Bezpečnostní přehled: Symantec a Blue Coat, obří fúze v bezpečnostním průmyslu

Pavel Houser , 20. červen 2016 14:00 0 komentářů
Bezpečnostní přehled:  Symantec a Blue Coat, obří fúze v bezpečnostním průmyslu

Ransomware pro televize. Kauza T-Mobile. Zranitelnosti a opravy: Microsoft, Adobe, SAP. Malware dokáže tiše číhat v bankomatu. Vývoj exploit kitů a problémy šifrování při komunikaci s hypervisory.

Následuje pravidelný bezpečnostní přehled vytvářený především podle webů ZDNet, CNet, The Register a HelpNet Security.

Miliardová fúze, Symantec kupuje Blue Coat

Obří akvizice v oblasti IT bezpečnosti – Symantec kupuje Blue Coat za přibližně 4,65 miliardy dolarů zaplacených v hotovosti. Transakci již schválila představenstva obou společností a měla by být dokončena ve 3. čtvrtletí roku 2016. Greg Clark, výkonný ředitel firmy Blue Coat, se po dokončení transakce stane výkonným ředitelem společnosti Symantec a členem jejího představenstva.

Blue Coat má silnou pozici především v oblasti zabezpečení cloudu a webových transakcí, platformu Blue Coat Cloud Generation Security používá celosvětově více než 15 000 zákazníků. Roční obrat firmy (podle GAAP) je 598 milionů dolarů.

Cílem spojení je především nabídnout komplexní řešení pro velké podniky a vlády. I samotný Symantec již podle posledních výsledků generuje 62 % příjmů z podnikového sektoru. V souvislosti s transakcí vloží do sloučené společnosti další peníze fond Silver Lake (investor do Symantecu) a Fond Bain Capital, současný majoritní vlastník Blue Coat; ta zatím nebyla veřejně obchodovatelná. (Zdroj: tisková zpráva společnosti Symantec a další)

Zranitelné televize

Vyděračský software Flocker dokáže zasáhnout už i chytré televize se systémem Android, konkrétně zařízení výrobců Sharp a Philips. V tomto případě jde ale o starší typ „policejního“ ransomwaru, který uživatele straší trestními oznámeními, nikoliv tím, že by šifroval obsah zařízení (snaží se ovšem zamknout obrazovku). Mezi zasaženými zeměmi jsou např. Maďarsko a Ukrajina, ČR zatím ne. Doporučené řešení v případě incidentu? Pro pokročilejší ADB ladění (Poznámka: chce se ale člověku zrovna připojovat infikované zařízení k PC? Nakonec přece cílem infekce by mohlo být právě PC a televize by byla jen mezistupněm, podobně jako je tomu u části malwaru pro Mac OS.), pro ostatní kontaktovat prodejce.

Extrakce klíčů z hypervisorů

Bit Defender upozorňuje na problém s komunikací mezi klientem a virtualizovanou instancí na serveru. Šifrování TLS lze pomocí techniky TeLeScope poměrně snadno dešifrovat v reálném čase, aniž přitom po odposlechu zůstanou výraznější stopy. Proto je také obtížné říct, zda již probíhají pokusy o zneužití této chyby. Nejde o chybu TLS, zranitelnost existuje spíše na úrovni hypervisorů, které umožňují extrakci TLS klíčů z paměti.

Angler a Neutrino

Analytici Malwarebytes a F-Secure upozorňují, že při posledních akcích útočníci upřednostňují využití exploit kitu Neutrino oproti dříve nejoblíbenější sadě Angler. Angler, který cílil především na zranitelnosti ve formátu Flash, byl mezi podvodníky rozšířen od roku 2013, kdy vystřídal Blackhole. Používané metody dokázaly v poslední době obcházet např. i ochranu Microsoft EMET (Enhanced Mitigation Experience Toolkit). Podle Malwarebytes se dnes pomocí exploit kitu Neutrino šíří nepřekvapivě především ransomware.

Blackhole vyklidil pozice po zatčení svého tvůrce, o příčinách přechodu z Angleru na Neutrino není nic bližšího známo, nemusí jít o konec prvního z nich, ale třeba i jen o dočasnou změnu.

