Hacknutý automobil, rizika chytrých hodinek a nově také chytrých sejfů. Malware Potato Express se v Rusku podivně vetřel do šifrovacího softwaru. Zranitelnosti a opravy: Chrome, WordPress, hypervisor Xen, Stagefright na Androidu. Následuje pravidelný bezpečnostní přehled vytvářený především podle webů ZDNet, CNet, The Register a HelpNet Security.
Konečně přichází Windows 10, nové vlastnosti se týkají i bezpečnostních funkcí. První dojmy z nového OS: Windows 10 na vlastní kůži a na notebooku Toshiba
Problémy hodinek: na všech úrovních
Výzkumníci z HP uvádějí, že veškeré modely testovaných chytrých hodinek obsahují nějaké bezpečnostní zranitelnosti. Testovány byly hodinky s iOS i Androidem, včetně souvisejících ekosystémů aplikací a cloudových služeb. Problémem má být např. slabá politika v oblasti hesel (neblokuje se po neúspěšných pokusech), nedostatečné šifrování komunikace (SSL se používá, ale může jít o staré verze/krátké šifrovací klíče zdolatelné hrubou silou) nebo webové rozhraní při přístupu ke cloudu – zde může útočník zkoušet třeba známé triky spojené s resetem „zapomenutého“ hesla. Nedostatky se vyskytují i při aktualizaci firmwaru, kdy se opět používá nedostatečné šifrování, někdy scházejí i podpisy/certifikáty, takže lze namísto aktualizace zkoušet podsunout malware, např. při útocích man-in-the-middle. Míra rizik samozřejmě souvisí i s tím, jaké osobní údaje a další citlivé informace konkrétní chytré hodinky obsahují.
Nový Chrome verze 44.0.2403.89 pro Windows, Mac i Linux opravuje 43 bezpečnostních chyb, mezi nimi 12 kritických (řada z nich umožňuje např. útok buffer overflow). Za reportované zranitelnosti Google tentokrát vyplatil asi 40 000 dolarů.
U auta může útočník hýbat už i volantem
Značně medializovány byly i u nás zranitelnosti chytrých automobilů Chrysler (Jeep Cherokee). Útočník mohl v tomto případě ovládnout nejen pomocné systémy, ale i vlastní řízení – převodovku a brzdy, volant při couvání. Problém se údajně týká až 1,4 milionu vozů.
Na chybu upozornili Charlie Miller a Chris Valasek. Útočníkovi stačilo znát veřejnou IP adresu systému auta, při připojení pak chyběla žádost o autentizaci. Výrobce rychle vydal aktualizaci, kterou je ale třeba nainstalovat ručně přes USB, což řada uživatelů neudělá, i když se to bude asi provádět i u prodejců nebo v servisech. Následovalo proto také jednání s poskytovateli sítí, aby možné útoky byly blokovány na této úrovni. Chrysler nicméně dodává, že Millerovi a Valasekovi trvalo hacknutí několik měsíců a není známo, že by útok vzhledem k jeho obtížnosti někdo reálně prováděl.
„Řada zavedených odvětví, která se dosud nemusela zabývat bezpečností informačních technologií jako vážnou hrozbou, bude mít značně podfinancované bezpečnostní technologie, služby a procesy v oblasti IT,“ uvádí k incidentu např. tisková zpráva společnosti Dimension Data.
Viz také: Mohou autonomní auta zabíjet své řidiče?
Ve WordPressu byla objevena cross-site scripting zranitelnost, která umožňuje uživatelům s nižšími oprávněními ovládnout celý server. Opravená verze obsahuje i další aktualizace, její číslo je 4.2.3.
Analýza společnosti Forensiq tvrdí, že podvodné mobilní aplikace, které stahují bez vědomí uživatele reklamu a simulují na ní lidské interakce, připraví inzerenty ročně až o miliardu dolarů. Sledováno bylo asi 5 000 druhů tohoto typu malwaru; některé aplikace dokázaly stáhnout na zařízení denně až 2 GB reklamy.
Bezpečnostní výzkumník Robert Simmons uvolnil pod open source licencí skenovací framework PlagueScanner. Jedná se o rozhraní, které pomocí agentů sjednocuje antivirové motory Avast, BitDefender, Eset, Trend Micro, Microsoft (Windows Defender) a Clam. Produkt je určen pro ty, kdo chtějí takto skenovat soubory obsahující citlivé firemní informace, takže je nehodlají nechat analyzovat ve veřejných internetových službách kombinujících více motorů, ale preferují on-premise řešení.
