Bezpečnostní přehled: Zákulisí kauzy Panama Papers

Pavel Houser , 11. duben 2016 12:00 0 komentářů
Bezpečnostní přehled: Zákulisí kauzy Panama Papers

Jak probíhají úniky dat. Opravy: Cisco, Adobe, Microsoft, Apache OpenMeetings i chytré dveře. Kritika Firefoxu. Za zranitelnosti chce platit i Pentagon. České podniky mají problémy s aktualizacemi softwaru.

Následuje pravidelný bezpečnostní přehled vytvářený především podle webů ZDNet, CNet, The Register a HelpNet Security.

Zákulisí Panama Papers

Kauza Panama Papers. Postižená společnost Mossack Fonseca tvrdí, že k úniku dat došlo v důsledku hacknutí jejího e-mailového serveru, což je ale téměř jistě pouze část pravdy – vždyť údaje sahají až do roku 1970 a tato data sotva byla v aktuálně posílaných e-mailech. Data si zřejmě musel někdo kopírovat delší dobu a systematicky, pocházejí z různých zdrojů.

Děr v systémech Panama Papers ale bylo nejspíš mnoho, používaly se zde např. neaktualizované verze redakčních systémů WordPress a Drupal. Používaný Microsoft Outlook Web Access neměl implementováno šifrování. Přitom první uniklá data se údajně začala nabízet již na počátku roku 2015, ale firma situaci celou dobu nijak neřešila. Analytici dodávají, že u právních firem je laxní přístup k zabezpečení IT kupodivu docela běžný – a přitom informace jsou jejich prakticky jediným aktivem.

Kauza Panama Papers údajně také vedla k velkému zpřísnění internetové cenzury v Číně, kdy jsou blokovány prakticky všechny zahraniční služby, odkud by se k příslušným údajům dalo dostat (tj. Facebook, Google apod.).

Plug-iny pro Firefox potřebují změnu

Taktéž na Black Hat Asia přišli Ahmet Buyukkayhan z Boston University a William Robertson z Northeastern University s tvrzením, že celý ekosystém rozšíření Firefoxu je zranitelný. Nejde přitom o konkrétní doplňky, ale návrh příslušné struktury (např. práva plug-inů apod.). Plug-iny mohou v důsledku toho provádět škodlivé aktivity a maskovat je za legitimní funkce. Mozilla se snaží systém rozšíření převést na model podobný Google Chrome (dokonalejší izolace/sandbox), nicméně vývojáři mají ještě rok a půl čas, než budou muset své produkty příslušným způsobem upravit.

Dino Dai Zovi z firmy Square uvedl na konferenci Black Hat Asia v Singapuru, že roztříštěnost systému Android nemusí být jen bezpečnostní slabina, ale ztěžuje život i podvodníkům. Dále se odkazoval na statistiku, že reportovaných zranitelností i útoků je sice hodně, fakticky je ale infikováno jen asi 0,0009 % zařízení s Androidem.

FBI má k dispozici nástroj, který umožňuje dostat se k údajům v libovolném zamčeném iPhonu, ovšem to platí pouze pro starší modely (do verze 5S). Univerzálnější metoda prozatím neexistuje. Viz také: Úřady odblokovaly mobil střelce i bez pomoci firmy Apple

Údajně došlo k úniku databáze, v níž jsou osobní údaje až 50 milionů Turků; informace je ne zcela potvrzená (neví se, nakolik jsou údaje platné, aktuální apod.), šlo by nicméně o jeden z největších úniků této kategorie (Turecko má asi 100 milionů obyvatel, tj. jde cca o polovinu z nich). Podle jiných zdrojů došlo k podobně rozsáhlému úniku osobních údajů také na Filipínách.

FireEye upozorňuje, že podvodníci v USA se ještě snaží rychle vydělat na PoS malwaru – než všichni maloobchodníci přejdou na platební karty s čipem (EMV apod.), kdy je klonování i v případě nasazení skimmovacího systému podstatně složitější.

