Bezpečnostní přehled: Servery obsahují zranitelné implementace PHP

Pavel Houser , 05. leden 2015 07:00 0 komentářů
Bezpečnostní přehled: Servery obsahují zranitelné implementace PHP

Čína údajně zakázala Gmail. Zažijí makroviry renesanci? Google chce pokračovat v automatickém zveřejňování bezpečnostních zranitelností 90 dní po oznámení výrobci. Kromě PHP představují na serverech problém také redakční (CMS) systémy. Následuje pravidelný bezpečnostní přehled vytvářený především podle webů ZDNet, CNet, The Register a HelpNet Security.

Novinky z Chaos Communication Congress

Na Chaos Communication Congress v Berlíně byly prezentovány útoky RocketKitten. Metoda samotná je velmi archaická, využívá makra pro MS Office vytvořená ve Visual Basic for Applications. Výhodou je, že přesvědčit uživatele k povolení maker je prý mnohem jednodušší, než šířit klasické spustitelné soubory – ty může e-mailový klient blokovat nebo jejich spuštění vyžaduje práva administrátora, zobrazují se dialogy z Řízení uživatelských účtů atd. (Navíc: makra bývají používána a povolena ve finančních či analytických odděleních firem, což je pro útočníky speciálně lákavý cíl.) Přestože jde o starou technologii, např. jednu chybu v implementaci VBScriptu Microsoft opravoval ještě v rámci várky záplat loni v prosinci.

Taktéž na Chaos Communication Congress bylo demonstrováno, jak lze s pomocí běžně dostupné kamery/fotoaparátu získat dostatečně věrný obrázek otisku prstu a ten pak použít při biometrické autentizaci. Jan Krissler tvrdí, že takto má k dispozici otisk prstu německé ministryně obrany Ursuly von der Leyenové. Čtečka otisku prstu tím pádem nemá být pokládána za spolehlivé řešení autentizace – dnes se přitom tato technologie užívá u některých smartphonů nebo např. v platebním systému Apple Pay. Ministryně se k záležitosti odmítla vyjádřit. Faktem ale je, že podvod – kdyby to takto opravdu fungovalo – sice nevyžaduje fyzický přístup k otisku prstu, ale stále je třeba fyzický přístup k zařízení. Biometrie by měla spíše doplňovat klasická hesla, což však pro uživatele není moc pohodlné.

Gmail má problémy. Severní Korea také

Čína údajně začala blokovat Gmail. Podle analytiků důvody nemusejí být bezprostředně politické, ale čínská vláda se snaží dále omezit podnikání Googlu v zemi. Konflikt mezi oběma stranami trvá s různou intenzitou už několik let. Oficiálně Čína blokování Gmailu popírá. Čínský vládní list Global Times dodatečně prohlásil, že blokování je důsledkem politiky Googlu. V Číně dnes nefunguje přístup ke Gmailu ani přes Apple iOS nebo MS Outlook, což při minulých blokováních šlo. Jedinou možností pro čínské uživatele Gmailu teď zřejmě představuje VPN.

USA schválily nové sankce na Severní Koreu jako odpověď na hacknutí Sony Pictures. Americká vláda se tedy přiklonila k verzi, že za útokem opravdu stojí severokorejský režim.

Bezpečný mobil s autodestrukcí

Boeing a BlackBerry spolupracují na ultrabezpečném smarpthonu/platformě, která je určena pro vládní agentury a komunikaci v dalších kritických odvětvích. Vlastním operačním systémem je Android, na straně serveru se však používá BlackBerry Enterprise Service. Telefon má nabízet autodestrukční funkce, údajně nad rámec běžného vzdáleného zamykání ztraceného zařízení, vzdáleného mazání dat apod.

Google zveřejnil podrobnosti o zranitelnosti ve Windows 8.1

Stalo se tak 90 dní poté, kdy byl o chybě informován Microsoft. Samotná chyba (spočívající ve zpracování systémového volání NtApphelpCacheControl) je spíš zanedbatelná, protože pro zneužití už útočník musí mít k počítači příslušná oprávnění. Zajímavé ale je, že ke zveřejnění informace došlo po 90 dnech automaticky. Diskutuje se, zda tento přístup Googlu (iniciativa Project Zero) je správný. Google argumentuje tím, že 3 měsíce na opravu je dost a uživatelé i podniky by měli být upozorněni na rizika. Že chyba není veřejně popsána dle Googlu ještě neznamená, že už není zneužívána. Firma chce proto ve své politice zveřejňování pokračovat. Microsoft chybu připouští, byť ji bagatelizuje, a uvádí, že záplata se chystá.

Trendy na rok 2015

Podle Setha Rosenblatta na CNet pokračující přechod na modernější platební karty zkomplikuje život podvodníkům, kteří provádějí klonování. Zařízení pro klonování karet s čipem EMV dnes údajně vyjde na milion dolarů. Co se týče domácích zařízení, zákazníci by prý měli požadovat systémy, které umožňují automatickou nebo alespoň manuální aktualizaci firmwaru.

