Byla poslední záplata pro Windows XP opravdu poslední? Další problémy kolem OpenID. Má cenu snažit se změnit způsob zobrazování adresy ve webovém prohlížeči? Proběhlo cvičení cvičení Cyber Europe 2014. Jak rychle záplatuje své systémy tuzemská státní správa? Následuje pravidelný bezpečnostní přehled vytvářený především podle webů ZDNet, CNet, The Register a HelpNet Security.
Microsoft vydal mimořádnou záplatu chyby v Internet Exploreru. Oproti očekávání byla záplata nakonec uvolněna i pro Windows XP, ačkoliv podpora tohoto systému již skončila (viz minulý bezpečnostní přehled). Uživatelům Windows XP se záplata nabízí i automaticky přes Windows Update. Adrienne Hall, ředitelka divize Microsoft Trustworthy Computing, ovšem dodala, že jde o výjimečný krok a uživatelé Windows XP nemohou počítat s tím, že podobný postup bude Microsoft opakovat, a proto nedoporučuje přechod na nový operační systém dále odkládat.
Bezpečnostní experti upozorňují na zranitelnost v protokolu OAuth/OpenID, respektive v konkrétních implementacích těchto standardů. OAuth 2.0 používají k přihlašování hlavní internetové služby, např. Google, Yahoo, Facebook a Microsoft.
Na problém jako první upozornil postgraduální student Wang Jing z Nanyang Technological University v Singapuru. Útočníci jej mohou potenciálně zneužít k přesměrování oběti na podvodné stránky, kde v adresním řádku stále zůstane matoucím způsobem URL stránky legitimní. Taktéž lze při přesměrování sebrat přihlašovací údaje k původně zamýšlenému cílovému webu. Postup zneužití demonstruje následující video na YouTube:
Útoky zatím zaznamenány nebyly a v porovnání s HeartBleed se problém pokládá za méně závažný.
Google v experimentální verzi prohlížeče Chrome (Canary) zkouší nezobrazovat v adresním řádku údaje předcházející doméně, tj. www (http:// už nezobrazuje ani standardní Chrome) ale ani další řetězce kromě samotného názvu domény druhé úrovně. Cílem je, aby uživatel lépe viděl na konec adresy a nemohl být tak snadno oklamán (ve stylu legitimniweb-dlouha-adresa.podvodnyweb.tld). Viz také zranitelnost popsaná výše. Apple má podobnou funkci v Safari pro iOS 7, kde je problém ještě závažnější kvůli velikosti adresního řádku na displejích mobilních zařízeních.
I když mezi zobrazeními v Canary lze překlikávat, uživatele nový způsob zobrazování mátl, do hlavní verze Chrome pro jejich odpor nebyl zařazen a budoucnost tohoto přístupu je nejistá. Ani v Googlu nejsou v názoru na příslušnou funkci jednotní. Subjektivně: člověk chce mít možnost adresu z řádku jednoduše kopírovat, ale hlavně si už na určitou podobu zvykl, i smysluplné změny jsou rušivé.
Jak upozorňují bezpečnostní výzkumníci Facebooku, po nějaké době byl opět hromadně zaznamenán malware Sefnit. Vytváří botnet, který svým provozovatelům vydělává především těžbou bitcoinů a clickjackingem. Loni tento malware popsali především výzkumníci Microsoftu a upozorňovali, že používá službu Tor. To už nyní neplatí, nyní infikované počítače s řídicími servery komunikují přímo (přes zabezpečené spojení Plink).
Ve FreeBSD byla bjevena chyba připomínající problém Krvácejícího srdce (Heartbleed). Útočníci mohou v nezáplatovaných systémech získat oprávnění pomocí posílání speciálních paketů protokolu TCP. Systém FreeBSD se nachází v PlayStation, některých chytrých televizích, ale i přímo v bezpečnostních zařízeních (appliance). Ze známějších značek jde např. o CheckPoint, IronPort, Juniper, McAfee a Sophos.
Exploit by měl být obtížný, hlavní riziko ale zřejmě spočívá v tom, že FreeBSD se často nachází v zařízeních, kde o jeho existenci nikdo neví, nebo se tato zařízení alespoň nijak nezáplatují. To se týká hlavně domácích uživatelů, i když útok na zranitelnost ve většině případů způsobí spíše zhavarování jádra OS a nedostupnost služby než vlastní únik oprávnění.
