Jak zajistit spolehlivý generátor náhodných čísel? Windows pro Internet věcí a zabezpečení. Obliba ElasticSearch láká i podvodníky. V ČR se ve srovnání se světem na IT bezpečnosti šetří. Hacktivisté i podvodníci se chystají na americké prezidentské volby.
Následuje pravidelný bezpečnostní přehled vytvářený především podle webů ZDNet, CNet, The Register a HelpNet Security.
Conficker jako hrozba pro podniky stále vede
CheckPoint vydal seznam 10 nejrozšířenějších rodin malwaru – celosvětově a z hlediska akcí cílených na organizace, nikoliv jednotlivé uživatele. Pořadí je následující:
-
Conficker
-
Sality
-
Cutwail
-
Neutrino EK
-
Gamarue
-
Agent
-
Pushdo
-
Alman
-
ZeroAccess
-
Fareit
První 3 rodiny zahrnují 40 % všech zaznamenaných útoků. Celkově se z aktuálního pořadí vyvozuje jako trend, že největší oblibu má dnes zapojovat ovládnuté počítače do botnetu a zneužívat je pro rozesílání spamu a útoky DDoS. Takto lze ovládnutý stroj zneužívat déle. Teprve exploit kit Neutrino na 4. místě je více spojen s ransomwarem – i když samotný základní malware obvykle obsahuje funkcionalitu schopnou stahovat další programy, takže původní vektor a konečná forma poškození jsou do jisté míry nezávislé.
Poznámka: Zajímavé přitom je, jak je Conficker už strašně starý, první verze se objevila v roce 2008.
Windows 10 pro IoT nevynucují aktualizace
Nová edice Windows 10 IoT Core Pro je určena pro OEM výrobce zařízení z kategorie internetu věcí. Výrobci si sami mohou nastavit, jakým způsobem budou zařízení získávat aktualizace. Simon Sharwood na webu The Register kritizuje, že službu Windows Server Update Services lze prostě vypnout; což nakonec může být zdůvodněno tím, že aktualizace někdy bez ptaní mění třeba politiky sdílení informací. Výsledkem však budou zařízení otevřená útokům. Když vidíme, jaký je dnes s vestavěnými zařízeními typu směrovačů problém (na rozdíl od PC nebo serveru se často prostě někam „postaví“ a dál jim už nikdo nevěnuje pozornost), nestálo by za to zrovna zde aktualizace prostě vynucovat?
ElasticSearch terčem útoků
Podvodníci se letos více zaměřují na servery ElasticSearch, které podniky se stále větší oblibou používají pro vyhledávání v podnikových informacích. Přispěla k tomu zejména dvojice chyb CVE-2015-5377 a CVE-2015-1427 objevená na počátku letošního roku, které obě umožňují vzdálené spuštění kódu. Výzkumníci firmy AlienVault uvádějí, že jakmile v rámci honeypotu nainstalovali ElasticSearch, rázem se zde objevili roboti – zejména fBots (DDoS-Boti) a iBots – kteří se pokusili server infikovat a udělat z něho součást botnetu. Spíše než s krádežemi informací jsou tyto kompromitované servery údajně zneužívány k útokům DDoS, protože na rozdíl od ovládaných klientských systémů mají k dispozici větší šířku pásma.
2016: Návrat hacktivismu, prezidentské volby v USA
Analýza Experian Data Breach Resolution pro rok 2016: Opět vzroste míra hacktivismu, kdy cílem bude především poškození dobré pověsti „nepřátelského subjektu“. Za tímto cílem budou zveřejňována kompromitovaná data; obětí budou ovšem i jednotlivci, zaměstnanci, obchodní partneři či zákazníci takto postižené organizace… Protože v roce 2016 se konají americké prezidentské volby, cílem pro hacktivisty budou i prezidentští kandidáti, jejich spolupracovníci, týmy apod. Přitom kampaně se dnes vyhrávají mj. právě zpracováním obrovského množství dat (viz i popisy, jakou hloubku cílení dokázala mít už předešlá Obamova kampaň), která jsou v systémech připojených on-line, což samozřejmě bude pro útočníky všeho druhu představovat obrovské lákadlo.
SOHO router Belkin N150 je zranitelný vůči útokům CSFR, vsunutí HTML/JavaScriptu i únosům relace. Navíc zde běží server služby Telnet, k němuž lze přistupovat pomocí výchozích přihlašovacích údajů (root/root). Kdokoliv se tím může snadno přihlásit k zařízení s veškerými oprávněními. Akce sice musí vycházet z místní sítě, k tomu v ní však vzdálenému útočníkovi stačí kompromitovat jiné zařízení a rovnou může získat kontrolu i nad směrovačem.