Kde je USB, je i problém
Další věc, kterou lze dnes hacknout: chytré sejfy. Na Defconu, který se příští týden koná v Las Vegas, má být demonstrováno, jak ovládnout zařízení Brink CompuSafe Galileo, která se používají hlavně v maloobchodním prodejnách, fast foodech apod – jen v USA má být v provozu asi 14 000 těchto zařízení. U zařízení tohoto typu bývá rizikem už samotný fakt, že mají USB vstup (The Register prostě říká, že systém je USBed), k tomu se mohou přidávat i rizika zastaralých operačních systémů (embedded Windows XP apod.). Podle demonstrátorů ze společnosti Bishop Fox stačí přijít se speciální klíčenkou/diskem, zjistit, kolik je v zařízení peněz, asi za minutu trezor otevřít atd.
Samozřejmě pro zloděje stále zůstávají rizika, např. kamerové systémy, ty by mohl někdo narušit, ovšem pak postup nejspíš zase vyžaduje insidera.
Objevena byla nová zranitelnost v hypervisoru Xen. Chyba CVE-2015-5154 znamená, že hostovaná aplikace může získat přístup k hostitelskému systému. Jako možné řešení se uvádí zakázat funkci emulovaných jednotek CD-ROM.
CSIRT.CZ varuje
Mobilní telefony s Androidem ohrožuje chyba v nástroji Stagefright, který zajišťuje přehrávání videa. Pro provedení útoku stačí útočníkovi uživatelovo telefonní číslo, na které zašle speciální MMS zprávu. Problém spočívá především v tom, že aplikace Stagefright má téměř rootovská práva, takže jejím ovládnutím útočník prakticky získá kontrolu nad telefonem. Není zatím jasné, kdy bude k dispozici oprava a jak se bude na dotčená zařízení (mohlo by jít až o miliardu smartphonů) distribuovat.
Poznámka: Bližší informace nejsou známy, vlastní ukázka má být tento týden předvedena na Black Hatu v Las Vegas.
Ze světa firem
Gemalto zveřejňuje výsledky nejnovějšího průzkumu 2015 Data Security Confidence Index (DSCI). Průzkum probíhal v řadě zemí včetně ČR. 62 % českých manažerů odpovědných za IT bezpečnost by nesvěřily svá osobní data do „správy“ vlastní organizace. IT a bezpečnostní ředitelé z ČR patří mezi nejpesimističtější co do důvěry v bezpečnostní nástroje pro odhalování nových hrozeb – plných 84 % se nedomnívá, že by tato řešení byla letos účinnější než před rokem. Závěr studie: Více se soustředit na citlivá data, méně na perimetr – tak, aby data zůstala nějak chráněná i po neoprávněném průniku do sítě organizace.
Zdroj: tisková zpráva společnosti Gemalto
62 % majitelů společností a zaměstnanců po celém světě užívají k práci soukromá mobilní zařízení. Čím menší společnost, tím víc majitelé i zaměstnanci podceňují rizika související s BYOD.
Zdroj: tisková zpráva společnosti Kaspersky Lab
TrueCryptRussia.ru: zamotaný příběh
Malware Potato Express útočil na různé cíle především na Ukrajině. Útoky tohoto malwaru jsou vedené dosud nepoužívanými metodami. Pozoruhodná je zejména souvislost s šifrovacím softwarem TrueCrypt. Do ruské verze TrueCryptu útočníci vložili trojského koně, který jednak dokáže instalovat malware skupiny Potato, a také funguje jako plně vybavený špionážní modul. Ten dokáže působit v utajení: směřuje pouze na vybrané cíle a navíc se aktivuje pouze na počítačích dlouhodobých uživatelů aplikace TrueCrypt. Pouze na těchto počítačích prohledává podle zadaného algoritmu data a odesílá je na řídící servery.
Skrývat soubory malware za názvy odvozené od některého známého software je starý trik. Ale v daném případě experti společnosti Eset zjistili, že stránky TrueCryptRussia.ru slouží nejen k distribuci infikovaného šifrovacího softwaru TrueCrypt, ale také k hostování malwaru ze skupiny Potato – a dokonce fungují i jako řídící server pro „trojanizovanou“ verzi TrueCrypt.
Zdaleka ne veškerý software TrueCrypt ze zmíněné ruské stránky je ale infikovaný. „Trojanizovanou“ verzi nabídne server ke stažení pouze počítačům, které splňují specifická (zatím neodhalená) kritéria. Toto opatření ukazuje, že celá operace je řízena profesionály, kteří jdou po omezeném okruhu cílů.
Zdroj: tisková zpráva společnosti Eset
Psali jsme na ITBiz
Na téma zabezpečení na ITBiz viz také: