Bezpečnostní přehled: Zákulisí kauzy Panama Papers

Pavel Houser , 11. duben 2016 12:00 0 komentářů
Bezpečnostní přehled: Zákulisí kauzy Panama Papers

Jak probíhají úniky dat. Opravy: Cisco, Adobe, Microsoft, Apache OpenMeetings i chytré dveře. Kritika Firefoxu. Za zranitelnosti chce platit i Pentagon. České podniky mají problémy s aktualizacemi softwaru.

Následuje pravidelný bezpečnostní přehled vytvářený především podle webů ZDNet, CNet, The Register a HelpNet Security.

Zákulisí Panama Papers

Kauza Panama Papers. Postižená společnost Mossack Fonseca tvrdí, že k úniku dat došlo v důsledku hacknutí jejího e-mailového serveru, což je ale téměř jistě pouze část pravdy – vždyť údaje sahají až do roku 1970 a tato data sotva byla v aktuálně posílaných e-mailech. Data si zřejmě musel někdo kopírovat delší dobu a systematicky, pocházejí z různých zdrojů.

Děr v systémech Panama Papers ale bylo nejspíš mnoho, používaly se zde např. neaktualizované verze redakčních systémů WordPress a Drupal. Používaný Microsoft Outlook Web Access neměl implementováno šifrování. Přitom první uniklá data se údajně začala nabízet již na počátku roku 2015, ale firma situaci celou dobu nijak neřešila. Analytici dodávají, že u právních firem je laxní přístup k zabezpečení IT kupodivu docela běžný – a přitom informace jsou jejich prakticky jediným aktivem.

Kauza Panama Papers údajně také vedla k velkému zpřísnění internetové cenzury v Číně, kdy jsou blokovány prakticky všechny zahraniční služby, odkud by se k příslušným údajům dalo dostat (tj. Facebook, Google apod.).

Plug-iny pro Firefox potřebují změnu

Taktéž na Black Hat Asia přišli Ahmet Buyukkayhan z Boston University a William Robertson z Northeastern University s tvrzením, že celý ekosystém rozšíření Firefoxu je zranitelný. Nejde přitom o konkrétní doplňky, ale návrh příslušné struktury (např. práva plug-inů apod.). Plug-iny mohou v důsledku toho provádět škodlivé aktivity a maskovat je za legitimní funkce. Mozilla se snaží systém rozšíření převést na model podobný Google Chrome (dokonalejší izolace/sandbox), nicméně vývojáři mají ještě rok a půl čas, než budou muset své produkty příslušným způsobem upravit.

Dino Dai Zovi z firmy Square uvedl na konferenci Black Hat Asia v Singapuru, že roztříštěnost systému Android nemusí být jen bezpečnostní slabina, ale ztěžuje život i podvodníkům. Dále se odkazoval na statistiku, že reportovaných zranitelností i útoků je sice hodně, fakticky je ale infikováno jen asi 0,0009 % zařízení s Androidem.

FBI má k dispozici nástroj, který umožňuje dostat se k údajům v libovolném zamčeném iPhonu, ovšem to platí pouze pro starší modely (do verze 5S). Univerzálnější metoda prozatím neexistuje. Viz také: Úřady odblokovaly mobil střelce i bez pomoci firmy Apple

Údajně došlo k úniku databáze, v níž jsou osobní údaje až 50 milionů Turků; informace je ne zcela potvrzená (neví se, nakolik jsou údaje platné, aktuální apod.), šlo by nicméně o jeden z největších úniků této kategorie (Turecko má asi 100 milionů obyvatel, tj. jde cca o polovinu z nich). Podle jiných zdrojů došlo k podobně rozsáhlému úniku osobních údajů také na Filipínách.

FireEye upozorňuje, že podvodníci v USA se ještě snaží rychle vydělat na PoS malwaru – než všichni maloobchodníci přejdou na platební karty s čipem (EMV apod.), kdy je klonování i v případě nasazení skimmovacího systému podstatně složitější.

