Lze bezpečnost programu dokazovat matematicky a je to praktické? Billboardy s kamerami. Prolomen ransomware Polyglot. Útok na bankovní systém SWIFT. Inovace platebních karet. Záplaty: Google, SAP, Dell.
Následuje pravidelný bezpečnostní přehled vytvářený především podle webů ZDNet, CNet, The Register a HelpNet Security.
Matematické důkazy bezpečnosti
V rámci Defense Advanced Research Projects Agency (DARPA) a řady dalších institucí (Tufts University, Princeton University, Microsoft Research) probíhají pokusy o tvorbu kódu, jehož spolehlivost by byla ověřena formálně – tedy provedena podobně jako matematický důkaz. U kódů tohoto typu by mělo být dokázáno, že bez ohledu na podobu vstupu (veškeré možné hodnoty lze obsáhnout klasickým testem) nebudou provádět žádnou nepředpokládanou aktivitu. Projekty „verifikovaného kódu“ mají historii táhnoucí se až do 70 let. Jak upozornil Quanta Magazine, nyní se tímto způsobem ale zkoušejí vytvářet i kódy pro kritické systémy či zařízení (vojenské drony, satelity, automobily apod.), v Microsoft Research se takto testuje i možný nástupce protokolu http jménem Everest.
Další iPhone pod lupou FBI
FBI se snaží dostat do dalšího iPhonu. Dahir Adan pobodal 10 lidí v nákupním středisku v Minnesotě a byl policií zastřelen. K incidentu se později přihlásil Islámský stát. Po Adanovi opět zůstal zamčený iPhone. Policie ovšem nezmiňuje, jakou verzi iPhonu terorista používal. Věc se má tak, že za předchozí prolomení zaplatila FBI 1 milion dolarů. Později však byla objevena jednodušší cesta k odemčení iPhonu, která pomocí klonování flash paměti telefonu nulovala počítadlo pokusů, což umožňuje provést proti PINu útok hrubou silou bez nutnosti nějakých sofistikovanějších technik. Tento postup však podle všeho funguje pouze u iPhonu do verze 5c, novější verze to už neumožňují.
Viz také: Úřady odblokovaly mobil střelce i bez pomoci firmy Apple
Karty s ještě jedním prvkem ověření
Platební karty by mohly obsahovat proměnlivý (rotující) několikačíselný kód, čímž by se předešlo jejich klonování. Uživatel by kód zadával ručně vedle PINu. Technologii MotionCode/card verification value (CVV) navrhla společnost Oberthur Technologies, ve Francii s ní již experimentují Société Générale a Groupe BPCE. Tato technika samozřejmě uživatele nijak nechrání pro případ fyzické krádeže karty, ale před všemožnými čtečkami zabudovanými do bankomatu.
Poznámky: Samozřejmě by se kód musel měnit relativně pomalu, aby ke změně nedošlo, než člověk strčí kartu do bankomatu. A nedal by se přečíst a klonovat i „čip“, který generuje kód? Pro placení na internetu je nový kód asi nepoužitelný, tj. to by probíhalo stejně?
Podle průzkumu Bitglass 56 % respondentů věří, že útoky insiderů ohrožují jejich podnik více než před rokem. Tímto způsobem se cítí zranitelných 74 % respondentů. 1/3 firem pak za poslední rok přímo odhalila únik dat, k němuž došlo v důsledku činnosti insiderů. Za nejzranitelnější typ aplikací se pokládají nástroje pro spolupráci a cloudová úložiště. Pozitivní podle studie je, že organizace dokáží narušení dat odhalovat stále rychleji po incidentu.
Google Chrome začal Pirate Bay klasifikovat jako podvodný web a uživateli se snaží zabránit v zobrazení stránky. Je to kvůli zdejším reklamám, které směřují kromě webů distribuujících malware mj. i na stránky falešných investičních společností. Konkurenční Extra Torrent si podobnou známku (zatím?) nevysloužil, reklamy zde prý mají být celkem benigní, vesměs na on-line seznamky nebo různé anonymizéry.
Další průnik do SWIFTu
Skupina útočníků zvaná Odinaff se zřejmě probourala do globálního bankovního systému SWIFT. Útok využil podobných metod jako skupina, které se letos v dubnu podařilo ukrást 81 milionů dolarů Bangladéšské centrální bance. Trojský kůň a další malware se šířil především cíleným e-mailem (spear-phishing), často s přílohami obsahujícími škodlivá makra. Určité náznaky podle expertů Symantecu spojují Odinaff se skupinou Carbanak (viz např. jeden z předcházejících bezpečnostních přehledů); některé z řídicích serverů mají např. stejné IP adresy.
