Co říkají čísla o vývoji zero day útoků? Chyba Badlock. Jak se sdílí informace o zranitelnostech? Objevena byla hromada chyb, mimo jiné v Androidu a v iOS, vydána záplava oprav.
Následuje pravidelný bezpečnostní přehled vytvářený především podle webů ZDNet, CNet, The Register a HelpNet Security.
USA stíhají v nepřítomnosti 7 íránských hackerů, kteří měli provádět např. útoky na americké banky. Akce byla podle amerických úřadů přímo zorganizována teheránským režimem.
Rovněž zpráva z USA: Medializovaný spor „FBI vs. Apple“ pokračuje. Objevují se informace, že k prolomení hesla telefonu asistence Appplu ani nemusí být nezbytná. Viz také: Kauza Apple vs. soud USA dále bobtná http://www.itbiz.cz/zpravicky/kauza-apple-vs-soud-usa-dale-bobtna
Google uvolnil BinDiff, svůj nástroj pro porovnávání binárních souborů, který má firma údajně nasazeni i interně. Bezpečnostní specialisté BinDiff využívají pro kontrolu oprav i analýzu malwaru. Software Google získal v roce 2011 spolu s akvizicí německé společností Zynamics. Tehdy se BinDiff prodával za více než 1 000 dolarů, cena licence před uvolněním softwaru byla 200 dolarů.
Proběhlo pravidelné klání Pwn2Own
Na každoroční hackerské soutěži Pwn2Own si autoři exploitů přišli na 460 000 dolarů. John Leyden na The Register spočítal, že Windows byly prolomeny celkem šestkrát, OS X pětkrát, Flash Player čtyřikrát, Safari třikrát, Microsoft Edge dvakrát a Chrome jednou. Hlavním sponzorem byla společnost Trend Micro, která od HP koupila TippingPoint, jednu z firem tradičně vykupujících bezpečnostní zranitelnosti. Nicméně HP (respektive HP Enterprise) finančně letos akci podpořila také.
Objevila se diskuse, zda Wassenaarské smlouvy nějak brání se na této akci účastnit lidem z EU (exploit lze prý chápat jako vývoz zbraní apod.).
Zranitelnosti a opravy: třikrát Android
Google vydal mimořádnou záplatu pro chybu v jádře Androidu. Zranitelnost CVE-2015-1805 se primárně týká linuxového jádra ve verzi 3.18. Problém spočívá v eskalace oprávnění, aplikace může spouštět kód na úrovni jádra. Distribuce záplaty závisí na jednotlivých dodavatelích zařízení/telekomunikačních operátorech. Dalším krokem Google je pochopitelně odstraňování aplikací, které problém zneužívají, z Google Play.
Loni objevenou chybu v knihovně Stagefright lze zneužít. Příslušný postup byl zveřejněn a zranitelné jsou tímto způsobem miliony (podle některých odhadů až 850 milionů) zařízení se systémem Android. Stačí navštívit podvodný web, kompromitace zařízení se provádí pomocí videosouboru. Útočník přitom dokáže obejít i obrannou techniku znáhodnění adresního prostoru ASLR.
Chybu CVE-2015-3864 Google opravil loni v říjnu, otázka však je, na kolika zařízeních tato aktualizace dnes chybí.
Podle firmy Dr.Web je v asi 40 modelech levnějších telefonů s Androidem ve firmwaru přítomen adware Gmobi, provádějící především shromažďování citlivých informací a doručování další reklamy. Stejně tak se prý nachází v celé řadě jinak legitimních aplikací na Google Play, a to proto, že ho jeho autoři přidávají do vývojových nástrojů pro Android. Mezi takto „upravenými“ aplikacemi byly údajně mj. Trend Micro Dr.Safety (bezplatná verze) nebo Asus WebStorage. Dodavatelé již zjednali nápravu.
…a jednou iOS
Matthew Green, profesor z Johns Hopkins University, uvádí že v šifrování iOS se nachází chyba, která umožňuje přístup ke zprávám v iMessages. Podrobnosti zatím nebyly publikovány, dokud Apple chybu neopraví.
Aktualizace: Chyba je již opravena, Apple vydal záplaty pro prakticky veškeré své produkty včetně OS X, AppleTV a watchOS. Aktuální verze iOS má číslo 9.3. Na úrovni iOS další záplaty látají mj. potenciální rizika se zpracováním formátu PDF, fontů a připojení zařízení do podvodných sítí Wi-Fi.
Chyba v antiviru
Řešení Symantec Endpoint Protection obsahovalo tři bezpečnostní zranitelnosti, uživatelům se doporučuje aktualizovat. Např. chyby XSS a SQL injection ve správcovské webové konzoli umožňovaly zvýšit práva v systému (nikoliv ale přístup zcela bez přihlášení). Třetí chyba umožňovala obejít omezení, které na chráněném zařízení blokuje spouštění podezřelých kódů. Verze SEP v12.1 a starší se doporučuje aktualizovat na 12.1 RU6 MP4, Symantec též radí omezit vzdálený přístup ke konzoli pro správu.