Hack the Pentagon

Americké ministerstvo obrany spouští projekt hledání bezpečnostních zranitelností ve svých systémech. Zatím se chystá pilotní fáze pod názvem Hack the Pentagon, kdy se takto mají testovat hlavně veřejně přístupné webové servery a nikoliv např. kritické interní systémy. Maximální výše odměn publikována nebyla. Partnerem pro Pentagon je HackerOne. Program ale prý od strany zájemců vyžaduje dost administrativy, vyplňování různých daňových prohlášení apod.

V Brazílii se učí od Rusů

Kaspersky Lab uvádí, že ruští a brazilští podvodníci spolupracují a vyměňují si technologie, čímž urychlují vývoj malwaru přizpůsobeného místním podmínkám. Spolupráce se týkala např. sdílení ransomwaru nebo infrastruktury pro hosting podvodných aktivit. Obecně je to spíše tak, že v Brazílii se využívá ruské technologie, takže v důsledku spolupráce se např. rychle rozvinuly dříve celkem primitivní brazilské bankovní trojany. Popsaná spolupráce dále ztěžuje boj s podvodníky na úrovni jediné země, bez mezinárodní koordinace policejních postupů.

Problémy Internetu věcí

Ricky Lawshae z Trend Micro uvádí, že objevil bezpečnostní zranitelnosti v ovládacích systémech dveří VertX a Edge. Útočníci mohou odemykat tyto dveře a vyřazovat z provozu alarm (stačí zaslat speciální UDP pakety, nevyžaduje se žádné ověření). Výrobce systémů, společnost HID, již vydala opravu firmwaru, otázka však je, jak ji implementují zákazníci.

Zranitelnosti a opravy

Microsoft opravil chybu v autentizaci svých on-line služeb, která se týkala širokého portfolia produktů, od Outlooku po Azure. Podvodníci mohli kvůli zranitelnosti získávat pomocí falešných webů přístup k uživatelským účtům; chyba se řadila do kategorie CSFR. Na problém upozornil Jack Whitton, vydání opravy trvalo 2 dny.

Adobe uvolnila mimořádnou opravu pro pro přehrávač Flash Player. Chyba (CVE-2016-1019) je již aktivně zneužívána a týká se přehrávače na všech platformách (Windows, Mac OS X, Linux, Chrome OS).

Cisco vydalo opravu 6 bezpečnostních zranitelností ve svých produktech. Postižena je platforma pro datová centra UCS (Unified Computing System), Prime Infrastructure a Evolved Programmable Network Manager. V důsledku některých z těchto chyb mohou útočníci získat k systémům oprávnění roota, někde jde pouze o eskalaci oprávnění, jindy o možnost získat přístup zcela bez autorizace (např. chyba v UCS Invicta se týká nezabezpečeného ukládání klíčů SSH).

Andreas Lindh z firmy Recurity Labs objevil 4 zranitelnosti v komunikační platformě Apache OpenMeetings. Jedna z chyb umožňovala vzdálené spuštění kódu. Opravy jsou již k dispozici.

CSIRT varuje/oznamuje

Objevena a zveřejněna byla zranitelnost SOHO síťových prvků routerů Netgear. Jedná se o zranitelnost typu „Remote Command Execution/Injection“, kterou je možno zneužít prostřednictvím Cross Site Scriptingu (XSS). Oprava firmwaru dosud není k dispozici.

Ze světa firem

Analytici společnosti Eset objevili novou verzi malwaru Linux/Remaiten, který útočí na routery, gateway a bezdrátové přístupové body. Hlavní obranou je aktualizace firmwaru těchto zařízení, politika hesel a omezení přístupu k zařízením z internetu. Aktuální hrozba představuje kombinaci funkcionalit již známých škodlivých kódů Tsunami (Kaiten) a Gafgyt. Prozatím byly odhaleny 3 varianty. Sami tvůrci svůj malware nazývají KTN-Remastered nebo KTN-RM. Útočník získá kontrolu nad kompromitovaným zařízením, dále stahované škodlivé kódy se liší. (Zdroj: tisková zpráva společnosti Eset)

Intel uskutečnil akvizici společnosti Yogitech, která se zaměřuje na funkční bezpečnost v oblasti polovodičů a na příbuzné standardy. Cílem akvizice je dle Intelu zlepšení funkční bezpečnosti internetu věcí. (Zdroj: tisková zpráva společnosti Intel)

