Bezpečnostní přehled: Drown, další problém v TLS/SSL

Pavel Houser , 07. březen 2016 12:00 0 komentářů
Bezpečnostní přehled: Drown, další problém v TLS/SSL

Proběhla výroční konference RSA. Hackingu využívají i námořní piráti. Obavy z bezpečnosti systémů SAP. Problémem sítí VPN špatně implementované nebo zastaralé šifrování. Ransomware u německých zdravotnických organizací, Mozilla zablokovala YouTube Unblocker.

Následuje pravidelný bezpečnostní přehled vytvářený především podle webů ZDNet, CNet, The Register a HelpNet Security.

Odehrála se výroční konference RSA, mnohé z dále uváděných novinek, studií a prognóz byly prezentovány právě na této akci.

Sofistikovaná piráti

Studie Data Breach Digest společnosti Verizon popisuje případ, kdy byl kybernetický útok spojen s námořním pirátstvím. Piráti se vlámali do informačního systému přepravní společnosti a tímto způsobem dokázali zjistit obsah jednotlivých kontejnerů. Po přepadení lodě pak pouze pomocí čtečky čárových kódů rychle identifikovali nejcennější náklad a zmizeli i s kořistí. Postižená společnost není jmenována, upřesněno nebylo ani místo incidentu. The Register v této souvislosti poznamenává, že kolem Afriky i v Indickém oceánu v posledních letech míra pirátství klesla především díky efektivním mezinárodním akcím pod záštitou NATO. Piráti se možná snaží přejít na sofistikovanější postupy.

Eset uvádí, že od srpna loňského roku objevil na Google Play již 343 škodlivých aplikací, které (alespoň dočasně) dokázaly obejít kontrolu Googlu a stáhlo si je 1,2 milionu uživatelů. V řadě případů jde ovšem o podvodné klikání (především na pornografických webech), které okrádá inzerenty, ale uživatele ohrožuje víceméně pouze rizikem větších poplatků za přenášená data.

Špatné implementace SSL

9 z 10 zkoumaných VPN sítí používá špatně implementované nebo zastaralé šifrování, praví průzkum společnosti High-Tech Bridge. K hlavním problémům patří používání SSL v3 (77 %) nebo dokonce v2. 76 % ze zkoumaných veřejně přístupných VPN serverů má nedostatečně důvěryhodné SSL certifikáty, například přednastavené certifikáty dodavatelů. Používají se certifikáty s podpisy SHA-1, i když na úrovni webových prohlížečů již příští rok zřejmě tato technologie přestane být podporována. 41 % sítí používá certifikáty RSA o délce pouze 1024 bitů. 10 % ze serverů využívajících OpenSSL je stále zranitelných velmi medializovanou chybou Heartbleed, jejíž existence je známa už skoro 2 roky. Jen minimum (3 %) testovaných sítí by vyhovělo standardu PCI DSS.

IBM kupuje firmu Resilient Systems, která nabízí platformu pro organizaci a automatizaci reakcí na bezpečnostní incidenty. Finanční podmínky transakce nebyly zveřejněny. Přibližně 100 zaměstnanců se má stát součástí divize IBM X-Force Incident Response Services.

Po hollywoodské nemocnici připustily infekci ransomwarem také dvě zdravotnická zařízení v Německu. Dokonce i v případě, kdy se podařilo rychle izolovat postiženou část sítě a nemocnice díky zálohám přišla jen o několik hodin dat, znamenala infekce vážnou komplikaci. Vyřazen z provozu byl i e-mailový systém a vrátila se éra komunikace pomocí faxu, jak v rámci nemocnice, tak i s pacienty. Výpalné obě zasažené instituce údajně nezaplatily. Viz také předcházející bezpečnostní přehled

Strach ze SAPu

Podle studie Ponemon Intitute více než polovina respondentů (z řad IT oddělení a management) připouští, že v jejich firmách dojde k bezpečnostnímu incidentu v důsledku nedostatečně zabezpečených implementací systému SAP. V průměru za poslední 2 roky zaznamenávali respondenti 2 incidenty tohoto typu. Často jde o „tichá narušení“, respondenti průzkumu proto uvádějí, že i když vedení (C-level) o problému ví, jeho závažnost se podceňuje. Jinak problém se zabezpečením aplikací SAP je ve firmách i kompetenční – kdo rozhoduje o instalaci aktualizací, nakolik jsou kritické podnikové aplikace vyčleněny ze zbytku IT a svěřeny do téměř výlučné správy vlastním administrátorům (a ti často argumentují, že do funkčních produkčních systémů raději nijak nezasahovat, a to ani instalací aktualizací; kromě ERP systémů se tento problém týká např. také databází).