Kdo sleduje reklamu?
Yahoo si nechalo patentovat způsob sledování uživatelů reklamy. Billboardy by podle tohoto přístupu mohly být vybaveny kamerami a mikrofony, což by umožňovalo jednoznačně zjistit reakce respondentů a vytipovat např. místa, kde je inzerce účinná. Objeví se podobné techniky i v on-line světě, když např. web bude po uživateli požadovat zapnutí kamery a přístup k ní?
Zranitelnosti a opravy
Kromě Microsoftu a Adobe (viz Kritické záplaty pro Windows i prohlížeče, nový způsob distribuce oprav) vydal opravy také SAP. Celkem bylo zalátáno 48 zranitelností, mezi nimi také chyba ve službě P4, kdy jde o problém s autentizací k platformě SAP Java. Útočníci tak mohou získat přístup např. k SAP Portal. Chyba je známa už asi 3 roky a SAP ji již jednou opravil, podle ERPScan ale tato záplata ve skutečnosti problém neřešila a zranitelnost přetrvala. Systémy využívající službu P4 jsou obvykle nastaveny jako přístupné přes Internet, útočníci proto mohou celkem snadno nacházet zranitelné implementace a zkoušet na ně útočit.
Google opravil 21 zranitelností v Chrome, z toho 6 bylo označeno za vysoce závažné. Google objevitelům těchto chyb vyplatil skoro 30 000 dolarů, z toho 7 500, respektive 5 500 za zranitelnosti v jádru Blink (zranitelnost CVE-2016-5181 – cross-sitě sctipting a CVE-2016-5182 – přetečení haldy). Látána byla také vestavěná čtečka PDF.
Čtyři zranitelnosti byly objeveny v zařízení Dell SonicWALL Email Security, respektive v jeho virtuální softwarové podobě. Je-li systém nakonfigurován tak, aby jeho webové rozhraní bylo přístupné i z vnějšku, útočník může s využitích chyb získat přístup k podnikovým e-mailům. Dell už vydal příslušnou kumulativní opravu.
CSIRT varuje/oznamuje
Akamai Technologies odhalila útoky zneužívající 12 let starou chybu v OpenSSH k SSHowDowN Proxy. Cílem útočníků jsou IoT zařízení. Změní je v proxy, přes které pak mohou provádět další útoky a skrýt svou skutečnou identitu.
Ze světa firem
Experti Kaspersky Lab vytvořili nástroj, který dokáže dešifrovat ransomware Polyglot. Tento trojan, známý také jako MarsJoke, se šíří především prostřednictvím spamových e-mailů, které obsahují přílohu s nebezpečným souborem typu rar. Během šifrovacího procesu trojan nemění jména souborů v napadeném počítači. I jinak je tento ransomware dost nedokonalý, Polyglot sice imituje CTB-Locker, ale používá velmi slabý generátor šifrovacích klíčů a oba kódy si nejsou podobné. (Zdroj: tisková zpráva společnosti Kaspersky Lab)
Počátkem října došlo na Facebooku ke skokovému nárůstu šíření hrozby JS/Kilim.SO a JS/Kilim.RG, a to i mezi českými uživateli Facebooku. Malware se šíří se metodami sociálního inženýrství, jako infikovaný plug-in pro přehrávání videa. (Zdroj: tisková zpráva společnosti Eset)
Sophos Intercept X je novým řešením pro ochranu koncových bodů. Podle dodavatele lze provozovat paralelně se současnými bezpečnostními řešeními, neskenuje soubory ani nevyžaduje aktualizace. Součástí produktu je mj. technologie CryptoGuard navržená speciálně proti ransomwaru, která detekuje a zastavuje šifrování vyhodnocené jako nebezpečné. (Zdroj: tisková zpráva společnosti Sophos)
Jaké jsou hlavní problémy spojené s ochranou podnikových e-mailů? České SMB firmy v oblasti podnikové elektronické pošty nejčastěji trápí spamy a viry (50 %), rychle rostoucí objem pošty (41 %), falešně pozitivní poplachy (23 %), náhodné smazání (18 %) a zdlouhavé vyhledávání (14 %). (Zdroj: tisková zpráva společnosti GFI, lokální průzkum)
Comguard se stal autorizovaným školicím střediskem společnosti Sophos. (Zdroj: tisková zpráva společnosti Comguard)
Na trh byly uvedeny šifrované USB flash disky IronKey D300 a IronKey D300 Managed, které jsou výsledkem únorové akvizice USB technologií a aktiv značky IronKey společností Kingtson. (Zdroj: tisková zpráva společnosti Kingston)
Psali jsme na ITBiz.cz
Na téma zabezpečení na ITBiz viz také:
