Ransomware zacílí na průmyslové systémy. Podniky mají problém s obnovou provozu po bezpečnostním incidentu. Jak je to s únorovými záplatami Microsoftu. Botnet Mirai začíná napadat i Windows.
Následuje pravidelný bezpečnostní přehled vytvářený především podle webů ZDNet, CNet, The Register, SecurityWeek a HelpNet Security.
Únorové záplaty Microsoftu nejsou a nebudou
Microsoft druhé úterý tohoto měsíce nevydal obvyklé záplaty, protože u jedné z oprav byly na poslední chvíli zjištěny problémy. Viz také: Microsoft odložil únorové bezpečnostní záplaty.
Firma nyní oznámila, že celý balíček se odloží až na březen a aktualizace jako celek tak bude uvolněna až 14. 3. 2017. Tento krok samozřejmě vyvolal kritiku, mj. protože na únor byla plánována záplata pro protokol SMB, kde již byla ve formě proof-of-concept publikována i možnost zneužití. Na druhé straně hodnocení závažnosti této chyby bylo mezitím sníženo. Problém ohrožuje klientské počítače s Windows, pokud komunikují s infikovaným/podvodným serverem.
Inverzní cesta
F-Secure koupila společnost Inverse Path, která dodává zabezpečení na úrovni hardwaru/vestavěných (embedded) systémů, a to včetně specializovaných řešení např. pro automobilový a letecký průmysl. Finanční podrobnosti o transakci nebyly zveřejněny.
Podvodníky zajímá e-mailový účet
Trendy phishingu podle PhisLabs: Pro podvodníky jsou samozřejmě nejzajímavější přístupové údaje k bankovním apod. finančním službám, mnohem rychleji ale rostou útoky snažící se ukrást oprávnění k e-mailu. Útočníci předpokládají, že tyto přihlašovací údaje používají lidé i jinde, e-mailová adresa představuje také často uživatelské jméno k další službě. Srovnáme-li podíl domén zneužívaných k phishingu s celkovým počtem domén v příslušné TLD, zajímavé je, že pro phishery je velmi oblíbená např. brazilská TLD. Roste ale také množství phishingových webů hostovaných ve východní Evropě.
Antiviry si nerozumí s https
Studie výzkumníků z Googlu, Mozilly, Cloudfare a několika amerických univerzit uvádí, že řada antivirových produktů narušuje bezpečnost uživatelů tím, jak pracuje s informacemi přenášenými přes https – samy je např. mezi počítačem a svým cloudem přenášejí v otevřené podobě, stejně tak data ukládají atd. De facto se tím oslabuje šifrování a zvyšuje riziko, že k těmto datům získá přístup někdo nepovolaný. Podobné nedostatky vykazuje i výchozí nastavení řady firewallů nebo různých síťových zařízení, opět se tím de facto oslabuje ochrana daná šifrováním komunikačního kanálu.
Watson pro kyberbezpečnost
IBM oznámila další integraci svého softwaru (umělé inteligence) Watson do platforem pro zabezpečení. Např. v rámci IBM Cognitive Security Operations Center bude Watson použit pro sledování a vyhodnocování bezpečnostních událostí, v rámci řízených služeb IBM Managed Security Services se má využít schopnosti platformy při práci s přirozeným jazykem – na tomto základě bude vyvíjen komunikační chatbot. Do služeb třetích stran lze software integrovat v rámci nabídky Watson for Cyber Security. Watson si podle IBM vytvořil v oblasti zabezpečení rozsáhlou znalostí bázi, protože postupně analyzoval více než milion odborných dokumentů.
Ransomware pro průmysl
Skupina z Georgia Tech School of Electrical and Computer Engineering demonstrovala ransowmare pro programovatelné logické automaty (PLC). Podle autorů lze předpokládat, že brzy se objeví ransomware cílící speciálně na průmyslové řídicí systémy (ICS), systémy SCADA apod. Útočníci by v takovém případě mohli jistě požadovat vyšší výkupné; nakonec výnosnost ransowaru určeného pro specializované systémy ukázaly už nedávné masové útoky na zdravotnická zařízení. (Poznámka: Šlo by u ransomwaru pro průmyslové systémy spíše o šifrování dat, nebo o zamykání zařízení?)
Lazaurus ožívá
Na konci loňského roku začala nová vlna útoků gangu Lazaurus, který dosud cílil především proti finančním institucím. Této skupině, existující zřejmě už asi 8 let, se mj. připisuje i obrovská krádež (cca 80 milionů dolarů) z centrální banky Bangladéše, k níž došlo v loňském roce. Skupina Lazaurus se dávala do souvislosti rovněž s útokem na Sony a spojovala se severokorejským režimem. Současné akce míří na finanční instituce v USA, Latinské Americe a spojuje se s nimi také útok na regulátora bank v Polsku (viz Bezpečnostní přehled: K čemu vykupovat již opravené zranitelnosti?).
Útoky na Hadoop
Firma GDI Foundation uvádí, že útoky na nezabezpečené/přes internet bez oprávnění přístupné clustery Hadoop již vedly k vymazání obsahu asi 165 instalací. Dále ale zůstává asi 5300 zranitelných implementací Hadoopu. Problém má být ve výchozím nastavení instalace, kdy administrátorská práva pro Hadoop Distributed File System může získat kdokoliv i bez hesla.