Zranitelnosti, opravy a aktualizace

Cisco vydalo několik záplat pro své produkty, asi nejdůležitější jsou opravy pro přepínače Nexus 3000 a Nexus 3500. V operačním systému těchto zařízení NX-OS byla objevena kritická zranitelnost umožňující útočníkovi neautorizovaný vzdálený přístup s právy roota. Problém byl v tom, že by při instalaci zařízení se vytvářel defaultní účet s přenastaveným heslem, přičemž tento účet/heslo nebylo možné odstranit ani změnit. Další opravy látají chyby, které umožňovaly útok DDoS a také zranitelnosti v knihovně glibc (viz jeden z předcházejících bezpečnostních přehledů) a zranitelnost DROWN (viz dále).

Mozilla zablokovala populární plug-in YouTube Unblocker. Tento software měnil bez vědomí uživatele bezpečnostní nastavení a pokoušel se stahoval další škodlivé programy (převážně adware). Vývojáři YouTube Unblocker se už několikrát pokoušeli různými triky obejít bezpečnostní mechanismy, které Mozilla uplatňuje na addons.mozilla.org.

Google vydal Chrome ve verzi 49. Opraveno bylo 26 chyb (z toho 8 vysoce a 5 středně závažných), jejichž objevitelé si přišli na 51 000 dolarů.

10 zranitelností bylo zalátáno v publikačním systému Drupal, některé z nich umožňovaly vzdálené spuštění kódu, jiné neautorizovaný přístup k částem portálu omezeným heslem nebo útok hrubou silou na hesla. Také byl oznámen konec podpory verze 6.

Nová verze Apple TV 7.2.1 přináší opravy asi 60 zranitelností včetně kritických chyb, které umožňovaly vzdálené spuštění kódu nebo neuatorizovaný přístup k datům.

CSIRT varuje/oznamuje

Publikovány byly informace o zranitelnosti týkající se nesprávné implementace TLS a SSL protokolu. Zranitelné mohou být webové i e-mailové servery a jiné služby, které protokol TLS využívají.

K využití chyby DROWN může dojít v případě, že služba současně umožňuje využívaní SSLv2 a TLS nebo pokud je soukromý klíč využíván ještě na jiném serveru, který podporuje SSLv2. Útočník může prolomit šifrování komunikace mezi serverem a uživatelem. Obrana je možná jen na straně provozovatele služby, přičemž podle předběžných odhadů je zranitelných až 33 % webů využívajících protokol HTTPS.

Ze světa firem

Brněnská společnost Safetica Technologies, která se specializuje na softwarovou ochranu proti únikům citlivých dat, získala v novém kole financování kombinovanou investici v hodnotě 1,5 milionu dolarů. (Zdroj: tisková zpráva společnosti Safetica)

Visa představila nové aplikace umožňující platby pomocí automobilu. Výrobci automobilů dostanou k dispozici také tokenizační službu Visa Token Service. (Zdroj: tisková zpráva asociace Visa)

Antivirus od Esetu falešně detekoval rizikový obsah i na bezpečných webech. Chyba již byla odstraněna. (Zdroj: tisková zpráva společnosti Eset)

Eset otevřel vlastní obchodní a distribuční pobočku ve Velké Británii. Navazuje na dlouholetou spolupráci s partnerskou společností DESlock, kterou Eset loni koupil. (Zdroj: tisková zpráva společnosti Eset)

Sophos rozšířil své řešení Email Appliance o technologii sandboxingu Sandstorm. Tato technologie podle dodavatele detekuje potenciálně nebezpečné chování napříč různými platformami včetně Windows, Mac i Android, a to ve fyzických i virtualizovaných prostředích, v síťové infrastruktuře, v mobilních aplikacích, v elektronické poště. (Zdroj: tisková zpráva společnosti Sophos)

Kaspersky Lab a Novetta spolu s dalšími partnery pomáhají v rámci operace Blockbuster narušit aktivity kybernetické skupiny Lazarus. Ta je zodpovědná za zničení dat a kybernetickou špionáž v několika firmách po celém světě. Útočníci jsou také považováni za aktéry napadení Sony Pictures Entertainment (SPE) v roce 2014 a operace DarkSeoul, která o rok dříve cílila na média a finanční instituce v Jižní Koreji.

Prozatimní závěr: skupina existovala již v roce 2009, tedy pět let před útokem na Sony Pictures. V roce 2010 počet nových jejích kampaní významně vzrostl, což prokazuje, že Lazarus je stabilní a dlouhodobě působící skupina. (Zdroj: tisková zpráva společnosti Kaspersky Lab)

Novým Channel Sales Managerem firmy pro ČR a SR se stal Jindřich Koch. (Zdroj: tisková zpráva společnosti Kaspersky Lab)

Kaspersky Lab rozšiřuje své podnikové portfolio o služby Security Intelligence Services. Ty jsou určeny především pro zabezpečení operačních středisek, zaměstnance korporací a poskytovatele služeb. V rámci Security Intelligence Services jsou k dispozici data o hrozbách, reporting zpravodajských informací, školení a specializované služby jako penetrační testování a posouzení zabezpečení aplikací. (Zdroj: tisková zpráva společnosti Kaspersky Lab)

Barracuda Networks představila nové řešení Barracuda Essentials for Office 365, což je sada cloudových služeb pro zabezpečení dat a elektronické pošty v prostředí Microsoft Office 365. (Zdroj: tisková zpráva společnosti Gesto Communications (distributor Barracuda pro ČR a Slovensko))

Bezpečnost významně motivuje k obměně PC ve firmách. Hlavním důvodem k nákupu nových počítačů či notebooků je pro 78 % českých (a 86 % slovenských) CIO větší rychlost počítače, následují delší výdrž na baterii (68 %) a dobře zabezpečený počítač (67 %). (Zdroj: tisková zpráva společnosti Intel)

Psali jsme na ITBiz.cz

Na téma zabezpečení na ITBiz viz také:

Umělá inteligence prý bezpečnost nezařídí

Ředitel RSA je mírně skeptický. Strojovým učením vycvičíme neuronovou síť tak, aby ideálně reagovala na minulé útoky. Bezpečnost, stejně jako třeba obchodování na burze, ale představuje hru, kde protistrany své strategie mění.

Pentagon láká americké hackery, aby prověřili jeho bezpečnost


Komentáře

RSS 

Komentujeme

Moorův zákon a umění odkladu

Pavel Houser , 20. září 2016 11:30
Pavel Houser

Jak souvisí prokrastinace a Moorův zákon? I když by člověka možná taková spojitost na první pohled n...

Více





RSS 

Zprávičky

Europol varuje před rostoucí mírou počítačové kriminality

ČTK , 28. září 2016 16:00

Počítačová kriminalita v Evropě je nadále na vzestupu, uvádí evropská policejní agentura Europol. Vý...

Více 2 komentářů

Portál Aukro koupili od jihoafrické Naspers čeští investoři

ČTK , 28. září 2016 13:30

Jihoafrická společnost Naspers prodala největší český obchodní portál Aukro.cz českým investorům. No...

Více 0 komentářů

Datasys otestuje zabezpečení hranic čidel napojených na síť pro IoT

ČTK , 27. září 2016 14:00

Česká technologická společnost Datasys v pilotním projektu otestuje možnost zabezpečení evropských h...

Více 0 komentářů

Starší zprávičky

Yahoo čelí žalobě kvůli rozsáhlému kybernetickému útoku

ČTK , 27. září 2016 10:30

Americká internetová společnost Yahoo čelí žalobě v důsledku útoku hackerů, při kterém jí byly ukrad...

Více 0 komentářů

S vlastním počítačem do práce? Jen v 7 % českých firem

ITBiz.cz , 27. září 2016 10:26

Snadnější možnost úniku dat, bezpečnostní incidenty a komplikovanější správa počítačů - to jsou hlav...

Více 4 komentářů

Návštěvnost webů v srpnu meziročně klesla na 7,8 milionu

ČTK , 27. září 2016 09:00

Návštěvnost tuzemských webů se v srpnu meziročně snížila o čtyři procenta na 7,84 milionu uživatelů ...

Více 1 komentářů

Samsung v Koreji obnoví prodej telefonů Galaxy Note 7 později

ČTK , 26. září 2016 15:00

Jihokorejská společnost Samsung Electronics obnoví prodej telefonů Galaxy Note 7 v Jižní Koreji až 1...

Více 0 komentářů