Co akvizice znamená pro bezpečnostní trh? Zranitelnosti a opravy: Qualcom/Android, Foxit, SQLite, Apache, Symantec. Nejzneužívanější chyby v MS Office. Nový Sparc S7 a podniková bezpečnost.
Následuje pravidelný bezpečnostní přehled vytvářený především podle webů ZDNet, CNet, The Register a HelpNet Security.
Proč Avast koupil AVG – spíše kvůli uživatelům než technologiím
Avast kupuje AVG za 1,3 miliard dolarů (cca 32 miliard Kč)
Poznámky a komentáře:
Avast koupil AVG – z toho alespoň vidíme, jaká z firem byla „větší“ (Avast přitom vstup na burzu odkládal, takže o hodnotě firmy šlo jen spekulovat).
Cena 25 dolarů za akcii veřejně obchodovatelného AVG byla oproti burzovní ceně navýšena o 33 %.
Kromě Avastu a AVG patří k dalším firmám, které mají obchodní model postavený na bezpečnostních produktech, jejichž základní verze je pro uživatele Windows zdarma a placené verze používají především malé firmy, ještě Avira. Všechny tři tyto firmy také nabízejí zabezpečení i pro Android.
Opět nějaká zpráva z dění v ČR (i když samozřejmě obě firmy cílí na jiné trhy, stále je můžeme považovat za „české“), která se dostala do hlavních titulků zahraničních serverů (mimochodem, předtím to byl únik dat z českého T-Mobile, viz ÚOOÚ zahájil správní řízení s T-Mobile kvůli odcizeným datům, T-Mobile je přesvědčený, že při krádeži dat klientů nepochybil).
Komentátoři se shodují, že jde o obchodní rozhodnutí, zákazníky a konsolidaci trhu – jinak Avast a AVG navzájem své technologie nepotřebují. Obě firmy dohromady budou mít software na 400 milionech koncových bodů („senzorů“), z toho 160 milionů budou mobilní telefony. Spojená firma vidí obchodní příležitost především v Internetu věcí. Pokud pomineme podnikový sektor, budoucnost bezpečnostních nástrojů na platformě Windows i v mobilních zařízeních je nejistá (stále více bezpečnostních technologií bude součástí OS), nicméně prostor je zde pro nové obchodní modely spojené třeba se sbíráním a prodejem uživatelských dat, jak loni zkoušela právě AVG (což je ale riskantní, když tito prodejci sami dodávají produkty prezentované jako nástroje pro ochranu soukromí).
Chyby a opravy
Šifrování celého disku v systému Android na hardwaru Qualcom (ale možná i jiných dodavatelů) lze prolomit hrubou silou. Princip popsal bezpečnostní výzkumník Gal Beniamini. Záplaty od Googlu a Qualcomu problém řeší, nicméně distribuce oprav v Androidu je notorickým problémem celého ekosystému.
Byly vydány opravy 12 kritických zranitelností ve čtečce PDF Foxit, řada z nich umožňovala spuštění kódu už při zobrazení příslušného souboru. Záplaty jsou určeny pro verzi pro Windows i Linux. Foxit dnes používá odhadem 400 milionů lidí.
Opravy byly vydány i pro databázi SQLite. Problém byl v práci s dočasnými soubory, chyba však byla zneužitelná pouze místně. Dočasné soubory se vytvářely v adresáři s nesprávně nastavenými oprávněními, důsledkem tedy mohl být hlavně únik dat. Kromě samotné databáze se problém týkal i všech produktů, které ji používají. (A že jich je: Adobe, Apple, Android, Dropbox, Firefox, Chrome, McAfee/Intel, Microsoft/Skype… SQLite je licencována jako public domain, takže použití kódu není ani omezeno žádnými dodatečnými požadavky.)
Bezpečnostní výzkumník Dawid Golunski objevil zranitelnost (CVE-2016-4971) v softwaru GNU wget. Zneužití ve formě proof-of-concept již bylo publikováno, stejně jako oprava. Zalátaná verze má číslo 1.18. Wget, nástroj pro stahování souborů, je součástí většiny linuxových distribucí.
