelný bezpečnostní přehled vytvářený především podle webů ZDNet, CNet, The Register a HelpNet Security.

Novinky z Chaos Communication Congress

Na Chaos Communication Congress v Berlíně byly prezentovány útoky RocketKitten. Metoda samotná je velmi archaická, využívá makra pro MS Office vytvořená ve Visual Basic for Applications. Výhodou je, že přesvědčit uživatele k povolení maker je prý mnohem jednodušší, než šířit klasické spustitelné soubory – ty může e-mailový klient blokovat nebo jejich spuštění vyžaduje práva administrátora, zobrazují se dialogy z Řízení uživatelských účtů atd. (Navíc: makra bývají používána a povolena ve finančních či analytických odděleních firem, což je pro útočníky speciálně lákavý cíl.) Přestože jde o starou technologii, např. jednu chybu v implementaci VBScriptu Microsoft opravoval ještě v rámci várky záplat loni v prosinci.

Taktéž na Chaos Communication Congress bylo demonstrováno, jak lze s pomocí běžně dostupné kamery/fotoaparátu získat dostatečně věrný obrázek otisku prstu a ten pak použít při biometrické autentizaci. Jan Krissler tvrdí, že takto má k dispozici otisk prstu německé ministryně obrany Ursuly von der Leyenové. Čtečka otisku prstu tím pádem nemá být pokládána za spolehlivé řešení autentizace – dnes se přitom tato technologie užívá u některých smartphonů nebo např. v platebním systému Apple Pay. Ministryně se k záležitosti odmítla vyjádřit. Faktem ale je, že podvod – kdyby to takto opravdu fungovalo – sice nevyžaduje fyzický přístup k otisku prstu, ale stále je třeba fyzický přístup k zařízení. Biometrie by měla spíše doplňovat klasická hesla, což však pro uživatele není moc pohodlné.

Gmail má problémy. Severní Korea také

Čína údajně začala blokovat Gmail. Podle analytiků důvody nemusejí být bezprostředně politické, ale čínská vláda se snaží dále omezit podnikání Googlu v zemi. Konflikt mezi oběma stranami trvá s různou intenzitou už několik let. Oficiálně Čína blokování Gmailu popírá. Čínský vládní list Global Times dodatečně prohlásil, že blokování je důsledkem politiky Googlu. V Číně dnes nefunguje přístup ke Gmailu ani přes Apple iOS nebo MS Outlook, což při minulých blokováních šlo. Jedinou možností pro čínské uživatele Gmailu teď zřejmě představuje VPN.

USA schválily nové sankce na Severní Koreu jako odpověď na hacknutí Sony Pictures. Americká vláda se tedy přiklonila k verzi, že za útokem opravdu stojí severokorejský režim.

Bezpečný mobil s autodestrukcí

Boeing a BlackBerry spolupracují na ultrabezpečném smarpthonu/platformě, která je určena pro vládní agentury a komunikaci v dalších kritických odvětvích. Vlastním operačním systémem je Android, na straně serveru se však používá BlackBerry Enterprise Service. Telefon má nabízet autodestrukční funkce, údajně nad rámec běžného vzdáleného zamykání ztraceného zařízení, vzdáleného mazání dat apod.

Google zveřejnil podrobnosti o zranitelnosti ve Windows 8.1

Stalo se tak 90 dní poté, kdy byl o chybě informován Microsoft. Samotná chyba (spočívající ve zpracování systémového volání NtApphelpCacheControl) je spíš zanedbatelná, protože pro zneužití už útočník musí mít k počítači příslušná oprávnění. Zajímavé ale je, že ke zveřejnění informace došlo po 90 dnech automaticky. Diskutuje se, zda tento přístup Googlu (iniciativa Project Zero) je správný. Google argumentuje tím, že 3 měsíce na opravu je dost a uživatelé i podniky by měli být upozorněni na rizika. Že chyba není veřejně popsána dle Googlu ještě neznamená, že už není zneužívána. Firma chce proto ve své politice zveřejňování pokračovat. Microsoft chybu připouští, byť ji bagatelizuje, a uvádí, že záplata se chystá.

Trendy na rok 2015

Podle Setha Rosenblatta na CNet pokračující přechod na modernější platební karty zkomplikuje život podvodníkům, kteří provádějí klonování. Zařízení pro klonování karet s čipem EMV dnes údajně vyjde na milion dolarů. Co se týče domácích zařízení, zákazníci by prý měli požadovat systémy, které umožňují automatickou nebo alespoň manuální aktualizaci firmwaru.

Útok na ICANN

Počítače ICANN (Internet Corporation for Assigned Names and Numbers) byly krátce kompromitovány. Útočníci získali přístup k e-mailovým účtům několika zaměstnanců organizace a mohli odesílat poštu jejich jmény. Mohli získat také různá jména, adresy a další kontaktní údaje nebo snad i přístupová hesla vlastníků generických domén nejvyšší úrovně. S doménami však podle všeho manipulováno nebylo. Kdo je za průnik odpovědný, není známo.

