Čeká on-line bankovnictví namísto SMS s jednorázovým heslem plošné nasazení biometrie, nebo ještě nějaká jiná metoda? Jak získat data zašifrovaná ransomwarem Bart a PoshCoder. Zranitelnosti a opravy: Chrome, Xen, LastPass. Budoucí ransomware bude ještě sofistikovanější. Co dělat s nedostatkem odborníků na kybernetickou bezpečnost?
Následuje pravidelný bezpečnostní přehled vytvářený především podle webů ZDNet, CNet, The Register a HelpNet Security.
Trendy DDoS
Pravidelné statistiky Arbor Networks o vývoji útoků DDoS, tentokrát v prvním pololetí 2016. Zvýšila se intenzita (kapacita pásma) útoků, útočníci je ale nenechávají běžet příliš dlouho. Ničím neobvyklým nejsou útoky zabírající pásmo přes 100 Gb/s, v uvedeném období jich bylo zaznamenáno 274. Vůbec rekordní byla hodnota 579 Gb/s. 90 % útoků trvá méně než 1 hodinu, 80 % je slabších než 1 Gb/s. Proti největším útokům je velmi obtížné připravit on-premise infrastrukturu, účinnou obranu představují pouze cloudové služby.
Problém antivirových řešení
Udi Yavo a Tommer Bitto ze společnosti EnSilo uvádějí, že objevili zranitelnosti v bezpečnostních produktech AVG, Symantec a McAfee i dalších výrobců, a to v důsledku toho, že se zde používá technologie Microsoft Detours. Prezentace problému se chystá na nadcházející konferenci Black Hat v Las Vegas, podrobnosti proto zatím oznámeny nebyly. Neví se tedy, zda zranitelný je např. i nástroj Microsoft EMET (enhanced mitigation experience toolkit). Každopádně bylo odhaleno 15 takto rizikových produktů, jejich skutečný počet bude ovšem mnohem vyšší.
Microsoft sice na srpen chystá údajně opravu, ale tu budou dodavatelé zabezpečení nejprve muset otestovat a až pak moci zařadit do svých produktů.
Firefox omezí Flash
Mozilla oznámila, že Firefox začne automaticky blokovat obsah Flash, který není pro uživatele viditelný. Jedná se samozřejmě o jeden z vektorů, jimiž se šíří malware. Od příštího roku má Firefox ve výchozím nastavení Flash zakázat zcela a povolovat spouštění pouze na vyžádání. Od tohoto formátu dávají postupně ruce pryč i dodavatelé dalších prohlížečů a provozovatelé služeb včetně YouTube a Facebooku.
Dva ransomwary prolomeny
Zveřejněny byly dešifrovací nástroje pro dva typy ransomwaru. Jakub Kroustek z AVG vyvinul obnovení dat zašifrovaných malwarem Bart. Ten se šířil především prostřednictvím botnetu Necurs, který se využívá mj. také k distribuci jiného ransomwaru Locky a trojského koně Dridex. Úspěšné dešifrování vyžaduje mít alespoň jeden originální soubor, tj. srovnat původní a zašifrovanou verzi.
Výzkumníci z Palo Alto Networks uvolnili nástroj pro dešifrování PoshCoder (PowerWare), což je ransomware imitující verzi Locky, používá však méně sofistikované šifrování; samotný Locky snaze bezpečnostních specialistů zatím odolává.
Další „státní“ malware
SentinelOne Labs varuje: v Evropě se šíří malware SFW, který dokáže zasáhnout i elektrorozvodné sítě. Zčásti se podobá staršímu škodlivému kódu Furtim. Jde cca o backdoor, který z energetických systémů umožňuje krádeže dat nebo je i vyřazuje z provozu. Jde údajně o značně pokročilý útok, za nímž může být nějaký stát; SFG mj. umí rozpoznat spouštění v sandboxu nebo i biometrické metody ochrany, a ihned se v takových případech ukončí. Dokáže se vyhnout detekci mnoha bezpečnostními řešeními, tj. podle všeho jde o výsledek nákladného vývoje.
Zranitelnosti a opravy
Google Chrome 52 opravuje 48 bezpečnostních chyb, z toho 11 je označeno za vysoce závažné. Za objev zranitelnosti CVE-2016-1706, která umožňuje obejít sandbox, Google zaplatil 15 000 dolarů. Dále byly zalátány např. díry umožňující podvržení URL, poškození paměti, přetečení haldy či zásobníku. Nová verze prohlížeče má číslo 52.0.2743.82.
V open source hypervisoru Xen byly nalezeny bezpečnostní zranitelnosti ve vrstvě oddělující virtualizovaný a podkladový systém. Výsledkem může být eskalace oprávnění, z hostovaného systému lze ovládnout ten hostitelský (a spolu s tím i další hostované systémy). Problém objevil Jérémie Boutoille z firmy Quarkslab; týká se vše verzí Xenu, i když na platformě x86 by při použití paravirtualizace zneužití nemělo být tak snadné. Xen již vydal záplaty pro verze 4.5 až 4.7. V této souvislosti je zajímavé oznámení Amazonu, že jeho platforma AWS není chybou nijak ovlivněna. Podobný problém s eskalací práv Xen látal i loni v listopadu.
