Polemika: Antiviry jsou k ničemu? Přibývá tržišť pro insidery. Top hrozby v ČR. Spamu je nejvíce za posledních 7 let. Ransomware znepřístupnil pokoje v rakouském hotelu. Malware na Google Play. Podíl kompromitovaných zařízení se liší podle města.
Následuje pravidelný bezpečnostní přehled vytvářený především podle webů ZDNet, CNet, The Register, SecurityWeek a HelpNet Security.
Ransomware a Windows 10 Enterprise
Jaký byl nejčastější ransomware v podnikovém prostředí, alespoň pokud se omezíme na koncové body s nejnovějším systémem Windows 10 Enterprise? Statisticky Microsoftu (leden 2016 – leden 2017) uvádějí na prvním místě Cerber, následuje Genasom, Locky až na třetím místě, poté Crtitroni a Troldesh; tato pětice dohromady obnáší necelé 2/3 případů. Cerber se od poloviny loňského roku stále více soustředil na uživatele MS Office 365, pro šíření se používalo především dokumentů s makry; šifrování poslední verze Cerberos se zatím nepodařilo prolomit. (Cílem studie Microsoftu bylo dokumentovat, že Windows Defender Advanced Threat Protection dokáže často systémy ochránit i v případě, že jiná bezpečnostní řešení selžou, správci pořádně neaktualizují apod.)
Bezpečnostní expert Brian Krebs tvrdí, že autorem je botneru Mirai je Paras Jha, který žije v New Yersey a vlastní společnost ProTraf Solutions – ta poskytuje právě řešení pro ochranu před útoky DDoS, což byla zatím hlavní činnost botnetu Mirai. Jiné analýzy připisují autorství osobě s jménem/přezdívkou Anna-Senpai, Krebs tvrdí, že Paras Jha a Anna-Senpai jsou osobou jedinou.
Antiviry prý vytvářejí další zranitelnou vrstvu
Jak uvádí The Register, bývalý vývojář Mozilly Robert O’Callahan se ostře pustil do dodavatelů antivirů. Podle něj tento typ softwaru bezpečnost naopak zhoršuje, přináší další chyby (viz např. co všechno v bezpečnostních produktech objevil Tavis Ormandy z Google Project Zero), zvyšuje složitost prostředí a rozšiřuje povrch, na který se dá útočit. Antiviry, říká O’Callahan, narušují bezpečnostní mechanismy ASLR (znáhodnění adresního prostoru) operačního systému i webových prohlížečů. Špatně napsaný a invazivní kód antivirů brání ve vylepšování bezpečnosti na jiných úrovních, vývojáři tráví čas, aby vůbec jejich produkty mohly fungovat spolu s antiviry. Bezpečnostní produkty komplikovaly instalaci bezpečnostních aktualizací Firefoxu. Jediný produkt, který O’Callahan vzal částečně na milost, byl Windows Defender, který Microsoft vyvíjí pod stejně přísnými standardy/metodikami jako svůj ostatní software.
Malware ve městě
WebRoot sestavil přehled amerických měst, které nejvíc ohrožuje malware. Takže Dettroitem kybernetické kriminality je Houston s více než 60 000 kompromitovanými zařízeními (počítají se PC, notebooky, tablety a smartphony, nikoliv např. domácí kamery nebo směrovače). Lze hned namítnout, že by mělo větší smysl vztahovat toto číslo k počtu obyvatel. Studie se namísto toho pokouší korelovat množství malwaru s hustotou osídlení ve městech, zde ale žádný vztah objeven nebyl. (Poznámka: Asi není divu, kolik malwaru přeskakuje třeba přes NFC v porovnání s metodami, kde na vzdálenosti dvou zařízení nezáleží.)
Při všech výhradách k podobným číslům by bylo určitě velmi zajímavé provést takový výzkum pro ČR.