Hack the Pentagon

Americké ministerstvo obrany spouští projekt hledání bezpečnostních zranitelností ve svých systémech. Zatím se chystá pilotní fáze pod názvem Hack the Pentagon, kdy se takto mají testovat hlavně veřejně přístupné webové servery a nikoliv např. kritické interní systémy. Maximální výše odměn publikována nebyla. Partnerem pro Pentagon je HackerOne. Program ale prý od strany zájemců vyžaduje dost administrativy, vyplňování různých daňových prohlášení apod.

V Brazílii se učí od Rusů

Kaspersky Lab uvádí, že ruští a brazilští podvodníci spolupracují a vyměňují si technologie, čímž urychlují vývoj malwaru přizpůsobeného místním podmínkám. Spolupráce se týkala např. sdílení ransomwaru nebo infrastruktury pro hosting podvodných aktivit. Obecně je to spíše tak, že v Brazílii se využívá ruské technologie, takže v důsledku spolupráce se např. rychle rozvinuly dříve celkem primitivní brazilské bankovní trojany. Popsaná spolupráce dále ztěžuje boj s podvodníky na úrovni jediné země, bez mezinárodní koordinace policejních postupů.

Problémy Internetu věcí

Ricky Lawshae z Trend Micro uvádí, že objevil bezpečnostní zranitelnosti v ovládacích systémech dveří VertX a Edge. Útočníci mohou odemykat tyto dveře a vyřazovat z provozu alarm (stačí zaslat speciální UDP pakety, nevyžaduje se žádné ověření). Výrobce systémů, společnost HID, již vydala opravu firmwaru, otázka však je, jak ji implementují zákazníci.

Zranitelnosti a opravy

Microsoft opravil chybu v autentizaci svých on-line služeb, která se týkala širokého portfolia produktů, od Outlooku po Azure. Podvodníci mohli kvůli zranitelnosti získávat pomocí falešných webů přístup k uživatelským účtům; chyba se řadila do kategorie CSFR. Na problém upozornil Jack Whitton, vydání opravy trvalo 2 dny.

Adobe uvolnila mimořádnou opravu pro pro přehrávač Flash Player. Chyba (CVE-2016-1019) je již aktivně zneužívána a týká se přehrávače na všech platformách (Windows, Mac OS X, Linux, Chrome OS).

Cisco vydalo opravu 6 bezpečnostních zranitelností ve svých produktech. Postižena je platforma pro datová centra UCS (Unified Computing System), Prime Infrastructure a Evolved Programmable Network Manager. V důsledku některých z těchto chyb mohou útočníci získat k systémům oprávnění roota, někde jde pouze o eskalaci oprávnění, jindy o možnost získat přístup zcela bez autorizace (např. chyba v UCS Invicta se týká nezabezpečeného ukládání klíčů SSH).

Andreas Lindh z firmy Recurity Labs objevil 4 zranitelnosti v komunikační platformě Apache OpenMeetings. Jedna z chyb umožňovala vzdálené spuštění kódu. Opravy jsou již k dispozici.

CSIRT varuje/oznamuje

Objevena a zveřejněna byla zranitelnost SOHO síťových prvků routerů Netgear. Jedná se o zranitelnost typu „Remote Command Execution/Injection“, kterou je možno zneužít prostřednictvím Cross Site Scriptingu (XSS). Oprava firmwaru dosud není k dispozici.

Ze světa firem

Analytici společnosti Eset objevili novou verzi malwaru Linux/Remaiten, který útočí na routery, gateway a bezdrátové přístupové body. Hlavní obranou je aktualizace firmwaru těchto zařízení, politika hesel a omezení přístupu k zařízením z internetu. Aktuální hrozba představuje kombinaci funkcionalit již známých škodlivých kódů Tsunami (Kaiten) a Gafgyt. Prozatím byly odhaleny 3 varianty. Sami tvůrci svůj malware nazývají KTN-Remastered nebo KTN-RM. Útočník získá kontrolu nad kompromitovaným zařízením, dále stahované škodlivé kódy se liší. (Zdroj: tisková zpráva společnosti Eset)