Další záplaty: Java a Cisco
Oracle vydal opravu kritické zranitelnosti v Javě (CVE-2016-0636). Chyba je zneužitelná už při návštěvě podvodného webu, i když to vyžaduje mít Javu povolenou v prohlížeči. I přesto, že problém se označuje za velmi závažný, útoky zatím zaznamenány nebyly.
Sadu záplat vydalo také Cisco. Zranitelné jsou produkty se softwarem IOS, IOS XE a Unified Communications Manager. Chyba na úrovni protokolu SIP je zneužitelná i vzdáleně pomocí zaslání podvodné zprávy, je proto třeba aktualizovat (jedinou alternativou je zakázat na zařízení protokol SIP).
Microsoft oznámil, že jeho program odměn za reportované bezpečnostní zranitelnosti se rozšířil i na aplikaci OneDrive.
Zero day hrozby v roce 2015
Nejvýznamnější bezpečnostní incidenty roku 2015 podle Trend Micro: seznamka Ashley Madison, společnost Hacking Team, americký úřad Office of Personal Management a zdravotní pojišťovna Anthem. Bylo zaznamenáno více než 100 zero day hrozeb, z nichž velkou část využívala kampaň Pawn Storm. Mezi exploit kity získal největší podíl Angler.
Zdroj: tisková zpráva společnosti Trend Micro
*Obdobná analýza Secunia: *Množství zero day zranitelností loni zůstalo zhruba na úrovni roku 2014. Celkem Secunia loni evidovala 16 081 bezpečnostních chyb v 2 484 produktech od 263 dodavatelů. 2 573 z těchto chyb nebylo opraveno v den zveřejnění informace. Secunia nicméně do kategorie zero day zahrnuje jen zranitelnosti, u nichž došlo k pokusům o zneužití nebo byl mechanismus zneužití publikován alespoň formou proof-of-concept. Pak počet zero day hrozeb vychází na 25, stejně jako předloni. Na Windows dále pokračoval pokles zranitelností operačního systému na úkor aplikací třetích stran. V 5 webových prohlížečích bylo loni objeveno přes 1 000 bezpečnostních chyb, opět víceméně stejně jako v roce 2014.
CSIRT varuje/oznamuje
Vývojáři Samby a Microsoftu pracují na přípravě záplat pro několik zranitelností týkajících se téměř všech verzí Windows a Samby. Tyto zranitelnosti byly souhrnně nazvány Badlock.
Další informace: Na chybu upozornil jeden z vývojářů Samby Stefan Metzmacher. Závažností se dle analytiků srovnává se zranitelností Heartbleed. Záplata by měla být uvolněna 12. dubna. Jak si glosátoři všímají, kolem zranitelnosti se podařilo vytvořit pěkné PR, má vlastní stránky, ba i logo… Podrobnosti známy nejsou, ale předpokládá se, že půjde o nějakou chybu na úrovni protokolu SMB; zřejmě už v jeho návrhu, proto se pak zranitelnost týká implementací jak v Sambě, tak i ve Windows.
Ze světa firem
Pouze 42 % dotazovaných profesionálů v oblasti kybernetické bezpečnosti využívá sdílených informací o hrozbách. Respondenti průzkumu uvádějí, že největšími bariérami pro sdílení informací o kybernetických hrozbách jsou firemní politiky (54 %), regulace v odvětví (24 %) a nedostatek informací (24 %). Při odpovědi na otázku, jaké typy dat o hrozbách jsou ochotni sdílet, uvedli respondenti chování malwaru (72 %), reputaci URL (58 %), reputaci externích IP adres (54 %), reputaci certifikátu (43 %) a reputaci souborů (37 %). (Zdroj: tisková zpráva společnosti Intel)
Podle analýzy McAfee Labs vzrostlo v posledním čtvrtletí roku 2015 zneužívání ransomwaru o 26 % oproti čtvrtletí předchozímu. (Zdroj: tisková zpráva společnosti Intel)
Průzkum společností Kaspersky Lab a B2B International ukázal, že pomocí DDoS útoků napadají počítačoví zločinci kromě zákaznických portálů a transakčních systémů i interní webové služby, operace nebo připojení. Zvláště náchylné k interním DDoS útokům byly podniky ve výrobní sféře. Čtvrtina z nich tvrdí, že kyberkriminálníci napadli její operační systém, a více než třetina si všimla změn na souborových serverech. Téměř každá pátá společnost zaznamenala napadení síťového připojení. (Zdroj: tisková zpráva společnosti Kaspersky Lab)
Nově schvalovaná evropská norma pro ochranu osobních údajů vstoupí v platnost na jaře 2018. Nové evropské obecné nařízení je ve stávající tuzemské legislativě ve velkém měřítku již obsaženo a uplatňováno. Norma ale přinese i změny: Podniky s více než 250 zaměstnanci nebo subjekty, jejichž hlavní činnost správce nebo zpracovatele spočívá ve zpracování osobních údajů (vztahuje se i na pouhá úložiště dat), budou povinny mít vlastního inspektora ochrany údajů. (Zdroj: tisková zpráva advokátní kanceláře Taylor Wessing Praha)
Psali jsme na ITBiz.cz
Na téma zabezpečení na ITBiz viz také:
Bezpečnostní přehled: Malware i pro iPhone bez jailbreakingu