Bezpečnostní přehled: Na Pwn2Own tentokrát padl i Chrome

Významnou událostí uplynulého týdne byly DDoS útoky i u nás. Zasáhly zpravodajské servery, banky, Seznam i mobilní operátory.

Český CSIRT (Computer Security Incident Response Team) vydal k situaci 2 tiskové zprávy. Jedna uvádí, že sdružení CZ.NIC je útok připravené: „Nepřetržitý provoz DNS je zajišťován pomocí soustavy sekundárních jmenných serverů. Ty jsou vedle dvou lokalit v České republice umístěny také v USA, Chile, Japonsku, Rakousku, Německu, Švédsku, Velké Británii.“

CZ.NIC vyvinul nástroj, který dokáže simulovat útok stejné intenzity, jako byly ty v minulém týdnu. V současnosti ho používá k testování vlastní infrastruktury, ale uvažuje se i o jeho nabídce dalším stranám.

Analýza samotného útoku: DDoS byl realizován SYN Flood s podvržením IP adresy. Nedá se proto jednoduše říct, kdo to má na svědomí (např. kde je geografický zdroj útoku).

Otázka může také znít: má vůbec smysl mluvit o útoku DDoS, nebo ve skutečnosti vycházel z jednoho místa (tedy DoS)? Viz komentář na ITBiz.

Objevily se první pokusy vyčíslit škody, které tímto způsobem vznikly. A co motivace útočníků? Kybernetické útoky v minulém týdnu neměly podle převažujícího názoru za cíl získat citlivá data/instalovat do napadených systémů malware. „O napadeních za účelem odcizení interních údajů se totiž ve více než 80 % neví ještě následující měsíc od jejich provedení,“ uvedl Martin Hanzal, výkonný ředitel společnosti SodatSW a člen pracovní skupiny NATO Industrial Advisory Group. „Tento typ útoků neznamená vážnou hrozbu získání nebo poškození uložených dat a informací v napadených systémech. Podobné útoky "pouze" omezují komfort a zvyky, které jsme si za poslední dobu osvojili a neradi se jich vzdáváme.“

Co se týče domácího dění v oblasti IT bezpečnosti, tak si řada médií smlsla i na kauze nabourání systému UniCredit Bank, byť podle všeho bez jiných než mediálních následků.

13. 3., druhé úterý v měsíci a tedy březnové záplaty Microsoftu. Vydáno 7 bulletinů zabezpečení, z toho 4 kritické. Jedna z kritických zranitelností se týká všech podporovaných verzí Windows, od XP SP3 po Windows 8 a RT i všech verzí Internet Exploreru; ke vzdálenému spuštění kódu zde stačí navštívit podvodný web. Kritický je rovněž problém se SilverLight (cca konkurence Flash), což zasahuje i platformu Mac OS X. Další dvě z kritických chyb se týkají nástroje Visio/Microsoft Office Filter Pack (Wolfgang Kandek, CTO bezpečnostní firmy Qualys, se v této souvislosti podivuje, proč tak zdůrazňovat zrovna takovýto problém) a serverového softwaru SharePoint (zde však už třeba mít nějaký přístup. tj. jde o eskalaci oprávnění).

Apple po delší době opravil chybu v AppStore. Problém se měl týkat krádeže oprávnění při přístupu přes WiFi (nedostatečně implementované šifrování a možnost únosu relace). Útočník pak mohl získat soukromé informace a na iOS systém oběti instalovat nežádoucí, tj. extrémně drahé aplikace (předpokládejme, že v centrálně spravovaném AppStore jinak nebyl malware). Na problém už loni v létě Apple upozornil Elie Bursztein, který je zaměstnán v Googlu, nicméně šlo údajně o jeho soukromý výzkum. Ukázka zneužití:

Proběhlo každoroční hackerské klání Pwn2Own na kanadské bezpečnostní konferenci CanSecWest. Hlavním sponzorem bylo HP, respektive koupená firma TippingPoint (již dlouho provozující program Zero Day Initiative, tj. platbu za reportované zranitelnosti); jen v hotovosti vyplatila HP úspěšným exploitérům 480 000 dolarů, navíc spolu s notebooky použitými při akci etc.

Zajímavý je snad pohled na předběžné ocenění eventuálních úspěšných exploitů. U „čistých“ prohlížečů byla cena samozřejmě stanovena výš než u těch s Javou nebo pluginy Adobe. Za nejhůře prolomitelný organizátoři pokládali Google Chrome na Windows 7 – zde se za úspěch nabízelo 100 000 dolarů.

