Umělá inteligence a strojové učení v bezpečnosti. Nejrozšířenější škodlivé kódy v ČR i ve světě. Trh se zabezpečením aplikací, vývoj spamu i phishingu. Konec ransomwaru TeslaCrypt. Zranitelnosti a opravy: Google Chrome, Cisco ASA, Apple OS X, antivirus Symantec…
Následuje pravidelný bezpečnostní přehled vytvářený především podle webů ZDNet, CNet, The Register a HelpNet Security.
TeslaCrypt končí
Eset nabízí zdarma ke stažení nástroj, který umožňuje dešifrovat soubory znepřístupněné ransomwarem TeslaCrypt ve verzích 3 a 4. Podle Esetu poskytli původně univerzální dešifrovací klíč sami provozovatelé botnetu, když se současně rozhodli ukončit veškeré aktivity. („…jeden z analytiků společnosti ESET anonymně kontaktoval útočníky přes oficiální kanál určený obětem TeslaCrypt a požádal o univerzální dešifrovací klíč. Žádost byla překvapivě kladně vyřízena,“ praví doslova tisková zpráva společnosti Eset.)
Nedávno se Kaspersky Lab podařilo prolimit šifrování Cryptxxx, čili ke svým datům se bez placení výkupného mohou dostat oběti dvou dnes zřejmě vůbec nejrozšířenějších typů ransomwaru.
Další uplatnění pro IBM Watson
IBM oznámila, že svůj systém umělé inteligence/strojového učení Watson zkusí nasadit i pro analýzu dat z oblasti IT bezpečnosti, především nestrukturovaných dat, která jinak pro bezpečnostní analýzu nejsou příliš využívána. Na projektu se jako partneři podílí i 8 univerzit v USA a Kanadě. Jako vstupní data budou použity hlavně kolekce shromážděné v divizi IBM X-Force.
Watson by měl zpracování dat o bezpečnostních incidentech především zrychlit a umožnit podnikům na událost zareagovat dříve.
Rychlá forenzní analýza
Podobný cíl mají i technologie oznámené Fujitsu Laboratories. Fujitsu představila nový nástroj pro forenzní analýzu, který dokáže potřebná data o situaci shromáždit a analyzovat velmi rychle. Další výhodou má být, že systém má z dat dokázat vyextrahovat „celkový obraz“, není třeba analyzovat veškerá data ze síťových prvků, záznamy protokolů ani monitorovat stav všech koncových zařízení. Rozsáhlá automatizace umožňuje, aby o reakci na událost bezprostředně rozhodovali nejen bezpečnostní odborníci, ale i další lidé z vedení firmy. Finální verze příslušné služby by měla být na trhu nabízena ještě v tomto roce.
Tržní prognóza
Podle prognózy MarketsandMarkets se trh se zabezpečením aplikací zvýší z letošních 2,24 miliard dolarů na 6,77 v roce 2021 – což odpovídá průměrnému meziročnímu růstu 25 %. Za hlavní nástroj pro hledání zranitelností zpráva označuje hybridní analýzu (kombinace statických a dynamických přístupů). Pro lepší představu, o jaké nástroje se vlastně jedná: Studie má za hlavní dodavatele aplikační bezpečnosti firmy IBM, Hewlett Packard Enterprise, WhiteHat Security, Veracode, Checkmarx, Qualys, Rapid7, Trustwave, Acunetix a Cigital.
Zranitelnosti a opravy
Společnost FireEye upozorňuje, že útoky proti zranitelnost při zpracování formátu Flash pokračují (o opravě viz předcházející bezpečnostní přehled). Aktuálně se používá hlavně metoda, při níž se škodlivý objekt Flash vkládá do dokumentů ve formátu MS Office.
Google vydal květnové záplaty pro Chrome 50, aktualizovaná verze má číslo 50.0.2661.102. Opravené kritické zranitelnosti umožňovaly obejít DOM, nebo šlo o chyby v enginu pro zpracování javascriptu V8 a v jádru prohlížeče Blink odvozeném od WebKitu (buffer overflow). Objevitelům chyb Google tentokrát vyplatil přes 20 000 dolarů, z toho Polák Mariusz Mlynski získal za report dvou kritických chyb 15 000 dolarů. Na ZDNet spočítali, že od roku 2010 už Google takto za zabezpečení prohlížeče Chrome vydal přes 2 miliony dolarů.
Apple vydal aktualizace pro OS X 10.11.5 El Capitan. Mj. je opraveno 67 bezpečnostních chyb, některé z nich (OpenGL, porušení paměti v QuickTime) umožňovaly vzdálené spuštění kódu. Oprav se dočkal i prohlížeč Safari (především kritické chyby v jádře WebKit, zalátaná verze má číslo 9.1.1) a iTunes.
Cisco uvolnilo záplaty pro Adaptive Security Appliances (cca firewally). Opraveny byly zranitelnosti CVE-2016-1379 a CVE-2016-1385, z nichž první je zneužitelná vzdáleně a hodnocena jako kritická. Opravená verze Symantec Anti-Virus Engine má číslo v20151.1.1.4.
Tavis Ormandy z Google Project Zero upozornil na chybu v bezpečnostních produktech Symantecu pro zabezpečení koncových bodů. Oznámení bylo pozdrženo do chvíle, kdy Symantec vydal a zákazníkům automaticky distribuoval opravu. Pokusy o zneužití dosud zaznamenány nebyly.
