Bezpečnostní přehled: Autentizace přes SMS nestačí?

Pavel Houser , 02. srpen 2016 13:00 3 komentářů
Bezpečnostní přehled: Autentizace přes SMS nestačí?

Čeká on-line bankovnictví namísto SMS s jednorázovým heslem plošné nasazení biometrie, nebo ještě nějaká jiná metoda? Jak získat data zašifrovaná ransomwarem Bart a PoshCoder. Zranitelnosti a opravy: Chrome, Xen, LastPass. Budoucí ransomware bude ještě sofistikovanější. Co dělat s nedostatkem odborníků na kybernetickou bezpečnost?

Následuje pravidelný bezpečnostní přehled vytvářený především podle webů ZDNet, CNet, The Register a HelpNet Security.

Trendy DDoS

Pravidelné statistiky Arbor Networks o vývoji útoků DDoS, tentokrát v prvním pololetí 2016. Zvýšila se intenzita (kapacita pásma) útoků, útočníci je ale nenechávají běžet příliš dlouho. Ničím neobvyklým nejsou útoky zabírající pásmo přes 100 Gb/s, v uvedeném období jich bylo zaznamenáno 274. Vůbec rekordní byla hodnota 579 Gb/s. 90 % útoků trvá méně než 1 hodinu, 80 % je slabších než 1 Gb/s. Proti největším útokům je velmi obtížné připravit on-premise infrastrukturu, účinnou obranu představují pouze cloudové služby.

Problém antivirových řešení

Udi Yavo a Tommer Bitto ze společnosti EnSilo uvádějí, že objevili zranitelnosti v bezpečnostních produktech AVG, Symantec a McAfee i dalších výrobců, a to v důsledku toho, že se zde používá technologie Microsoft Detours. Prezentace problému se chystá na nadcházející konferenci Black Hat v Las Vegas, podrobnosti proto zatím oznámeny nebyly. Neví se tedy, zda zranitelný je např. i nástroj Microsoft EMET (enhanced mitigation experience toolkit). Každopádně bylo odhaleno 15 takto rizikových produktů, jejich skutečný počet bude ovšem mnohem vyšší.

Microsoft sice na srpen chystá údajně opravu, ale tu budou dodavatelé zabezpečení nejprve muset otestovat a až pak moci zařadit do svých produktů.

Firefox omezí Flash

Mozilla oznámila, že Firefox začne automaticky blokovat obsah Flash, který není pro uživatele viditelný. Jedná se samozřejmě o jeden z vektorů, jimiž se šíří malware. Od příštího roku má Firefox ve výchozím nastavení Flash zakázat zcela a povolovat spouštění pouze na vyžádání. Od tohoto formátu dávají postupně ruce pryč i dodavatelé dalších prohlížečů a provozovatelé služeb včetně YouTube a Facebooku.

Dva ransomwary prolomeny

Zveřejněny byly dešifrovací nástroje pro dva typy ransomwaru. Jakub Kroustek z AVG vyvinul obnovení dat zašifrovaných malwarem Bart. Ten se šířil především prostřednictvím botnetu Necurs, který se využívá mj. také k distribuci jiného ransomwaru Locky a trojského koně Dridex. Úspěšné dešifrování vyžaduje mít alespoň jeden originální soubor, tj. srovnat původní a zašifrovanou verzi.

Výzkumníci z Palo Alto Networks uvolnili nástroj pro dešifrování PoshCoder (PowerWare), což je ransomware imitující verzi Locky, používá však méně sofistikované šifrování; samotný Locky snaze bezpečnostních specialistů zatím odolává.

Další „státní“ malware

SentinelOne Labs varuje: v Evropě se šíří malware SFW, který dokáže zasáhnout i elektrorozvodné sítě. Zčásti se podobá staršímu škodlivému kódu Furtim. Jde cca o backdoor, který z energetických systémů umožňuje krádeže dat nebo je i vyřazuje z provozu. Jde údajně o značně pokročilý útok, za nímž může být nějaký stát; SFG mj. umí rozpoznat spouštění v sandboxu nebo i biometrické metody ochrany, a ihned se v takových případech ukončí. Dokáže se vyhnout detekci mnoha bezpečnostními řešeními, tj. podle všeho jde o výsledek nákladného vývoje.