AOL připustila možné narušení svých serverů. Útočníci se mohli dostat k e-mailovým adresám uživatelů včetně jejich dalších kontaktních údajů (fyzické adresy apod.). Hesla, odpovědi na bezpečnostní otázky nebo čísla platebních karet podle AOL nijak ohroženy nejsou. Obětem ovšem nyní hrozí personalizovanější spam…
Oracle uvádí novou službu pro zálohování databáze. Služba Oracle Database Backup Service je integrována s řešením Oracle Recovery Manager (RMAN), což zákazníkům umožňuje provádět zálohování i obnovu mezi cloudem a prostředím on-premise mj. pomocí příkazů, které znají z prostředí RMAN. Přenos dat při zálohování podporuje kompresi i paralelizaci. Součástí řešení je i šifrování na straně klienta, které umožňuje end-to-end zabezpečení dat.
Zdroj: tisková zpráva společnosti Oracle
Fortinet oznámil finanční výsledky za první čtvrtletí letošního roku. Celkový obrat firmy byl 187,6 milionů dolarů, což představuje meziroční nárůst 26 %.
Zdroj: tisková zpráva společnosti Fortinet
Společnost HP oznámila, že Evropská komise si zvolila řešení divize Enterprise Services pro koordinaci projektu tzv. CoCo (Confidential and Compliant) cloudu. CoCo Cloud má koncovým uživatelům poskytnout bezpečné prostředí, které nabídne datové úložiště a uživatelsky definovaná pravidla pro ukládání, sdílení a přístup k datům.
Zdroj: tisková zpráva společnosti HP
Nově zjištěný malware, útočící na zařízení s Androidem, využívá mechanismus pro řetězové šíření. Jde o techniku, která je u hrozeb pro PC běžná, ale na mobilních telefonech se jedná o novinku. Android/Samsapo.A. se šíří tak, že na všechny kontakty z napadeného zařízení rozešle SMS s textem typu „Je tohle Tvá fotka?” a odkazem, který však vede nikoli na fotografii uživatele, nýbrž na instalační balíček malwaru. Jedná se především o downloader stahující další programy, takže široké je i spektrum možných škodlivých aktivit.
Zdroj: tisková zpráva společnosti Eset
Na trh přichází nové bezpečnostní řešení pro virtualizaci – Kaspersky Security for Virtualization – Light Agent nabízející ochranu pro virtualizační platformy VMware, Citrix XenServer a Microsoft Hyper-V. Má jít o kompromis mezi bezpečnostními agenty a bezagentovým řešením, kdy oba tyto přístupy mají ve virtualizovaném prostředí své výhody i nevýhody. Kaspersky Lab bude nadále nabízet také řešení Kaspersky Security for Virtualization – Agentless, v současnosti dostupné pro VMware.
Zdroj: tisková zpráva společnosti Kaspersky Lab
Přes 200 organizací a více než 400 odborníků na ICT bezpečnost z 29 zemí včetně ČR se zúčastnilo cvičení Cyber Europe 2014. Cvičení Cyber Europe 2014 má tři fáze – technickou, operativní a politickou. Právě proběhlá fáze byla technická. Účastníci řešili reálné bezpečnostní problémy a analyzovali několik scénářů, které mohou mít vliv na důvěrnost, integritu a dostupnost citlivých informací nebo kritických infrastruktur. Cvičení organizovala Evropská agentura pro síťovou a informační bezpečnost (ENISA), ČR v něm zastupovaly týmy z CZ.NIC, Národního bezpečnostního úřadu, NIX.CZ, CESNET, CSIRT-MU, Policejní akademie ČR a společností Unicorn a Active24.
Zdroj: tisková zpráva sdružení Cesnet
Představena byla nová služba s Barracuda Threatglass. Jedná se o bezplatný on-line nástroj, díky němuž je možné prohlížet, sdílet a analyzovat informace o webových serverech obsahujících škodlivé kódy. Distributorem zařízení Barracuda Networks pro ČR a Slovensko je společnost Gesto Communications.
Zdroj: tisková zpráva společnosti Gesto Communications
CSIRT a CZ.NIC provedly test webů české státní správy na zranitelnost Heartbleed. Test se uskutečnil ve 2 vlnách, o zjištěné zranitelnosti byli provozovatelé vždy informováni. Posléze „…byla opravena většina ze sedmi zranitelných webů státní správy, takže nyní již touto zranitelností trpí pouze 2 z 369 webů státní správy, které máme v našem seznamu.“ CSIRT/CZ.NIC se hodlá nadále zaměřit i na testování webů státní správy z hlediska bezpečnosti publikačních (CMS) systémů.
Zdroj: blog sdružení CZ:NIC