Útok na ICANN

Počítače ICANN (Internet Corporation for Assigned Names and Numbers) byly krátce kompromitovány. Útočníci získali přístup k e-mailovým účtům několika zaměstnanců organizace a mohli odesílat poštu jejich jmény. Mohli získat také různá jména, adresy a další kontaktní údaje nebo snad i přístupová hesla vlastníků generických domén nejvyšší úrovně. S doménami však podle všeho manipulováno nebylo. Kdo je za průnik odpovědný, není známo.

Zranitelnost PHP a CMS

Více než tři čtvrtiny (78 %) všech serverových instalací PHP obsahuje alespoň jednu známou bezpečnostní zranitelnost. Autorem statistiky je výzkumník Googlu Anthony Ferrara, který přitom využil i statistiky společnosti W3Techs. Dvě nejrozšířenější verze PHP jsou 5.2.17 a 5.3.29 (dohromady asi 24 % instalací PHP), obě nebezpečné. Ve verzích PHP 5.3 až 5.6 je dostatečně zalátáno jen několik zranitelností. Zranitelných je 93,3 % instalací PHP 5.6.x, 63,4 % PHP 5.5.x, 89,6 % PHP 5.4.x a 66.1 % PHP 5.3.x. Ve verzi 5.2 není bezpečné vůbec nic, naopak instalace verze 5.1 bývají většinou ošetřené správně. Tato verze je ovšem stará asi 9 let, takže ji používá jen asi 1 % všech serverů, na nichž je PHP nasazeno. Co se týče dalších aplikací, Ferrara tvrdí, že zranitelných je 38 % implementací serveru Apache, 22 % serverových instalací Pythonu a 18 % Perlu. Navíc lze ještě připočítat chyby redakčních systémů – nezáplatovaných je 55 % systémů Drupal a 40 % webů běžících nad Wordpressem. Ferrara se této situaci podivuje, většina aktualizací lze nainstalovat víceméně klikáním myši, neměly by ani kolidovat s plug-iny. Správci na to ovšem i tak kašlou.

Kybernetické útoky na radaru

Společnost Kaspersky Lab spustila interaktivní on-line radar kybernetických útoků Targeted Cyberattack Logbook. Bude uchovávat informace o všech komplexních kybernetických kampaních a APT analyzovaných GReAT týmem Kaspersky Lab. Jen pro rok 2014 je zde zaznamenáno v podnikovém sektoru více než 4 400 obětí cílených útoků. Radar obsahuje výsledky několika let výzkumu 29 velkých cílených útoků, včetně kampaní Regin, Darkhotel, Cloud Atlas a dalších. Nová služba umožňuje uživatelům prozkoumat spojitosti mezi útoky, trendy, chování určitých hrozeb i jejich dopad. Služba je dostupná na webu https://apt.securelist.com/. Zdroj: tisková zpráva společnosti Kaspersky Lab

Na téma bezpečnosti na ITBiz viz také: Zlepšit reakci na kybernetické útoky by měl nový zákon Nový zákon ukládá například poskytovatelům elektronických komunikací nebo správcům kritické informační infrastruktury povinnost hlásit bezpečnostní incidenty v jejich síti bezodkladně Národnímu bezpečnostnímu úřadu.


Komentáře

RSS 

Komentujeme

Makroviry inspirují

Pavel Houser , 20. září 2017 06:30
Pavel Houser

Úspěšný návrat malwaru šířeného pomocí maker vedl útočníky k tomu, že svou pozornost obrátili k příb...

Více






Kalendář

25. 09.

29. 09.
Susecon 17
25. 09.

29. 09.
Microsoft Ignite 2017
26. 09.

26. 08.
Affiliate konferencia 2017
RSS 

Zprávičky

Důvěra Čechů v e-shopy roste

Pavel Houser , 23. září 2017 09:00

Drtivá většina české internetové populace nakupuje on-line dlouhodobě, dále však narůstá četnost nák...

Více 0 komentářů

Nové verze Javy: Java SE 9 a Java EE 8

Pavel Houser , 22. září 2017 14:51

Oracle oznamuje všeobecnou dostupnost nových verzí platformy Java: Java SE 9 (JDK 9), Java Platform ...

Více 0 komentářů

Baidu investuje do vývoje autonomního řízení

ČTK , 22. září 2017 13:00

Cílem projektu Apollo je vyvinout technologii pro samořízené automobily do roku 2020....

Více 0 komentářů

Starší zprávičky

Kaprain koupil kabelovou Rio Media

ČTK , 22. září 2017 09:00

Spojením Nej.cz a Rio Media vznikne druhý největší poskytovatel kabelové televize a významný poskyto...

Více 0 komentářů

Apple přiznává: Nové hodinky mají problémy s připojením

ČTK , 22. září 2017 08:00

Problémy s konektivitou mají hodinky v okamžiku, kdy mají použít veřejnou wi-fi síť....

Více 0 komentářů

Spíše než nové zákony k Airbnb je třeba zlepšit výběr daní

ČTK , 21. září 2017 13:00

Airbnb se svými službami v Praze už vyrovnala objemu obchodu klasických ubytovacích zařízení....

Více 0 komentářů

Potvrzeno: Google opravdu kupuje část HTC

ČTK , 21. září 2017 11:25

Dnes je HTC v žebříčku světových prodejů smartphonů na necelém procentu. Někteří analytici proto pří...

Více 0 komentářů