Bezpečnostní přehled: Bloatware a ransomware
Kontejnery ve Firefoxu. Kolik se platí za reportované zranitelnosti. Obchodování s kompromitovanými servery. 10 nejdůležitějších bezpečnostních technologií podle Gartneru. IT manažeři v ČR oproti světu vnímají svou infrastrukturu jako méně zranitelnou.
Následuje pravidelný bezpečnostní přehled vytvářený především podle webů ZDNet, CNet, The Register a HelpNet Security.
Firefox a kontejnery
Vývojářský Firefox ve verzi 50 (Nightfly) obsahuje jako novou experimentální funkci kontejnery. V rámci jedné instance prohlížeče by mělo být možné více přihlášení (dva účty Gmailu, dva Twittery...). Z hlediska bezpečnosti se uvádí, že různé kontejnery mohou oddělit různě citlivé způsoby používání prohlížeče – soukromé, pracovní, on-line bankovnictví, e-shop atd. (kontejnery mohou v tuto chvíli vedle sebe existovat maximálně 4); banku lze otevřít v odděleném kontejneru neobsahujícím žádné další prohlížené weby. Pro každý kontejner se cookies či přihlášení uchovávají zvlášť. Historie, uložená hesla a záložky se naopak mezi kontejnery sdílejí. Otázka: dokáží se uživatelé orientovat, kdy jde o kontejnery a kdy o běžné, „neoddělené“ karty/panely? Mozilla funkci zkouší, ve stabilní verzi Firefoxu pro běžné uživatele zatím není.
Prokletý bloatware
Microsoft už v květnu uvolnil nástroj, který je avizován jako ochrana před bloatwarem. Nyní nabídku „obnovy systému do čisté kopie“ zkouší Microsoft implementovat i přímo jako součást Windows 10. Nástroje přidávané výrobci PC často nejenom zpomalují počítač a obtěžují uživatele (nabídkami koupit časově omezené verze antivirů apod.), ale bývají i přímo zdrojem bezpečnostních rizik. Viz následující zprávička a také nedávný bezpečnostní přehled, podle něhož byl rizikový bloatware zjištěn na všech testovaných noteboocích – HP, Lenovo, Acer, Asus i Dell.
Byla objevena zranitelnost v aktualizační službě Samsung Software Updater. Útočník může vložit do složky používané touto službou svůj DLL soubor a získat plnou kontrolu nad počítačem. Řešením je aktualizovat službu na verzi 2.2.7.24 nebo zakázat zápis do příslušné složky.
Jak se platí za zranitelnosti
Studie společnost Bugcrowd uvádí, že programy odměn za reportované bezpečnostní zranitelnosti se stále více rozšiřují i mimo svět IT/technologických firem. Stále více jsou takto ochotny platit banky, provozovatelé finančních služeb, e-shopů, ale i firmy z automobilového nebo zábavního průmyslu. Samozřejmě jde především o větší podniky. Rostou také odměny v průměru vyplácené za chybu, objevila se už i skupina lidí, kteří se legálním prodejem zranitelností dokážou živit, třebaže většina účastníků „bug bounty“ programů provozuje tuto činnost spíše jako koníček nebo pro vlastní PR.
Google oznámil, že za reportované bezpečnostní zranitelnosti bude v některých případech platit až 50 % více než dosud. Např. za exploity v TrustZone na procesorech ARM nebo pro Android Verified Boot lze získat až 50 000 dolarů (takový exploit ale dosud Googlu nikdo podle všeho nereportoval, alespoň ne v kompletní podobě).
Hackeři v Pentagonu
Programu Hack the Pentagon se zúčastnilo více než 1 400 zájemců. Odhaleno bylo přes 100 zranitelností, za nejkritičtější chyby se vyplácelo až 14 000 dolarů. Testy se ovšem týkaly spíše aplikací typu webových serverů, nikoliv vnitřních nejkritičtějších systémů instituce. Viz také: Pentagon pozval hackery - zjistili u něj 138 bezpečnostních děr.
Problémový e-shop Aceru
Acer přiznal, že od loňského května do letošního dubna byla na webu jeho e-shopu přístupná databáze zákazníků. K dispozici byly osobní údaje o zákaznících včetně adres a čísel platebních karet (nikoliv hesla nebo čísla sociálního pojištění). Acer varoval zákazníky, i když není jasné, jak velké množství údajů se reálně dostalo do rukou eventuálních útočníků. Podle dodatečného oznámení by se však problém neměl týkat zákazníků z regionu EMEA (Evropa, Blízký východ, Afrika).
CSIRT varuje/oznamuje
Dvě bezpečnostní zranitelnosti opravují záplaty pro redakční systém Drupal verze 7 a 8.
