Bezpečnostní přehled: Servery obsahují zranitelné implementace PHP

Pavel Houser , 05. leden 2015 07:00 0 komentářů
Bezpečnostní přehled: Servery obsahují zranitelné implementace PHP

Čína údajně zakázala Gmail. Zažijí makroviry renesanci? Google chce pokračovat v automatickém zveřejňování bezpečnostních zranitelností 90 dní po oznámení výrobci. Kromě PHP představují na serverech problém také redakční (CMS) systémy. Následuje pravidelný bezpečnostní přehled vytvářený především podle webů ZDNet, CNet, The Register a HelpNet Security.

Novinky z Chaos Communication Congress

Na Chaos Communication Congress v Berlíně byly prezentovány útoky RocketKitten. Metoda samotná je velmi archaická, využívá makra pro MS Office vytvořená ve Visual Basic for Applications. Výhodou je, že přesvědčit uživatele k povolení maker je prý mnohem jednodušší, než šířit klasické spustitelné soubory – ty může e-mailový klient blokovat nebo jejich spuštění vyžaduje práva administrátora, zobrazují se dialogy z Řízení uživatelských účtů atd. (Navíc: makra bývají používána a povolena ve finančních či analytických odděleních firem, což je pro útočníky speciálně lákavý cíl.) Přestože jde o starou technologii, např. jednu chybu v implementaci VBScriptu Microsoft opravoval ještě v rámci várky záplat loni v prosinci.

Taktéž na Chaos Communication Congress bylo demonstrováno, jak lze s pomocí běžně dostupné kamery/fotoaparátu získat dostatečně věrný obrázek otisku prstu a ten pak použít při biometrické autentizaci. Jan Krissler tvrdí, že takto má k dispozici otisk prstu německé ministryně obrany Ursuly von der Leyenové. Čtečka otisku prstu tím pádem nemá být pokládána za spolehlivé řešení autentizace – dnes se přitom tato technologie užívá u některých smartphonů nebo např. v platebním systému Apple Pay. Ministryně se k záležitosti odmítla vyjádřit. Faktem ale je, že podvod – kdyby to takto opravdu fungovalo – sice nevyžaduje fyzický přístup k otisku prstu, ale stále je třeba fyzický přístup k zařízení. Biometrie by měla spíše doplňovat klasická hesla, což však pro uživatele není moc pohodlné.

Gmail má problémy. Severní Korea také

Čína údajně začala blokovat Gmail. Podle analytiků důvody nemusejí být bezprostředně politické, ale čínská vláda se snaží dále omezit podnikání Googlu v zemi. Konflikt mezi oběma stranami trvá s různou intenzitou už několik let. Oficiálně Čína blokování Gmailu popírá. Čínský vládní list Global Times dodatečně prohlásil, že blokování je důsledkem politiky Googlu. V Číně dnes nefunguje přístup ke Gmailu ani přes Apple iOS nebo MS Outlook, což při minulých blokováních šlo. Jedinou možností pro čínské uživatele Gmailu teď zřejmě představuje VPN.

USA schválily nové sankce na Severní Koreu jako odpověď na hacknutí Sony Pictures. Americká vláda se tedy přiklonila k verzi, že za útokem opravdu stojí severokorejský režim.

Bezpečný mobil s autodestrukcí

Boeing a BlackBerry spolupracují na ultrabezpečném smarpthonu/platformě, která je určena pro vládní agentury a komunikaci v dalších kritických odvětvích. Vlastním operačním systémem je Android, na straně serveru se však používá BlackBerry Enterprise Service. Telefon má nabízet autodestrukční funkce, údajně nad rámec běžného vzdáleného zamykání ztraceného zařízení, vzdáleného mazání dat apod.

Google zveřejnil podrobnosti o zranitelnosti ve Windows 8.1

Stalo se tak 90 dní poté, kdy byl o chybě informován Microsoft. Samotná chyba (spočívající ve zpracování systémového volání NtApphelpCacheControl) je spíš zanedbatelná, protože pro zneužití už útočník musí mít k počítači příslušná oprávnění. Zajímavé ale je, že ke zveřejnění informace došlo po 90 dnech automaticky. Diskutuje se, zda tento přístup Googlu (iniciativa Project Zero) je správný. Google argumentuje tím, že 3 měsíce na opravu je dost a uživatelé i podniky by měli být upozorněni na rizika. Že chyba není veřejně popsána dle Googlu ještě neznamená, že už není zneužívána. Firma chce proto ve své politice zveřejňování pokračovat. Microsoft chybu připouští, byť ji bagatelizuje, a uvádí, že záplata se chystá.

Trendy na rok 2015

Podle Setha Rosenblatta na CNet pokračující přechod na modernější platební karty zkomplikuje život podvodníkům, kteří provádějí klonování. Zařízení pro klonování karet s čipem EMV dnes údajně vyjde na milion dolarů. Co se týče domácích zařízení, zákazníci by prý měli požadovat systémy, které umožňují automatickou nebo alespoň manuální aktualizaci firmwaru.

Útok na ICANN

Počítače ICANN (Internet Corporation for Assigned Names and Numbers) byly krátce kompromitovány. Útočníci získali přístup k e-mailovým účtům několika zaměstnanců organizace a mohli odesílat poštu jejich jmény. Mohli získat také různá jména, adresy a další kontaktní údaje nebo snad i přístupová hesla vlastníků generických domén nejvyšší úrovně. S doménami však podle všeho manipulováno nebylo. Kdo je za průnik odpovědný, není známo.

