Bezpečnostní přehled: Jak testovat náhodnost

Rizika speciálních prohlížečů od dodavatelů zabezpečení. Budoucnost nástroje Microsoft Emet. Generování náhodných čísel ze „šumu/entropie“. Opravy: Android, zařízení Cisco, Firefox.
Následuje pravidelný bezpečnostní přehled vytvářený především podle webů ZDNet, CNet, The Register a HelpNet Security.

Zranitelnosti a opravy

Cisco vydalo opravy firmwaru pro zařízení RV220W Wireless Network Security Firewall. Chyba umožňovala neautorizovaný přístup k zařízení. Opravená verze má číslo 1.0.7.2. Dalších příbuzných produktových řad (firewally RV120W Wireless-N VPN a routery RV180 VPN Routers a RV180W Wireless-N Multifunction VPN) se problém podle Cisca netýká.

Firefox 4 přináší opravy 12 bezpečnostních zranitelností. Za kritické jsou označeny 3 chyby, z toho přetečení zásobníku při zpracování formátu WebGL může vést ke zhavarování prohlížeče a potenciálně spuštění útočníkova kódu, stejným způsobem jsou zneužitelné i chyby při manipulaci se soubory MP4 a porušení paměti. Před e-mail v Thunderbirdu tyto mezery zneužitelné nejsou, vyžadují, aby byly povolené technologie typu skriptování.

Klony Chrome jsou rizikem

Tavis Ormandy z Googlu upozornil na další bezpečnostní problém samotných bezpečnostních programů. Tentokrát jde o Comodo Internet Security. Tato aplikace nainstaluje jako výchozí prohlížeč Chromodo založený na Chrome, nicméně si z něj nastavení bere takových způsobem, že tím uživatele přímo ohrožuje, protože současně některé dříve nastavené bezpečnostní zásady fakticky vypíná. Také se fakticky jedná o únos DNS.

Bezpečnostní problém se objevil i ve speciálním prohlížeči Avastu (SafeZone/Avastium), což je opět fork Chrome. Na možné zneužití opět přišel Tavis Ormandy.

Pro oba případy byly vydány opravy. V prvním případě jsou však podle Ormandyho nedostatečné a problém je vážnější, než dodavatel připouští.

NIST chce spolupráci veřejnosti

Americký NIST (National Institute for Science and Technology) oficiálně vyzval veřejnost, aby pomohla vylepšit kryptografické techniky. Lidé mají navrhovat nové způsoby, jak „z entropie“ efektivně generovat opravdu náhodná čísla. A ještě větší zájem má pak NIST o testy těchto generátorů, tj. jak snadno ověřit, zda takto vznikající sekvence opravdu splňují požadavky na náhodnost. V současnosti např. oblíbená technika generování náhodných čísel na základě síťového provozu naráží na možný problém při úvodním spuštění zařízení nebo v případě, že příslušný „zdroj entropie“ není aktuálně k dispozici.

Zranitelné kamery

Zranitelnost bezpečnostních kamer Motorola Focus 73 umožňuje umožňuje útočníkovi získat neautorizovaný přístup do domácích Wi-Fi sítí. Soukromý klíč se přenáší v otevřené podobě přes http, navíc se používají ověřovací údaje carema/000000 (heslo). Údajně lze tímto způsobem nakonec získat i přihlašovací údaje vývojářů kamery k FTP, Gmailu a Dropboxu. Na problém upozornili výzkumníci z firmy Context Information Security. Oprava byla vydána a na rozdíl od jiných zařízení z kategorie internetu věcí zde má být systém aktualizací automatizován, takže kamery by měly být opět bezpečné.

Výzkumníci firmy Dr.Web oznámili, že na Google Play objevili dalších 60 aplikací obsahujících trojské koně. Aplikace byly přidány z asi 30 vývojářských účtů, z nichž některé jsou stále aktivní. Přibalený trojský kůň Xiny nemusí být kriticky nebezpečný, nese hlavně adware, nicméně také shromažďuje informace o zařízení a může stahovat další programy.

Phishing cílí na uživatele mBank, podvodníci vytvořili falešnou facebookovou stránku a „přihlašovací“ web do internetového bankovnictví (lákadlo: bonus 400 Kč za každé 10. přihlášení).

EMET pod drobnohledem

Nová verze Microsoft EMET (Enhanced Mitigation Experience Toolkit) 5.5 přináší kompatibilitu s Windows 10, lepší nasazení a konfiguraci přes GPO (Group Policy Object) a další vylepšení. (CSIRT.cz)

V této souvislosti je zajímavý komentář Darrena Pauliho na The Register. Upozorňuje, že i dle samotného Microsoftu je nástroj dnes už de facto zbytečný, protože příslušné technologie byly postupně přesunuty do operačního systému. Zejména jde o prevenci spuštění kódu (DEP) a znáhodnění adresního prostoru (ASLR), EMET také představoval způsob, jak obcházet bezpečnostní problémy na úrovni nastavení Windows ještě před vydáním samotné záplaty. Postupně byly z EMET od Windows přeneseny i technologie Flow Control Guard (kontrola, zda se software třetích stran nepokouší obcházet bezpečnostní mechanismy Windows) a AppLocker (podporuje v síti pouze spouštění schválených aplikací, tj. souvisí s whitelisty).

