Bezpečnostní přehled: Servery obsahují zranitelné implementace PHP

Pavel Houser , 05. leden 2015 07:00 0 komentářů
Bezpečnostní přehled: Servery obsahují zranitelné implementace PHP

Čína údajně zakázala Gmail. Zažijí makroviry renesanci? Google chce pokračovat v automatickém zveřejňování bezpečnostních zranitelností 90 dní po oznámení výrobci. Kromě PHP představují na serverech problém také redakční (CMS) systémy. Následuje pravidelný bezpečnostní přehled vytvářený především podle webů ZDNet, CNet, The Register a HelpNet Security.

Novinky z Chaos Communication Congress

Na Chaos Communication Congress v Berlíně byly prezentovány útoky RocketKitten. Metoda samotná je velmi archaická, využívá makra pro MS Office vytvořená ve Visual Basic for Applications. Výhodou je, že přesvědčit uživatele k povolení maker je prý mnohem jednodušší, než šířit klasické spustitelné soubory – ty může e-mailový klient blokovat nebo jejich spuštění vyžaduje práva administrátora, zobrazují se dialogy z Řízení uživatelských účtů atd. (Navíc: makra bývají používána a povolena ve finančních či analytických odděleních firem, což je pro útočníky speciálně lákavý cíl.) Přestože jde o starou technologii, např. jednu chybu v implementaci VBScriptu Microsoft opravoval ještě v rámci várky záplat loni v prosinci.

Taktéž na Chaos Communication Congress bylo demonstrováno, jak lze s pomocí běžně dostupné kamery/fotoaparátu získat dostatečně věrný obrázek otisku prstu a ten pak použít při biometrické autentizaci. Jan Krissler tvrdí, že takto má k dispozici otisk prstu německé ministryně obrany Ursuly von der Leyenové. Čtečka otisku prstu tím pádem nemá být pokládána za spolehlivé řešení autentizace – dnes se přitom tato technologie užívá u některých smartphonů nebo např. v platebním systému Apple Pay. Ministryně se k záležitosti odmítla vyjádřit. Faktem ale je, že podvod – kdyby to takto opravdu fungovalo – sice nevyžaduje fyzický přístup k otisku prstu, ale stále je třeba fyzický přístup k zařízení. Biometrie by měla spíše doplňovat klasická hesla, což však pro uživatele není moc pohodlné.

Gmail má problémy. Severní Korea také

Čína údajně začala blokovat Gmail. Podle analytiků důvody nemusejí být bezprostředně politické, ale čínská vláda se snaží dále omezit podnikání Googlu v zemi. Konflikt mezi oběma stranami trvá s různou intenzitou už několik let. Oficiálně Čína blokování Gmailu popírá. Čínský vládní list Global Times dodatečně prohlásil, že blokování je důsledkem politiky Googlu. V Číně dnes nefunguje přístup ke Gmailu ani přes Apple iOS nebo MS Outlook, což při minulých blokováních šlo. Jedinou možností pro čínské uživatele Gmailu teď zřejmě představuje VPN.

USA schválily nové sankce na Severní Koreu jako odpověď na hacknutí Sony Pictures. Americká vláda se tedy přiklonila k verzi, že za útokem opravdu stojí severokorejský režim.

Bezpečný mobil s autodestrukcí

Boeing a BlackBerry spolupracují na ultrabezpečném smarpthonu/platformě, která je určena pro vládní agentury a komunikaci v dalších kritických odvětvích. Vlastním operačním systémem je Android, na straně serveru se však používá BlackBerry Enterprise Service. Telefon má nabízet autodestrukční funkce, údajně nad rámec běžného vzdáleného zamykání ztraceného zařízení, vzdáleného mazání dat apod.

Google zveřejnil podrobnosti o zranitelnosti ve Windows 8.1

Stalo se tak 90 dní poté, kdy byl o chybě informován Microsoft. Samotná chyba (spočívající ve zpracování systémového volání NtApphelpCacheControl) je spíš zanedbatelná, protože pro zneužití už útočník musí mít k počítači příslušná oprávnění. Zajímavé ale je, že ke zveřejnění informace došlo po 90 dnech automaticky. Diskutuje se, zda tento přístup Googlu (iniciativa Project Zero) je správný. Google argumentuje tím, že 3 měsíce na opravu je dost a uživatelé i podniky by měli být upozorněni na rizika. Že chyba není veřejně popsána dle Googlu ještě neznamená, že už není zneužívána. Firma chce proto ve své politice zveřejňování pokračovat. Microsoft chybu připouští, byť ji bagatelizuje, a uvádí, že záplata se chystá.

Trendy na rok 2015

Podle Setha Rosenblatta na CNet pokračující přechod na modernější platební karty zkomplikuje život podvodníkům, kteří provádějí klonování. Zařízení pro klonování karet s čipem EMV dnes údajně vyjde na milion dolarů. Co se týče domácích zařízení, zákazníci by prý měli požadovat systémy, které umožňují automatickou nebo alespoň manuální aktualizaci firmwaru.

Útok na ICANN

Počítače ICANN (Internet Corporation for Assigned Names and Numbers) byly krátce kompromitovány. Útočníci získali přístup k e-mailovým účtům několika zaměstnanců organizace a mohli odesílat poštu jejich jmény. Mohli získat také různá jména, adresy a další kontaktní údaje nebo snad i přístupová hesla vlastníků generických domén nejvyšší úrovně. S doménami však podle všeho manipulováno nebylo. Kdo je za průnik odpovědný, není známo.

Zranitelnost PHP a CMS

Více než tři čtvrtiny (78 %) všech serverových instalací PHP obsahuje alespoň jednu známou bezpečnostní zranitelnost. Autorem statistiky je výzkumník Googlu Anthony Ferrara, který přitom využil i statistiky společnosti W3Techs. Dvě nejrozšířenější verze PHP jsou 5.2.17 a 5.3.29 (dohromady asi 24 % instalací PHP), obě nebezpečné. Ve verzích PHP 5.3 až 5.6 je dostatečně zalátáno jen několik zranitelností. Zranitelných je 93,3 % instalací PHP 5.6.x, 63,4 % PHP 5.5.x, 89,6 % PHP 5.4.x a 66.1 % PHP 5.3.x. Ve verzi 5.2 není bezpečné vůbec nic, naopak instalace verze 5.1 bývají většinou ošetřené správně. Tato verze je ovšem stará asi 9 let, takže ji používá jen asi 1 % všech serverů, na nichž je PHP nasazeno. Co se týče dalších aplikací, Ferrara tvrdí, že zranitelných je 38 % implementací serveru Apache, 22 % serverových instalací Pythonu a 18 % Perlu. Navíc lze ještě připočítat chyby redakčních systémů – nezáplatovaných je 55 % systémů Drupal a 40 % webů běžících nad Wordpressem. Ferrara se této situaci podivuje, většina aktualizací lze nainstalovat víceméně klikáním myši, neměly by ani kolidovat s plug-iny. Správci na to ovšem i tak kašlou.

Kybernetické útoky na radaru

Společnost Kaspersky Lab spustila interaktivní on-line radar kybernetických útoků Targeted Cyberattack Logbook. Bude uchovávat informace o všech komplexních kybernetických kampaních a APT analyzovaných GReAT týmem Kaspersky Lab. Jen pro rok 2014 je zde zaznamenáno v podnikovém sektoru více než 4 400 obětí cílených útoků. Radar obsahuje výsledky několika let výzkumu 29 velkých cílených útoků, včetně kampaní Regin, Darkhotel, Cloud Atlas a dalších. Nová služba umožňuje uživatelům prozkoumat spojitosti mezi útoky, trendy, chování určitých hrozeb i jejich dopad. Služba je dostupná na webu https://apt.securelist.com/. Zdroj: tisková zpráva společnosti Kaspersky Lab

Na téma bezpečnosti na ITBiz viz také: Zlepšit reakci na kybernetické útoky by měl nový zákon Nový zákon ukládá například poskytovatelům elektronických komunikací nebo správcům kritické informační infrastruktury povinnost hlásit bezpečnostní incidenty v jejich síti bezodkladně Národnímu bezpečnostnímu úřadu.


Komentáře

RSS 

Komentujeme

Jak srovnávali jablka s hruškami

Pavel Houser , 27. květen 2017 14:30
Pavel Houser

Absurdní patent či ochranná známka, respektive absurdní výsledek sporu? A že je hloupost srovnávat j...

Více





RSS 

Zprávičky

Trendy v affiliate marketingu pro rok 2017

ITBiz.cz , 29. květen 2017 12:30

Posilování role mobilních zařízení v e-komerce a sledování uživatelů napříč zařízeními jsou hlavní l...

Více 0 komentářů

Zavedení EET se projevilo i na oblibě metod platby v e-shopech, některé zrušily platbu kartou

ČTK , 29. květen 2017 12:09

EET zasáhlo především ty úplně nejmenší hráče na trhu. Raději možnost platby kartou, která se v EET ...

Více 0 komentářů

Italský soud zrušil zákaz aplikace Uberu v zemi

ČTK , 29. květen 2017 08:00

Italská vláda slíbila, že do konce letošního roku zavede jasnější pravidla hospodářské soutěže....

Více 0 komentářů

Starší zprávičky

Pracovní nabídky v SAP Services připravují roboti

Pavel Houser , 28. květen 2017 08:00

Ve společnosti SAP Services se podařilo zautomatizovat tvorbu pracovních nabídek napříč různými země...

Více 1 komentářů

Výdaje na reklamu na webech v dubnu stouply na 652 milionů Kč

ČTK , 27. květen 2017 09:04

Seznam získal 240 milionů, Mafra inkasovala 118 milionů a Economia 76 milionů korun....

Více 0 komentářů

Dell EMC podporuje transformaci IT s novými produkty pro open networking

Pavel Houser , 26. květen 2017 14:46

Přepínače Dell EMC pro Open Networking tvoří spolu se servery PowerEdge čtrnácté generace a špičkový...

Více 0 komentářů

Hodnota bitcoinu stoupla na nový rekord přes 2400 dolarů

ČTK , 26. květen 2017 09:23

K růstu bitcoinu přispívá příliv nového kapitálu a růst poptávky po dalších digitálních měnách....

Více 0 komentářů