Bezpečnostní přehled: Kdy použít exploit?

Ekonomická rozvaha stojící za útoky zero day. Loni byla hlavním vektorem malwaru Java. Prát špinavé peníze přes Bitcoin nemusí být bez rizika. Spolu s Windows XP skončí i podpora Microsoft Security Essentials pro tento operační systém. Následuje pravidelný bezpečnostní přehled vytvářený především podle webů ZDNet, CNet, The Register a HelpNet Security.
Výzkumníci z University of Michigan vypracovali metodiku, která vyhodnocuje, zda je exploit výhodnější použít hned, nebo s tím počkat (dalo by se to chápat až jako poradenství pro útočníky, i když autoři samozřejmě uvádějí, že cílem jejich výzkumu je pomoci porozumět motivacím útočníků a od toho odvozovat strategie obrany). Ve zjednodušené rovnici fungují např. následující kritéria:

1. náklady. Jaké jsou fixní náklady na zery day exploit (dejme tomu draze koupený), kolik bude stát kampaň?
2. jaká je pravděpodobnost, že exploit bude použitelný i v budoucnu? Nespustí zatím útok někdo jiný, nevydá dodavatel softwaru opravu z jiného důvodu?
3. detekovatelnost útoku. Užije-li se exploit nyní, sníží se tím možnost s ním pracovat později (tj. zůstane akce skrytá)?
4. zisk. Na čem závisí výnosnost úspěšného útoku a jak se bude vyvíjet v čase (do hry vstupuje třeba i aktuální úroková sazba)?
5. práh. Stanoví si útočník nějakou hodnotu očekávaného zisku, pod kterou se do akce vůbec nebude pouštět?

Autoři studie Robert Axelrod a Rumen Iliev používají známý ekonomický princip trade-off (něco za něco). Základní otázka zní: Vyplatí se útočníkům čekat, až bude příležitost k většímu zisku, nebo tím riskují, že už nebude žádný či jen menší?

Následně autoři svůj model testují na historických případech, jako byl Stuxnet, kampaně čínské průmyslové špionáže nebo íránský útok na Saudi Aramco. Např. u Stuxnetu vyšlo, že útok stojí za to provést co nejdříve; pracovalo se totiž s kombinací mnoha zranitelností, takže hrozily opravy. Na druhé straně útok měl malou pravděpodobnost detekce, čili mohl fungovat i dlouho po spuštění. (Odhaduje se, že malware v íránských zařízeních vydržel bez zpozorování asi 17 měsíců.) Potenciální zisk byl vysoký a v čase by spíše klesal (až by Írán měl už obohacený uran k dispozici). Realita odpovídala těmto závěrům.

K dispozici je několik nových informací týkajících se konce podpory Windows XP letos v dubnu. Microsoft přestane k 8. dubnu poskytovat podporu Microsoft Security Essentials pro Windows XP (k dispozici je řada bezplatných náhrad; ovšem MSE byl na rozdíl od rozšířenější konkurence typu Avast/AVG zdarma i pro malé firmy). Windows XP Mode ve Windows 7 zůstane zachován, nicméně ani pro tento režim už nebudou k dispozici žádné opravy, takže jeho použití znamená bezpečnostní riziko. Po konci podpory bude systém Windows XP i nadále možné instalovat a aktivovat. Dosavadní opravy pro Windows XP budou i po 8. dubnu k dispozici pomocí služby Windows Update.

Až 20 milionů jihokorejců může být obětí kybernetické kriminality. Jediný člověk (byť zřejmě současně účastník organizované akce) se údajně zmocnil údajů o jejich kreditních kartách provázaných s dalšími osobními informacemi (historie plateb, jména vlastníků, jejich úvěrové ratingy…) a pokoušel se o prodej gigantické databáze. Jižní Korea má přitom cca 50 milionů obyvatel, potenciální riziko se tedy týká málem každého druhého.

Cisco Annual Security Report uvádí, že loni byla za většinu, až 91 %, útoků na klientská PC odpovědná Java (infekce z webu metodou drive by download). Zatímco předloni značná část exploitů zneužívala Adobe Reader/Flash, nyní popularita těchto útoků v porovnání s Javou výrazně poklesla. Cisco problémy s Javou ukazuje na statistice, podle které 76 % zákazníků služeb Cisco Web Security (nemluvě o domácích PC a malých firmách) dosud používá Javu 6, kterou Oracle přestal podporovat v březnu loňského roku. Problémem jsou jednak aplikace fungující pouze ve starších verzích, dále i to, že v minulosti se nová verze Javy mohla instalovat nikoliv namísto, ale vedle verze stávající.