Zranitelnost PHP a CMS

Více než tři čtvrtiny (78 %) všech serverových instalací PHP obsahuje alespoň jednu známou bezpečnostní zranitelnost. Autorem statistiky je výzkumník Googlu Anthony Ferrara, který přitom využil i statistiky společnosti W3Techs. Dvě nejrozšířenější verze PHP jsou 5.2.17 a 5.3.29 (dohromady asi 24 % instalací PHP), obě nebezpečné. Ve verzích PHP 5.3 až 5.6 je dostatečně zalátáno jen několik zranitelností. Zranitelných je 93,3 % instalací PHP 5.6.x, 63,4 % PHP 5.5.x, 89,6 % PHP 5.4.x a 66.1 % PHP 5.3.x. Ve verzi 5.2 není bezpečné vůbec nic, naopak instalace verze 5.1 bývají většinou ošetřené správně. Tato verze je ovšem stará asi 9 let, takže ji používá jen asi 1 % všech serverů, na nichž je PHP nasazeno. Co se týče dalších aplikací, Ferrara tvrdí, že zranitelných je 38 % implementací serveru Apache, 22 % serverových instalací Pythonu a 18 % Perlu. Navíc lze ještě připočítat chyby redakčních systémů – nezáplatovaných je 55 % systémů Drupal a 40 % webů běžících nad Wordpressem. Ferrara se této situaci podivuje, většina aktualizací lze nainstalovat víceméně klikáním myši, neměly by ani kolidovat s plug-iny. Správci na to ovšem i tak kašlou.

Kybernetické útoky na radaru

Společnost Kaspersky Lab spustila interaktivní on-line radar kybernetických útoků Targeted Cyberattack Logbook. Bude uchovávat informace o všech komplexních kybernetických kampaních a APT analyzovaných GReAT týmem Kaspersky Lab. Jen pro rok 2014 je zde zaznamenáno v podnikovém sektoru více než 4 400 obětí cílených útoků. Radar obsahuje výsledky několika let výzkumu 29 velkých cílených útoků, včetně kampaní Regin, Darkhotel, Cloud Atlas a dalších. Nová služba umožňuje uživatelům prozkoumat spojitosti mezi útoky, trendy, chování určitých hrozeb i jejich dopad. Služba je dostupná na webu https://apt.securelist.com/. Zdroj: tisková zpráva společnosti Kaspersky Lab

Na téma bezpečnosti na ITBiz viz také: Zlepšit reakci na kybernetické útoky by měl nový zákon Nový zákon ukládá například poskytovatelům elektronických komunikací nebo správcům kritické informační infrastruktury povinnost hlásit bezpečnostní incidenty v jejich síti bezodkladně Národnímu bezpečnostnímu úřadu.


Komentáře


RSS 

Komentujeme

Zákaznické karty čekají změny

Pavel Houser , 17. leden 2017 13:00
Pavel Houser

Jedna z technologií, která se už po léta prakticky nezměnila, i když by mohla? Prý karty zákazníků d...

Více





Kalendář

06. 02.

07. 02.
konference G2B TechEd
15. 02. IDC Predictions 2017
22. 02. IT mezi paragrafy
RSS 

Zprávičky

Facebook postaví v Dánsku datové centrum

ČTK , 20. leden 2017 14:00

Americký provozovatel sociální sítě Facebook postaví v dánském městě Odense nové datové centrum, kte...

Více 0 komentářů

Americký Oracle převezme českou programátorskou firmu Apiary

ČTK , 20. leden 2017 12:00

Americký výrobce podnikového softwaru Oracle podepsal dohodu o převzetí české programátorské firmy A...

Více 0 komentářů

Internetová ekonomika za pět let posílila o 15 procent na 188 miliard

ČTK , 20. leden 2017 07:00

Objem internetové ekonomiky se předloni proti roku 2011 zvýšil o 15 procent na 188 miliard korun. Na...

Více 0 komentářů

Starší zprávičky

Facebook zřídí v Paříži svůj první inkubátor pro začínající firmy

ČTK , 19. leden 2017 14:00

Americká sociální síť Facebook zřídí v Paříži svůj první inkubátor pro začínající firmy, tzv. startu...

Více 0 komentářů

Toshiba prý zvažuje o osamostatnění své polovodičové divize

ČTK , 19. leden 2017 11:00

Japonská společnost Toshiba Corp. zvažuje oddělení svých aktivit v oblasti výroby polovodičů do samo...

Více 0 komentářů

Sněmovna uzákoní pravidla pro informační systémy veřejné správy

ČTK , 19. leden 2017 07:00

Sněmovna zřejmě uzákoní pravidla pro to, jaké funkční vlastnosti mají mít informační systémy ve veře...

Více 0 komentářů

ÚOOÚ za nevyžádaná obchodní sdělení uložil i půlmilionovou pokutu

ČTK , 18. leden 2017 14:00

Úřad pro ochranu osobních údajů (ÚOOÚ) v souvislosti s nevyžádanými obchodními sděleními udělil loni...

Více 0 komentářů