Kauza T-Mobile

Českými médii proběhla kauza, kdy zaměstnanec T-Mobile ukradl údaje o 1,5 milionu zákazníků a pak je nabízel k prodeji. K samotnému incidentu došlo v dubnu. „Bohužel musíme potvrdit, že jeden z našich zaměstnanců se pokusil odcizit a následně prodat zákaznická data. Šlo o člena malého týmu, který se zákaznickými daty běžně pracoval. Ihned po zjištění podezření na trestnou činnost jsme podnikli všechny nutné kroky v součinnosti s Policií České republiky. Zaměstnanci byl bez prodlení zrušen pracovní poměr a bylo zahájeno vyšetřování orgánů činných v trestním řízení. Právě v souvislosti s ním bohužel nejsme oprávněni poskytovat žádné konkrétní informace... Charakter odcizené databáze byl čistě marketingový, nešlo o data lokalizační či provozní, ani o citlivé údaje typu hesel,“ praví vyjádření společnosti T-Mobile.

Aby organizace předešly takovýmto situacím, měly by zvážit implementaci řešení Data Loss Prevention (DLP). (Zdroj: tisková zpráva společnosti Safetica Technologies)

Zranitelnosti a opravy

SAP vydal opravy pro 20 zranitelností v produktech Business Intelligence a Business Warehouse. Některé z opravených chyb jsou kritické; Alexander Polyakov, CTO společnosti ERPScan, upozorňuje, že chyba v komponentě Reporting and Planning Module v rámci SAP Business Intelligence lze zneužít k průchodu adresáři směrem nahoru (directory traversal) a útočník se tak může dostat k jakýmkoliv datům/souborům na příslušném operačním systému. V systémech business intelligence se přitom nachází řada kritických dat, finanční výsledky, plány apod.

Problémy s opravou Microsoftu: Záplata MS16-072 způsobuje změny v objektech zásad skupiny (GPO – group policy object). Administrátoři např. hlásili, že jednotky, které byly nastaveny jako neviditelné pro uživatele, jsou náhle přístupné. Jiní správci si zase stěžují, že uživatelům zmizely namapované disky či tiskárny. Příslušnou záplatu lze odinstalovat, opravená chyba není kritická. Umožňuje útok typu man-in-the-middle, přístup k datům mezi klientem a řadičem domény. Útočník nicméně musí mít již přístup k místní síti, zranitelnost nelze zneužít vzdáleně. Viz také: Červnové záplaty Microsoftu – prohlížeče, MS Office i DNS server

Jednu z právě opravených zranitelností v systému Windows Server odhalil Ondřej Ševeček z počítačové školy Gopas. (Zdroj: tisková zpráva počítačové školy Gopas)

V úterý byly spolu s opravami Microsoftu vydány opravy Adobe pro přehrávač Flash Player. Vzápětí byly však oznámeny nové zranitelnosti (CVE-2016-4171), které již byly aktivně zneužívány. Ještě v minulém týdnu byla tedy vydána i nová, tentokrát mimořádná dávka oprav. Zalátané verze Flash Playeru mají čísla 22.0.0.192 a 11.2.202.626.

CSIRT varuje/oznamuje

Zařízení Cisco RV110W Wireless-N VPN Firewall, RV130W Wireless-N Multifunction VPN Router a RV215W Wireless-N VPN Router obsahují kritickou zranitelností, která umožňuje vzdálenému útočníkovi spustit na zařízení libovolný kód s oprávněními uživatele root. V tuto chvíli záplaty nejsou k dispozici. Uvedená zařízení jsou určena především pro malé firmy.

Jak ovládnout bankomat

Skimer, malware cílící na bankomaty, se objevil už v roce 2009. Nyní ho útočníci začali znovu používat a podle všeho se objevil i v ČR. Vylepšená verze tohoto malwaru se nahraje do bankomatu, ale aktivuje až v dalším kroku.

Útok skupiny Skimer začíná získáním přístupu k systému v bankomatu, a to jak fyzického, tak i pomocí interní sítě. Do systému se nahraje backdoor Backdoor.Win32.Skimer, který dává podvodníkům nad zařízením plnou kontrolu. Mohou z něj vybrat veškeré finanční prostředky nebo získat data z karet, které v něm byly použity, včetně čísel bankovních účtů zákazníků a PIN kódů. Na rozdíl od klasického fyzického skimeru oběť v tomto případě nezaregistruje nic podezřelého (delší doba zpracování karty apod.).

