Bezpečnostní přehled: Intel vyčleňuje McAfee do samostatné firmy

Chování uživatelů a snímání mozkové aktivity. Metoda Swee32 umožňuje prý lámat šifry díky velkým datům. Kopie populárních mobilních aplikací s přidaným malwarem vznikají velmi rychle. Zranitelnosti a opravy: Fortinet, Cisco ASA, Google Nexus, WordPress…

Následuje pravidelný bezpečnostní přehled vytvářený především podle webů ZDNet, CNet, The Register a HelpNet Security.

McAfee bude opět samostatná firma

Intel převede svou bezpečnostní divizi (Intel Security, původně McAfee) do samostatné firmy vlastněné společně s investičním fondem TPG. Nová společnost ponese opět název McAfee. TPG bude mít v nové firmě 51 %, za tento podíl zaplatí Intelu 3,1 miliard dolarů v hotovosti, k tomu TPG slibuje miliardu investic do nové firmy. V roce 2010/2011 Intel za McAfee zaplatil 7,7 miliardy dolarů. To by znamenalo, že hodnota firmy/divize je dnes oceněna jako nižší než před 5 lety. Nicméně divize Intel Security za poslední čtvrtletí dosáhla tržeb 1,1 miliardy dolarů (meziroční růst o 11 %) a provozního zisku 182 milionů dolarů. Spekulace o transakci tohoto typu probíhaly už v několika posledních měsících s tím, že bezpečnostní technologie příliš nezapadají do zbývajícího portfolia Intelu (až na to, co lze integrovat do hardwaru).

Mozek nevidí bezpečnostní výstrahy

Studie Brigham Young University vede k závěru, že lidé v 90 % času ignorují bezpečnostní výstrahy softwaru. Je to kvůli tomu, že nejsou schopni dělat víc věcí najednou a i jednoduchá reakce snižuje produktivitu při provádění jiných úloh. Výzkum byl proveden spolu se snímáním mozkové aktivity dobrovolníků. 87 % účastníků ignorovalo varování, které se objevilo v době zadávání potvrzovacího kódu – což mohlo být např. varování prohlížeče/webového štítu před falešným webem. Ukazuje to na účinnost phishingu a na to, že uživatelé mají tendenci „neudělat nic“ – závěr zní, že ve výchozím nastavení by tedy rizikové akce měly být zakázány, samotné varování není účinné.

Malware a statistiky

25 % bezpečnostních incidentů v amerických finančních institucích je důsledkem ztracených/ukradených smartphonů nebo notebooků. Tvrdí to průzkum firmy Bitglass.

Studie Nokia Threat Intelligence Lab: Zaznamenán byl strmý nárůst vzorků mobilního malwaru, do poloviny roku 2016 se jejich počet meziročně téměř zdvojnásobil; 74 % tohoto malwaru cílilo na Android. Tři nejrozšířenější hrozby Uapush.A, Kasandra.B a Smstracker dohromady představují 47 % všech infekcí.
Ze sledovaných mobilních zařízení jich letos v dubnu poprvé bylo infikováno více než 1 %. Velice se zrychlil proces, kdy podvodníci vytvářejí infikované kopie populárních aplikací. V případě jedné hry se na neoficiálních webech ke stahování aplikací objevily infikované kopie pouhých několik hodin od publikace „čisté“ verze.

Statistiky Quick Heal uvádějí, že ve 2. čtvrtletí došlo k 200% nárůstu ransomwaru pro mobilní zařízení. Co se týče ransomwaru obecně, podle této analýzy inovovali v poslední době především tvůrci CryptXXX a Locky.

Zranitelnosti a opravy

Nová verze CMS WordPress 4.6.1 přináší opravu několika bezpečnostních zranitelností včetně kritických. Mezi 15 zalátanými chybami byly např. zranitelnosti umožňující průchod adresáři nebo cross-site scripting. Doporučuje se co nejrychlejší aktualizace.