Novinka verzi 5.5 ještě nabízí blacklist podezřelých fontů (zpracování písem jako jedna z častých zranitelností Windows). Nástroj se EMET objevil poprvé v roce 2009 pro Windows Vista.

CSIRT varuje/oznamuje

Google vydal únorové aktualizace pro aktuální Android. Pět oprav je označeno za kritické, chyby mohly být de facto zneužity ke vzdálenému spuštění kódu. (Zdroj: Národní centrum kybernetické bezpečnosti)

Ze světa firem

Na trh přichází Sophos Mobile Control 6.0. Součástí je kontejnerové řešení Sophos Secure Email, které chrání na zařízeních podniková data (pošta, kalendář, kontakty…) a izoluje je od soukromých informací. Podporováno je řízení dokumentů i v prostředí cloudových úložišť včetně šifrování. Sophos se odkazuje na studii 2015 Data Breach Investigations Report společnosti Verizon, podle níž je více než 95 % dnešních útoků založeno na získání přístupových údajů z mobilních zařízení a jejich následném použití pro přihlášení k webovým aplikacím. (Zdroj: tisková zpráva společnosti Sophos)

Fortinet oznámil hospodářské výsledky za čtvrté čtvrtletí a celý rok 2015. Celkový obrat společnosti za 4. čtvrtletí dosáhl 380,9 milionu dolarů, a meziročně tak vzrostl o 35 %. Roční obrat dosáhl výše 1,23 miliardy dolarů a oproti předchozímu roku vzrostl o 37 %. (Zdroj: tisková zpráva společnosti Fortinet)

Kyberzločinci využívali ve 4. čtvrtletí loňského roku ve zvýšené míře nové kanály pro provádění reflexních DDoS útoků. Ty zneužívají k zesílení napadení slabá místa v nastaveních třetích stran. Útočníci například posílali provoz na vybrané stránky přes NetBIOS jmenné servery, řadiče domén RPC služeb připojené skrze dynamické porty a také do licencovaných serverů WD Sentinel. Kyberzločinci k útokům nadále používali i zařízení ze světa internetu věcí. Analytici identifikovali okolo 900 CCTV kamer po celém světě, které tvořily botnetovou síť využívanou pro DDoS napadení. (Zdroj: tisková zpráva společnosti Kaspersky Lab, analýza DdoS útoků ve 4Q/2015)

Národní bezpečnostní úřad (NBÚ) a Cisco uzavřely dohodu o dlouhodobé spolupráci v oblasti kybernetické bezpečnosti. Dohoda předpokládá výměnu informací o aktuálních bezpečnostních trendech, kybernetických hrozbách a postupech best practice mezi oběma organizacemi. (Zdroj: tisková zpráva společnosti Cisco)

Nástroj Cisco Cloud Consumption umožní zmapovat cloudové služby využívané ve firemní síti. Často jde o „stínové IT“, kdy se příslušné veřejné cloudy používají bez vědomí IT oddělení, mohou být v rozporu s regulačními požadavky, představovat bezpečnostní riziko a zvyšovat riziko úniku citlivých dat. Stínové IT je někdy i záležitostí celých útvarů v podniku, které kvůli nepružnosti IT oddělení nasazují aplikace samy.
Zdroj: tisková zpráva společnosti Cisco Poznámka: Podobně jako BYOD pro soukromé mobily se v tomto případě začíná ujímat speciální zkratka BYOC – kde ono C znamená cloud. Jde hlavně o soukromé služby zaměstnanců používané pro práci s podnikovými daty, typicky virtuální disky/Dropbox, Gmail apod.

Check Point objevil závažnou zranitelnost v prodejní on-line platformě eBay, která umožňuje útočníkům obejít ověřovací kód eBay a vzdáleně prostřednictvím zranitelnosti spustit škodlivý javascriptový kód. (Zdroj: tisková zpráva společnosti Check Point,
zranitelná platforma Magento/eBay viz také předcházející bezpečnostní přehled)

Demonstrace zneužití na YouTube

Nová zařízení řady Check Point 15000 a 23000 jsou určena pro náročná síťová firemní prostředí a sítě v datových centrech. Dodavatel mj. zdůrazňuje i dostatečný výkon těchto zařízení i pro kontrolu šifrovaného provozu. (Zdroj: tisková zpráva společnosti Check Point)

Hlavní potenciál ke zlepšení bezpečnostní situace vidí malé a střední firmy v oblasti patch managementu, kontroly využívání přenosných zařízení a archivace. Soukromé mobily a tablety jsou pro SMB firmy druhou nejrizikovější skupinou přenosných zařízení, hned po USB médiích. (Zdroj: tisková zpráva společnosti GFI, průzkum mezi tuzemskými partnery)

Psali jsme na ITBiz.cz

Na téma zabezpečení na ITBiz viz také:

EU a USA dosáhly dohody o výměně dat, chrání prý občany i firmy