Bezpečnostní přehled: Jak skrýt kampaň na malware v reklamních systémech

Američané považují Internet za příliš rizikový, chtějí větší státní kontrolu. Úniky podnikových dat nastávají kvůli zranitelnostem ve webových aplikacích. Přehledy nejrozšířenějších škodlivých kódů. Neopravená zranitelnost v aplikacích Microsoftu. Opravy: Cisco, OpenSSH, Crosswalk SSL.
Následuje pravidelný bezpečnostní přehled vytvářený především podle webů ZDNet, CNet, The Register a HelpNet Security.

Američané se bojí, každý třetí přišel na Internetu o peníze

Na právě skončené konferenci Black Hat byl zveřejněn průzkum Digital Citizens Alliance, podle něhož každý třetí Američan přišel o peníze v důsledku internetového podvodu. 10 % přišlo o více než 1 000 dolarů, 20 % zaplatilo za nějaké zboží on-line, aniž ho kdy obdrželi nebo se domohli vrácení peněz. 46 % se stalo obětí podvodu typu krádeže identity, 42 % mělo problémy s krádeží informací o platební kartě (ne nutně s přímou finanční škodou). 52 % Američanů se na internetu cítí méně bezpečně než před 5 lety, 72 % požaduje více zákonů a větší státní kontrolu/aktivitu vlády a soudů, 71 % má na internetu pocit ohrožení.

Webové aplikace bez kontroly

Studie Verizon 2016 Data Breach Investigation upozorňuje, že k více než 40 % narušení dat dnes dochází v důsledku zranitelností ve webových aplikacích. Arpit Joshipura ze společnosti Prevoty upozorňuje v této souvislosti, že o webové aplikace se často starají „obecní“ IT profesionálové, nikoliv specialisté na bezpečnost; tyto aplikace například nespadají pod pravidla firemního zabezpečení, nenasazují se zde pravidelně záplaty a neprovádí se bezpečnostní testování; aplikace typu e-shopu musí stále běžet, raději do ní tedy nikdo nevrtá a neriskuje nekompatibilitu záplat (trochu podobné produkčním databázím či specializovaným systémům typu ERP).

Úniky dat a útoky: Yahoo

V podzemních fórech se objevila nabídka na prodej 3 milionů přihlašovacích údajů uživatelů Yahoo; minimálně část údajů je však už neaktuálních. Odhaduje se, že databáze je stará asi 4 roky; hesla jsou v zašifrované podobě, nicméně údajně ve formě prolomitelné hrubou silou. V poslední době se ale u podobných gigantických úniků (LinkedIn, Twitter) ukázalo, že jde z větší části o humbuk a použitelnost je pro útočníky omezená. Ostatně – 3 miliony údajů se prodává za pouhé 3 bitcoiny.
Viz také: Yahoo šetří podezření z krádeže 200 milionů účtů

…Bitfinex

Došlo k útoku na bitcoinovou burzu Bitfinex v Hongkongu, účty uživatelů byly zmrazeny a obchodování pozastaveno. Podle stávajících informací útočníci dokázali z peněženek uživatelů odčerpat asi 120 000 bitcoinů (cca 65 milionů dolarů). Kurz bitcoinu v reakci na incident poklesl asi o 20 %, v dalších dnech ale značnou část ztrát zase umazal. (Pro srovnání: při pádu tokijské burzy Mt. Gox bylo ukradeno za půl miliardy bitcoinů v tehdejším kurzu.) Viz také: Bitcoin po zprávě o krádeži na burze Bitfinex prudce zlevnil

Kampaň na malware přežívala v reklamních systémech

Kampaň AdGholas dokázala běžet více než rok a unikat přitom odhalení. Přitom odkazovala (samozřejmě s využitím přesměrování) na weby, které obsahovaly přímo exploit kity – Angler a Neutrino. Podvodníci dokázali přitom reklamu dostat na MSN.com, CBS, New York Times, DailyMail i na odborný Ars Technica. Na weby s exploit kitem se podle odhadu Trend Micro dostalo kvůli kliknutí na banner kolem milionu návštěvníků, část z nich byla jistě infikována. (Poznámka: Trend Micro dokonce uvádí, že škodlivý obsah – kódy v JavaScriptu – v bannerech se skrýval pomocí steganografie, v tom se těžko vyznat.)

Zranitelnosti a opravy

Nové verze OpenSSH 7.3 přináší kromě jiných novinek i bezpečnostní záplaty.

Některé z bezdrátových směrovačů Cisco ( RV110W, RV130W, RV215, RV180 a RV180W), které byly opraveny v červnu, musely dostat další záplaty. Vydána byla záplata pro zranitelnost s povýšením oprávnění (běžný uživatel mohl z příkazového řádku spouštět příkazy s právy roota) a kritická oprava, která změnila nastavení výchozího účtu s natvrdo zadaným heslem (účet měl přiřazeny oprávnění roota).

Knihovna Crosswalk SSL od Intelu obsahuje bezpečnostní zranitelnost. Problém je ve zpracování chyb, koncoví uživatelé by následkem toho mohli přijímat SSL certifikáty podvržené pomocí útoku man-in -the-middle (v podstatě: prvním certifikátem se uživatel ještě musí nechat napálit např. v nějaké podvodné Wi-Fi síti, další pak už jsou ale akceptovány bez kontroly). Crosswalk SSL je určena pro více platforem, chyba se však týká pouze verze pro Android. Opravy jsou již k dispozici.