Byl detekován nový malware cílící na Mac OS X: Mokes (Ekoms) funguje jako backdoor, keylogger, provádí i otisky obrazovek při zadávání hesel pomocí virtuální klávesnice, odposlouchává mikrofon a prozkoumává dokumenty v MS Office či vyměnitelná paměťová média. Malware lze dále modifikovat při komunikaci s řídicím serverem a jeho činnost specifikovat podrobněji. Mokes již dříve existoval ve verzích pro Windows a Linux, nová verze pro Mac OS X je údajně technicky nejpokročilejší.

Objevena byla zranitelnost v systémech FortiWAN společnosti Fortinet. Útoky mohou vést k úniku informací, umožňují cross-site scripting nebo vsunutí příkazů. Nicméně útočník už musí mít v systému nějaká práva, jde tedy de facto o eskalaci oprávnění. Nová verze FortiWAN 4.2.5 některé z popsaných problémů řeší, ale zřejmě ne vše. (Podle amerického CERTu byla zalátána chyba CVE-2016-4966, ale podle všeho přetrvávají CVE-2016-4965, CVE-2016-4967, CVE-2016-4968 a CVE-2016-4969)

Velké množství zařízení Cisco ASA je stále zranitelných pomocí exploitu, který byl zveřejněn v kauze Shadow Brokers (viz také: Bezpečnostní přehled: Shadow Group vs. Equation Group http://www.itbiz.cz/clanky/bezpecnostni-prehled-shadow-group-vs-equation-group). Honeypoty přitom ukazují, že pokusy o zneužití této zranitelnosti začaly krátce po jejím zveřejnění.
I když Cisco velmi rychle vydalo opravu, podle analytiků firmy Rapid7 z asi 50 000 sledovaných zařízení bylo aktualizováno jen 38 000. Zranitelná zařízení byla zjištěna ve finančních službách, zdravotnickém průmyslu, u telekomunikačních i IT firem a i u jedné vládní agentury. DDerek Abdine a Bob Rudis z Rapid7 ovšem dodávají, že ne každé neaktualizované zařízení mohou útočníci kvůli chybě ovládnout, záleží na konkrétní konfiguraci; i tak je ale otálení s nasazením záplaty představuje zbytečné riziko.

Kompromitována byla ruská internetová služba Rambler.ru a spolu s tím i 98 milionů účtů. Má jít tedy v řadě ohledů o rekordní incident tohoto typu. Hesla byla navíc uložena v podobě čistého textu. Ovšem – k incidentu mělo dojít v únoru 2012, v poslední době se s reporty incidentů starých několik let přímo roztrhl pytel.

Google vydal záplatu pro telefony Nexus 5X. Chyba, na kterou upozornili výzkumníci IBM X-Force, umožňovala útočníkům získat výpis paměti (včetně hesla) i z uzamčených telefonů. Šlo to pomocí rozhraní ADB a USB, tj. útočník samozřejmě musel mít k zařízení fyzický přístup. Telefon se pak připojil k PC přes USB a data by šlo získat pomocí příkazů v příkazovém řádku Android Debug Bridge, eventuálně při určitém nastavení telefonu by se dala použít i jen podvodná nabíječka (respektive teoreticky: útočník by tedy nemusel mít přístup ani přímo k mobilu, kdyby předtím dokázal dostat malware do PC používaného k práci se zamčeným zařízením).

Chyba v aktualizaci antiviru Sophos způsobovala problémy při spouštění Windows, protože program pokládal některé systémové soubory za potenciální ohrožení. Problém se dle Sophosu omezoval na některé konfigurace 32bitových verzí Windows 7 SP1.

Narozeninový paradox v 785 GB dat

Výzkumníci francouzského institutu INRIA tvrdí, že 64bitové šifry jako Blowfish nebo triple DES nejsou dostatečně bezpečné. Šifrování lze prolomit hrubou silou při sledováním velkých vzorků provozu. The Register uvádí, že útok zvaný Swee32 pracuje na základě tzv. narozeninového paradoxu. I když je to poněkud antiintuitivní, už v případě 23 lidí shromážděných v jedné místnosti existuje pravděpodobnost 50 %, že budou mít narozeniny ve stejný den. Zde oněch 23 lidí má odpovídat 785 GB dat. Potenciálně zranitelný je protokol TLS i OpenVPN. Řešením je přechod na 128bitové šifrování. Problém by měli opravit tvůrci protokolů/VPN a na druhé straně dodavatelé webových prohlížečů.

