Bezpečnostní přehled: Účinnost phishingu neklesá

Microsoft platí i za zranitelnosti v prohlížeči Spartan. Systémy OS X stále umožňují eskalaci uživatelských oprávnění. Jak český stát dokáže zaplatit potřebné bezpečnostní experty a jaká jim dá postavení? Následuje pravidelný bezpečnostní přehled vytvářený především podle webů ZDNet, CNet, The Register a HelpNet Security.

Podle studie Verioznu patří k nejčastějším příčinám úniků dat phishing, špatné zabezpečení webových aplikací a odposlouchávání paměti RAM. Poslední faktor loni silně nabyl na významu, naopak poklesla role keyloggerů. Po celém světě výrazně přibylo narušení dat ve veřejném sektoru. Verizon uvádí, že to může být ale i následek zvolené metodiky, kdy se spolupracovalo s národními týmy CSIRT a veřejná správa mívá oproti firmám přísnější pravidla na hlášení incidentů.

Další zajímavost vyplývající z analýzy říká, že účinnost phishingu, přestože jde o tak používanou metodu, překvapivě roste. Procentuálně mnohem více obětí kliká na odkaz ve zprávě, ale lidé otevírají i připojené soubory. Nejúčinnější je cílit na ty, kdo mají otevírání e-mailů a reakci na ně v popisu práce, tj. např. na oddělení PR, marketingu a podpory zákazníkům. Tito lidé prostě zpracovávají i nevyžádané, „divné“ apod. e-maily, těžko jim na školeních radit, že zprávy od neznámých odesílatelů mají rovnou ignorovat a mazat. Zde by se měly organizace snažit spíše o technická řešení, účinnější filtry apod.

V incidentech sledovaných Verizonem jen minimum vážných narušení dat v organizacích souviselo s mobilními přístroji, malware pro ně byl spojen spíše s reklamou či krádežemi údajů do elektronického bankovnictví fyzických osob.

Dropbox zahájil program, v rámci kterého se výzkumníkům platí za reportované chyby zabezpečení. Odměna začíná od 216 dolarů za malé zranitelnosti, dosud nejvýznamnější oznámení s kritickou chybou bylo oceněno na téměř 5 000 dolarů, celkem vyplacená částka je asi trojnásobná. Program specifikuje, za co se peníze nevyplácejí (např. zranitelnosti vyžadující pro zneužití fyzický přístup) a další podmínky typu závazku nezveřejnit informaci před vydání opravy.

Microsoft rozšiřuje svůj program hledání bezpečnostních zranitelností v chystaných Windows 10 i o nový prohlížeč Spartan. Až 15 000 dolarů se nabízí tomu, kdo objeví vzdálené spuštění kódu, prolomení sandboxu nebo bezpečnostní mezery, které jsou důsledkem návrhu browseru. Poměrně vysoké nabízené částky se však vážou na to, aby reportované chyby byly kritické, dodány včetně kvalitní dokumentace a daly se reprodukovat za běžných podmínek. Současně Microsoft rozšířil i platby za objevené bezpečnostní zranitelnosti v platformě Azure, hypervisoru Hyper-V (zde jsou nabízené částky největší) a v on-line/cloudových službách. Viz také Za díru v prohlížeči Spartan Microsoft vyplatí až 15 000 dolarů

Především Microsoft a Interpol, ale i Trend Micro, Kaspersky Lab a místní policejní složky se podílely na mezinárodní akci proti botnetu Simda. Servery byly odpojovány a zabavovány především v Nizozemí, nicméně k zásahu došlo také v Rusku a sousedním Polsku.
Provozovatelé Simdy se sami nespecializovali na žádný druh podvodů, ale ovládané počítače prostě přeprodávali dalším zájemců. Malware se šířil především přes infikované legitimní weby, kam byly nasazeny exploit kity. Z asi milionu infikovaných počítačů jich nejvíce bylo v USA, Kanadě, Británii, Rusku a Turecku.

Apple údajně problém s eskalací práv (libovolný uživatel může získat rootovská oprávnění) ve skutečnosti neopravil. I aktualizovaná verze OS X Yosemite 10.10.3 je prý stále zranitelná. Na aktuální problém upozornil Patrick Wardle, ředitel výzkumu ve společnosti Synack a dříve spolupracovník NSA a zaměstnanec NASA. Synack technické detaily prozradil pouze Applu, ten zatím nereagoval.

