Bezpečnostní přehled: Biometrickou kontrolu lze ošálit fotografií
Jak sledovat 3D tiskárnu. JavaScript stále oblíbenější metodou distribuce malwaru. Microsoft kritizován v souvislosti se záplatami za září. Nástup těžebního malwaru.
Následuje pravidelný bezpečnostní přehled vytvářený především podle webů ZDNet, CNet, The Register a HelpNet Security.
Jak ošidit biometrii
Výzkumníci z University of North Carolina dokázali pomocí softwaru generujícího virtuální realitu poměrně snadno ošálit biometrické systémy. U dobrovolníků na konferenci Usenix se přitom zeptali pouze na jména/zaměstnavatele. Z toho už stačilo najít na webu fotografie s dostatečným rozlišením, které se daly použít jako zdroj pro vytvoření 3D modelu. Vizualizační software simuloval jen několik věcí, jako jsou pohyby očí, i to ale stačilo ošidit biometrické ověřování v testovaných on-line obchodech. Testovány byly systémy pro rozpoznávání tváře Mobius, True Key, KeyLemon, BioID a 1U. Ošidit se nepodařilo pouze poslední z nich, kde ale zase měli problémy projít testem i skuteční lidé.
Sledování 3D tiskárny – hříčka nebo nová metoda průmyslové špionáže?
Vědci z University at Buffalo přišli s novým způsobem průmyslové špionáže, který tentokrát míří proti 3D tisku. Vedle 3D tiskárny položili telefon Nexus 5 se senzory – snímačem zvuku byl Qualcomm WCD9320, elektromagnetický signál pak zaznamenával Asahi Kasei 3D Magnetometer Sensor AK8963.
Pomocí záznamu a jeho analýzy pak výzkumníci dokázali s přesností na 94 % rekonstruovat objekt, který se vytvářel na 3D tiskárně. 80 % užitečné informace pocházelo z elektromagnetického signálu, konkrétně hlavně z toho, jak se pohybovaly motory ovládající trysku. I když hlava tiskárny vydává dost podobný zvuk bez ohledu na to, jakým směrem se zrovna pohybuje, i tato data se dají nějak využít. Přesnost rekonstrukce výrazně závisela na vzdálenosti mobilu od tiskárny – oněch 94 % platí pro 20 cm, při 40 cm je to už jen 66 %. Navíc smartphone musí být „nakalibrován“ na konkrétní model tiskárny.
Je tedy otázka, zda podobný postup je pro útočníky příliš užitečný, zda není jednodušší hacknout počítač komunikující s tiskárnou nebo i přímo tiskárnu (ve světě Internetu věcí se tiskárny pokládají za zranitelné místo mnohých podnikových infrastruktur). Při složité konstrukci ani přesnost 94 % rozhodně nestačí na to, aby útočník mohl získat model funkčního produktu. A když už se někde pohodí mobil, pak se jako metoda útoku přímo nabízí také využití jeho kamery. Nicméně i přes všechny tyto výhrady se o jeden ze způsobů potenciálně využitelných pro průmyslovou špionáž jednat může...
Soumrak webů bez https
Chrome začne od příštího roku (verze 56) označovat za rizikové všechny weby, které nepoužívají https (nemají certifikát) a přitom požadují zadávání hesel nebo informací pokládaných za citlivé. V dalších verzích Chrome hodlá Google svou politiku nadále zpřísňovat, až nakonec Chrome bude za nebezpečný označovat jakýkoliv web bez https.
Zranitelnosti a opravy
Čtyři zranitelnosti byly opraveny v open source hypervisoru Xen. Tři z nich umožňovaly, aby hostovaný systém ovládl ten hostitelský, jedna dovolovala podkladový systém z hostované vrstvy zhavarovat. Podobné problémy se řešily už v červenci (Bezpečnostní přehled: Autentizace přes SMS nestačí?). Takto se chovající hypervisory samozřejmě představují problém hlavně pro poskytovatele veřejných cloudových služeb, kdy škodlivá aplikace může tímto způsobem narušovat ty ostatní, ovládnout je nebo z nich krást data. Amazon nicméně oznámil, že jeho služba AWS není nijak ohrožena.
Zranitelnost CVE-2016-6662 v open source databázi MySQL umožňuje eskalaci uživatelských oprávnění a následně puštění libovolného kódu s právy roota. Zranitelnost se týká výchozího nastavení verzí MySQL 5.5, 5.6 a 5.7. Chyba je zneužitelná i vzdáleně, nicméně nějaká oprávnění musí mít útočník už předem. Na problém upozornil bezpečnostní výzkumník Dawid Golunski a Oracle již vydal opravu.
Perzistentní těžební malware
Útočníci zneužívají úložný systém Seagate Central NAS k instalaci softwaru Mal/Miner-C, který provádí těžbu digitální měny Monero (XMR). Malware se na NAS přímo nespouští, ale snaží se odtud infikovat další systémy. Problémem je, že NAS obsahuje veřejně přístupnou složku; tato funkce lze vypnout pouze tak, že se zcela zakáže přístup k systému přes internet. Útočníci do této složky umisťují skript, který vypadá jako složka Windows. Pokud uživatelé tuto „složku“ otevřou, nainstaluje se jim do systému příslušný těžební program. Výzkumníci společnosti Sophos uvádějí, že objevili více než 5 000 kompromitovaných systémů NAS po celém světě. Postižené podniky reportují opakovanou infekci, kdy se malware po odstranění objeví znovu – právě kvůli tomu, že skript přetrvává na serveru NAS.