Ochrana na úrovni dat zanedbávána
Průzkum 2017 Thales Data Threat Report: Firmy Thales a 451 Research uvádějí, že v roce 2017 zvyšuje náklady na zabezpečení 73 % organizací. V roce 2016 to bylo 58 %. Studie kritizuje, že většina investic ale míří na zajištění bezpečnosti na úrovni sítí a koncových bodů. Největší škody firmám přitom způsobují ztráty/úniky dat, nicméně do řešení fungujících na této úrovni (soubory, databáze…) směřuje stále málo prostředků. Možná interpretace výsledků tedy zní, že firmy sice zvyšují náklady na zabezpečení, ale postupují stále starými, neefektivními a neosvědčenými způsoby. Za prioritu je mnohdy navíc brána ani ne tak samotná bezpečnost, jako „mít splněno“, tedy docílit souladu s různými předpisy a regulacemi, mít razítko na to, že se používají best practices apod.
Další zjištění z průzkumu: 40 % respondentů používá pro produkční prostředí kontejnery Docker, 47 % uvádí, že bezpečnost je hlavní překážkou pro širší přijetí Dockeru.
Google spustil svou vlastní kořenovou certifikační autoritu a nad ní začal poskytovat Google Trust Services. Současně Google koupil certifikační autority GlobalSign R2 a R4.
Dark web pro insidery
Studie firem RedOwl a Intsights uvádí, že roste počet podzemních tržišť zaměřených na aktivity insiderů. Zde směňované informace slouží především pro obchodování s akciemi na základě interních informací, nicméně stejně tak se třeba prodává přístup k firemním systémům. Tržiště jsou kvůli utajení často uzavřená (fóra se navíc hostují v pečlivě volených zmeích, používají se speciální protokoly apod.), členství stojí peníze a je dostupné pouze pro toho, kdo prokáže, že má přístup k nějakým důvěrným informacím. Např. někdo vystupující jako správce banky zde nabízí, že dokáže v systému po týden udržet požadovaný malware.
Ze světa firem
Z letošního, již 10. vydání studie Cisco 2017 Annual Cybersecurity Report vyplývá, že téměř dvě třetiny všech odeslaných emailů na světě (zhruba 65 %) tvoří spam. Dostává se tak na rekordní hodnoty a jeho současný objem se blíží maximu z roku 2010. Každá 10. nevyžádaná zpráva navíc distribuuje malware nebo je spojena s phishingem.
55 % organizací používá bezpečnostní řešení více než 5 dodavatelů, 3 % organizací dokonce uvedly, že mají produkty od více než 50 dodavatelů.
Co se týče vývoje exploit kitů, mezi nejpoužívanější dříve patřily Angler, Nuclear, Neutrino a RIG, v listopadu 2016 však jediným aktivním byl RIG. Nově jsou mezi útočníky oblíbené např. sady Sundown, Sweet Orange a Magnitude.
Zdroj: tisková zpráva společnosti Cisco
Podrobnosti: Podíl spamu loni stoupl na 65 procent, nejvíc za sedm let
Eset zahajuje provoz nových center zaměřených na výzkum a vývoj. Tyto pobočky vznikají v Brně a slovenské Žilině.
„V České republice máme kromě obchodní a distribuční pobočky v Praze i pracoviště pro detekci kybernetických hrozeb. Část vývoje se nachází i na pobočce v Jablonci nad Nisou,“ uvádí technologický ředitel Esetu Juraj Malcho. Žilina představuje třetí centrum na Slovensku po Bratislavě a Košicích.
*Zdroj: tisková zpráva společnosti Eset *
Podrobnosti: Eset otevře vývojová centra v Brně a Žilině
Top 10 hrozeb v České republice za leden 2017:
Naprostá převaha škodlivého kódu Danger nad všemi ostatními internetovými hrozbami v Česku v letošním roce prozatím pominula. V lednu sice tento malware nadále představoval nejčetněji detekovanou hrozbu, jeho podíl ale klesl o více než 30 procentních bodů na 11 %.