Zranitelnosti a opravy

Google Chrome 52 opravuje 48 bezpečnostních chyb, z toho 11 je označeno za vysoce závažné. Za objev zranitelnosti CVE-2016-1706, která umožňuje obejít sandbox, Google zaplatil 15 000 dolarů. Dále byly zalátány např. díry umožňující podvržení URL, poškození paměti, přetečení haldy či zásobníku. Nová verze prohlížeče má číslo 52.0.2743.82.

V open source hypervisoru Xen byly nalezeny bezpečnostní zranitelnosti ve vrstvě oddělující virtualizovaný a podkladový systém. Výsledkem může být eskalace oprávnění, z hostovaného systému lze ovládnout ten hostitelský (a spolu s tím i další hostované systémy). Problém objevil Jérémie Boutoille z firmy Quarkslab; týká se vše verzí Xenu, i když na platformě x86 by při použití paravirtualizace zneužití nemělo být tak snadné. Xen již vydal záplaty pro verze 4.5 až 4.7. V této souvislosti je zajímavé oznámení Amazonu, že jeho platforma AWS není chybou nijak ovlivněna. Podobný problém s eskalací práv Xen látal i loni v listopadu.

Nalezeny a vzápětí zalátány byly 2 chyby v programu pro správu hesel LastPass. Na jednu upozornil Mathias Karlsson z Detectify Labs, na druhou Tavis Oramdy z Google Project Zero.

CSIRT varuje/oznamuje

Podle návrhu nového standardu amerického úřadu pro standardizaci a technologie (NIST) již není možno dvoufaktorovou autentizaci pomocí SMS zpráv považovat za bezpečnou. Je to jednak kvůli riziku zneužití telefonu ponechaného bez dozoru (nebo ukradeného), a také kvůli bezpečnostním problémům v samotném návrhu signalizačního protokolu SS7, používaného v mobilních sítích. Jako náhradu tohoto druhu ověření NIST doporučuje biometrii.

Poznámka PH: Subjektivně zásadnější mi přijde problém autentizace přes SMS při mobilním bankovnictví. Je-li zařízení kompromitováno, malware může odchytit i SMS. Při dvoufaktorové autentizaci by mělo jít o nezávislá zařízení, která by se ani nepropojovala. Z druhé strany pokud náhodný nálezce/zloděj mobilu najde autentizační SMS (aktuální? starší – to se ovšem má mazat), zase tolik toho provést nemůže?

Ze světa firem

Intel Security ve spolupráci s Centrem pro strategická a mezinárodní studia (Center for Strategic and International Studies, CSIS) vydali studii o nedostatku odborníků na kybernetickou bezpečnost. Odvětví trpí nedostatkem odborníků podle 82 % respondentů. Odhadují, že do roku 2020 bude v jejich firmách neobsazeno zhruba 15 % pozic specializovaných na kybernetickou bezpečnost. Jedno z doporučení zní: Nově definovat minimální požadavky pro základní pracovní místa v oblasti kybernetické bezpečnosti, akceptovat netradiční zdroje vzdělání. (Zdroj: tisková zpráva společnosti Intel)

Acronis představil řešení Notary pro ochranu dat. Nabízí datové úložiště odolné proti neoprávněným zásahům, které využívá technologii Blockchain k zajištění autenticity dat, soukromí a kontroly. Acronis bude aplikovat technologii Blockchain do svých řešení – technologie poskytuje záznam digitálních událostí distribuovaných mezi účastníky či entitami. S technologií Blockchain mohou být data a transakce aktualizovány pouze na základě konsensuálních pravidel uzavřených mezi zainteresovanými účastníky v systému a pokud dojde k zápisu nových dat, ta nemohou být nikdy smazána. Řešení Acronis využívající technologii Blockchain bude dostupná v říjnu 2016. (Zdroj: tisková zpráva společnosti Acronis)

Intel Security, Kaspersky Lab a Europol představili nový projekt No More Ransom. V tuto chvíli se jedná především o informační portál, který ale nabízí i čtyři dešifrovací nástroje pro různé typy ransomwaru. (Zdroj: tisková zpráva společnosti Kaspersky Lab)

Studie Cisco 2016 Midyear Cybersecurity Report analyzuje především současnou situaci v oblasti ransomwaru. Podniky útočníkům dnes situaci usnadňují, v budoucnu však podle všeho musejí očekávat mnohem sofistikovanější útoky tohoto typu. Budoucí ransomware omezí např. komunikaci s řídicími servery, v infrastruktuře se maximálně tiše rozšíří, šifrování bude probíhat se snahou minimalizovat dopad na výkon systémů a až pak se zobrazí výzva k zaplacení. Studie dále upozorňuje na rostoucí zájem útočníků o servery Jboss v uvedeném období. (Zdroj: tisková zpráva společnosti Cisco)