Novinky ze světa Chrome
Chrome 47 přináší opravy 41 zranitelností. Anonymní lovec bezpečnostních chyb si za reportování 3 zneužitelných děr v AppCache přišel na více než 30 000 dolarů. Celkem Google za zranitelnosti v předešlé verzi zaplatil přes 100 000 dolarů.
Google rovněž oznámil, že od příštího března přestane podporovat Chrome na 32bitových verzích Linuxu, tj. prohlížeč už nebude dále aktualizován (ale samozřejmě existují i plně open source podoby, takže i aktuální verzi si pro Lin32 půjde sestavit a využívat i automatizaci, jen se tím už nehodlá zabývat přímo Google).
Raspberry, generování klíčů a entropie
Raspberry Pi se spuštěným Debian Linuxem („Raspbian“) generuje potenciálně slabé klíče SSH. Důsledkem může být útok typu man-in-the-middle a útočník zachytí přihlašovací údaje pro přístup ke vzdálenému terminálu. Problém má být cca v tom, že po prvním spuštění se šifrovací klíče nevytvářejí s hardwarovou podporou. Výzkumníci v této souvislosti upozorňují na svět vestavěných systémů a internetu věcí, kdy systémy prý po uvedení do provozu nemají k dispozici „dostatek entropie“, aby mohly účinně generovat náhodná čísla jinak než s pomocí funkcí přímo vestavěných do hardwaru.
CSIRT varuje/oznamuje
Vývojáři Node.js, systému pro psaní vysoce škálovatelných internetových aplikací, uvolnili bezpečnostní záplatu opravující několik bezpečnostních zranitelností.
Objeveno bylo několik závažných zranitelností v zabezpečovacím systému Videofied od francouzské společnosti RSI Video Technologies. Při přenosu dat na server kvůli chybě v návrhu (šifrovací klíč lze odvodit ze sériového čísla přenášeného v nezašifrované podobě) hrozí zneužití typu man-in-the-middle. Útočník může podvrhnout či zmanipulovat alarmová hlášení nebo odposlouchávat datovou komunikaci ze zařízení včetně videí. (Zdroj: Národní centrum kybernetické bezpečnosti)
Poznámka: Lze např. dohledat, kdo vše v ČR tento systém nabízí. Dle dodavatelů je celosvětově nasazeno více než milion instalací.
Ze světa firem
60 % českých společností ovlivnil incident týkající se bezpečnosti jejich interních informací. Podle letošní studie Kaspersky Lab a B2B International jsou nejčastější příčinou ztráty dat zaměstnanci. Výzkum o informační bezpečnosti podniků probíhal mezi 5 500 IT odborníky z 26 zemí světa včetně ČR. 19 % uživatelů přiznalo, že alespoň jednou za rok ztratili mobilní zařízení s uloženými firemními daty. (Zdroj: tisková zpráva společnosti Kaspersky Lab)
Napadení DDoS zažilo po celém světě již 16 % a v ČR 9 % firem. U IT podniků tento podíl stoupl na 21 % společností po celém světě, 22 % u finančních služeb a 24 % u telekomunikačních organizací. (Zdroj: tisková zpráva společnosti Kaspersky Lab)
Operace, při níž spolupracovaly bezpečnostní orgány po celém světě v čele s FBI, Interpolem a Europolem, narušila infrastrukturu botnetu Dorkbot, včetně jeho řídících serverů v Asii, Evropě a Severní Americe. Došlo také k zabavení domén, čímž se narušila schopnost operátorů botnetu zneužívat počítače svých obětí. (Zdroj: tisková zpráva společnosti Eset)
Exekutorská komora varuje před podvodnými e-maily vyzývajícími k úhradě údajného dluhu. Kampaň tentokrát používá předmět „DRUHE UPOZORNENI NA NARIZENOU EXEKUCI“. Druhá kampaň obsahuje název Justičně exekutorská mafie, v těle fingovanou obsahuje chybovou hlášku o nezobrazitelnosti a škodlivý odkaz. (Zdroj. Exekutorská komora ČR)
Psali jsme na ITBiz
Na téma zabezpečení na ITBiz viz také: Platební systémy hotelů Hilton byly napadeny červem
Hackeři zaútočili na australský meteorologický úřad
Akce je údajně dílem čínských špionů. Meteorologický úřad vlastní jeden z nejvýkonnějších australských superpočítačů. Možná nebyl cílem sám o sobě, ale útočníci se přes něj chtěli dostat do systému australského ministerstva obrany.