Intel uskutečnil akvizici společnosti Yogitech, která se zaměřuje na funkční bezpečnost v oblasti polovodičů a na příbuzné standardy. Cílem akvizice je dle Intelu zlepšení funkční bezpečnosti internetu věcí. (Zdroj: tisková zpráva společnosti Intel)

Představen byl Veeam Availability Orchestrator. Nový (aktuálně na trhu ještě nedostupný) systém pro orchestraci v oblasti zotavení po havárii podporuje využití více hypervisorů a podle dodavatele umožní podnikům jednodušeji realizovat, testovat a dokumentovat plány disaster recovery (včetně dosažení shody s předpisy). (Zdroj: tisková zpráva společnosti Veeam)

Aktualizace softwaru podceňuje až 85 % českých SMB podniků a jen 15 % nezaznamenává v souvislosti s patch managementem žádné problémy. Většina podniků má dobře ošetřeny aktualizace softwaru Microsoftu, typicky Windows či MS Office, nicméně podceňuje „záplatování“ softwaru třetích stran, především softwaru od Adobe, Googlu či Mozilly. Z nástrojů pro správu aktualizací zákazníci využívají převážně služby WSUS (46 %) a Windows Update (43 %). (Zdroj: tisková zpráva společnosti GFI Software)

Na 23% meziročním nárůstu tržeb společnosti Ancet se výrazně podílela IT bezpečnost; tato oblast loni vytvořila 31 % příjmů firmy. Anect v této oblasti nabízí službu SOCA, jež je určena především pro velké subjekty v komerční a státní sféře, kterých se týká zákon o kybernetické bezpečnosti. (Zdroj: tisková zpráva společnosti Anect)

Psali jsme na ITBiz.cz

Na téma zabezpečení na ITBiz viz také: Další kvantový počítač pro faktorizaci

Nový systém vznikl na MITu a i když zatím zvládne rozložit pouze číslo 15 na 3 x 5, celý koncept prý umožňuje na rozdíl od jiných kvantových počítačů systém celkem jednoduše škálovat.


Komentáře


RSS 

Komentujeme

Chatbot mluví za mrtvého – od nápadu k realizaci

Pavel Houser , 30. listopad 2016 13:00
Pavel Houser

Na webu The Verge popsala Casey Newton příběh dvou přátel (Eugenia Kuyda a Roman Mazurenko). Peripet...

Více





Kalendář

RSS 

Zprávičky

Tchajwanský Foxconn jedná o rozšíření svých aktivit v USA

ČTK , 07. prosinec 2016 15:00

Tchajwanská společnost Foxconn jedná o rozšíření svých aktivit ve Spojených státech. Oznámila to dne...

Více 0 komentářů

Nejvyšší soud USA se postavil na stranu Samsungu proti Applu

ČTK , 07. prosinec 2016 12:30

Americký nejvyšší soud se v mnohaletém patentovém sporu mezi výrobci chytrých telefonů Apple a Samsu...

Více 0 komentářů

Evropská komise Microsoftu schválila převzetí sítě LinkedIn

ČTK , 07. prosinec 2016 10:30

Evropská komise schválila americké softwarové společnosti Microsoft záměr koupit za 26 miliard dolar...

Více 0 komentářů

Starší zprávičky

Porozumění větám, konkurence pro Turingův test

Pavel Houser , 06. prosinec 2016 18:00

Konverzační roboti mají stále problémy pochopit věty, kde smysl nelze vyvodit ze samotné gramatické ...

Více 0 komentářů

Americká GoDaddy koupí evropský webhosting Host Europe

ČTK , 06. prosinec 2016 16:00

Americký registrátor internetových domén GoDaddy, který je ve svém oboru největší na světě, se dohod...

Více 0 komentářů

Ruská Centrální banka oznámila masivní útok hackerů

ČTK , 06. prosinec 2016 11:00

Do systému ruské Centrální banky se letos dostali hackeři a s pomocí zfalšovaných hesel se pokusili ...

Více 0 komentářů

CETIN vydal dluhopisy za 25 miliard Kč

ČTK , 05. prosinec 2016 18:00

Česká telekomunikační infrastruktura (CETIN) upsala dluhopisy v eurech a korunách v celkovém objemu ...

Více 1 komentářů