Exploit pro zvýšení oprávnění už útočníci údajně zneužívají. Lze to jak v kombinaci s neškodně vypadajícími aplikacemi, které ale s právy roota mohou výrazně škodit, tak i přes kompromitaci aktuálně pracujícího uživatele a následně i získání práv roota.
Videodemonstrace:

Viz také: Zranitelnosti a opravy: Cisco, Dell i LG Apple si přitom vysloužil kritiku za to, že pro starší verze OS X opravu nevydal vůbec.

Společnost FireEye upozorňuje na probíhající kampaň RussianDoll. Tato kampaň cílí především na vládní instituce a vychází podle všeho z Ruska. Při útocích se zneužívají hlavně zranitelnosti ve Windows a přehrávači Flash Player. V obou případech jde o zero day chyby, které mají značnou cenu, jde tedy o „vyskoprofilovou“ akci, značně komplexní a finančně náročnou, i proto se spekuluje o podílu ruské vlády. Adobe po zahájení akce (nezávisle) vydala záplatu, Microsoft na opravě chyby CVE-2015-1701 v tuto chvíli pracuje.

Kaspersky Lab a holandská National High Tech Crime Unit nabízejí postup dešifrování pro oběti ransomwaru CoinVault. Potřebná data se podařilo získat z šifrovacích serverů útočníků.

EMC koupila kanadskou společnost CloudLink dodávající nástroje pro zabezpečení cloudu. CloudLink nabízí především software SecureVM pro end-to-end šifrování dat v hybridních cloudech. Cena transakce nebyla zveřejněna. CloudLink má asi 20 zaměstnanců, 50 zákazníků a obrat kolem milionu dolarů, obě společnosti tesněji spolupracují již od roku 2013.

CSIRT.CZ varuje

V platformě Magento (od eBay) pro provozování e-shopů byla nalezena bezpečnostní díra; chyba ohrožuje milióny uživatelů, kteří nakupují na některém z e-shopů postavených na této platformě. Nezáplatovaná verze obsahuje zranitelnost umožňující útočníkům dostat se k informacím na serveru, potenciálně včetně údajů o platebních kartách a dalších citlivých informací.
Viz také: Check Point objevil vážnou zranitelnost v e-commerce platformě Magento

Kde stát vezme experty?

Zabezpečení dat a informační infrastruktury státu a rozpočtových organizací není možné dosáhnout tak, jak stanovuje zákon o kybernetické bezpečnosti. Podle analýzy Ness Technologies a LMC na tuzemském pracovním trhu nejsou k dispozici bezpečnostní experti, které by stát dokázal zaplatit a pravidelně je školit. Soukromá sféra k sobě stáhla v podstatě všechny zkušené odborníky a tabulkové státní platy nemohou soukromé sféře konkurovat.
Na posílení pravomocí pro boj s kyberzločinem není organizační struktura státní správy zatím připravena. „Bezpečnostní manažer bude tabulkově i z hlediska pravomocí zařazen maximálně na úrovni ředitele odboru. Těžko si lze představit, že takový člověk bude mít najednou pravomoc například změnit přístupová oprávnění ministra, pokud usoudí, že dochází k narušení bezpečnosti,“ uvádí soudní znalec Ivan Janoušek.
Zdroj: tisková zpráva společnosti Ness
Viz také: Ve státní správě má chybět až 1000 bezpečnostních expertů

Ze světa firem

Vstup na český trh oznámila společnost Coinzone, poskytovatel platebních řešení pro měnu bitcoin. Dostupné řešení dle poskytovatele nabízí vyhrazené služby pro bitcoinové transakce plně podporované partnerstvím s místními bankami. Obchodníkům umožňuje vyrovnání v české koruně.

„Řešení Coinzone obchodníkům přináší bitcoinové platební prostředí chráněné proti podvodům a podvodným reklamacím (chargeback). Zákazníkům naproti tomu zpřístupňuje jednoduchý a bezpečný proces platby, ve kterém se nepřenášejí žádné citlivé údaje,“ praví tisková zpráva.
Zdroj: tisková zpráva společnosti Coinzone