Představen byl Veeam Availability Orchestrator. Nový (aktuálně na trhu ještě nedostupný) systém pro orchestraci v oblasti zotavení po havárii podporuje využití více hypervisorů a podle dodavatele umožní podnikům jednodušeji realizovat, testovat a dokumentovat plány disaster recovery (včetně dosažení shody s předpisy). (Zdroj: tisková zpráva společnosti Veeam)

Aktualizace softwaru podceňuje až 85 % českých SMB podniků a jen 15 % nezaznamenává v souvislosti s patch managementem žádné problémy. Většina podniků má dobře ošetřeny aktualizace softwaru Microsoftu, typicky Windows či MS Office, nicméně podceňuje „záplatování“ softwaru třetích stran, především softwaru od Adobe, Googlu či Mozilly. Z nástrojů pro správu aktualizací zákazníci využívají převážně služby WSUS (46 %) a Windows Update (43 %). (Zdroj: tisková zpráva společnosti GFI Software)

Na 23% meziročním nárůstu tržeb společnosti Ancet se výrazně podílela IT bezpečnost; tato oblast loni vytvořila 31 % příjmů firmy. Anect v této oblasti nabízí službu SOCA, jež je určena především pro velké subjekty v komerční a státní sféře, kterých se týká zákon o kybernetické bezpečnosti. (Zdroj: tisková zpráva společnosti Anect)

Psali jsme na ITBiz.cz

Na téma zabezpečení na ITBiz viz také: Další kvantový počítač pro faktorizaci

Nový systém vznikl na MITu a i když zatím zvládne rozložit pouze číslo 15 na 3 x 5, celý koncept prý umožňuje na rozdíl od jiných kvantových počítačů systém celkem jednoduše škálovat.


Komentáře

RSS 

Komentujeme

Agilita a devops, přepracování a vyhoření

Pavel Houser , 12. červenec 2018 12:30
Pavel Houser

Michael Cote na The Register upozorňuje na častý problém: nové „agilní“ metody vývoje, všechny příst...

Více







RSS 

Zprávičky

Hackeři ukradli zdravotní záznamy 1,5 milionu Singapurců

ČTK , 20. červenec 2018 14:37

Cílem útoku bylo prý získat podrobné údaje o singapurském premiérovi a také o lécích, které užíval....

Více 0 komentářů

Ericsson je díky úsporám v mírném zisku

ČTK , 20. červenec 2018 11:36

Švédský podnik se v poslední době potýkal se slábnoucí poptávkou telekomunikačních operátorů....

Více 0 komentářů

Čip v občanském průkazu si zatím aktivovala třetina lidí

ČTK , 20. červenec 2018 08:00

Prostřednictvím Portálu občana lidé mají přístup např. k údajům o důchodu nebo si mohou pořídit výpi...

Více 0 komentářů

Kalendář

04. 08.

09. 08.
Black Hat USA 2018
09. 08.

12. 08.
DEF CON 26
06. 09.

07. 09.
Humusoft Technical Computing Camp 2018

Starší zprávičky

Red Hat Ansible Engine přináší další automatizaci cloudu

Pavel Houser , 19. červenec 2018 13:52

Nejnovější verze platformy Red Hat Ansible Engine 2.6 rozšiřuje automatizaci cloudů AWS, Google Clou...

Více 0 komentářů

Samsung chystá na příští rok telefon se sklopným displejem

ČTK , 19. červenec 2018 10:00

Displej půjde složit na polovinu jako peněženku. Ve složeném stavu je na přední straně přístroje men...

Více 0 komentářů

Internet Mall snížil ztrátu, tržby mu vzrostly na 7,2 miliardy Kč

ČTK , 18. červenec 2018 17:29

Internet Mall mj. investuje do distribučního centra v Jirnech u Prahy, které by mělo sloužit 7 střed...

Více 0 komentářů

Google dostal kvůli Androidu od EK rekordní pokutu 4,34 mld. eur (aktualizace)

ČTK , 18. červenec 2018 13:26

Google využil Android k upevnění dominantní pozice svého internetového vyhledávače, uvádí EK....

Více 0 komentářů