V oblasti mobilních zařízení zase prakticky všechny útoky cílí na Android, specifický malware pro iOS prakticky neexistuje – i když tato zařízení jsou cílem podvodů typu phisgingu, které nezávisejí na konkrétní platformě.

Studie dále uvádí nárůst kybernetických útoků proti podnikům ve speciálních vertikálních oborech, např. zemědělství.

Firma SplashData sestavila žebříček stupidních hesel dle četnosti jejich použití. Oproti situaci před rokem sesadilo z čela heslo 123456 loni vedoucí heslo password. Vzhledem k loňskému masivnímu úniku dat zákazníků Adobe (hesla byla publikována a zařazena do aktuální statistiky) se nyní na 10. místě objevil také řetězec adobe123. Žebříček byl sestaven na základě databází hesel, které byly zveřejněny v souvislosti s úniky dat.

Sarah Meiklejohnová a Kirill Levchenko z University of California v San Diegu sledovali bitcoinové transakce – měna je sice důsledně anonymní, stejně tak ale transparentní. V rámci výzkumu bylo zdokumentováno více než 16 milionů transakcí uskutečněných v posledním roce. Výsledek: většina použití se netýkala obchodu, ale hazardních her a systémů pro těžbu bitcoinů, dále směn za klasické měny či půjček s pevným úrokem, tj. spekulací na vývoj kurzů. Řada transakcí souvisela se Silky Road, nedávno odstavenou podzemní sítí pro nelegální obchody (drogy apod.). Sledovatelnost transakcí a tím i osudu peněz od jejich zdroje dál údajně znamená, že Bitcoin není zdaleka tak skvělý prostředek pro praní špinavých peněz, jak by se mohlo zdát, uvádějí autoři studie.

Zdroj: Phys.org

Google vyřadil z obchodu Google Play dvě rozšíření pro Chrome, Feedly a Tweet This Page. Důvody jsou zhruba následující, vývojáři např. do svého kódu umožňují vkládat boxy třetích stran, kontrolu nad kódem získal po prodeji produktu někdo jiný apod.

Google sotva přejde na uzavřený model Apple iStore. Kromě skenování nabídky proto firma apelovala na vývojáře aplikací, aby neriskovali svoji pracně budovanou pověst pro okamžitý zisk.

Většina firem ‒ 65 % ‒ vidí v trendu BYOD rostoucí hrozbu pro bezpečnost podnikové sítě. Přesto je počet firem, které zavádějí odpovídající opatření, poměrně malý. Vyplývá to z průzkumu Kaspersky Lab a B2B International, jehož se zúčastnilo na 3 000 IT zaměstnanců z 24 zemí včetně ČR. 25 % respondentů v Česku uvedlo, že budou využívání vlastních chytrých telefonů a tabletů k práci u zaměstnanců podporovat. 37 % dotázaných se domnívá, že by stejně žádná restriktivní opatření nefungovala.

Zdroj: tisková zpráva společnosti Kaspersky Lab

Co zpomaluje nástup cloudových řešení? „Lidé v prostředí českého internetu vnímají jako nejvýznamnější bezpečnostní hrozby umístění dat mimo firmu, zajištění nepřetržitého provozu v režimu 24×7 a skutečnost, že větší otevřenost firemních aplikací směrem k internetu zvyšuje možnost útoků na velmi citlivá a strategická podniková data,“ uvádí Jaroslav Hulej, obchodní ředitel společnosti Cloud4com.

Zdroj: tisková zpráva společnosti Intel

„V roce 2013 jsme u více jak 30 % organizací zaznamenali pokus o prolomení do informačního systému zevnitř organizace a získání tak přístupu k informacím, ke kterým daný uživatel nemá přístup. Nejčastějším používaným způsobem bylo použití externího paměťového média (USB flash), na kterém měl útočník staženy nejrůznější nástroje, které jsou určeny k prolomení hesla, získání hesla jiného uživatele či získání jiných citlivých informací o jiných uživatelích,“ uvádí Martin Hanzal, výkonný ředitel SodatSW.

Zdroj: tisková zpráva společnosti SodatSW

Až 80 % společností se vůbec nevěnuje mobilní politice a strategii. Nedokážou například identifikovat jednotlivá zařízení a řídit přístupová práva, což kromě bezpečnostních rizik může znamenat i výrazné problémy s plánovaným přechodem k mobilním systémům.

Do průzkumu se zapojilo více než 170 firem z TOP 1 000 společností v ČR (podle obratu), které většinou využívají ERP systémy SAP.

Zdroj: tisková zpráva společnosti Ness Technologies