Ochrana master boot record. Zveřejňování zranitelností a spekulace na pokles akcií. Hash funkce a kvantové počítače. Bezpečnost domácích směrovačů. Chyby a opravy: Flash Player, iOS…

Následuje pravidelný bezpečnostní přehled vytvářený především podle webů ZDNet, CNet, The Register a HelpNet Security.

Internet věcí udeřil

Hlavní událostí uplynulého týdne byly analýzy obřího útoku DDoS, který mj. vyřadil z provozu služby Twitter, GitHub, PayPal a Airbnb. Tentokrát DDoS nesměřoval přímo proti těmto službám, ale na jejich poskytovatele DNS, tedy společnost Dyn. Akci provedl botnet Mirai, tj. především kompromitované směrovače, kamery a další zařízení z kategorie Internetu věcí. Spekuluje se, že za akcí v tomto rozsahu může stát nějaký stát nebo skupina se srovnatelným množstvím zdrojů.

Podle vyjádření společnosti Dyn se na útoku podílely desítky milionů IP adres, botnet Mirai byl pouze jedním z jejich zdrojů.

Kód malwaru Mirai je ale nyní dostupný, z čehož se soudí, že nedávné útoky např. na francouzský hosting OVH nebo na blog bezpečnostního experta Briana Krebse měly nejspíš jiného původce.

Aktualizace: Čínská firma Hangzhou XiongMai Technology, jejíž výrobky, především kamery, byly (mezi jinými) použity pro útok, již některé z těchto produktů začala v USA stahovat; údajně neumožňovaly změny firmwaru/výchozích hesel apod.

DDoS i přes LDAP

Firma Corero Network Security upozorňuje na DDoS útok provedený přes protokol LDAP. K zahlcení v tomto případě přispívá i to, že odpověď LDAP serveru má mnohem větší objem než požadavek z kompromitovaného klienta. Odhaduje se, že v kombinaci s botnety sestavenými ze zařízení Internetu věcí se mohou tímto způsobem brzy objevit DDoS útoky zaujímající pásmo až v desítkách Tb/s. Útoky v jednotkách Tb/s se stanou běžné a v některých oblastech mohou přímo narušit využitelnost internetu.

MBRFilter jako open source

Cisco/Talos uvolnilo jako open source nástroj MBRFilter, který by měl před malwarem chránit nultý sektor master boot record, respektive tabulku souborů master file table. V poslední době do sektoru MBR zasahují nejen klasické rootkity, ale např. i ransomware HDDCryptor (Mamba) a Petya, které kromě šifrování souborů uživateli také zabrání ve spuštění počítače. MBRFilter je jednoúčelový nástroj, který prostě nastaví sektor MBR jen pro čtení – tzn. nebrání ransomwaru v tom, aby šifroval uživatelova data. Zdroj: CSIRT.CZ, tisková zpráva společnosti Cisco

Hash vydrží i kvantové počítače?

Matthew Amy z kanadské University of Waterloo a jeho kolegové z Perimeter Institute for Theoretical Physics a Canadian Institute for Advanced Research došli k závěru, že hashovací funkce SHA-2 a SHA-3 budou na rozdíl od asymetrické kryptografie odolné i ve světě kvantových počítačů, tj. z otisku nepůjde získat původní data. Prolomit SHA-256 a SHA3-256 pomocí Groverova algoritmu (jde o vyhledávací algoritmus, jeden z příkladů speciálního algoritmu pro kvantové počítače; v souvislosti s kryptografií se nejčastěji zmiňuje jiný kvantový algoritmus, Shorův pro provádění faktorizace) by vyžadovalo 2 na 166 „logických qubitových cyklů“. Problém má být především v tom, jak paralelně běžící kvantové počítače (i kdyby existovaly) řídit, z čehož pak vychází doba potřebná k průlomu v astronomických číslech.