Aktualizace drhne i ve firmách
Studie Duo Security: na čtvrtině počítačů s Windows běží staré, již nepodporované verze Internet Exploreru. Neaktualizované verze Flash najdeme na 60 % počítačů, Javy až na 72 %. Přitom jde o data od asi 2 milionů zákazníků Duo Security, tj. firemní sektor. Co se týče prohlížečů podle míry jejich aktualizace, nejlépe z průzkumu vyšel Chrome.
CSIRT varuje/informuje
Bylo nalezeno několik zranitelností v zařízeních Aruba AP, IAP a AMP. Část těchto zranitelností byla záplatována již v dubnu, část až nyní.
Ze světa firem
Téměř třetina (30 %) IT manažerů s rozhodovací pravomocí a téměř čtvrtina kancelářských pracovníků (23 %) z Evropy a dalších zemí EMEA věří, že výkonný ředitel CEO by měl zodpovídat za vážnější porušení ochrany dat. Zároveň ale čtvrtina (25 %) IT manažerů s rozhodovací pravomocí přiznává, že o porušení ochrany dat vedení neinformuje. 35 % dotazovaných IT manažerů označuje jako největší riziko pro firemní zabezpečení rychlejší vývoj v oblasti hrozeb než v oblasti ochrany proti nim. (Zdroj: průzkum společnosti VMware)
Synology uvedla nový NAS server DiskStation DS116. V oblasti bezpečnosti má být inovací dedikovaná jednotka pro hardwarové šifrování, která dle dodavatele zaručuje výrazně lepší rychlosti šifrovaných dat. (Zdroj: tisková zpráva společnosti Synology)
Průzkum SophosLabs: Ransomware a další útoky jsou stále více lokalizovány (včetně jazykové korektury) i jinak přizpůsobeny konkrétním zemím. Často se také některé země odfiltrují, podvodníci typicky raději neútočí v zemích, kde žijí a kde na ně policie „rovnou může“ (může jít ale i o akci vlád nebo o konspiraci, kdy cílem je naopak vzbudit dojem, že útok pochází z „vynechané“ země). Co se týče míry ohrožení hrozbami, Threat Exposure Rate (TER): Česká republika má hodnotu TER 7,3 %, čímž se v Evropě řadí k těm více ohroženým zemím. Podle této metodiky by z evropských zemí za ČR bylo jen Rumunsko, Chorvatsko a Srbsko. (Zdroj: tisková zpráva společnosti Sophos)
Útoky DDoS zasáhly síť O2, došlo i k výpadku služeb pevného připojení. Provozovatel uvádí, že útoky přicházely v souvislosti s on-line vysíláním MS v hokeji. (Zdroj: tisková zpráva společnosti O2)
Viz také: Výpadek internetu O2: Mohla za něj opatření proti hackerům
Dubnový žebříček nejrozšířenějších škodlivých kódů podle statistik Esetu. Oproti březnu výrazně stouplo rozšíření škodlivého červa Bundpil, který se šíří prostřednictvím vyměnitelných médií. Druhou nejčastější hrozbu představuje trojan Nemucod, třetí je javascript Danger.ScriptAttachment. Ten je ve světovém měřítku třetí, v České republice se pak o vůbec nejčastější hrozbu.
Top 5 hrozeb – celosvětově
-
Win32/Bundpil
-
JS/TrojanDownloader.Nemucod
-
JS/Danger.ScriptAttachment
-
Win32/Agent.XWT
-
HTML/ScrInject
Top 5 hrozeb – ČR
-
JS/Danger.ScriptAttachment
-
JS/TrojanDownloader.Nemucod
-
HTML/Refresh
-
VBA/TrojanDownloader.Agent.BBD
-
Win32/Bayrob
(Zdroj: tisková zpráva společnosti Eset)
63 % uživatelů pozorně nečte licenční podmínky nově instalovaných programů. Jeden z pěti dotázaných (20 %) si nikdy nečte ani zprávy, které v průběhu instalace obdrží. Lidé si nevšímají, jaká soukromá data dodavatelům zpřístupní, ani zda jim umožní instalaci dalších aplikací. (Zdroj: tisková zpráva společnosti Kaspersky Lab)
Přestože spamu od roku 2012 stále ubývá, počet e-mailů s nebezpečnou přílohou výrazně vzrostl. V prvním čtvrtletí 2016 byl trojnásobně vyšší než ve stejném období v roce 2015. Rostoucí tendenci má i výskyt ransomwaru šířeného pomocí škodlivých příloh e-mailů. (Zdroj: tisková zpráva společnosti Kaspersky Lab)
Představena byla nová dohledová kamera AirLive SmartCube 300W, podle dodavatele určena především pro pro majitele malých obchodů, franšíz a benzínek. (Zdroj: tisková zpráva společnosti AirLive)
Samsung rozšiřuje spolupráce s dánskou společností Ubiquitech na řešeních pro správu tisku. Hlavním cílem je zvýšit bezpečnost dokumentů. Řešení Ubiquitech identifikuje registrované uživatele a tisk nebo sdílení dokumentů umožňuje pouze autorizovaným osobám. (Zdroj: tisková zpráva společnosti Samsung)
Psali jsme na ITBiz.cz
Na téma zabezpečení na ITBiz viz také:
Tisíce zákazníků bezdrátových sítí napadl virus: Některé bezdrátové internetové sítě postavené na zařízeních firmy Ubiquiti napadl virus. Od minulého týdne vyřadil z provozu tisíce přípojek koncových zákazníků. Vyplývá to z informací bezpečnostního týmu CSIRT.CZ a poskytovatelů internetu.