Google přitom ještě před zahájením pravidelného klání opravil 10 zranitelností v prohlížeči Chrome. (Kritická nebyla žádná z nich, 6 mělo podle Google druhý nejzávažnější statut.) Chrome byl navíc jasně nejodolnější i v dosavadní historii soutěže. Na opačném konci žebříčku stál browser Safari, čemuž odpovídala i cena nabízena za exploit.

Výsledek samotné akce ovšem tyto odhady poněkud zpochybnil: Prolomit se letos totiž podařilo úplně vše. Hned několika úspěchů dosáhl tým francouzské bezpečnostní společnosti Vupen. Oněch výše zmíněných 100 000 dolarů za skalp Chrome pak připadlo expertům z MWR Labs. A stejně jako dodavatelé zbrojili těsně před soutěží, zareagovali i hned po ní. Google i Mozilla již vydali první záplaty demonstrovaných chyb.

Google souběžně na CanSecWest ještě organizoval soutěž Pwnium, ta je však zaměřena na samotný operační systém Chromium. Zde zadané podmínky úspěšného hacku naopak jako celek splněny nebyly.

Na téma podnikové IT bezpečnosti na ITBiz viz také: Podnikové sítě ohrožuje hlavně rizikové chování zaměstnanců.

Společnost CheckPoint tvrdí, že z hlediska typických poskytovatelů podnikových aplikací byly loni největším zdrojem hrozeb produkty Oracle, s odstupem následuje Apple a Microsoft, dále Adobe, Cisco a IBM. Asi nejméně zranitelností bylo za loňský rok odhaleno u produktů HP.

Společnost Zoner software nabízí majitelům www stránek zabezpečení SSL certifikátem. Výhodou nabídky má být cena. Certifikát GeoTrust True BusinessID EV lze při objednávce na 2 roky pořídit za 2 495 Kč (+ DPH)/rok.

Zdroj: tisková zpráva společnosti Zoner software

„Jsme svědky toho, že vývoj v oblasti pravidel pro cloud computing je velice nerovnoměrný,“ uvádí Robert Holleyman, prezident BSA. „Nekompatibilní regulace týkající se ochrany soukromí a bezpečnosti znemožňují pohyb dat přes hranice. Až příliš mnoho zemí na světě si chce uzurpovat části cloudu pro sebe. Kvůli tomu není možné těžit ze vzájemné spolupráce, z čehož by nakonec profitovali všichni.“

Zdroj: tisková zpráva organizace BSA

RSA, bezpečnostní divize EMC, představila tři nová řešení pro bezpečnostní operační centra (SOC, Security Operations Center) a nedávno uvedenou platformu RSA Security Analytics. Cílem je především pomoci bezpečnostním analytikům nastavovat priority a stanovit rizika i hodnotu aktiv napříč organizací.

Zdroj: tisková zpráva společnosti EMC

Eset prezentoval na veletrhu CeBIT své řešení Secure Authentication. Jde o bezpečnou mobilní dvoufaktorovou autentizaci pomocí jednorázového hesla, která pro bezpečné připojení k firemní síti využívá mobilní telefony koncových uživatelů. Secure Authentication funguje na zařízeních iPhone a Blackberry, telefonech s OS Android, Windows Phone 7 a 8, Windows Mobile a telefonech založených na J2ME. Řešení podporuje i ověřování na základě SMS zpráv.

Zdroj: tisková zpráva organizace Eset

Společnost Cisco zveřejnila výsledky studie Annual Security Report. Zdůrazňuje rizika legitimních, ale kompromitovaných webů či reklamních systémů. „Nejvíce bezpečnostních hrozeb se nenachází na pornografických stránkách, webech s ilegální nabídkou léků či hazardními hrami, ale na běžných legitimních webech s nejvyšší návštěvností, jako jsou vyhledávače, internetové obchody nebo sociální sítě. Konkrétně na webech online obchodů hrozí 21krát častěji a na vyhledávačích 27krát častěji setkání se škodlivým obsahem než na stránkách s nelegálním softwarem. Kliknutí na online inzerci znamená 182krát vyšší riziko zavlečení škodlivého malwaru než návštěva webů s pornografickým obsahem.“

Další vývoj zabezpečení Cisco spojuje především s internetem věcí. „Pro bezpečnostní experty tak začne být zásadní schopnost porozumět samotnému obsahu přenášených dat a nikoliv jen chránit koncová zařízení. Ochrana se tak přesune více k samotné síti.“

Zdroj: tisková zpráva organizace Cisco

Společnost BlackBerry bude při prověřování aplikací pro BlackBerry World používat specializovanou službu pro skenování aplikací od Trend Micro. Nové i stávající aplikace v internetovém obchodě BlackBerry World se budou kontrolovat prostřednictvím reputačních technologií (cloudová služba Trend Micro Mobile Application Reputation Service).

Zdroj: tisková zpráva organizace TrendMicro