Bezpečnostní přehled: Vývoj trhu podle IDC

Bankomaty s biometrií. Sledování záznamů dopravních kamer. Nejrozšířenější malware. Botnety ze zařízení Internetu věcí. Další škodlivé aplikace na Google Play.

Následuje pravidelný bezpečnostní přehled vytvářený především podle webů ZDNet, CNet, The Register a HelpNet Security.

Nejlépe se prodává UTM

Trh s bezpečnostními zařízení podle IDC meziročně vzrostl o 5,8 % a ve 2. čtvrtletí dosáhl výše 2,75 miliard dolarů. Co se týče prodaných jednotek, zde došlo ke zvýšení o více než 15 %. Jednotliví dodavatelé si víceméně drží své podíly; trhu dominuje Cisco, třebaže jeho podíl meziročně klesl zhruba ze 17 % na 15 %. Na druhém až třetím místě dohnala firma Palo Alto Networks Check Point, následuje Fortinet a s větším odstupem Blue Coat. Podíl dalších firem poklesl z 50 na 45 %, dochází tedy k určité koncentraci trhu. Růst byl zaznamenán ve všech sledovaných regionech.

Největší podíl mezi bezpečnostními zařízeními mají systémy pro jednotnou správu hrozeb (Unified Threat Management, UTM), jichž se ve 2. kvartálu prodalo za 1,35 miliard dolarů (růst o 16 %). Kategorie systémů Intrusion Detection and Prevention má objem 402 milionů dolarů (meziroční růst 5 %), systémy Content Management 426 milionů dolarů (růst 5 %). Prodeje firewallů meziročně klesly o 7 %, systémů VPN o 15 %.

Ransomware třeba reportovat jako únik dat

Danny Palmer na ZDNet nadnáší zajímavý problém spojený s existencí ransomwaru. Musí podniky, které postihl tento incident, reportovat „únik dat“. Určitě jde o narušení systémů, ale je třeba informovat obchodní partnery, zákazníky, uživatele? Jak se na to dívá konkrétní legislativa? Pokud někdo data o uživatelích prostě zašifroval, dá se říct, že neunikla. Palmer nicméně cituje právníky, kteří jsou přesvědčeni, že neoprávněná manipulace s daty by měla pro postižené zakládat stejné povinnosti jako jejich únik. Nakonec útočníci si kromě zašifrování někdy původní data i také skutečně stahují k sobě… Takže reportovat by se mělo i tehdy, když problém podniku nezpůsobí žádné speciální škody a zašifrovaná data se např. podaří obnovit ze záloh.

Zranitelnosti a opravy

Microsoft rozšířil svůj program placení za bezpečnostní zranitelnosti objevené v prohlížeči MS Edge. Za přesně specifikované chyby se bude platit od 500 do 15 000 dolarů. Program byl zatím vyhlášen do května příštího roku.

Stacey Jury z IntaForensics tvrdí, že anonymní surfování v iOS 10.0.1 není skutečně anonymní. Historie navštívených webových stránek se korektně nemaže, ale podařilo se ji obnovit pomocí forenzního nástroje XRI (prohlížeče Safari pro Windows/Mac OS X se to netýká). Apple prozatím ani neuvedl, že chce vydat opravu. Další výzkumníci ale záležitost bagatelizují. Lee Munson z Comparitech.com tvrdí, že většiny uživatelů se problém vůbec netýká, protože používají synchronizaci přes iCloud, problém by byl jen u zálohování přes iTunes, pak by ale data mohla být stejně přístupná jen z počítače, který by musel útočník kompromitovat.

Aleksandar Nikolic z Cisco Talos upozorňuje na chybu v knihovně OpenJPEG, respektive v open source parseru JPG2000. Výsledkem může být porušení haldy a spuštění útočníkova kódu, stačí otevřít speciální soubor v příslušném formátu. I když zneužití se zdá být snadné (soubor v e-mailu, na sdílených službách…), tyto pokusy zatím aktivně neprobíhají.

V Google Play byla objeveno více než 400 aplikací obsahujících trojské koně, zejména Dresscode. Některé z nich (především upravené hry) byly staženy až stovkami tisíc uživatelů. Malware Dresscode dělá z ovládnutých zařízeních součást botnetu, který se v tuto chvíli zneužívá především ke klikání na reklamy, snadno lze ale nastavit i k odesílání spamu nebo útokům DDoS a infikované zařízení lze také zneužít pro přístup k domácí i podnikové sítě včetně pokusů manipulovat se směrovačem.

Skimming bankomatů i proti biometrii

Specialisté Kaspersky Lab upozorňují na bezpečnost biometrických systémů, které se nově doplňují k bankomatům. Byly už zaznamenány skimery sbírající otisky prstu i takové, která se snaží krást informace ze skenu duhovky. V podzemních fórech se navíc diskutuje o tom, jak lze systémy založené na rozpoznávání tváře ošidit pomocí masky. Jiným způsobem, jak se dostat k biometrickým údajům vytipované osoby, představují krádeže osobních dokladů obsahujících příslušné informace. Biometrický identifikátor si uživatel na rozdíl od hesla nemůže změnit.