Bezpečnost implantátů a spekulace na pokles akcií

Start-up MedSec zveřejnil další tvrzení o bezpečnostních zranitelnostech v kardiostimulátorech a defibrilátorech společnosti St Jude Medical; a zveřejnění bylo opět spojeno s prodejem akcií této firmy nakrátko (spekulace na pokles). Podle MedSec lze prý vypnout monitoring nebo vyvolat elektrický šok. Nicméně není ověřeno, zda útok opravdu funguje, předpokládá se např., že pro zneužití se musí zařízení útočníka nacházet velmi blízko od pacienta s implantátem. Stane se takovýto způsob zveřejňování zranitelností, který nemá nic společného s odpovědností, normou – a to včetně příslušného „obchodního modelu“? MedSec už ovšem čelí žalobě a uživatelé produktů St Jude Medical se asi také necítí zrovna dobře. Viz také: Bezpečnostní přehled: Princip útoku USBee.

Aktualizace: MedSec se odvolává na analýzu firmy Bishop Fox, podle které se uvedené postupy podařilo replikovat a získat kontrolu nad příslušnými implantáty na vzdálenost 3 metry. Jedna věc je samotná podstata věci, druhá věc způsob zveřejnění zranitelnosti bez kontaktování výrobce.

Za 5 let, co Facebook za reportování bezpečnostních zranitelností vyplácí odměny, takto firma vynaložila 5 milionů dolarů. Chyby hlásilo asi 900 spolupracovníků (mimochodem, nejčastější zemí jejich původu je Indie), průměrná vyplacená částka byla 5 500 dolarů, Anand Prakash ale letos v březnu získal 15 000 dolarů za objev chyby umožňující krádež účtů.

Zranitelnosti a opravy

Kritická zranitelnost byla opravena v CMS systému Joomla. Zalátaná verze má číslo 3.6.4.

Knihovna pro zpracování souborů ve formátu TIFF, libtiff, obsahuje tři kritické bezpečnostní chyby typu porušení paměti, přetečení haldy a zásobníku. Všechny 3 zranitelnosti (CVE-2016-5652, CVE-2016-8331 a CVE-2016-5875) umožňují vzdálené spuštění kódu už při otevření podvodného souboru TIF. Na problém upozornili výzkumníci Cisco/Talos. K dispozici jsou již záplaty.

Adobe vydala opravu kritické chyby v přehrávači Flash Player. Zranitelnost je již aktivně zneužívána. Chyba CVE-2016-7855 umožňuje útočníkovi vzdálené spuštění kódu už při zobrazení souboru ve formátu Flash. Na problém Adobe upozornili Neel Mehta a Billy Leonard z Google Threat Analysis Group. Uživatelům Chrome a MS Internet Exploreru by se aktualizace měla nainstalovat automaticky; Mozilla uvádí, že od příštího roku by měl Firefox ve výchozím nastavení blokovat veškerý obsah ve formátu Flash a umožnit jeho spouštění pouze na vyžádání. Aktuální oprava je určena pro Flash Player ve verzích pro Windows, Linux i MacOS. Opravené verze mají číslo 23.0.0.205 (Windows/MacOS) a 11.2.202.643 (Linux).

Bezpečnostní problém se objevil v průmyslových řídicích systémech Schneider Electric, konkrétně pro Unity PRO Software verze 11.1 a starší. Dodavatel uvolnil opravu a pro ty, kdo nechtějí zasahovat do produkčního prostředí, i návod, jak problém obejít. Mimochodem, chyba byla v tomto případě objevena před půl rokem; uvádí se, že „odpovědné zveřejňování“ by v případě systémů tohoto typu mělo znamenat dát dodavateli na opravu delší čas.

Paypall opravil kritickou zranitelnost, která umožňovala obejít dvoufaktorovou autentizaci. Útočníkovi stačilo získat uživatelské jméno a heslo, dodatečné ověření pomocí tokenů bylo chybně implementováno. Chybu objevil Henry Hoggart z britské bezpečnostní firmy MWR InfoSecurity.

Apple vydal kritické opravy pro iOS, MacOS, Safari, Apple Watch a AppleTV. Některé ze zranitelností umožňovaly vzdálené spuštění kódu/ovládnutí zařízení při otevření souborů ve formátu JPG nebo PDF. Jedná se mimochodem o první balíček oprav od chvíle, kdy Apple přišel s vlastním programem plateb za bezpečnostní zranitelnosti. I když podrobnosti o odměnách Apple nezveřejnil, z 12 oprav v iOS 10.1 jich bylo 11 reportováno třetími stranami včetně výzkumníků Googlu. V iOS i MacOS Sierra 10.12.1 byly látány právě i kritické chyby související se zpracováním souborů JPG – útočník mohl kompromitovat iPhone již pouhým zasláním upraveného obrázku. Kritická chyba při zpracování souborů PDF se týkala OS X El Capitan.

