Problémy v open source CMS systémech. Nejčastější způsob útoku na aplikace je SQL injection. Ransomware stále více cílí i na firmy. Prognózy vývoje internetu věcí, chytrých automobilů i nositelné elektroniky.
Následuje jubilejní 222. vydání pravidelného bezpečnostního přehledu, který je vytvářen především na základě informací z webů ZDNet, CNet, The Register a HelpNet Security.
Zranitelnosti redakčních systémů
Služba WP Motor poskytující hosting pro WordPress přiznala bezpečnostní narušení a vyzvala asi 30 000 zákazníků ke změně přihlašovacích údajů. Jedná se o jednu z nejrozšířenějších služeb tohoto typu s klienty v asi 120 zemích. Podrobnosti o incidentu publikovány nebyly.
V redakčním (CMS) systému Joomla byla záplatována kritická zranitelnost umožňující vzdálené spuštění kódu. Již dochází k pokusům o zneužití, kterých stále přibývá, alespoň dle informací z honeypotů společnosti Sucuri, která an problém upozornila jako první. Zajímavé je, že problém je starý asi 8 roků. The Register uvádí, že Joomla je pro útočníky stále vysoce atraktivním cílem, bez ohledu na to, že WordPress se dnes nasazuje častěji. Joomlu používá např. eBay, OSN, Barnes and Noble a Peugeot. Opravená verze CMS Joomla má číslo 3.4.6.
Jak to bude s bezpečností automobilů a nositelné elektroniky?
Divize Intel Security/McAfee Labs zveřejnila prognózu vývoje hrozeb na příští rok i odhad vývoje IT bezpečnosti do roku 2020. Co se týče příštího roku, zpráva mj. praví:
Ačkoli v zařízeních integrovaných do oblečení se ukládá relativně malé množství osobních informací, mohly by se terčem útoků stát i platformy pro tento typ elektroniky, neboť jejich prostřednictvím by se útočníci mohli dostat k chytrým telefonům, jimiž je tato elektronika ovládána.
Budeme svědky rozvoje ještě robustnějšího černého trhu s odcizenými osobně identifikovatelnými informacemi, uživatelskými jmény a hesly. Útočníci se stále cíleněji budou snažit odcizená data různě kombinovat a spojovat.
Výrobci IT zabezpečení a automobilky budou spolupracovat na vytvoření návodů, standardů a technických řešení, která dokáží ochránit potenciální místa útoku: např. jednotky pro přístup k motoru vozidla (ECU), řídící jednotky motoru a převodovky, řídící jednotky vyspělých asistenčních systémů, V2X receivery, USB, OBD II, aplikace typu remote link a přístup pro chytrý telefon.
(Zdroj: tisková zpráva společnosti Intel)
Ransomware stále větší hrozbou
Firma Heimdal Security uvádí, že v poslední době opět vzrostlo množství obětí ransomwaru TeslaCrypt. V minulosti je jednalo hlavně o problém koncových uživatelů, ale nyní útočníci stále více cílí i na evropské firmy. Častou metodou je infekce přílohou e-mailu, když phishingová zpráva tvrdí, že obsahuje fakturu po lhůtě splatnosti. Šifrování TeslaCrypt se přes veškerou snahu nepodařilo prolomit a hrozbu mají (např. na úrovni e-mailového serveru) problém detekovat i nejpoužívanější antiviry. Vyděrači obvykle požadují výpalné mezi 500 a 1 000 dolary v bitcoinech.
SQL injection hlavní příčinou incidentů
Průzkum Ponemon Institute ukazuje, že příčinou většiny bezpečnostních incidentů v podnicích byly v posledním roce zranitelnosti SQL injection (54 %), útoky pomocí cross-site scripting a cross site request forgery jsou reportovány mnohem méně často (23, respektive 18 % respondentů). 84 % podniků tvrdí, že prakticky nejsou schopné zabránit útokům na úrovni aplikací, 81 % uvádí, že v souvislosti s přechodem aplikací do cloudu se snížila jejich schopnost řídit aplikace a obecně i přehled nad vlastní infrastrukturou. B2B prostředí dnes kvůli konkurenčnímu tlaku vyžaduje velmi rychlé nasazování aplikací a zabezpečení se řeší až se zpožděním.
CSIRT varuje/oznamuje
Byl uvolněn proof-of-concept kód umožňující zneužití chyb v softwaru předinstalovaném na počítačích Dell, Lenovo a Toshiba. Ve všech těchto případech je software od výrobců spouštěn s maximálními oprávněními.
V produktech FireEye byla kritická chyba, která šla zneužít jen otevřením e-mailu nebo kliknutím uživatele na odkaz. Postižené produkty Network Security (NX), Email Security (EX), Malware Analysis (AX) a File Content Security (FX) jsou určené pro ochranu nikoliv jednotlivých koncových bodů, ale celých sítí.