Nalezeny a vzápětí zalátány byly 2 chyby v programu pro správu hesel LastPass. Na jednu upozornil Mathias Karlsson z Detectify Labs, na druhou Tavis Oramdy z Google Project Zero.
CSIRT varuje/oznamuje
Podle návrhu nového standardu amerického úřadu pro standardizaci a technologie (NIST) již není možno dvoufaktorovou autentizaci pomocí SMS zpráv považovat za bezpečnou. Je to jednak kvůli riziku zneužití telefonu ponechaného bez dozoru (nebo ukradeného), a také kvůli bezpečnostním problémům v samotném návrhu signalizačního protokolu SS7, používaného v mobilních sítích. Jako náhradu tohoto druhu ověření NIST doporučuje biometrii.
Poznámka PH: Subjektivně zásadnější mi přijde problém autentizace přes SMS při mobilním bankovnictví. Je-li zařízení kompromitováno, malware může odchytit i SMS. Při dvoufaktorové autentizaci by mělo jít o nezávislá zařízení, která by se ani nepropojovala. Z druhé strany pokud náhodný nálezce/zloděj mobilu najde autentizační SMS (aktuální? starší – to se ovšem má mazat), zase tolik toho provést nemůže?
Ze světa firem
Intel Security ve spolupráci s Centrem pro strategická a mezinárodní studia (Center for Strategic and International Studies, CSIS) vydali studii o nedostatku odborníků na kybernetickou bezpečnost. Odvětví trpí nedostatkem odborníků podle 82 % respondentů. Odhadují, že do roku 2020 bude v jejich firmách neobsazeno zhruba 15 % pozic specializovaných na kybernetickou bezpečnost. Jedno z doporučení zní: Nově definovat minimální požadavky pro základní pracovní místa v oblasti kybernetické bezpečnosti, akceptovat netradiční zdroje vzdělání. (Zdroj: tisková zpráva společnosti Intel)
Acronis představil řešení Notary pro ochranu dat. Nabízí datové úložiště odolné proti neoprávněným zásahům, které využívá technologii Blockchain k zajištění autenticity dat, soukromí a kontroly. Acronis bude aplikovat technologii Blockchain do svých řešení – technologie poskytuje záznam digitálních událostí distribuovaných mezi účastníky či entitami. S technologií Blockchain mohou být data a transakce aktualizovány pouze na základě konsensuálních pravidel uzavřených mezi zainteresovanými účastníky v systému a pokud dojde k zápisu nových dat, ta nemohou být nikdy smazána. Řešení Acronis využívající technologii Blockchain bude dostupná v říjnu 2016. (Zdroj: tisková zpráva společnosti Acronis)
Intel Security, Kaspersky Lab a Europol představili nový projekt No More Ransom. V tuto chvíli se jedná především o informační portál, který ale nabízí i čtyři dešifrovací nástroje pro různé typy ransomwaru. (Zdroj: tisková zpráva společnosti Kaspersky Lab)
Studie Cisco 2016 Midyear Cybersecurity Report analyzuje především současnou situaci v oblasti ransomwaru. Podniky útočníkům dnes situaci usnadňují, v budoucnu však podle všeho musejí očekávat mnohem sofistikovanější útoky tohoto typu. Budoucí ransomware omezí např. komunikaci s řídicími servery, v infrastruktuře se maximálně tiše rozšíří, šifrování bude probíhat se snahou minimalizovat dopad na výkon systémů a až pak se zobrazí výzva k zaplacení. Studie dále upozorňuje na rostoucí zájem útočníků o servery Jboss v uvedeném období. (Zdroj: tisková zpráva společnosti Cisco)
Lenovo uvádí na trh 4 nové odolné podnikové notebooky z řady ThinkPad T (T460, T460s, T460p a T560). Co se týče zabezpečení, k dispozici je čtečka otisků prstů a Smart Card Reader s čipem Trusted Platform Module (TPM). (Zdroj: tisková zpráva společnosti Lenovo)
Axis představil nové fixní kopulové kamery Q3615-VE a Q3617-VE. Podle dodavatele jsou určeny především pro městský dohled a aplikace v dopravě, vládních budovách a kritických infrastrukturách. (Zdroj: tisková zpráva společnosti Axis Communication)
Na trh byla uvedena nová verze Barracuda NextGen Firewall F-Series (7.0). (Zdroj: tisková zpráva společnosti Gesto Communications, distributor Barracuda Networks pro ČR a Slovensko)
Psali jsme na ITBiz.cz
Na téma zabezpečení na ITBiz viz také:
Eset loni v ČR zvýšil tržby: Česká pobočka slovenské antivirové firmy Eset loni zvýšila příjmy o 5 % na 307 milionů Kč. Hlavní skupinou zákazníků jsou firemní klienti, domácnosti představují přibližně 30 % obratu společnosti.
NBÚ upozorňuje vládu na bílá místa v kybernetické bezpečnosti: Za problematickou úřad označuje mj. aktuální situaci, kdy řada správců kritické infrastruktury využívá služby externích dodavatelů.