Microsoft měl prý opravu vydat dříve
Zářijové opravy Microsoftu látají celou řadu zranitelností včetně kritických (základní informace viz: Záplaty: Microsoft, Apple, Adobe). V souvislosti s jednou z oprav (CVE-2016-3351) se objevila kritika Microsoftu; záplata měla být uvolněna mnohem dříve, Microsoft o problému věděl už od poloviny loňského roku, útočníci o ní možná věděli už v roce 2014. Oprava byla vydána ale až poté, co se objevilo masivní zneužívání, když se zranitelnost stala součástí exploit kitů a útočníci se pokoušeli milionům lidí podstrkovat především bankovní trojany. Kritika praví, že priority oprav mají být stanoveny jinak, u nízkoúrovňových chyb nelze spoléhat na to, že si jich útočníci zatím (zdánlivě?) nevšímají; mohou být zneužívány skrytě, v kombinaci s dalšími zranitelnostmi apod.
Zabezpečení podnikových cloudů
Průzkum Netskope opět ukazuje na přitažlivost ransomwaru pro současné útočníky: 44 % malwaru objeveného v podnikových cloudových aplikacích se snaží právě o distribuci ransonmwaru. Jako metoda se dnes používají nejčastěji spustitelné JavaScripty, makra v MS Office a podvodné soubory PDF. Podle téhož průzkumu je 56 % souborů infikovaných malwarem v rámci cloudových aplikací podnikem dále sdíleno, s dodavateli, zákazníky nebo zcela veřejně. Mimochodem, v podnikovém prostředí podle téhož průzkumu výrazně roste popularita pro aplikace pro sdílení/spolupráci Slack, čemuž bude brzy odpovídat i zájem podvodníků a pozornost by sem měly napřít i bezpečnostní týmy.
CSIRT varuje/oznamuje
Trojský kůň Mirai cílí na IoT zařízení, jako jsou routery, DVR, WebIP kamery běžící na Linuxu. Pro získání přístupu využívá služby SSH nebo Telnet.
Ze světa firem
Bezpečnostní tým Cisco Talos zastavil dvě hrozby, které pro napadení uživatelů využívaly podvržené internetové reklamy. Ty se šířily pomocí výměnných reklamních systémů a běžných webových stránek, na které je útočníci umísťovali. První z odhalených hrozeb byla pojmenována ShadowGate podle techniky domain shadowing. Tato technika umožňuje zneužít pro šíření škodlivého softwaru legitimní internetové domény, na kterých útočníci vytvoří své vlastní subdomény. Brána ShadowGate sloužila útočníkům jako nástroj k šíření exploit kitů Neutrino a Rig. (Zdroj: tisková zpráva společnosti Cisco)
Na trh přichází síťová kopulová PTZ kameru Axis Q6155-E s laserovým ostřením, jež podle dodavatele nabízí mnohem rychlejší a přesnější zaostřování. Doporučuje se pro městský a perimetrový dohled, kritickou infrastrukturu nebo hromadnou dopravu. (Zdroj: tisková zpráva společnosti Axis Communications)
Netgear uvádí novou bezpečnostní kameru Arlo Q Plus. Tento model je podle dodavatele určen hlavně pro malé a střední firmy. Oproti verzi Arlo Q nabízí ethernetový port. (Zdroj: tisková zpráva společnosti Netgear)
Představena byla nová verze Kaspersky Internet Security – multi-device. Řešení je dostupné i v češtině. Jednou z novinek je funkce Secure Conncetion, která má zajišťovat bezpečné spojení (šifrování přenášených dat) i při práci v nezabezpečených sítích Wi-Fi. Nástroje Software Updater a Software Cleaner upozorňují na zranitelnosti v nainstalovaných aplikacích třetích stran. (Zdroj: tisková zpráva společnosti Kaspersky Lab, podrobnosti zde)
Modifikace bankovního trojského koně Gugi umí obejít zabezpečení nového OS Android 6. Trojan dokáže obcházet bezpečnostní prvky blokující phishingové a ransomwarové útoky. Nutí uživatele k tomu, aby malwaru povolili např. zasahovat do aplikací v telefonu, zasílat a zobrazovat SMS a volat. Povolení překrývat aplikace umožňuje velmi účinný phishing. 93 % uživatelů napadených tímto malwarem se dosud nacházelo v Rusku. (Zdroj: tisková zpráva společnosti Kaspersky Lab )
Podvodníci propašovali na Google Play malware CallJam. Umí generovat podvodné telefonáty na prémiové linky a také zobrazovat obětem podvodné reklamy. Malware je ukryt uvnitř hry Gems Chest for Clash Royale, která byla nahraná na Google Play v květnu 2016. Od té doby si ji stáhly řádově stovky tisíc uživatelů. (Zdroj: tisková zpráva společnosti Check Point, viz také Telefony s Androidem napadá virus, který volá na prémiová čísla)
54 % ředitelů podnikového IT v Česku, uvedla, že ověření identity na firemních počítačích se realizuje pouze prostřednictvím hesel. „Aby bylo ověření bezpečné, doporučujeme vedle hesla zadávat minimálně ještě další metodu autentifikace uživatele, což podle výsledků průzkumu ve své praxi vyžaduje jen 44 % českých firem,“ uvádí Petr Ulvr ze společnosti Intel. (Zdroj: tisková zpráva společnosti Intel)
Rádiový systém Tetra, který používá městská policie Prahy, záchranná služba dopravní podnik i technická správa komunikací, je pode České pirátské strany nezabezpečený. Systém lze snadno odposlouchávat a možná v něm provádět i další manipulaci.
Demonstrační video
(Zdroj: tisková zpráva České pirátské strany)
Psali jsme na ITBiz.cz
Na téma zabezpečení na ITBiz viz také: Bezpečnostní přehled: Intel vyčleňuje McAfee do samostatné firmy