Ze světa firem

Podle průzkumu Esetu 15 % testovaných domácích směrovačů používá slabá hesla, nejčastěji s uživatelským jménem „admin“. 7 % testovaných zařízení obsahovalo středně nebo vysoce vážnou zranitelnost – nejčastěji šlo o nastavení práv, chybu umožňující vsunutí příkazů (nedostatečné ověření vstupu) nebo cross-site scripting. Skenování portů odhalilo, že síťové služby jsou velmi často přístupné nejen z vnitřních, ale i z externích sítí. 20 % zkoumaných zařízení mělo povolen nezabezpečený protokol Telnet. Testováno bylo kolem 12 000 zařízení. Zdroj: tisková zpráva společnosti Eset

Podle průzkumu 2016 Corporate IT Security Risks má za posledních dvanáct měsíců zkušenost s útokem ransomwaru pětina podniků (20 %) z celého světa. V Evropě je tento problém závažnější, napadena byla více než čtvrtina (28 %) firem. Experti objevili také celkem 83 048 škodlivých instalačních balíčků ransomwaru, které byly vyvinuty pro mobilní platformy. Za odemčení zašifrovaných dat (přesněji řečeno za „šanci na odemčení“) je podle průzkumu ochotno zaplatit až 40 % obětí. Zdroj: tisková zpráva společnosti Kaspersky Lab

40 % evropských společností z kategorie SMB se pro zajištění IT bezpečnosti obrací na třetí strany a snaží se využít řešení typu security-as-a-service. Zdroj: tisková zpráva společnosti Kaspersky Lab

Představeno bylo řešení softwarově definovaného úložiště Acronis Storage. Řešení využívá autentizaci dat postavenou na technologii blockchain. Zdroj: tisková zpráva společnosti Acronis

Dell EMC vydal nové softwarové doplňky pro ochranu cloudu. Je mezi nimi například pokročilá ochrana aplikací běžících na Microsoft Azure, bezpečný nativní tiering dat do cloudových platforem nebo řešení spanning, které nově díky datovému centru na území EU usnadní zálohu a obnovu data v cloudových aplikacích Microsoft Office 365 nebo Salesforce.com také evropským podnikům. Zdroj: tisková zpráva společnosti Dell EMC

Nově uvedené řešení VMware Workspace ONE Essentials nabízí z hlediska zabezpečení rozšiřující funkce v oblasti prevence ztráty dat (DLP) pro MS Office 365. Zdroj: tisková zpráva společnosti VMware

Mikrokamera OTP-GL800, právě uváděná na český trh, je nejnovější vylepšený model digitální kamery ukryté v brýlích. Kamera má objektiv široký pouze 1 mm. Zdroj: tisková zpráva společnosti Spy Shop

Představena byla řada bezpečnostních kamer Axis M20. Nové malé kamery ve stylu bullet jsou podle dodavatele mj. lehké a přesto extrémně odolné, určeny pro zákazníky, kteří chtějí zavést nebo rozšířit videomonitoring s minimálními náklady. Zdroj: tisková zpráva společnosti Axis Communications

Další phishing proti klientům České spořitelny: Podvodník osloví klienta z facebookového profilu některého z jeho přátel, že má problém s telefonem. Následně klienta požádá, zda si může nechat poslat autorizační SMS na jeho telefon s tím, aby mu ji klient pak přeposlal. Tato SMS však ve skutečnosti patří klientovi a jejím přeposláním umožní podvodníkovi autorizovat platby ze svého vlastního účtu. Zdroj: Česká spořitelna

Zhruba před rokem se útočníci při průniku zmocnili údajů asi 100 000 uživatelů obchodu s počítačovými hrami Xzone.cz. Šlo o e-mailové adresy a hesla, ta již byla resetována. Zákazníci jsou současně vyzýváni, aby si změnili tato hesla i ve všech dalších službách – podle provozovatelů obchodu byly cílem útočníků zřejmě právě tyto další služby, samotný účet v e-shopu není pro podvodníky příliš zajímavý. Zdroj: Xzone Blog