Ze světa firem
Avast představuje novou verzi svých vlajkových antivirových produktů – Nitro Update. Dodavatel zdůrazňuje zejména nízkou zátěž na systém, mj. i díky tomu, že část analýz hrozeb se přesouvá do cloudu. Technologie CyberCapture sází na izolaci neznámých souborů v odděleném prostředí a okamžitou automatickou analýzu nových hrozeb prostřednictvím navázání obousměrné komunikace s virovou laboratoří Avastu. Vylepšen měl být i speciální prohlížeč Avast SafeZone, webový štít WebShield a analýza domácí sítě, která především detekuje nejčastější zranitelnosti běžně používaných směrovačů. (Zdroj: tisková zpráva společnosti Avast)
Odhaleno bylo fórum, ve kterém kybernetičtí zločinci kupují a prodávají přístupy k hacknutým serverům za pouhých 6 dolarů. Obchod xDedic, který pravděpodobně ovládá rusky mluvící skupina, v současné době nabízí k prodeji více než 70 000 protokolů RDP (Remote Desktop Protocol). Mnoho serverů hostí nebo poskytuje přístup k oblíbeným uživatelským webům a službám. Některé mají software nainstalovaný pro direct mailing, účetnictví a aplikace Point-of-Sale (PoS). xDedic byl pravděpodobně spuštěn v průběhu roku 2014. Od poloviny následujícího roku jeho popularita značně rostla. V květnu 2016 už obsahoval na prodej celkem 70 624 serverů ze 173 zemí světa, které nabídlo 416 různých prodejců. (Zdroj: tisková zpráva společnosti Kaspersky Lab)
Kaspersky Lab představila řešení Kaspersky Embedded Systems Security na ochranu bankomatů a platebních terminálů (Point Of-Sale a Point-Of-Service). Ochranná aplikace je určena pro různé verze „embedded“ Windows (podporuje operační systém Windows XP i XP Embedded, Windows Emedded 8.0 Standard a Windows 10 IoT). Řešení funguje i na systému s 256 MB pamětí a 50 MB na disku, dle dodavatele jen minimálně zasahuje do systému, podporuje vzdálenou správu a mělo by bránit jak útokům vzdáleným, tak i těm přímým přes rozhraní USB. (Zdroj: tisková zpráva společnosti Kaspersky Lab)
Trend Micro uvádí nové bezplatné (i pro firmy) nástroje proti ransomwaru: Trend Micro Crypto-Ransomware File Decryptor Tool a Trend Micro Lock Screen Ransomware Tool. První z nich je určen pro obnovení souborů, druhý pro znovuzpřístupnění počítače, pokud malware zamkl systém (normální i nouzový režim). Ransomware se dnes šíří prostřednictvím nejpoužívanějším exploit kitů Angler a Nuclear. (Zdroj: tisková zpráva společnosti Trend Micro)
60 % zdrojů ransomwaru – webových stránek šířících tento typ infekce – neexistuje déle než jednu hodinu. Stále častějším cílem ransomwaru jsou dnes i státní instituce a sektor veřejných služeb včetně zdravotnictví. Ve zdravotnickém zařízení je obhajitelnější nákup léčebného přístroje než kvalitní ochrany proti počítačovým hrozbám. Jen v USA se loni s incidentem tohoto typu setkala více než polovina nemocnic. (Zdroj: tisková zpráva společnosti Trend Micro)
98 % IT manažerů uvedlo, že infrastrukturu ve své firmě nevnímají jako zranitelnou. Češi jsou v tomto výrazně optimističtější než zbytek Evropy. Vážného kybernetického útoku během příštích 90 dnů se obává pouze 5 % dotazovaných z ČR. Za nejčastější příčinu úniku dat jsou považováni nevyškolení zaměstnanci (79 %), zaměstnanci ztrácející mobilní zařízení (55 %) a nepoctiví zaměstnanci (52 %).(Zdroj: tisková zpráva společnosti VMware)
Uveden byl nástroj pro odstraňování malwaru Sophos Clean určený pro podnikový sektor. Využívá technologie, které loni Sophos získal při akvizici společnosti SurfRight. Aplikace dle dodavatele mj. dokáže nahradit infikované spouštěcí soubory Windows originálními bezpečnými verzemi. Nástroj se spouští bez instalace, malware ho tedy na rozdíl od klasického antiviru může obtížněji vypnout/znefunkčnit. (Zdroj: tisková zpráva společnosti Sophos)
Na trh přichází Cisco Tetration Analytics, nástroj poskytující přehled o datovém centru a analýzu jeho stavu v reálném čase. V oblasti zabezpečení nástroj sleduje např. dodržování pravidel a prověřování aplikací a podporuje přechod na bezpečnostní model založený na seznamu povolených entit (whitelist). (Zdroj: tisková zpráva společnosti Cisco)
Cisco zavádí globální stipendijní program v hodnotě 10 milionů dolarů a modernizuje své portfolio bezpečnostních certifikací. (Zdroj: tisková zpráva společnosti Cisco)
Axis představil novou produktovou řadu síťových videorekordérů Camera Station S20. Podle dodavatele jde o zařízení typu „vše v jednom“, ucelený systém pro videodohled až ve 24 kanálech, k němuž stačí pouze připojit kamery a monitor. (Zdroj: tisková zpráva společnosti Axis Communications)
10 nejdůležitějších technologií pro oblast informační bezpečnosti z hlediska dopadu na podniková oddělení bezpečnosti IT a jeho zaměstnance dle Gartneru. Nejdůležitější technologie pro tento rok:
Cloud Acess Security Brokers (CASB) – brokeři přístupu ke cloudovým službám
Endpoint Detection and Response (EDR) – detekce a reakce na útoky na koncových bodech
Nonsignature Approaches for Endpoint Prevention – prevence na koncových bodech nezaložená na signaturách
User and Entity Behavioral Analytics (UEBA) – behaviorální analytika uživatelů a entit
Microsegmentation and Flow Visibility – mikrosegmentace a vizualizace toků
Security Testing for DevOps / DevSecOps – bezpečnostní testování pro DevOps
Intelligence-Driven Security Operations Center (SOC) Orchestration Solutions – řízená instrumentace SOC
Remote Browser – vzdálený internetový prohlížeč
Deception – techniky oklamání
Pervasive Trust Services – služby všudypřítomné důvěry
(Zdroj: tisková zpráva společnosti Gartner)
Psali jsme na ITBiz.cz
Na téma zabezpečení na ITBiz viz také:
Bezpečnostní přehled: Symantec a Blue Coat, obří fúze v bezpečnostním průmyslu