RSA, bezpečnostní divize společnosti EMC, zveřejnila výsledky průzkumu, který zjišťoval připravenost firem na kybernetické útoky. Studie byla provedena ve 30 zemích. Formalizované plány reakce na bezpečnostní incidenty nejsou zavedeny ve 30 % ze všech dotázaných organizací. Z těch, které takový plán mají, navíc 57 % připustilo, že jej nikdy neaktualizují nebo nevyhodnocují.
Většina organizací si uvědomuje, že základní protokolování prostřednictvím systémů správy bezpečnostních informací a incidentů (SIEM) jim poskytuje pouze částečný přehled o jejich prostředí. 72 % účastníků průzkumu má přístup k forenzním nástrojům zaměřeným na malware nebo koncové body, ale pouze 42 % respondentů má k dispozici funkce pro pokročilejší analýzu sítí typu zachytávání paketů.
Zdroj: tisková zpráva společnosti RSA

Na trh přichází AVG Business Managed Workplace 9.1, ekosystém platformy pro vzdálenou správu (RMM). Nová verze podle dodavatele obsahuje rozšíření Secure Sign-On a Backup a Disaster Recovery a podporuje integraci aplikací Microsoft Office 365 a VMware a partnerům usnadňuje nasazení a administraci služby vzdálené správy IT u svých firemních zákazníků. K novinkám má patřit i snadnější nasazení pro mobilní a cloudové aplikace.
Zdroj: tisková zpráva společnosti AVG

Nová řada zařízení ZyXEL USG přináší podle dodavatele vysoký výkon firewallu, VPN a UTM. USG střední třídy nabízí malým a středním podnikům dostupnost sítě pro nepřetržitou komunikaci, zajišťují vyrovnávání zátěže a převzetí služeb při selhání, a to na základě několika připojení WAN a redundance zařízení.
Zdroj: tisková zpráva společnosti ZyXEL

44 % Čechů si myslí, že jejich hesla nemají pro kybernetické zločince žádnou hodnotu. Vyplývá to z průzkumu Kaspersky Lab a B2B International, který oslovil přes jedenáct tisíc uživatelů ve 23 zemích včetně ČR. Pouze 4 % respondentů z ČR využívají na ukládání hesel speciální software.
Zdroj: tisková zpráva společnosti Kaspersky Lab

Objevena byla nová kyberšpionážní kampaň CozyDuke. V USA se malware zaměřil na Bílý dům a ministerstvo zahraničí, v Německu, Jižní Koreji a Uzbekistánu mj. na vládní organizace i významné komerční subjekty. Analytici Kaspersky Lab zaznamenali podobnost použitého malwaru s nástroji kampaní MiniDuke, CosmicDuke a OnionDuke. Ty jsou podle mnoha náznaků vedeny rusky mluvícími útočníky.
Zdroj: tisková zpráva společnosti Kaspersky Lab

Připojení podpisu k dokumentu otiskem palce umožňuje řešení, které na trh uvedla společnost Software602. Řešení Touch ID, které je dle dodavatele v plném souladu se českou i evropskou legislativou, funguje na iPhone 5S a pokročilejších zařízeních. V rámci nových verzí aplikací Signer a FormApps Mobile je dokument převeden do formátu PDF a poté je k němu připojen uznávaný elektronický podpis. Při připojování podpisu je obvykle zadáván PIN, ale s novými verzemi aplikací stačí otisk palce.
Zdroj: tisková zpráva společnosti Software602

Chyby v e-mailech způsobí ročně až 30 % úniků citlivých firemních dat. Skoro dvě třetiny úniků způsobí sami uživatelé. Třetina těchto omylů je způsobena zasláním citlivých dat na jinou e-mailovou adresu, než odesílat původně zamýšlel.
Zdroj: tisková zpráva společnosti Safetica

Psali jsme na ITBiz

Na téma bezpečnosti na ITBiz viz také:

• Hackeři z Pawn Storm útočí na členy NATO
  Skupina Pawn Storm je aktivní nejméně od roku 2007 a mezi její cíle v minulosti patřily především vládní agentury a vojenské subjekty, dodavatelé zbraní a média. Při útocích hackeři využívají hned několik metod, aktuálně zejména podvodné webové stránky s přihlašovacím rozhraním k Microsoft Outlook Web Access.
  Oběťmi se v uplynulých měsících stali zaměstnanci ozbrojených složek dvou evropských členů NATO a velké americké společnosti, která prodává jaderné palivo do elektráren. Spekuluje se, že útočníci postupují s podporou Ruska. Aktuální analýzu činnosti skupiny Pawn Storm vypracovala společnost Trend Micro.

• Americká zbrojovka Raytheon koupí od soukromé investiční společnosti Vista Equity Partners bezpečnostní firmu Websense. Cena činí 1,9 miliardy dolarů.