-
JS/Danger.ScriptAttachment (11,05 %)
-
VBA/TrojanDownloader.Agent.CHO (5,03 %)
-
JS/ProxyChanger (4,36 %)
-
JS/TrojanDownloader.Nemucod (4,12 %)
-
JS/Kryptik.RE (3,38 %)
-
VBA/TrojanDownloader.Agent.CIY (2,55 %)
-
VBA/TrojanDownloader.Agent.CIQ (2,04 %)
-
Java/Adwind (2,01 %)
-
JS/TrojanDownloader.Iframe (1,73 %)
-
PowerShell/TrojanDownloader.Agent.DV (1,58 %)
Zdroj: statistiky Eset
Nová cloudová služba Barracuda Vulnerability Remediation Service má dokázat automaticky analyzovat provozované webové aplikace a provést příslušná nastavení konfigurace, práv a pravidel.
Zdroj: tisková zpráva společnosti Gesto Communications (distributor Barracuda Networks pro ČR a SR)
Avast vydal další tři dešifrovací nástroje pro oběti ransomwaru. Jde o HiddenTear, Jigsaw a Stampado/Philadelphia. Pro tento malware jsou už k dispozici i další dešifrovací utility, ty však nemusí fungovat vždy/proti novým verzím apod. Podle Avastu více alternativ vždy zvyšuje pravděpodobnost, že alespoň jeden z pokusů o obnovu nakonec uspěje.
Zdroj: Avast blog
V rakouském čtyřhvězdičkovém hotelu Romantik Seehotel Jägerwirt vyděrači prostřednictvím ransomwaru napadli počítače a následně zablokovali dveře hotelových pokojů. Přibližně 180 hostů jezerního alpského hotelu tak mohlo ze svých pokojů odejít, ale už se nemohli vrátit zpět. Vyděrači požadovali výpalné 1 500 euro v bitcoinech. Přestože hotel výkupné zaplatil, útočníci celou věc zopakovali ještě třikrát.
„Nešlo o zablokování zámků jako takových, ale o útok na počítač na recepci, takže pro zaměstnance v podstatě nebylo možné evidovat nové hosty a vydávat jim karty od pokojů,“ uvádí technický ředitel Avastu Ondřej Vlček.
Zdroj: Avast
Podvodné SMS zprávy se snaží vyvolat zdání, že odesílatelem je Alza.cz. Jsou rozesílány českým a slovenským spotřebitelům bez ohledu na to, zda se jedná o zákazníky Alzy. Zprávy nabízející nákup zdarma v hodnotě 500 Kč vyzývají ke stažení mobilní aplikace, která podle všeho funguje především jako trojan.
Zdroj: tisková zpráva společnosti Alza.cz
Objevena byla nová varianta mobilního malwaru HummingBad, která se ukrývala ve více než 20 aplikacích na Google Play. Aplikace infikované v rámci této kampaně byly stažené miliony uživatelů. Nová varianta malwaru se označuje HummingWhale; funguje tak, že vytváří v systému novou identitu v podobě virtuálního stroje a zde bez kontroly uživatele zobrazuje reklamy a kliká na ně. Tvůrci malwaru tímto způsobem dokázali obejít bezpečnostní mechanismy na Google Play.
Zdroj: tisková zpráva společnosti Check Point
Do vedení státního podniku Národní agentury pro komunikační a informační technologie (NAKIT) přišel specialista na bezpečnost IT Vladimír Rohel (bývalý ředitel Národního centra kybernetické bezpečnosti).
Zdroj: Národní agentura pro komunikační a informační technologie
Acronis varuje před ransomwarem Osiris. Jde o sedmou generace ransomwaru Locky, infikuje zařízení Windows, Mac a Android. Kromě toho přímo napadá také zálohovací systémy jako například Volume Shadow Copy Service (VSS), což zabraňuje uživatelům spustit obnovu systému z dat uložených na napadaném počítači. Typicky se Osiris šíří prostřednictvím spamů s předmětem „Invoice“ či „Order Confirmation“ a komprimovanou přílohou obsahující infikovaný skript.
Zdroj: tisková zpráva společnosti Acronis
Podrobnosti: Acronis varuje před ransomwarem Osiris
Psali jsme na ITBiz.cz
Na téma zabezpečení na ITBiz viz také
Hackeři získali z MZV 7000 dokumentů, včetně citlivých informací