Útok Goolian ohrozil více než milion účtů Google. Útočník může ovládnout vůz Tesla a dokonce s ním i odjet. Útoky DDoS jsou stále častěji šifrované. Pozor na zranitelnosti samotných bezpečnostních produktů. Microsoft EMET je užitečný i ve Windows 10. Zranitelnosti a opravy.
Následuje pravidelný bezpečnostní přehled vytvářený především podle webů ZDNet, CNet, The Register a HelpNet Security.
EMET zvyšuje ochranu i u Windows 10
Analytik amerického CERTu Will Dormann se domnívá, že nástroj Microsoft EMET je kvalitnější než vlastní ochrana, kterou poskytují nové operační systémy Microsoftu včetně Windows 10. Proto je podle něj od Microsoftu rozumné, že EMET je stále k dispozici i pro nové platformy (viz také bezpečnostní přehled z poloviny listopadu).
I když Microsoft životnost svého nástroje prodloužil, stále ale platí, že v polovině roku 2018 by podpora pro něj měla skončit. Dorman přitom tvrdí, že správně nakonfigurovaný EMET nejen podstatně vylepšuje Windows 7 a 8, ale dokonce i Windows 10 a EMET jsou dohromady lépe zabezpečené než Windows 10. A to ani ne tak vzhledem k samotnému OS, ale na úrovni aplikací. Pokud podnikové aplikace nepodporují např. funkci Control Flow Guard, je z hlediska bezpečnosti málem jedno, že ji nabízejí Windows 10. Pomocí nástroje EMET lze také řešit mnohé problémy na úrovni aplikací, když není k dispozici záplata – v polovině roku 2018 přitom také skončí podpora a vydávání bezpečnostních záplat pro MS Office 2007, EMET by mohl zmírňovat mnohé následně objevené zero day zranitelnosti a i bez podpory se tak asi bude dále používat. Dorman vůbec soudí, že EMET znamená největší přínos právě pro provoz již dále nepodporovaných aplikací.
Obří kampaň Goolian
Check Point odhalil novou variantu malwaru pro Android, která narušila bezpečnost více než 1 milionu účtů Google. Kampaň Gooligan rootuje zařízení se systémem Android a krade e-mailové adresy a uložené ověřovací tokeny. S těmito informacemi mohou útočníci získat přístup k uživatelským datům z Gmailu, Fotek Google, Dokumentů Google, Google Play a G Suite. V okamžiku vrcholící kampaně malware infikoval každý den více než 13 000 zařízení. Napadané tímto způsobem byly verze Android 4 (Jelly Bean, KitKat) a 5 (Lollipop). Útočníci generovali tržby podvodným instalováním aplikací z Google Play a jménem obětí je také hodnotili.
Google mj. kontaktoval postižené uživatele a zrušil jejich tokeny, odstranil aplikace spojené s malwarovou rodinou Ghost Push z Google Play a přidal nové vrstvy ochrany do technologie ověřování aplikací. (Zdroj: tisková zpráva společnosti Check Point Software Technologies)
Trendy ze světa ransomwaru
Podle průzkumu Vanson Bourne se 48 % organizací na celém světě za poslední rok stalo cílem útoku ransomwaru. Z toho 80 % deklaruje, že byly napadeny 3krát nebo ještě častěji. 52 % respondentů kvůli ransomwaru mění svou bezpečnostní politiku, 54 % přestává důvěřovat klasickým bezpečnostním nástrojům typu antivirů. Podvodníci mají v tuto chvíli každopádně dost příjmů na to, aby ransomware mohli dále zdokonalovat, např. z hlediska implementovaného šifrování. Z průzkumu vyplynuly celkem výrazné rozdíly mezi jinak srovnatelnými zeměmi, když ransomware je např. mnohem rozšířenější ve Francii než v Británii.
Studie Q3 2016 Malware Review společnosti PhishMe uvádí následující hlavní trendy phishingových e-mailů: 97 % z nich je spojeno s nějakou formou distribuce ransomwaru, pouze 3 % distribuují zcela jiný malware – především různé formy „tiché“ infekce určené k tomu, aby v organizacích mohly nepozorovaně fungovat co nejdelší dobu a sbírat data. Celkové podíly ale ukazují na relativní výhodnost jednotlivých druhů počítačové kriminality pro útočníky. V rámci šířeného ransomwaru jasně dominuje Locky a jeho podíl dále stoupá.
Ovládnutí vozu Tesla: Kdo za to může?
Norská bezpečnostní firma Promon ukázala, jak lze vzhledem ke zranitelnostem v mobilní aplikaci plně ovládnout vůz Tesla. Útočník může zaparkovaný automobil lokalizovat, otevřít dveře a pak i bez klíčků odjet. Už v září bezpečnostní chyby v systému Tesla objevila společnost Keen Security Labs, tehdy však šlo o ovládnutí některých funkcí, nikoliv plné „převzetí“ elektromobilu.
Aktuální postup ovšem vyžaduje interakci uživatele: podvodníci např. nedaleko nabíjecí stanice zprovozní svůj hotspot, vlastník vozu se však k němu musí připojit a ještě na něco kliknout. Tomu však lze napomoci, útočník zobrazí např. nabídku speciálně připravenou pro vlastníky vozu Tesla. Pak se stáhne malware, který dokáže manipulovat s aplikací pro ovládání vozu, poslat útočníkovi přístupové údaje atd.
Promon Teslu informoval o problému. Mluvčí Tesly namítá, že problém není pro Teslu nijak specifický a je-li telefon hacknutý, jsou pochopitelně ohrožené i další aplikace v něm.
Studie IDC uvádí, že mezi začátkem masových útoků proti systémům chytrých automobilů a nasazením odpovídajících bezpečnostních opatření mohou uplynout až tři roky.
Bezpečnostní produkty jsou samy hrozbou
Podle statistik společnosti Secunia bylo mezi 46 nejzranitelnějšími desktopovými programy celkem 11 bezpečnostních aplikací. Paradoxní výsledek vychází ze statistik za srpen až říjen, které sestavila Flexera Software (tu vlastní Secunia). Mezi zmíněnými bezpečnostními produkty byly např. aplikace firem AlienVault, IBM, Juniper, McAfee, Palo Alto a Splunk. Secunia dodává, že řada těchto chyb byla původně v open source komponentách, které jsou součástí příslušných produktů.
Zranitelnosti a opravy
Microsoft opravil zranitelnost, která umožňovala kompromitovat instanci Red Hat Enterprise Linux v prostředí Azure. K chybě docházelo při vytváření image RHEL pro Azure. Vývojář Ian Duffy ukázal, jak lze z aplikace shromažďující logy získat logy, konfigurační soubory i certifikát SSL, které dohromady zajišťují nejvyšší možnou úroveň oprávnění.
Cisco (respektive bezpečnostní divize Talos) rozhodlo, že objevené zranitelnosti budou po oznámení výrobci čekat na zveřejnění 90 dnů; až dosud to byly dva měsíce. Cisco nyní vyčká 45 dní, poté informaci dostane americký CERT, který standardně zveřejnění odkládá dalších 45 dnů. Po 7 dnech od objevu následuje ještě jeden pokus o kontakt výrobce, pokud ten nereagoval na první oznámení, po 15 dnech je informace o zranitelnosti bez dalších podrobností zveřejněna na webu Talos. Posun nastává v důsledku toho, že podle údajů z Talosu trvá záplatování proprietárního softwaru dodavateli v průměru 83 dní – i když průměr zde nemá zase tak vysokou vypovídací hodnotu, protože několik výrobců ho velmi zvyšuje. U open source softwaru je ovšem průměrná doba vydání opravy mnohem menší, 38 dnů.
PayPal opravil chybu, která umožňovala krást přístupové tokeny OAuth, a dostat se tak k cizímu účtu.
CSIRT.CZ upozorňuje/varuje
Firefox obsahuje zranitelnost, pomocí které může útočník spustit škodlivý kód. Mozilla potvrdila, že se chyba nachází ve verzích 41 až 50, včetně verze 45 ESR a že již pracuje na opravě. Problém se týká pouze Firefoxu pro Windows a do vydání záplaty se lze chránit používáním doplňků typu NoScript.
