Bezpečnostní přehled: Servery obsahují zranitelné implementace PHP

Pavel Houser , 05. leden 2015 07:00 0 komentářů
Bezpečnostní přehled: Servery obsahují zranitelné implementace PHP

Čína údajně zakázala Gmail. Zažijí makroviry renesanci? Google chce pokračovat v automatickém zveřejňování bezpečnostních zranitelností 90 dní po oznámení výrobci. Kromě PHP představují na serverech problém také redakční (CMS) systémy. Následuje pravidelný bezpečnostní přehled vytvářený především podle webů ZDNet, CNet, The Register a HelpNet Security.

Novinky z Chaos Communication Congress

Na Chaos Communication Congress v Berlíně byly prezentovány útoky RocketKitten. Metoda samotná je velmi archaická, využívá makra pro MS Office vytvořená ve Visual Basic for Applications. Výhodou je, že přesvědčit uživatele k povolení maker je prý mnohem jednodušší, než šířit klasické spustitelné soubory – ty může e-mailový klient blokovat nebo jejich spuštění vyžaduje práva administrátora, zobrazují se dialogy z Řízení uživatelských účtů atd. (Navíc: makra bývají používána a povolena ve finančních či analytických odděleních firem, což je pro útočníky speciálně lákavý cíl.) Přestože jde o starou technologii, např. jednu chybu v implementaci VBScriptu Microsoft opravoval ještě v rámci várky záplat loni v prosinci.

Taktéž na Chaos Communication Congress bylo demonstrováno, jak lze s pomocí běžně dostupné kamery/fotoaparátu získat dostatečně věrný obrázek otisku prstu a ten pak použít při biometrické autentizaci. Jan Krissler tvrdí, že takto má k dispozici otisk prstu německé ministryně obrany Ursuly von der Leyenové. Čtečka otisku prstu tím pádem nemá být pokládána za spolehlivé řešení autentizace – dnes se přitom tato technologie užívá u některých smartphonů nebo např. v platebním systému Apple Pay. Ministryně se k záležitosti odmítla vyjádřit. Faktem ale je, že podvod – kdyby to takto opravdu fungovalo – sice nevyžaduje fyzický přístup k otisku prstu, ale stále je třeba fyzický přístup k zařízení. Biometrie by měla spíše doplňovat klasická hesla, což však pro uživatele není moc pohodlné.

Gmail má problémy. Severní Korea také

Čína údajně začala blokovat Gmail. Podle analytiků důvody nemusejí být bezprostředně politické, ale čínská vláda se snaží dále omezit podnikání Googlu v zemi. Konflikt mezi oběma stranami trvá s různou intenzitou už několik let. Oficiálně Čína blokování Gmailu popírá. Čínský vládní list Global Times dodatečně prohlásil, že blokování je důsledkem politiky Googlu. V Číně dnes nefunguje přístup ke Gmailu ani přes Apple iOS nebo MS Outlook, což při minulých blokováních šlo. Jedinou možností pro čínské uživatele Gmailu teď zřejmě představuje VPN.

USA schválily nové sankce na Severní Koreu jako odpověď na hacknutí Sony Pictures. Americká vláda se tedy přiklonila k verzi, že za útokem opravdu stojí severokorejský režim.

Bezpečný mobil s autodestrukcí

Boeing a BlackBerry spolupracují na ultrabezpečném smarpthonu/platformě, která je určena pro vládní agentury a komunikaci v dalších kritických odvětvích. Vlastním operačním systémem je Android, na straně serveru se však používá BlackBerry Enterprise Service. Telefon má nabízet autodestrukční funkce, údajně nad rámec běžného vzdáleného zamykání ztraceného zařízení, vzdáleného mazání dat apod.

Google zveřejnil podrobnosti o zranitelnosti ve Windows 8.1

Stalo se tak 90 dní poté, kdy byl o chybě informován Microsoft. Samotná chyba (spočívající ve zpracování systémového volání NtApphelpCacheControl) je spíš zanedbatelná, protože pro zneužití už útočník musí mít k počítači příslušná oprávnění. Zajímavé ale je, že ke zveřejnění informace došlo po 90 dnech automaticky. Diskutuje se, zda tento přístup Googlu (iniciativa Project Zero) je správný. Google argumentuje tím, že 3 měsíce na opravu je dost a uživatelé i podniky by měli být upozorněni na rizika. Že chyba není veřejně popsána dle Googlu ještě neznamená, že už není zneužívána. Firma chce proto ve své politice zveřejňování pokračovat. Microsoft chybu připouští, byť ji bagatelizuje, a uvádí, že záplata se chystá.

Trendy na rok 2015

Podle Setha Rosenblatta na CNet pokračující přechod na modernější platební karty zkomplikuje život podvodníkům, kteří provádějí klonování. Zařízení pro klonování karet s čipem EMV dnes údajně vyjde na milion dolarů. Co se týče domácích zařízení, zákazníci by prý měli požadovat systémy, které umožňují automatickou nebo alespoň manuální aktualizaci firmwaru.