Podobně jako Hadoop byly nedávno napadány přes internet přístupné instalace MongoDB a ElasticSearch (viz Bezpečnostní přehled: AppContainer, další vrstva ochrany Windows a Bezpečnostní přehled: Dosáhne ransomware letos vrcholu?). V případě Hadoopu je zajímavé, že na posledních smazaných instalacích se nenachází žádná výzva tvůrců ransomwaru. Možná jde o případ prostého vandalismu, možná při sérii těchto útoků došlo k nějaké chybě.
Bromium v noteboocích HP
HP oznámila, že do svých notebooků bude integrovat virtualizační technologii Bromium, která by měla zvýšit zabezpečení. Funkce označovaná Sure Click má spouštět každou relaci prohlížeče Chrome nebo Internet Exploreru ve vlastním plně odděleném kontejneru/virtuálním stroji. Při návštěvě podvodné stránky se příslušný virtuální stroj prostě zavře a jeho obsah smaže. Prvním takto vybaveným modelem bude EliteBook x360 1030 G.
Mirai i pro Windows
Malware/botnet Mirai, který se dosud zaměřoval na zařízení Internetu věcí (routery, kamery, DVR…), nyní dokáže ovládnout i systémy Windows. Firma Dr.Web označuje tuto verzi malwaru jako Trojan.Mirai.1.
Botnet Mirai loni v říjnu provedl DDoS útok proti poskytovateli DNS Dyn, což vedlo k nedostupnosti i nejpoužívanějších internetových služeb a vzbudilo velkou pozornost médií.
Ze světa firem
50 % respondentů (celosvětový průzkum v podnikové sféře) je přesvědčeno, že jejich společnost by dokázala odhalit i sofistikovaný kybernetický útok. Naopak mezery vidí respondenti v nedostatečných investicích a plánech na obnovení provozu, pokud již k narušení bezpečnosti dojde. Zatímco na prevenci úniků a ztráty dat hodlá v roce 2017 vynaložit více prostředků 42 % respondentů, na zajištění kontinuity podnikání a program obnovy po havárii pouze 39 %.
Zastaralé kontroly nebo bezpečnostní architekturu označuje v souvislosti s útoky za nejzávažnější slabinu téměř polovina účastníků průzkumu (48 %). Centrum pro řízení bezpečnosti provozu (SOC) zcela chybí ve 44 % organizací.
Zdroj: tisková zpráva společnosti EY
Bezpečnostní tým Cisco Talos odhalil dvě zranitelnosti v aplikaci Apple GarageBand. Tento program slouží k vytváření a upravování hudebních souborů na zařízeních Mac a je předinstalován na všech počítačích Mac, proto mohli útočníci zacílit na vysoký počet obětí. Zranitelnost zneužívala způsobu, jakým GarageBand zpracovává soubory typu .band. Tento formát je rozdělen do bloků (chunků) s určitou specifickou délkou pro každý z nich. Ke zneužití stačilo, aby uživatel otevřel speciálně vytvořený soubor .band.
Zdroj: tisková zpráva společnosti Cisco
Nové verze virtualizační platformy VMware NSX pro vSphere 6.3 a VMware NSX-T 1.1 přinášejí v oblasti zabezpečení podle dodavatele nové funkce týkající se správy pravidel pro aplikace a monitoring koncových bodů. Umožňují automatizovat aktualizace politik a pravidel a usnadňují mikrosegmentaci.
Zdroj: tisková zpráva společnosti VMware
Nové vlny útoků cílí na banky v Česku a Slovensku. Útočníci přitom použili malware pro platformu Android, který se již koncem ledna v Česku šířil, ale cílem byly tehdy finanční domy v Německu. Nyní je však již útok lokalizován. Malware Android\Trojan.Spy.Banker.HV uživateli při otevření internetového bankovnictví podsune falešnou přihlašovací stránku – zatím takto cílí pouze na ČSOB. V aktuální kampani probíhající v ČR a SR je tento malware šířen pomocí SMS s odkazem na údajnou aplikaci společnosti DHL.
Zdroj: tisková zpráva společnosti Eset
D-Link nabízí nové produkty ve své řadě Vigilance. Podle dodavatele jsou určeny pro firmy, které instalují zabezpečovací zařízení a chtějí nabízet zákazníkům digitální monitorovací videosystémy. Novými produkty jsou IP kamera DCS-4603, síťový videorekordér DNR-2020-04P a základní monitorovací sada DNR16-4802-2.
Zdroj: tisková zpráva společnosti D-Link
Ericsson spouští svůj nový produkt pro řízení bezpečnosti, zaměřený na automatickou ochranu důležitých prvků infrastruktury. Nástroj Security Manager dle firmy nastaví a prosazuje bezpečnostní systémy na ochranu důležitých aktiv prostřednictvím konfigurace bezpečnostních kontrol. Řešení podle dodavatele nabízí automatické řízení bezpečnosti pro cloudové systémy, podniky, fyzické i virtuální sítě.
Zdroj: tisková zpráva společnosti Ericsson
Společnost Trust doplnila svůj bezpečnostní systém pro domácnosti Trust Security System o Wi-Fi IP kameru s nočním viděním.
Zdroj: tisková zpráva společnosti Trust
Bezpečnost IT lze studovat i v kombinaci s dopravou a takovými tématy, jako je hacking automobilů včetně těch autonomních. Bakalářské i magisterské obory pro akademický rok 2017–2018 znovu vypisuje Ústav bezpečnostních technologií a inženýrství na Fakultě dopravní ČVUT v Praze. Studenti se v rámci studia seznámí například s problematikou sdílení informací mezi vozidly, připojení na mobilní sítě, s trendy v oblasti hackingu v dopravě nebo senzorickými systémy v dopravních sítích.
Zdroj: tisková zpráva ČVUT