Mirai, botnet IoT

Byl zveřejněn zdrojový kód malwaru Mirai, který slouží k vytváření botnetů z kompromitovaných zařízení internetu věcí. Botnety IoT vytvořené malwarem Mirai a Bashlite byly nedávno použity mj. i k útoku na web známého bezpečnostního experta Briana Krebse. Předpokládá se, že motivace autora Mirai je, aby kód začal být plošně používán, a tak bylo obtížnější vypátrat jeho původce. Mirai cílí především na směrovače, DVR rekordéry, webové kamery, linuxové servery a zařízení se systémem Busybox. Ohrožená jsou zejména zařízení, kde uživatel nezměnil výchozí heslo.

Mimochodem, při posledních útocích pomocí IoT botnetů se podařilo dosáhnout opravdu značné intenzity. Krebsův web byl zahlcen provozem až 600 Gb/s a útok na francouzského poskytovatele hostingu OVH zabral pásmo až 1 Tb/s.

CSIRT varuje/oznamuje

CSIRT.CZ upozorňuje, že v ČR došlo k útokům na směrovače Asus, Netis a TP-Link. Stejně jako při podobných útocích v předchozích letech i tentokrát útočník mění DNS servery, a to primární na 46.17.102.10 či 46.17.102.163, sekundární na 8.8.8.8.

CZ.NIC začal zájemcům rozesílat své routery Turris Omnia. V kampani si lidé koupili přes 4 000 routerů, v první dávce bylo vyrobeno 8 000 kusů; zbytek půjde do běžného prodeje. (Zdroj: Blog CZ.NIC)

Ze světa firem

Nejrozšířenější malware v ČR podle Check Pointu, srpen 2016:

Conficker

Cryptowall

Zeus

Locky

HackerDefender

RookieUA

CTB-Locker

Magnitude

Hotbar

Bepush

(Zdroj: tisková zpráva společnosti Check Point)

Top 10 hrozeb v ČR za září 2016 dle statistik Esetu:

JS/Danger.ScriptAttachment (47,28 %)
JS/TrojanDownloader.Nemucod (21,32 %)
Java/Adwind (4,25 %)
VBA/TrojanDownloader.Agent.BRV (2,06 %)
VBA/TrojanDownloader.Agent.BSV (1,46 %)
JS/ProxyChanger (1,3 %)
SWF/Exploit.ExKit (1,15 %)
JS/Kryptik.RE (1,06 %)
VBA/TrojanDownloader.Agent.BTR (0,79 %)
MSIL/Kryptik.GZH (0,71 %)

JS/Danger se šíří především přílohami e-mailu, jde o „obecný“ downloader. Podobně jako Nemucod na druhém místě (jehož podíl neustále roste) je často spojen s ranmwarem. Třetí Java/Adwind je backdoor používaný hlavně k útokům na internetové bankovnictví. (Zdroj: tisková zpráva společnosti Eset)

Check Point 2016 Security Report: každý měsíc objeveno téměř 12 milionů nových variant škodlivých kódů. V posledních 2 letech bylo objeveno více nových vzorků malwaru než v předchozím desetiletí. 1 z 5 zaměstnanců způsobí narušení bezpečnosti podnikové sítě vinou mobilního malwaru nebo škodlivého Wi-Fi připojení. (Zdroj: tisková zpráva společnosti Check Point)

Prostřednictvím vyhledávače Shodan dokázali experti Kaspersky Lab identifikovat řadu IP adres patřících k dopravním kamerám; kdokoliv může sledovat záběry z těchto kamer bez jakéhokoliv hesla. Analytici také zjistili, že některé ovládací nástroje těchto kamer jsou volně přístupné na webu. Podle výzkumu jsou zranitelné také různé informační panely a interaktivní terminály používané v moderních městech – uživatel různými způsoby může získat přístup k plnému operačnímu systému těchto zařízení. (Zdroj: tisková zpráva společnosti Kaspersky Lab)

Za poslední rok byla DDoS útokem napadena každá šestá společnost. Nejčastějším terčem se stávaly společnosti ve stavebním průmyslu, oblasti IT a telekomunikací. Většina (79 %) dotázaných společností přiznala, že v tomto období byla napadena více než jednou, téměř polovina z nich čtyřikrát nebo vícekrát. Útoky DDoS se nevyznačují jen četností, ale často i dlouhým trváním. Více než třetina (39 %) útoků byla ve sledovaném období krátkodobého charakteru, ve 21 % případů ale napadení trvalo několik dnů nebo i týdnů. (Zdroj: průzkum Kaspersky Lab a B2B International provedený mezi 4 000 zástupci firem z 25 zemí včetně ČR)

BYOD vzbuzuje obavy nejen u firem, ale i u zaměstnanců: převládá mínění, že zaměstnavatel by mohl zneužít jejich soukromého počítače pro přístup k jejich soukromí. (Zdroj: tisková zpráva společnosti Intel)

Epson Print Admin je nový systém pro správu tisku, které v oblasti zabezpečení přináší ověřování uživatelů. (Zdroj: tisková zpráva společnosti Epson)

Nejnovější generace business monitorů Phillips s 27, 24 a 22 palci je vybavena vestavěnou webkamerou, která se vysune jen v případě potřeby. Ovládání je z bezpečnostních důvodů manuální. (Zdroj: tisková zpráva společnosti MMD Monitors & Displays Czech Republic)