Ze světa firem
Čtvrtletní studie Kaspersky Lab DDoS intelligence ukazuje, že trendem se stávají šifrované útoky DDoS, které je obtížné odlišit od běžného provozu. Zaznamenán byl rovněž nový typ útoku WordPress Pingback. Tyto útoky jsou známé už od roku 2014. Útočníci nejprve najdou zranitelný web redakčního systému WordPress s umožněnou funkcí Pingback. Díky této funkci chodí autorům oznámení o jakékoliv aktivitě, která se váže k jejich příspěvkům. Útočník odešle na tyto stránky speciálně upravený HHTP požadavek s falešnou zpáteční adresou – ta patří oběti, která je následně zahlcena odpověďmi. Tímto způsobem je možné vytvořit silný „HTTP GET flood“ útok bez použití botnetu. Nově zaznamenán byl tento útok s využitím https protokolu namísto obvyklého http. Tím se mj. komplikuje možnost filtrovat a blokovat příslušný útok podle hlavičky. (Zdroj: tisková zpráva společnosti Kaspersky Lab)
V průběhu posledních 12 měsíců zaznamenalo v ČR téměř 28 % dotázaných firem ztrátu dat v důsledku bezpečnostní trhliny. Jedna z pěti (20 %) velkých společností zaznamenala v tomto období čtyři nebo více úniků dat. V rámci dat z průzkumu za celý svět uvedlo v průzkumu 20 % respondentů, že jejich organizace byla zasažena ransomwarem. (Zdroj: tisková zpráva společnosti Kaspersky Lab)
Na českém trhu se nabízí řešení sound masking od americké společnosti Cambridge Sound Management. Sound masking dokáže odstínit určité zóny tak, aby bylo obtížné vyslechnout/porozumět konverzaci, která zde probíhá. Navíc tato technologie zajistí soukromí bez nákladných úprav interiéru či přestaveb. Diskrétní zóny se dnes uplatňují především ve finančních nebo zdravotnických institucích. Maskování zvuku funguje tak, že do požadovaného prostoru se vysílá uniformní tichý zvuk připomínající šum větru. Je upravený do pásma lidské řeči. Neměl by obtěžovat, člověk ho po chvíli přestane vnímat. (Zdroj: tisková zpráva společnosti Audiopro)
Řada síťových kamer Axis Q35 byla rozšířena o modely využívající rozšířené možnosti zpracování obrazu pomocí technologie Lightfinder, díky čemuž podle dodavatele dosahují vysoké světelné citlivosti a obrazu v režimu Wide Dynamic Range – Forensic Capture (široký dynamický rozsah s parametry pro soudní dokazování). (Zdroj: tisková zpráva společnosti Axis Communications)
Na trh přichází nová bezpečnostní kamera Panasonic Aero-PTZ (WV-SUD638), která je podle dodavatele určena do nejdrsnějších povětrnostních podmínek a pro ty nejnáročnější aplikace. Pro aplikace ve výškách, na moři, v přístavech, na molech a mostech je vybavená technologií active sense, která reaguje na vnější podmínky spouštěním vestavěných stěračů, topného tělesa a rozmrazovače. (Zdroj: tisková zpráva společnosti Panasonic)
Uvedena byla nová verze Red Hat Enterprise Linux 7.3. V oblasti zabezpečení podle dodavatele nabízí vylepšenou správu identit a aktualizace technologie SELinux pro vynucování jemného řízení přístupu na systémové úrovni. (Zdroj: tisková zpráva společnosti Red Hat)
Barracuda Web Security Gateway je k dispozici v nové verzi 11.0. K vylepšením má patřit hardwarová akcelerace pro monitorování a analýzu SSL provozu. (Zdroj: tisková zpráva společnosti Gesto Communications (distributor Barracuda Networks pro ČR a SR))
Psali jsme na ITBiz.cz
Na téma zabezpečení na ITBiz viz také