Bezpečnostní systémy v podnicích zastarávají. Banky nemají v představenstvech odborníky na kybernetickou kriminalitu. Zranitelná zařízení: smartphony, tiskárny i bezpečnostní brány, problémy mají i transakční aplikace.
Následuje pravidelný bezpečnostní přehled vytvářený především podle webů ZDNet, CNet, The Register a HelpNet Security.
CMS systémy jako vektor útoku
Studie Cisco 2016 Annual Security Report upozorňuje na to, že bezpečnostní infrastruktura v podnicích zastarává. Mezi lety 2014 a 2015 o 10 % klesl podíl respondentů, kteří jsou přesvědčeni, že jejich bezpečnostní řešení jsou dostatečně aktuální. Ve stejném období se mezi malými a středními firmami také snížil podíl těch, které měly implementovány konkrétní ochranné technologie, např. webové štíty. Na druhé straně se stále více malých firem odhodlává k outsourcingu zabezpečení. Analýza dále uvádí, že v loňském roce se jako vektor škodlivého kódu výrazně rozšířila instalace malwaru do kompromitovaných webů se systémem WordPress a dalšími nástroji pro správu obsahu (CMS).
Vydány byly záplaty pro OpenSSL. Servery byly za určitých okolností náchylné k útokům umožňujícím dostat se k šifrovacím klíčům (key recovery attacks).
Útoky malwaru v rámci kampaně BlackEnergy na Ukrajině pokračují, aktuálně se při phishingové kampani používají zejména přílohy ve formátu MS Office, kdy oklamaná oběť povolí makra. Zatímco na konci loňského roku se kampaň dávala do souvislosti s výpadky elektrické energie a tedy hlavně akcemi proti systémům SCADA, nyní jsou cílem i firmy a média.
Zranitelnost v nástroji pro aktualizaci ovladačů Intel Driver Update Utility umožňovala útoky man-in-the-middle. Problém se týkal verzí 2.0 až 2.3, opravená má čísla 2.4. Chyba, kterou odhalili výzkumníci z Core Security, spočívala v tom, že pro komunikaci se serverem se nepoužíval vždy protokol https. Výsledkem mohla být krádež relace a podstrčení malwaru, nicméně vlastní pokusy o zneužití zaznamenány nebyly.
DDoS v číslech
Firma Arbor Networks uvádí, že zaznamenala největší DDoS útok v celé dosavadní historie Internetu – zahlcená šířka pásma byla až 500 Gb/s. Ovšem Arbor Networks prováděla pouze průzkum mezi telekomunikačními firmami a poskytovateli služeb, jde tedy o odpovědi z dotazníku, nikoliv změřená data. Nicméně v rámci 354 odpovědí se objevila i čísla 450 a 425 Gb/s. Většina z těch, kdo vyplnili kolonku o škodách, uvádí více než 500 dolarů za minutu. (Jiné zdroje uvádějí, že DDoS útoky o síle 500 Gb/s mířily už v roce 2014 během politické krize z Číny na weby médií v Hongkongu.)
Podvody CEO fraud
Belgická Crelan připustila ztrátu 70 milionů euro v důsledku podvodu typu „CEO fraud“ („Business Email Compromise“). Podaří-li se podvodníkům kompromitovat e-mail nebo jiný komunikační kanál nejvýše postavených manažerů, mohou „podřízeným“ zkusit přikázat ihned provést nějaký převod. Veškeré otázky, námitky a kontrolní mechanismy přijdou pak často až ex-post. Před asi týdnem oznámil podobně provedený podvod ve výši asi 50 milionů dolarů i rakouský letecký výrobce FACC.
Zranitelné tiskárny
Řada tiskáren HP Laser Jet umožňuje neautorizovaný přístup přes internet, tj. součástí je anonymní FTP server. Útočník se může dostat k dokumentům ukládaným na disk tiskárny nebo odtud zkoušet proniknout do podnikové sítě; eventuálně lze tímto způsobem dál šířit podvodné soubory z důvěryhodné domény, tj. Využít tiskárnu jako úuložiště. Přístupné jsou tímto způsobem zařízení i ve velkých organizacích, stačí znát jejich IP adresu. Správci by měli zkontrolovat, zda jsou síťové tiskárny umístěné za firewallem, a zakázat příslušné porty.
…a bezpečnostní zařízení
Ve FortiOS, tedy systému pro bezpečnostní zařízení Fortinet, existoval backdoor.
Viz starší bezpečnostní přehled.
Nově se ukazuje, že problém se týkal více zařízení, než se původně předpokládalo, včetně FortiSwitch, FortiAnalyzer a FortiCache. Všude byly sice už v roce 2014 vydány záplaty, ale mohly zůstat nenasazeny, zvlášť když o problému s backdoorem se v souvislosti s touto aktualizací nic neuvádělo. Již byly zaznamenány skripty, pomocí jichž útočníci skenují sítě a hledají zranitelná zařízení. Skenování prozatím vychází ze dvou IP adres v Číně.
