Bezpečnostní přehled: Kampaň Rocket Kitten

Bankovní malware Zeus má bratra – PoSeidon krade údaje o kartách z platebních terminálů. Firmy si vyvíjejí vlastní mobilní aplikace příliš rychle, výsledkem jsou zranitelnosti. Skončila letošní soutěž Pwn2Own. Čeští zaměstnanci používají soukromé e-maily pro práci více než jinde v Evropě. Následuje pravidelný bezpečnostní přehled vytvářený především podle webů ZDNet, CNet, The Register a HelpNet Security.

Spěch je špatný rádce

Průzkum Ponemon Institute a IBM X-Force ukázal, že až 40 % ze zkoumaných velkých firem (včetně těch z žebříků Fortune apod.) má nedostatečně zabezpečené své vlastní mobilní aplikace. Až třetina z těchto firem mobilní aplikace, které si vyvinuly a nasadily, prakticky vůbec netestovala. Hlavní příčinou problému je spěch s vývojem a nasazením.

Studie dále zjistila rozšířené potíže se zabezpečením koncových zařízení (nejen v souvislosti s trendem BYOD, ale i firemních mobilů), k tomu často neexistují funkční systémy řízení dat, které by zabránily kritická data na taková zařízení kopírovat apod. Navíc používání mobilních zařízení v nezabezpečených Wi-Fi sítích hrozí i ztrátou přístupových údajů a otevřením brány do zbytku firemní sítě.

Zeus a PoSeidon

Cisco uvádí, že byl objeven nový malware označovaný jako PoSeidon. Je to nástroj pro bankovní podvody, vychází z předchozího kódu Zeus, cílí nicméně na pokladní terminály (Point of Sale, POS). Zeus je zde kombinován s nástrojem BlackPOS, který řádil hlavně v roce 2013. Uvádí se, že malware umí při transakci odečítat pouze informace o kartě s magnetickým proužkem, zabezpečení EMV prolomit nedokáže. Keylogger a další nástroje se při transakci snaží kromě odečtu PINu z paměti terminálu vytáhnout i číslo karty, PoSeidon si ho pak kontroluje podle Luhnova algoritmu. Čísla karet, která jsou uznána jako možná, se teprve odesílají na řídicí servery někde v ruských doménách.

Makra stále hrozí

Trend Micro upozorňuje na sérii útoků Rocket Kitten, která zasáhla Evropu a Izrael. Cílem se staly zejména vládní a akademické instituce a firmy z IT průmyslu. Použitými prostředky byly dokumenty v MS Office, které uživatele vyzývaly k povolení maker (tzv. kampaň Ghole). Sofistikovanější verze útoků (kampaň Woollen-GoldFish) pracovala i se sociálním inženýrstvím a zneužíváním cloudových úložišť. Volba cílů svědčí podle Trend Micro o tom, že za útokem by mohl stát Írán.

Skončila Pwn2Own

Na soutěži Pwn2Own byl nakonec prolomen i Chrome. Nejúspěšnějším účastníkem akce byl jihokorejský bezpečnostní výzkumník Jung Hoon Lee, který si přišel celkem na 225 000 dolarů (a notebooky použité při demonstracích, to už byly ovšem relativně jen drobné). K průlomu Chrome došlo kvůli chybě s přetečením zásobníku, bylo třeba ještě přidat chybu umožňující eskalaci uživatelských práv ve Windows.

Velmi rychle zareagovala Mozilla, zranitelnosti Firefoxu demonstrované na Pwn2Own jsou již opraveny.
Viz předešlý bezpečnostní přehled: Neobstál Internet Explorer, Firefox ani Flash Player

Srovnání prohlížečů

Studie Secunia Vulnerability Review uvádí, že na sledovaných počítačích bylo zjištěno více zranitelností v Chrome než v Internet Exploreru a Firefoxu. Analýza je založena na údajích, které poskytuje nástroj pro správu aktualizací Personal Software Inspector. (Poznámka: Jak se v tom přesně vyznat? Vzhledem k tomu, že Chrome se vesměs aktualizuje bez interakce uživatele, měly by záplaty naopak být nasazovány nejspolehlivěji…? Jinak žebříček nijak nehodnotí chyby dle jejich závažnosti. Secunia Personal Software Inspector je zdarma pro osobní použití, uživatelé představují dost speciální segment.)
Viz také: Comguard zařadil do produktové nabídky značku Secunia

Yoast SEO, plug-in pro WordPress, obsahoval další bezpečnostní chybu (XSS). Záplata již je k dispozici.