Jak si útočníci vybírají zranitelnosti
Graham Chantry ze Sophosu se podíval na aktuálně používané způsoby útoků proti MS Office. Jako překvapení uvádí, že velmi oblíbená je kdovíproč jedna ze zranitelností z roku 2012 (CVE-2012-0158), nejstarší aktuálně zneužívaná zranitelnost pak byla opravena již v roce 2010 (CVE 2010-3333). Není moc jasné, proč útočníci volí zrovna tyto zranitelnosti a ne jiné (lze předpokládat, že pokud někdo neaktualizuje, bude mu stejně jako tyto opravy chybět i mnoho dalších).
Společnost Bitdefender upozorňuje na šířící se malware EasyDoc Converter.app (respektive Backdoor.MAC.Eleanor) pro Mac OS. Je prezentován jako nástroj pro převody souborů, nicméně plně ovládne počítač přes protokol Tor a učiní z něj součást botnetu. Útočník má přístup i k záznamům kamery nebo může např. spustit ransomware.
CSIRT varuje/oznamuje
Symantec vydal záplaty pro řadu kritických zranitelností v celkem 25 produktech Symantec a Norton. Některé ze zranitelností mohou být zneužity vzdáleným útočníkem ke spuštění libovolného kódu.
Poznámka: Tavis Ormandy z Google Project Zero označil problém za velmi vážný a doporučuje ihned aktualizovat domácím i podnikovým zákazníkům. Zneužití bylo možné bez další interakce uživatele už při zobrazení škodlivého URL, bezpečnostní software běží s nejvyššími oprávněními, zranitelnosti často byly ve výchozích konfiguracích dotčeného souboru atd. Ormandy a jeho kolegové už nalezli podobné chyby i v bezpečnostních produktech dalších dodavatelů (Comodo, Eset, Kaspersky i Fireeye…).
Apache uvolnil opravu chyby (CVE-2016-4979), která umožňovala obejít autentizaci TLS certifikátů. Zalátaná verze má číslo 2.4.23.
Ze světa firem
Společnost Oracle představila novou verzi svých procesorů, SPARC S7. Oracle mezi klíčovými inovacemi zmiňuje i zabezpečení. Přímo na úrovni hardwaru je řešena ochrana paměti (Silicon Secured Memory). Podpora pro šifrování, práce s šifrovacími klíči i funkcemi hash umožňuje plné šifrování dat, přičemž výkon systému se tím zpomalí o méně než 2 %. Bezpečnost je posílena i díky podpoře zabezpečeného bootování, ochraně obsahu, která brání neautorizovaným změnám systému, dále bylo vylepšeno i zabezpečení procesů spojených s distribucí aktualizací. (Zdroj: tisková zpráva společnosti Oracle)
Nejnovější rozšíření technologie Zipstream nabízí větší úsporu kapacity úložiště a zároveň má menší nároky na rychlost přenosu dat u řešení videodohledu, aniž by došlo ke zhoršení kvality přenášeného obrazu. Tato technologie je kompatibilní se standardem pro kompresi obrazu H.264. (Zdroj: tisková zpráva společnosti Axis Communications)
Yingmob je název pro skupinu čínských kyberzločinců stojících za malwarovou kampaní HummingBad. Skupina ovládá více než 85 miliónů zařízení a generuje z podvodných reklam příjmy kolem 300 000 dolarů měsíčně. V ČR je malware HummingBad aktivní na zařízeních více než 9 000 uživatelů. Výzkumníci Check Point měli k fungování skupiny přístup po 5 měsíců. (Zdroj: tisková zpráva společnosti Check Point)
Psali jsme na ITBiz.cz
Na téma zabezpečení na ITBiz viz také:
Bezpečnostní přehled: Proč útočníky láká zdravotnictví
5 let seriálu
Vážení čtenáři. Bezpečnostní přehled vycházející v této podobě na ITBiz.cz právě došel ke 250. dílu. Doufáme, že takto předtříděné a shromážděné informace jsou pro vás užitečné a šetří váš čas. Podobu tohoto přehledu budeme samozřejmě i nadále přizpůsobovat vašim preferencím.