Magento i PayPal
Magento, tedy platforma pro provoz e-shopů apod. aplikací, se dočkala bezpečnostních oprav. Nasazení záplat se pokládá za kritické, chyby totiž umožňovaly mj. útoky cross-site scripting a zneužitelné jsou i vzdáleně. Výzkumníci ze Sucuri Security, kteří některé ze zranitelností odhalili, uvádějí, že další bezpečnostní problémy spočívaly ve způsobu filtrování e-mailů a zpracování JavaScriptu. Zranitelné jsou prakticky veškeré verze Magento CE do 1.9.2.3 a Magento EE do 1.14.2.3. Magento používá např. eBay.
Chyba byla objevena také v systému PayPal. Kvůli zranitelné implementaci Javy na serveru se útočník mohl dostat do produkčních databází i spouštět na serveru vlastní kód. Problém nahlásili krátce po sobě nezávisle dva výzkumníci, oba obdrželi 5 000 dolarů.
CSIRT varuje/oznamuje
Opravy pro smartphony: Společnost LG uvolnila bezpečnostní aktualizace pro některé z jejích posledních chytrých telefonů. Důvodem jsou zranitelnosti v aplikaci Smart Notice.
Samsung vydal opravy pro hlavní modely Galaxy. Záplaty látají 16 zranitelností v těchto zařízeních.
Ze světa firem
Eset vydává dvě nová řešení pro firemní sféru. Eset Virtualization Security je nové řešení pro VMware vShield, které nevyžaduje nasazení agenta na koncovém virtuálním stroji. Řešení je navrženo s ohledem na problémy, které virtualizace může přinášet z pohledu systémových nároků. „Všechny skenovací úlohy jsou pomocí VMware nástrojů ponechány na centrálním skeneru uvnitř Eset Virtualization Security, takže nedochází k simultánní kontrole virtuálních stanic, což podstatně snižuje systémové nároky,“ uvádí dodavatel.
Nová verze konzole Eset Remote Administrator 6 rozšiřuje možnosti vzdálené správy produktů Eset a přidává také řízení (MDM, Mobile Device Management) pro mobilní zařízení se systémem iOS. Do konzole je nově integrován i nástroj SysInspector, jenž umožňuje administrátorům zpětně vystopovat bezpečnostní incidenty a systémové změny každého koncového zařízení pomocí pravidelných reportů. (Zdroj: tisková zpráva společnosti Eset)
Kaspersky Lab speciálně varuje před trojským koněm Asacub pro Android. Nové verze obsahuje nové funkce, včetně přesměrování hovorů a zasílání USSD žádostí (speciální služba pro interaktivní komunikaci mezi uživatelem a mobilním poskytovatelem bez využití hovorů či SMS). (Zdroj: tisková zpráva společnosti Kaspersky Lab)
O dalším malwaru s podobnou funkčnosti viz také: Bezpečnostní přehled: Trojan obchází hlasovou autentizaci
Se svými dětmi o kybernetické bezpečnosti mluví jen necelá třetina českých rodičů (29 %). (Zdroj: tisková zpráva společnosti Kaspersky Lab)
Netgear připravil nový firmware pro router Nighthawk R7000, který umožňuje propojit plně bezdrátové kamery Arlo s routerem. Majitelé tohoto směrovače tak nemusejí kupovat kamery Arlo společně se základnovou stanicí. (Zdroj: tisková zpráva společnosti Netgear)
Podle průzkumu mezi malými a středními firmami (SMB) v Evropě zůstává nejdůležitějším nástrojem pracovní komunikace elektronická pošta; sociální sítě jsou až na čtvrtém místě za telefonem a osobním kontaktem. Nejvíce lidem na elektronické poště vadí spamy (37 %), zbytečné e-maily „na vědomí“ (27 %), phishing (24 %), malware (23 %) a objemné přílohy (19 %). (Zdroj: tisková zpráva společnosti GFI)
V představenstvech světových bank chybějí odborníci na technologie. „Kybernetická bezpečnost, odolnost IT infrastruktury a technologické dopady regulatorních změn, se staly problémy na úrovni bankovních představenstev, ale vedení mnoha bank prostě nemá dostatečnou expertní znalost k posouzení těchto otázek a rozhodování ohledně strategie, investic a optimální alokace technologických zdrojů,“ uvádí studie Accenture. Více než dvě pětiny (43 %) bank nemají žádného člena představenstva, který má profesionální zkušenosti s technologiemi – a téměř jedna třetina (30 %) má jediného takového člena. (Zdroj: tisková zpráva společnosti společnosti Accenture)
Psali jsme na ITBiz.cz
Na téma zabezpečení na ITBiz viz také:
Google loni zablokoval miliony podvodných reklam a webů
Po 20 letech přichází soumrak javových appletů
„Vestavěný obsah“, ať už jde o Flash, PDF, Silverlight nebo právě Javu, byl vždy zdrojem bezpečnostních rizik a mnoho zero day útoků se realizovalo právě tímto způsobem.