Zranitelnost PHP a CMS

Více než tři čtvrtiny (78 %) všech serverových instalací PHP obsahuje alespoň jednu známou bezpečnostní zranitelnost. Autorem statistiky je výzkumník Googlu Anthony Ferrara, který přitom využil i statistiky společnosti W3Techs. Dvě nejrozšířenější verze PHP jsou 5.2.17 a 5.3.29 (dohromady asi 24 % instalací PHP), obě nebezpečné. Ve verzích PHP 5.3 až 5.6 je dostatečně zalátáno jen několik zranitelností. Zranitelných je 93,3 % instalací PHP 5.6.x, 63,4 % PHP 5.5.x, 89,6 % PHP 5.4.x a 66.1 % PHP 5.3.x. Ve verzi 5.2 není bezpečné vůbec nic, naopak instalace verze 5.1 bývají většinou ošetřené správně. Tato verze je ovšem stará asi 9 let, takže ji používá jen asi 1 % všech serverů, na nichž je PHP nasazeno. Co se týče dalších aplikací, Ferrara tvrdí, že zranitelných je 38 % implementací serveru Apache, 22 % serverových instalací Pythonu a 18 % Perlu. Navíc lze ještě připočítat chyby redakčních systémů – nezáplatovaných je 55 % systémů Drupal a 40 % webů běžících nad Wordpressem. Ferrara se této situaci podivuje, většina aktualizací lze nainstalovat víceméně klikáním myši, neměly by ani kolidovat s plug-iny. Správci na to ovšem i tak kašlou.

Kybernetické útoky na radaru

Společnost Kaspersky Lab spustila interaktivní on-line radar kybernetických útoků Targeted Cyberattack Logbook. Bude uchovávat informace o všech komplexních kybernetických kampaních a APT analyzovaných GReAT týmem Kaspersky Lab. Jen pro rok 2014 je zde zaznamenáno v podnikovém sektoru více než 4 400 obětí cílených útoků. Radar obsahuje výsledky několika let výzkumu 29 velkých cílených útoků, včetně kampaní Regin, Darkhotel, Cloud Atlas a dalších. Nová služba umožňuje uživatelům prozkoumat spojitosti mezi útoky, trendy, chování určitých hrozeb i jejich dopad. Služba je dostupná na webu https://apt.securelist.com/. Zdroj: tisková zpráva společnosti Kaspersky Lab

Na téma bezpečnosti na ITBiz viz také: Zlepšit reakci na kybernetické útoky by měl nový zákon Nový zákon ukládá například poskytovatelům elektronických komunikací nebo správcům kritické informační infrastruktury povinnost hlásit bezpečnostní incidenty v jejich síti bezodkladně Národnímu bezpečnostnímu úřadu.


Komentáře

RSS 

Komentujeme

Virtuální realitou proti strachu ze smrti

Pavel Houser , 18. červenec 2017 07:00
Pavel Houser

Lidé, kteří reportují „zážitky blízké smrti“, pak mnohdy mají ze smrti menší strach. Nedalo by se to...

Více






Kalendář

22. 07.

27. 07.
Black Hat 2017
27. 07.

30. 07.
Defcon 2017
27. 08.

31. 08.
VMworld 2017
RSS 

Zprávičky

Pozornost věnovaná e-mailům se zvyšuje

ITBiz.cz , 27. červenec 2017 13:30

Průměrný čas strávený čtením e-mailu se mezi lety 2011-16 zvýšil o 7 %. V průběhu 6 let, mezi roky 2...

Více 0 komentářů

Zisk Facebooku prudce stoupl

ČTK , 27. červenec 2017 10:30

Celkové příjmy společnosti se zvýšily o téměř 45 % na 9,32 miliardy dolarů....

Více 0 komentářů

Luxusní značky zřejmě budou moci zabránit internetovému prodeji

ČTK , 27. červenec 2017 10:00

Deset let trvající bitva luxusních značek o ochranu jejich image se zřejmě přiblížila ke svému konci...

Více 0 komentářů

Starší zprávičky

Šéf Applu prý slíbil Trumpovi, že postaví v USA tři velké továrny

ČTK , 27. červenec 2017 09:00

Výstavba tří závodů by byla pro Apple nebývalým rozhodnutím. Firma teď vlastní pouze jednu továrnu, ...

Více 0 komentářů

Nintendo je díky poptávce po konzoli Switch opět v zisku

ČTK , 27. červenec 2017 08:00

Firma ve čtvrtletí prodala 1,97 milionu herních přístrojů Switch a od začátku prodeje v březnu jich ...

Více 0 komentářů

Vodafone pokračuje v implementaci NB-IoT

Pavel Houser , 26. červenec 2017 13:29

Vodafone spolu se společnostmi Jablotron, Landis+Gyr a Ústavem telekomunikací VUT Brno testuje proto...

Více 0 komentářů

SoftBank usiluje o získání podílu v Uberu

ČTK , 26. červenec 2017 12:45

Celková hodnota Uberu údajně dosahuje až 69 miliard dolarů....

Více 0 komentářů