CSIRT varuje/oznamuje

Útočníci začali využívat pro šíření malwaru soubory s příponou PUB. Ty jsou určené pro nástroj Microsoft Publisher, který sice není příliš používaný, ale je součástí balíku MS Office a podporuje makra.

(Poznámka PH: uživatel stejně musí makra povolit, jaká je to pak výhoda pro útočníky? Soubory s makry v MS Wordu/Excelu v přílohách e-mailu přece nebývají blokovány na e-mailové bráně kvůli tomu, že mají makra…?)

Ze světa firem

28 % všech kybernetických útoků a 38 % cílených útoků zahrnovalo nebezpečnou aktivitu samotných zaměstnanců organizace. Zločinci stále častěji nejprve hledají informace, pomocí které zkompromitují zaměstnance společnosti, na kterou se chystají zaútočit. Poté vytipované osoby vydírají a nutí je předat jim firemní informace, informace o interních systémech nebo místo nich rozšířit spearphishingové útoky. (Zdroj: tisková zpráva společnosti Kaspersky Lab)

Byla zmonitorována aktivita skupiny Lurk. Tito podvodníci byli dopadeni začátkem léta, během své činnosti však stihli ukrást řadě ruským společnostem a bankám přes 45 milionů dolarů. Vedle toho skupina vyvíjela a pronajímala exploit kit Angler, který byl mnoho let nejmocnějším dostupným nástrojem tohoto typu. Exploit kit Angler vznikl v roce 2013 a využívali ho podvodníci šířící ransomware (CryptXXX, TeslaCrypt) i bankovní trojské koně (Neverquest). (Zdroj: tisková zpráva společnosti Kaspersky Lab)

Poznámka: Jak si již povšimli i jiní analytici, na začátku léta náhle kleslo využívání exploit kitu Angler a jeho pozici získaly další nástroje tohoto typu. Už předtím vyklidil pozice exploit kit Black Hole, rovněž v důsledku zatčení svého tvůrce. Dnes je tak neoblíbenější sadou pro zneužití (vesměs již opravených) zranitelností zřejmě Neutrino.

Téměř devět z deseti studentů středních a vysokých škol v ČR si chrání svůj desktop či notebook antivirem. Nejméně chráněným zařízením je podle průzkumu (Eset + Seznam.cz) naopak chytrý telefon, u kterého 49 % respondentů uvedlo, že v něm nemá nainstalovaný žádný antivirový produkt. (Zdroj: tisková zpráva společnosti Eset)

Podle statistik Esetu představoval malware Danger až 45 % všech škodlivých kampaní zaznamenaných v ČR na konci prázdnin. Danger (JS/Danger.ScriptAttachment) se šíří prostřednictvím příloh e-mailu, které obsahují škodlivý javascript. Danger funguje především jako downolader pro ransomware. Druhou nejrozšířenější hrozbou v ČR během srpna byl downloader Nemucod, na třetím místě byl Java/Adwind používaný podvodníky především k útokům na internetové bankovnictví. (Zdroj: tisková zpráva společnosti Eset)

60 % českých firem z kategorie velkých a středních plánuje v nejbližších dvou letech navyšovat investice do bezpečnosti IT. Ochota k investicím je v ČR podle průzkumu napříč střední Evropou vyšší než v sousedních zemích. Čeští IT manažeři hodnotí bezpečnost své firemní sítě s největší mírou sebevědomí. Více než polovina (54 %) z respondentů v ČR ale připustila, že jedinou metodou ověřování uživatelů jsou v jejich podniku hesla. (Zdroj: tisková zpráva společnosti Intel)

Brněnská bezpečnostní firma ThreatMark získala 50 tisíc eur na zdokonalení svého produktu. Uspěla v konkurenci mezi téměř dvěma tisíci žádostmi. ThreatMark je letos první a zatím jedinou českou firmou, které se podařilo dosáhnout na peníze z grantového schématu Evropské komise jménem SME Instrument. Výhodou bezpečnostního řešení ThreatMark má být mj. rychlá implementace – vše se nasazuje v podobě služby. (Zdroj: tisková zpráva Jihomoravského inovačního centra)