Ze světa firem
I přes letošní vážné prolomení bezpečnosti, vyloupení databáze a její následné zveřejnění se kontroverzní záletnická aplikace Ashley Madison vyšvihla zpátky na počet uživatelů, který měla před útokem hackerů. (Zdroj: tisková zpráva společnosti AVG)
V průběhu roku 2015 řešení Kaspersky Lab denně zaznamenala 310 tisíc nových škodlivých souborů. To je o 15 tisíc méně než v předchozím roce. Poptávka po novém malwaru údajně dosáhla bodu nasycení. Analytici se domnívají, že hlavním důvodem je nákladnost programování nového malwaru. Podvodníci jsou efektivnější, když se např. snaží o zneužívání certifikátů/platných digitálních podpisů (i včetně koupě certifikátu – zaplacenému certifikátu pak bezpečnostní řešení často bez dalšího důvěřují).
Z dalších statistik: zvýšilo se množství ransomwaru cílícího na podniky. 41 % podnikových počítačů čelila lokálním hrozbám, jako jsou infikované USB disky nebo jiná vyměnitelná média. Mnohem většímu množství útoků byly vystaveny platební (PoS) terminály. (Zdroj: tisková zpráva společnosti Kaspersky Lab)
Poznámky: Zde by chtělo přesněji specifikovat, co je „nový malware“, když drtivá většina škodlivého kódu vzniká úpravami jiného škodlivého kódu. Též vše kolem certifikátů je určitě zajímavé: medializované kauzy se týkají spíše úniků certifikátů než jejich prodeje. (A nakolik s tím souvisí phishing, kdy si podvodníci zaplatí certifikát https?) Zajímavé je také cílení ransomwaru na podniky, když zde by se dalo čekat funkční zálohování dat. Navíc firma přece často vůbec nemá mechanismy, jak vyděračům zaplatit, i kdyby „chtěla“; tohle by stálo určitě za podrobnější rozbor. Téměř jistě platí nárůst útoků na PoS terminály, který dokládají i jiné studie.
Analytici Kaspersky Lab detekovali další útoky kyberšpionážní skupiny Sofacy, známé též jako Fancy Bear. Skupina je aktivní přinejmenším od roku 2008 a cílí především na vojenské a vládní organizace po celém světě, v poslední době např. na instituce USA a NATO. Sofacy používá při letošních útocích novou verzi svého USB implantátu, který umožní zkopírovat data z počítačů chráněných takzvanou air-gap metodou. Bylo zaznamenáno, že skupina použila minimálně pět zero day exploitů (MS Office, Java, Adobe Flash Player a Windows). Jedné se o útočníky hovořící rusky. (Zdroj: tisková zpráva společnosti Kaspersky Lab a další)
IBM otevírá platformu pro bezpečnostní analytická řešení IBM Security QRadar, která zákazníkům, obchodním partnerům a vývojářům pomůže vytvářet bezpečnostní aplikace na míru. IBM také představila virtuální tržiště specializované na zabezpečení IBM Security App Exchange. (Zdroj: tisková zpráva společnosti IBM)
Axis představuje dvě nové síťové bezpečnostní kamery P1435-E a P1435-LE s „bullet-style“ designem a HDTV rozlišením. Podle dodavatele jsou tyto kamery určeny pro obtížné světelné podmínky, video dohled na náměstích měst, nástupištích na nádražích, nákladových prostorech, letištních terminálech a v prodejních místech, kde prostory pro vystavení zboží jsou obklopeny velkými prosklenými plochami. (Zdroj: tisková zpráva společnosti Axis Communication)
Z předpovědí Check Point pro rok 2016: Doporučení: nasazovat řešení, která poskytují sandboxing na úrovni CPU. Vliv Internetu věcí se přeceňuje, nárůst je kontinuální, není důvod, proč by zrovna rok 2016 měl být v tomto ohledu přelomem. Nicméně např. výrazným trendem jsou nositelné technologie. Existuje celá řada obav spojených s únikem dat, ale chytré hodinky a apod. zařízení mohou být zneužity např. pro i zachycení videa a zvuku. (Zdroj: tisková zpráva společnosti Check Point Software Technologies)
V ČR byly zaznamenány útoky, které se snaží poměrně sofistikovanou formou vylákat od správců účtů hesla k firemním stránkám na Facebooku. Na firemní stránku na Facebooku zašle útočník zprávu, v níž tvrdí, že firma použila na své „zdi“ fotografii, která porušuje jeho autorská práva. Zpráva obsahuje i URL adresu, ta vede na falešnou přihlašovací stránku s cílem odchytit přístupové údaje. Phishingové zprávy jsou psané v češtině. Útočník je odesílá buď přímo ze svého účtu na Facebooku (který může být zřízen na falešné jméno), nebo tak činí přes kompromitované účty. (Zdroj: tisková zpráva společnosti Eset)
Psali jsme na ITBiz
Na téma zabezpečení na ITBiz viz také:
USB modemy jsou děravé, zčásti za to může firmware otevřený operátorům
Antiviry nevyužívají bezpečnostní možnosti Windows
Zranitelnosti řady produktů jsou hlavně důsledkem absence podpory pro ASLR, tedy techniku znáhodnění adresního prostoru.