Útok na ICANN

Počítače ICANN (Internet Corporation for Assigned Names and Numbers) byly krátce kompromitovány. Útočníci získali přístup k e-mailovým účtům několika zaměstnanců organizace a mohli odesílat poštu jejich jmény. Mohli získat také různá jména, adresy a další kontaktní údaje nebo snad i přístupová hesla vlastníků generických domén nejvyšší úrovně. S doménami však podle všeho manipulováno nebylo. Kdo je za průnik odpovědný, není známo.

Zranitelnost PHP a CMS

Více než tři čtvrtiny (78 %) všech serverových instalací PHP obsahuje alespoň jednu známou bezpečnostní zranitelnost. Autorem statistiky je výzkumník Googlu Anthony Ferrara, který přitom využil i statistiky společnosti W3Techs. Dvě nejrozšířenější verze PHP jsou 5.2.17 a 5.3.29 (dohromady asi 24 % instalací PHP), obě nebezpečné. Ve verzích PHP 5.3 až 5.6 je dostatečně zalátáno jen několik zranitelností. Zranitelných je 93,3 % instalací PHP 5.6.x, 63,4 % PHP 5.5.x, 89,6 % PHP 5.4.x a 66.1 % PHP 5.3.x. Ve verzi 5.2 není bezpečné vůbec nic, naopak instalace verze 5.1 bývají většinou ošetřené správně. Tato verze je ovšem stará asi 9 let, takže ji používá jen asi 1 % všech serverů, na nichž je PHP nasazeno. Co se týče dalších aplikací, Ferrara tvrdí, že zranitelných je 38 % implementací serveru Apache, 22 % serverových instalací Pythonu a 18 % Perlu. Navíc lze ještě připočítat chyby redakčních systémů – nezáplatovaných je 55 % systémů Drupal a 40 % webů běžících nad Wordpressem. Ferrara se této situaci podivuje, většina aktualizací lze nainstalovat víceméně klikáním myši, neměly by ani kolidovat s plug-iny. Správci na to ovšem i tak kašlou.

Kybernetické útoky na radaru

Společnost Kaspersky Lab spustila interaktivní on-line radar kybernetických útoků Targeted Cyberattack Logbook. Bude uchovávat informace o všech komplexních kybernetických kampaních a APT analyzovaných GReAT týmem Kaspersky Lab. Jen pro rok 2014 je zde zaznamenáno v podnikovém sektoru více než 4 400 obětí cílených útoků. Radar obsahuje výsledky několika let výzkumu 29 velkých cílených útoků, včetně kampaní Regin, Darkhotel, Cloud Atlas a dalších. Nová služba umožňuje uživatelům prozkoumat spojitosti mezi útoky, trendy, chování určitých hrozeb i jejich dopad. Služba je dostupná na webu https://apt.securelist.com/. Zdroj: tisková zpráva společnosti Kaspersky Lab

Na téma bezpečnosti na ITBiz viz také: Zlepšit reakci na kybernetické útoky by měl nový zákon Nový zákon ukládá například poskytovatelům elektronických komunikací nebo správcům kritické informační infrastruktury povinnost hlásit bezpečnostní incidenty v jejich síti bezodkladně Národnímu bezpečnostnímu úřadu.


Komentáře


RSS 

Komentujeme

Chatbot mluví za mrtvého – od nápadu k realizaci

Pavel Houser , 30. listopad 2016 13:00
Pavel Houser

Na webu The Verge popsala Casey Newton příběh dvou přátel (Eugenia Kuyda a Roman Mazurenko). Peripet...

Více





Kalendář

RSS 

Zprávičky

Za vzněcováním smartphonu iPhone 6 jsou vnější vlivy, tvrdí Apple

ČTK , 08. prosinec 2016 11:30

Firma Apple odmítla podezření čínských uživatelů svého chytrého telefonu iPhone 6, že za problémy s ...

Více 0 komentářů

Verizon prodá firmě Equinix datová centra za 3,6 miliardy USD

ČTK , 08. prosinec 2016 10:00

Největší americký mobilní operátor Verizon Communications prodá specializované společnosti Equinix 2...

Více 0 komentářů

Tchajwanský Foxconn jedná o rozšíření svých aktivit v USA

ČTK , 07. prosinec 2016 15:00

Tchajwanská společnost Foxconn jedná o rozšíření svých aktivit ve Spojených státech. Oznámila to dne...

Více 0 komentářů

Starší zprávičky

Nejvyšší soud USA se postavil na stranu Samsungu proti Applu

ČTK , 07. prosinec 2016 12:30

Americký nejvyšší soud se v mnohaletém patentovém sporu mezi výrobci chytrých telefonů Apple a Samsu...

Více 0 komentářů

Evropská komise Microsoftu schválila převzetí sítě LinkedIn

ČTK , 07. prosinec 2016 10:30

Evropská komise schválila americké softwarové společnosti Microsoft záměr koupit za 26 miliard dolar...

Více 0 komentářů

Porozumění větám, konkurence pro Turingův test

Pavel Houser , 06. prosinec 2016 18:00

Konverzační roboti mají stále problémy pochopit věty, kde smysl nelze vyvodit ze samotné gramatické ...

Více 0 komentářů

Americká GoDaddy koupí evropský webhosting Host Europe

ČTK , 06. prosinec 2016 16:00

Americký registrátor internetových domén GoDaddy, který je ve svém oboru největší na světě, se dohod...

Více 0 komentářů