Při přímém vybrání peněz by se podvod odhalil hned, útočníci proto raději několik měsíců sbírají data. Samotná akce se pak spustí po vložené speciální karty. Zločinci pak mohou aktivovat 21 rozdílných příkazů, jako například vydat peníze (40 bankovek ze specifické kazety), shromáždění údajů o vložených kartách, samovymazání, aktualizace (z aktualizovaného kódu malwaru vloženého na čipu karty), apod. Skimer je také schopný uložit na čip karty soubor s výpisy a PIN kódy nebo vytisknout detaily karet na papírový výpis bankomatu.

Posledních 20 záznamů skupiny Skimer bylo nahráno z více než deseti různých míst po celém světě, včetně České republiky. (Zdroj: tisková zpráva společnosti Kaspersky Lab)

Ze světa firem

Acronis oznámil spolupráci s Kaspersky Lab s cílem poskytnout zákazníkům možnost okamžitého přístupu ke kritickým souborům a dokumentům v případě jejich ztráty či poškození (de facto kombinace chráněného úložiště se zálohovacím řešením; cíleno hlavně jako ochrana před ransomwarem). (Zdroj: tisková zpráva společnosti Acronis)

SUSE představuje řešení pro instalaci aktualizací jádra operačního systému bez restartování. SUSE Linux Enterprise Live Patching tak dle dodavatele umožní zachovat bezpečnost bez odstávky služeb. Speciálně je toto řešení určeno pro zákazníky, kteří na operačním systému SUSE provozují SAP Hana a SAP NetWeaver. (Zdroj: tisková zpráva společnosti SUSE)

Gerhard Raffling byl jmenován regionálním ředitelem pro střední a východní Evropu společnosti CommVault. Třiačtyřicetiletý Raffling bude zodpovědný za 16 zemí v regionu. Doposud byl ředitelem rakouské pobočky firmy. CommVault nabízí zabezpečení a správu IT/dat. (Zdroj: tisková zpráva společnosti CommVault)

Podle konečných hospodářských výsledků za rok 2015 vykázal distributor bezpečnostních řešení, společnost Comguard, meziroční růst obratu o více než 50 %. (Zdroj: tisková zpráva společnosti Comguard)

Psali jsme na ITBiz.cz

Na téma zabezpečení na ITBiz viz také:

[Bezpečnostní přehled: Ransomware pro auta?](http://www.itbiz.cz/clanky/bezpecnostni-prehled-ransomware-pro-auta

Výrobce radarů ERA se nově zaměřuje i na hackery


Komentáře

RSS 

Komentujeme

Bezpečnost IT a tygří logika

Pavel Houser , 14. únor 2017 11:00
Pavel Houser

Jak praví známý vtip, běží-li za vámi tygr, netřeba se pohybovat rychleji než šelma – stačí předběhn...

Více






Kalendář

20. 03.

24. 03.
CeBIT 2017
25. 03. INSPO 2017
28. 04. Oracle Code 2017
RSS 

Zprávičky

110 grafických karet vytvořilo kolizi pro SHA-1 - za rok

ITBiz.cz , 25. únor 2017 19:50

Za projektem stojí Google a získal už velký mediální ohlas, i když technické podrobnosti zatím zveře...

Více 0 komentářů

Prodej chytrých telefonů v Německu loni poprvé klesl

ČTK , 25. únor 2017 14:35

Tržby poklesly i přes rostoucí průměrnou cenu smartphonu....

Více 0 komentářů

Japonská Softbank zakládá s Foxconnem společný investiční podnik

ČTK , 24. únor 2017 18:03

Japonská skupina Softbank, která investuje převážně v sektoru vyspělých technologií, a tchajwanský s...

Více 0 komentářů

Starší zprávičky

3D tisk ocelových konstrukcí

Pavel Houser , 24. únor 2017 17:37

Podařilo se "vytisknout" jeřábový hák....

Více 1 komentářů

Třetina operátora mobilní sítě Sigfox je na prodej

Pavel Houser , 24. únor 2017 17:17

Zájemci o investici v oblasti internetu věcí mohou získat až 34% podíl společnosti SimpleCell Networ...

Více 1 komentářů

Hodnota kybernetické měny bitcoin vystoupila na nový rekord

ČTK , 24. únor 2017 15:30

Hodnota kybernetické měny bitcoin se dnes zvýšila o 4,7 procenta a vystoupila na nový rekord 1218,85...

Více 0 komentářů

Apple v dubnu otevře v Kalifornii novou centrálu

ČTK , 24. únor 2017 11:30

Americká společnost Apple v dubnu otevře v kalifornském Cupertinu svou novou centrálu. Stěhování 12....

Více 0 komentářů