Alexander Polyakov stáhl svou prezentaci plánovanou na konferenci BlackHat, která měla být věnována bezpečnostní zranitelnosti v SAP Afaira, tedy řešení pro správu podnikových mobilních zařízení. Polyakov uvedl, že chyby se nepodařilo včas opravit, přičemž pravidla konference neumožňují v takovém případě zveřejnit informace, které by útočníci mohli zneužít. Základním problémem má být možnost zvyšovat uživatelská oprávnění a dále triky, jimiž útočníci uživatele přimějí k návštěvě podvodných serverů.

Cisco vydalo záplaty pro systém iOS. Chyby umožňovaly útoky DoS na postižené zařízení, útočníci se eventuálně mohli pokusit k nim získat i omezený přístup. Konkrétně byly zranitelné funkce Autonomic Network Infrastructure, která je určena pro správu přepínačů a směrovačů podporujících IPv6.

CSIRT.CZ varuje

Chyba CVE-2011-2461 zůstává zneužitelná i po čtyři roky staré záplatě. Problém se týká souborů Shockwave Flash kompilovaných s pomocí vývojářského kitu Flex.

Byla objevena zranitelnost IP telefonů řady Cisco Small Business SPA300 a SPA500 ve verzi 7.5.5 a novějších. Útočníci mohou vzdáleně odposlouchávat hovory z postiženého telefonu nebo z něj vzdáleně vést vlastní hovory.
Zdroj: Národní centrum kybernetické bezpečnosti

Ze světa firem

39 % zaměstnanců českých malých a středně velkých firem si práci, kterou vykonávají doma, zasílají přes soukromý e-mail, samozřejmě v nezašifrované podobě. Bezpečné nástroje na sdílení dokumentů využívá jen necelá třetina z nich; ve firmách jsou podporovány mnohem častěji, ale lidé je ignorují nebo využívají vedle e-mailu. Nadřízení o potenciálně rizikovém chování zaměstnanců většinou vědí a vše rovněž ignorují. Situace v ČR se podle výsledků průzkumu přitom prý liší od většiny evropských zemí, kde je využívání soukromých e-mailových účtů pro pracovní účely mnohem omezenější.
Zdroj: tisková zpráva společnosti Microsoft

Společnost Principal engineering zahajuje spolupráci s francouzskou výzkumnou laboratoří QuarksLab. Služby QuarksLabu zahrnují ofenzivní bezpečnost, jako jsou testy spolehlivosti obrany a detekce průniků. V praxi se například jedná se o simulované útoky na elektronická bankovnictví, platební karty, mobilní platební aplikace, e-shopy, služby e-governmentu apod.
Zdroj: tisková zpráva společnosti QuarksLab

Check Point představil nový celosvětový partnerský program.
Zdroj: tisková zpráva společnosti Check Point Software Technologies

Představen byl DDoS Defender, systém pro automatickou detekci a zastavení hrozeb typu Distributed Denial of Service, který je určen pro ochranu infrastruktury poskytovatelů internetu a jejich zákazníků. Podle dodavatele toto řešení na bázi toků (NetFlow) umožňuje analyzovat provoz a detekovat probíhající útok i na nejrychlejších 100Gb/s sítích.
Zdroj: tisková zpráva společnosti Invea-Tech

Psali jsme na ITBiz

Na téma bezpečnosti na ITBiz viz také:

• Čínská armáda popřela účast na kybernetickém útoku proti americkému správci domén

• Číňané poprvé přiznali existenci jednotek určených pro kybernetické útoky

• Bezpečný tablet od BlackBerry bude stát více než 60 000 Kč
  SecuTABLET je navržen tak, aby mohl získat ty nejvyšší vládní certifikace. Operačním systémem není BlackBerry, ale Android – partnerem RIM je v tomto případě totiž Samsung, použita je jeho bezpečnostní nadstavba nad Androidem Knox. Předinstalován bude software SecuSUITE od Secusmart, další bezpečnostní technologie dodá IBM.