Lenovo uvádí na trh 4 nové odolné podnikové notebooky z řady ThinkPad T (T460, T460s, T460p a T560). Co se týče zabezpečení, k dispozici je čtečka otisků prstů a Smart Card Reader s čipem Trusted Platform Module (TPM). (Zdroj: tisková zpráva společnosti Lenovo)

Axis představil nové fixní kopulové kamery Q3615-VE a Q3617-VE. Podle dodavatele jsou určeny především pro městský dohled a aplikace v dopravě, vládních budovách a kritických infrastrukturách. (Zdroj: tisková zpráva společnosti Axis Communication)

Na trh byla uvedena nová verze Barracuda NextGen Firewall F-Series (7.0). (Zdroj: tisková zpráva společnosti Gesto Communications, distributor Barracuda Networks pro ČR a Slovensko)

Psali jsme na ITBiz.cz

Na téma zabezpečení na ITBiz viz také:

Eset loni v ČR zvýšil tržby: Česká pobočka slovenské antivirové firmy Eset loni zvýšila příjmy o 5 % na 307 milionů Kč. Hlavní skupinou zákazníků jsou firemní klienti, domácnosti představují přibližně 30 % obratu společnosti.

NBÚ upozorňuje vládu na bílá místa v kybernetické bezpečnosti: Za problematickou úřad označuje mj. aktuální situaci, kdy řada správců kritické infrastruktury využívá služby externích dodavatelů.


Komentáře

Jenda #0
Jenda 02. srpen 2016 15:02

> Jako náhradu tohoto druhu ověření NIST doporučuje biometrii.

To je nějaké zmatené, SMSky přece řeší kompromitovaný počítač, biometrie ne.

pavel houser #1
pavel houser 04. srpen 2016 13:01

souhlasim s komentarem, ano

Nic #2
Nic 12. srpen 2016 17:12

Ani biometrie už nestačí. Za chvíli to bude umět kdekdo.

https://www.novinky.cz/internet-a-pc/bezpecnost/411786-vedci-vytvorili-funkcni-kopii-otisku-prstu.html

RSS 

Komentujeme

Microsoft a GitHub

Pavel Houser , 13. červen 2018 13:30
Pavel Houser

Transakce v hodnotě 7,5 miliardy dolarů je dost velká i na poměry Microsoftu, takže se prodejem GitH...

Více







RSS 

Zprávičky

Digital Broadcasting rozšířila síť DVB-T2 na 85 % populace

ČTK , 19. červen 2018 08:00

Digital Broadcasting začal přechodovou síť budovat loni v červenci v Praze....

Více 0 komentářů

Manažeři France Télécom půjdou před soud kvůli sebevraždám

ČTK , 18. červen 2018 12:47

Vlna sebevražd ve France Télécom (dnes Orange) začala v roce 2008 a vyžádala si desítky životů. ...

Více 0 komentářů

Zranitelnosti chytrých aut pod lupou

Pavel Houser , 18. červen 2018 12:43

Nástroje podvodníků se zaměřují především na extendery, které poskytují přístup k uzavřeným funkcím ...

Více 0 komentářů

Kalendář

17. 06.

21. 06.
Cyber Week 2018
19. 06.

22. 06.
Automatica 2018
23. 06.

24. 06.
Maker Faire Prague 2018

Starší zprávičky

Foxconn otevře severoamerické ústředí ve Wisconsinu

ČTK , 18. červen 2018 00:00

Foxconn již loni oznámil, že ve Wisconsinu investuje 10 miliard dolarů do výstavby továrny na LCD....

Více 0 komentářů

Češi obměňují počítač za šest let, dvakrát déle než vyspělý svět

ČTK , 16. červen 2018 08:00

Výpočetní techniku si na leasing v tuzemsku pořizuje 23 % firem, ve vyspělých zemích jsou to až 3/4 ...

Více 3 komentářů

Dell představuje úložiště PowerMax

Pavel Houser , 15. červen 2018 16:14

Dell oznámil uvedení několika nových úložných a serverových produktů s podporou uceleného portfolia ...

Více 0 komentářů

AT&T dokončila převzetí mediální firmy Time Warner

ČTK , 15. červen 2018 13:22

Očekává se, že spojení AT&T a Time Warner vyvolá vlnu fúzí. Comcast chce převzít Twenty-First Centur...

Více 0 komentářů