Poskytovatel VPN, společnost Perfect Privacy, zveřejnila postup krádeží přihlašovacích údajů k účtům Microsoftu, pokud útočník přiměje uživatele k návštěvě podvodného webu, který předstírá, že je vlastní uživatelovou síťovou složkou. Postup funguje pouze pro Internet Explorer a Edge na Windows 10, eventuálně se může projevit při používání Outlooku, Microsoft v tuto chvíli nehodlá problém řešit speciální opravou. Perfect Privacy uvádí, že při návštěvě podvodného webu se útočník může ale současně dostat i heslu pro VPN, je-li do ní uživatel aktuálně přihlášen.

CSIRT varuje/oznamuje

Google nasazuje na svých serverech technologii HTTP Strict Transport Security, kdy server při komunikaci s klientem vynucuje zabezpečenou komunikaci.

Wi-Fi modemy, které poskytuje zákazníkům UPC, obsahují vážné bezpečnostní zranitelnosti. Test byl proveden vzhledem k situaci v Maďarsku, ale některá z těchto zařízení dostávají i zákazníci v ČR. Uživatelé by měli minimálně změnit výchozí hesla (to doporučuje i UPC) a název Wi-Fi sítě. (Zdroj: Blog sdružení CZ.NIC)

Nejrozšířenější škodlivé kódy

V červenci výrazně narostl podíl výskytu malware JS/Danger.ScriptAttachment. Oproti červnu, kdy představoval čtvrtinu ze všech detekovaných hrozeb, se podíl tohoto škodlivého kódu na celkovém počtu detekcí téměř zdvojnásobil a dosáhl hodnoty 45 %.

Top 10 škodlivých kódů v ČR podle Esetu

1. JS/Danger.ScriptAttachment

2. Java/Adwind

3. JS/TrojanDownloader.Nemucod

4. VBA/TrojanDownloader.Agent.BJL

5. VBA/TrojanDownloader.Agent.BJQ

6. VBA/TrojanDownloader.Agent.BKP

7. VBA/TrojanDownloader.Agent.BJG

8. VBA/TrojanDownloader.Agent.BJC

9. VBA/TrojanDownloader.Agent.BJU

10. VBA/TrojanDownloader.Agent.BKW

(Zdroj: tisková zpráva společnosti Eset)

Index hrozeb podle Check Pointu, data za 1. pololetí 2016

Žebříček škodlivých kódů v ČR:

1. Conficker

2. Zeus (bankovní trojan)

3. Tinba (bankovní trojan)

4. HackerDefender

5. Cryptodef (ransomware)

6. Zeroaccess (těžba bitcoin, klikací podvody)

7. Locky (ransomware)

8. Graftor

9. Nlbot

10. Ponmocup

(Zdroj: tisková zpráva společnosti Check Point)

Ze světa firem

Téměř každý desátý (8 %) dotázaný Čech se stal během svých služebních cest cílem kybernetických zločinců. Globálně tři z pěti (59 %) seniorních zaměstnanců přiznávají, že se vždy snaží připojit k internetu tak rychle, jak je to jen možné. (Zdroj: tisková zpráva společnosti Kaspersky Lab)

Kaspersky Lab spouští program pro platbu odměn za nalezené bezpečnostní zranitelnosti. Projekt vznikl ve spolupráci s poskytovatelem platformy „bug bounty“ HackerOne. První fáze programu bude trvat 6 měsíců. Během tohoto období nabídne společnost bezpečnostním expertům na odměnách celkem 50 000 dolarů. (Zdroj: tisková zpráva společnosti Kaspersky Lab)

České SMB firmy pokládají za největší bezpečnostní rizika trendy práce z domu (51 %), mobilitu (50 %), využívání sociálních sítí (45 %) a veřejných wi-fi připojení (23 %). (Zdroj: průzkum společnosti GFI)

Představeno bylo nové synchronizované šifrovací řešení Sophos SafeGuard Encryption 8. Má zajišťovat šifrování dat bez ohledu na to, na jakou platformu se zrovna přesouvají (podpora pro Mac OS i mobilní zařízení). Systém dokáže dle dodavatele např. automaticky reagovat na bezpečnostní incidenty koncových bodů zařazených do společné ochrany – během aktivní infekce může Sophos SafeGuard Encryption dočasně zneplatnit šifrovací klíče. (Zdroj: tisková zpráva společnosti Sophos)

Zahájeno bylo beta testování produktu Sophos Intercept. Jedná se o systém ochrany koncových bodů, speciálně se zabudovanou ochranou proti ransomwaru. Půjde provozovat vedle jiného bezpečnostního softwaru. (Zdroj: tisková zpráva společnosti Sophos)

Ještě loni měla pravidla pro BYOD jen pětina českých firem. Teď už je to 49 % z nich. Tím se ČR dostala nad evropský průměr s 47 %. (Zdroj: tisková zpráva společnosti Microsoft)

Nově uvedený Samsung Galaxy Note7 nabízí v rámci biometrické autentizace kromě čtečky otisků prstů také skenování oční duhovky. (Zdroj: tisková zpráva společnosti Samsung)

Psali jsme na ITBiz.cz

Na téma zabezpečení na ITBiz viz také:

Bezpečné smartphony – Samsung Knox: Představení platformy, která kromě dalších bezpečnostních funkcí (nadstaveb nad systémem Android) umožňuje také rozdělit mobilní zařízení na soukromou a firemní část.

Bezpečnostní přehled: Autentizace přes SMS nestačí?