Mimořádná záplata Microsoftu pro ASP.Net, zranitelnost Wi-Fi routerů, pokračují spory o vztah mezi kódy Stuxnet a DuQu, útočníci se zaměří na virtuální měnu, ohroženy mohou být i systémy řídící železniční provoz. Následuje pravidelný čtvrteční bezpečnostní přehled.
Výzkumníci na berlínském Chaos Communication Congress upozornili na existenci zranitelnosti v ASP.Net, která útočníkovi umožňuje vyřadit pomocí speciálně upraveného požadavku server. Microsoft problém připustil, podle firmy nebyly ale zaznamenány probíhající útoky a problém lze obejít např. tím, že se na serveru nastaví maximální velikost pro požadavky přijímané přes protokol HTTP (nicméně i výchozí hodnota omezující počet proměnných v 1 požadavku na 500 by snad měla být dostatečná).
Na Silvestra Microsoft uvolnil i mimořádnou opravu, kterou popisuje bulletin zabezpečení MS11-100 (takže tím se počet záplat za rok mimochodem zaokrouhlil na kulaté číslo). Tato záplata současně řeší i některé další kritické chyby včetně možnosti eskalace práv. Je tedy určena nejen pro serverové edice Windows.
Zdroj: The Register, ZDNet, HelpNet
Závažným bezpečnostním problémem je nedávno objevená možnost obejít šifrování u WiFi routerů. Na rozdíl od předešlého problému se u této zero day zranitelnosti již objevily i pokusy o zneužití. Útočník může hrubou silou získat heslo pro přístup do bezdrátové sítě, změnit nastavení přístupového bodu, způsobit odmítnutí služby (nebo prostě tiše zdarma konzumovat jinak placenou službu). Na toto téma viz zde již články:
US-CERT: chyba ve WPS umožňuje snadno získat heslo z Wi-Fi routerů
Již minimálně dvě aplikace úspěšně využívají zranitelnost WPS u WiFi routerů
Neustále se píše o akcích Anonymous, tak něco pro změnu. Mezi převážně politicky motivované útoky patří i následující. Hackeři (skupina Group-XP), kteří se vydávají za obyvatele Saudské Arábie, zveřejnili čísla platebních karet asi 15 000 uživatelů z Izraele. Nabourat se jim podařilo několik databází, mezi kompromitovanými údaji jsou i jména, adresy, hesla… Původně byla oznámeno, že problém se týká až 400 000 karet. Útočníci vyzvali, aby lidé na kompromitované karty nakupovali věci typu domén nebo softwarových licencí. Jejich cílem je, aby se izraelské karty staly ve světě podobně těžko akceptovatelné, jako např. ty z Nigérie.
Zdroj: SecurityNewsDaily
Stefan Katzenbeisser, profesor na Technische Universität Darmstadt v Německu, tvrdí, že útoky na dostupnost služby se mohou týkat i počítačů, které řídí železniční provoz. Útok proti příslušnému „přepínání“ by sice nevyvolal vlakové havárie, ale zamrznutí systému. Vlaky by byly nejspíš zastaveny.
Systémy řídící vlaky jsou vesměs oddělené od Internetu, fungují ale bezdrátově, a proto jsou zranitelné útoky tohoto typu. Stávající systémy GSM-R jsou sice bezpečnější než klasické GSM, ale i zde existují rizika. Například při výměně šifrovacích klíčů na fyzických médiích hrozí, že média padnou do nepovolaných rukou. Stuxnet navíc ukázal, že malware pak prostřednictvím přenosných médií může účinně zasáhnout i systémy oddělené od Internetu… Katzenbeisser na toto téma vystoupil na nedávné hackerské konferenci v Berlíně.
Zdroj: The Economic Times
Fujitsu vyvinula pro japonskou vládu systém, který se snaží pojímat problém malwaru komplexněji než klasické bezpečnostní nástroje. Při detekci malwaru nový „antivirus“ pátrá po způsobech, jak se malware mohl na počítač dostat, najít původně kompromitovaný stroj i systémy, které mohl dále nakazit – a následně na tyto stroje instalovat kód, který infekci odstraní. Systém také shromažďuje informace o tvůrcích malwaru, zjišťuje např. řídicí servery botnetu (to ovšem provádějí i jiné nástroje), eventuálně může generovat data, které pak vyřadí z provozu řídicí systémy botnetu nebo se jej může pokusit i zavirovat. Samozřejmě se přitom mj. naráží na spoustu právních otázek – lze napadnout počítač šířící infekce? A co když je umístěn v zahraničí? Obecně o přínosnosti „dobrých virů“ panují pochybnosti.
Zdroj: The Register
Výzkumníci Kaspersky Lab tvrdí, že objevili další důkaz pro spojitost mezi tvůrci malwaru DuQu a Stuxnet. Varují, že v oběhu jsou navíc další škodlivé kódy tohoto typu.
O vztahu mezi DuQu a Stuxnet existují spory. Z posledních příspěvků na toto téma – analýza NSS Labs např. vedla k závěru, že mezi oběma kódy příbuznost existuje, může však být i následkem reverzního inženýrství. Kaspersky Lab nyní opět na základě analýzy ovladačů malwaru soudí, že oba kódy vznikly opravdu na stejné platformě. Vývoj začal v roce 2007, dokončen byl v roce 2010, možná proto, aby se kódy mohly vyhnout protiopatřením (proti staršímu malwaru na podobném principu). Příslušná platforma je prý něco jako lego, takže umožňuje efektivně skládat i mnoho dalších typů malwaru. Každopádně analýza platformy a použitých ovladačů prý ukazuje, že ze stejného zdroje by mohlo pocházet až pět rodin malwaru, který je dnes v oběhu.
Zdroj: The Register
Nová verze GFI LAN Guard umožňuje firemním administrátorům nasazovat kritické záplaty i do vypnutých strojů. Změny mají posílit bezpečnostní politiku prováděnou tak, aby odlehčovala síťový provoz během pracovní doby, a minimalizovala tak vliv na obchodní operace.
Zdroj: Tisková zpráva GFI
Společnost McAfee ve své prognóze o vývoji kybernetické kriminality v letošním roce (2012 Threat Predictions) předpovídá nárůst cílených útoků proti rozvodným sítím, především proti jejich SCADA systémům. Studie taktéž odhaduje vzrůstající množství útoků proti mobilnímu bankovnictví, další vývoj hacktivismu a jeho spojení s aktivitami ve fyzickém světě, hrátky s falešnými certifikáty, různé demonstrace kybernetické války. Zajímavý – protože jinak příliš neuváděný – je jiný z předpovídaných trendů: útoky proti virtuálním měnám/digitálním peněženkám/kreditům. Jsou už dost rozšířené a dají se dále převádět, přitom transakce s nimi často nebývají šifrované ani autorizované dodatečným kanálem. Bude pro útočníky lákavé zkusit získávat virtuální peníze (relativně snadno, přes odposlech, phishing apod.) a ty až pak přeměňovat za zboží či státní měny? (Poznámka: nabízí se napsat přeměňovat virtuální peníze za „skutečné peníze“, ale co je na nich vlastně skutečného?)
Zdroj: Tisková zpráva McAfee, ZDNet
O prognóze společnosti Eset na letošní rok viz. starší článek.
Na téma bezpečnosti zde viz také: Každý druhý vánoční e-mail byl letos spam, tvrdí studie AutoCont/Fortinet/Skyvera.