V letošním roce přibylo útoků DDoS. Jen za 1 % průniků mohou zranitelnosti zero day. Vývojáři linuxového jádra si mají ověřit, zda se jim v počítačích neusídlil rootkit. Následuje pravidelný čtvrteční bezpečnostní přehled.
Společnost Corero zveřejnila studii o největších DDoS útocích v letošním roce. Do čela žebříčku zařadila:
- akce související s kauzou WikiLeaks (Visa, MasterCard, PayPal)
- útok na Sony PlayStation Network
- akce proti CIA a SOCA (britská agentura pro boj s organizovaným zločinem)
- útok proti uživatelům publikačního systému WordPress
- útok proti burze v Hongkongu
Corero tvrdí, že obecně se v této oblasti letos míra rizik zvětšila, jak se zde kombinují akce prováděné pro peníze a útoky hacktivistů. Úspěšnost útoků připomíná až hru kočky s myší (což neznamená, že pachatelé nejsou posléze dopadeni). Co by firmy měly dělat pro snížení dopadů těchto útoků?
Společnost Corero v první řadě doporučuje vypracovat scénář/plán pro tyto případy. Řešení proti útoku DDoS by měly mít firmy instalovány v rámci své infrastruktury před aplikačními a databázovými servery. Tyto systémy by měly počínající útoky také automaticky zaznamenat a monitorovat. Speciálně chráněn by měl být DNS server; pokud jej vyřadí DDoS nebo jiný útok, je to de facto jako kdyby veškeré služby byly nefunkční (z pohledu zákazníků). Pro správnou volbu reakce na DDoS útok je také dobré znát zákazníky a vědět, jaké omezení služeb jim už způsobí těžkosti.
Zdroj: HelpNet Security
Sony, zdá se, opravdu provází smůla. Firma musela aktuálně zamknout ve svých sítích 93 000 účtů, protože u nich zjistila velké množství neautorizovaných přístupů. Postiženy jsou PlayStation Network i Sony Entertainment Network.
Zdroj: CNet, The Register
Aktuální vydání studie Microsoft Security Intelligence Report uvádí, že pouze 1 % exploitů mělo v 1. polovině roku 2011 povahu zneužití zero day. 99 % útoků využívalo dobře známých a již opravených zranitelností (ve velké většině byla záplata k dispozici již více než rok) nebo sociálního inženýrství. 45 % průniků mělo povahu sociálního inženýrství, respektive bylo založeno na nějaké interakci s uživatelem.
Více než 1/3 útoků pak zneužívala funkci automatického spuštění (Autorun). Microsoft již v únoru zveřejnil opravy nastavení, které chování této funkce měly změnit, a rizika tak snížit. Na Windows Vista a XP v tomto roce šíření malwaru tímto způsobem opravdu výrazně pokleslo (u 74 % u Vista, o 60 % u XP), Autorun ale stále představuje významný vektor.
Statistiky Microsoftu vycházejí ze sledování internetových služeb a 600 milionů počítačů ve 100 zemích světa. Pro zvýšení bezpečnosti kromě běžných doporučení (vzdělávat zaměstnance, instalovat záplaty…) Microsoft navrhuje přechod na novější a bezpečnější verze softwaru a zvážit provoz podnikových aplikací na platformě cloud computingu.
Microsoft toto úterý opravil kritické chybu v rozhraních NET Framework a Silverlight. Obě mohly být zneužity ke vzdálenému spuštění kódu už při zobrazení webové stránky, na níž byl umístěn příslušný podvodný obsah. Míra rizika závisela na tom, s jakými právy byl uživatel právě do systému přihlášen. Zranitelné byly jak klientské systémy, tak i MS Internet Information Server.
Opravy se dočkala i kritická chyba v Internet Exploreru (zranitelná byla i nejnovější verze MSIE 9). Také v tomto případě mohlo ke vzdálenému spuštění kódu dojít už při návštěvě podvodného webu; útočník získal v systému stejná práva jako aktuální uživatel.
Zdroj: HelpNet Security
O letošních říjnových záplatách Microsoftu se již na ITBiz psalo [zde] (http://www.itbiz.cz/zpravicky/microsoft-chysta-8-zaplat-kritickou-pro-internet-explorer).
Greg Kroah-Hartman a H Peter Anvin, vedoucí vývojáři linuxového jádra, se vracejí k nedávným útokům, při němž bylo kompromitováno několik serverů sloužících k údržbě a distribuci zdrojových kódů Linuxu. Vývojáři pracující na open source projektech LinuxFoundation.org, Linux.com, a Kernel.org byli vyzváni, aby si zkontrolovali, zda na počítačích nemají rootkity nebo jiný malware (např. spustit skenování pomocí programu chkrootkit). Mají si také obnovit šifrovací klíče, které používají při uploadu zdrojových kódů na servery projektů.
Weby LinuxFoundation.org a Kernel.org jsou po více než třítýdenním výpadku opět on-line, Linux.com by měl být znovu spuštěn v nejbližší době.
Zdroj: The Register
O kompromitaci těchto webů se na ITBiz psalo např. v článku Linux.com a další linuxové weby byly zřejmě kompromitovány.
Došlo k zásahu proti podvodníkům, kteří pracovali s botnetem Zeus. Pachatelé pocházeli z východní Evropy a zákazníky britských bank připravili o cca 2,8 milionu liber. Kriminální činnost se dotkla řady britských bank, např. HSBC, Royal Bank of Scotland, Barclays Bank a Lloyds TSB. Zatčeno bylo celkem 13 lidí, kteří jsou obviněni z defraudace, spiknutí za zločinných účelem, ale i praní špinavých peněz (tedy došlo i na zprostředkovatele – „mezky/mules“). Již před rokem proti provozovatelům botnetu Zeus udeřila např. americká a holandská policie.
Zdroj: ZDNet
Poznámka: Předpokládá se, že tvůrci botnetu Zeus žijí v Rusku nebo na Ukrajině. Program si lze ale snadno kupovat, pronajímat a navíc jeho zdrojový kód podle všeho svým tvůrcům unikl. Dnes s ním může v podsvětí pracovat zřejmě skoro každý. Nelze proto asi bohužel předpokládat, že současná, byť úspěšná akce bude mít z hlediska hrozeb bankovních trojanů větší dopad.
Němečtí hackeři ze skupiny Chaos Computer Club tvrdí, že objevili trojského koně, který mohl vzniknout na objednávku německých vládních agentur. Možná má sloužit policii pro odposlech chatů v programech instant messagingu nebo hovorů ve Skypu. Německé zákony takovou činnost povolují a podobný trojský kůň se ke sledování VoIP již několik let používá. Nově objevený a analyzovaný trojan R2D2 (0zapftis – údajně vztah k frázi, kterou používá mnichovský starosta při zahájení Okroberfestu) ale nabízí mnohem více možností, sám si stahuje aktualizace, zaznamenává stisky kláves, otisky obrazovky, může instalovat libovolné další programy (taková zadní vrátka už německá police ovšem jen tak používat přirozeně nesmí) a kromě Skypu sleduje i programy pro rychlé zasílání zpráv, kameru a mikrofon.
Německá vláda se k tomuto malwaru ale nehlásí a pro spojení neexistuje žádný důkaz. Autorem trojana může být v podstatě kdokoliv. Mimochodem R2D2 prý nemá být ani moc dobře napsaný.
Antivirové firmy již malware R2D2 zařazují do svých definic. V éře po červu Stuxnet by bylo nejspíš tržní sebevraždou, kdyby se komerční dodavatelé snažili být vůči malwaru vládního původu „slepí“.
Zdroj: The Register, CNet