Bezpečnostní přehled: Zranitelnosti kamer a senzorů monitorujících dopravu

Pavel Houser

25. 4. 2016

| Články

Jak funguje zabezpečení formou umělé inteligence z MITu? Co se stane s rozházenými disky USB flash? Zákazníci firmám únik dat vesměs odpustí. Bezpečnost Androidu a Google Play. Nový oblíbený formát škodlivých příloh – JavaScript. Opravy: VMware, Oracle, SAP.
Bezpečnostní přehled: Zranitelnosti kamer a senzorů monitorujících dopravu
Následuje pravidelný bezpečnostní přehled vytvářený především podle webů ZDNet, CNet, The Register a HelpNet Security.

Útoky pomocí USB klíčenek mají slušnou šanci na úspěch

V rámci průzkumu Googlu, University of Illinois Urbana-Champaign a University of Michigan se po parkovišti rozházely klíčenky USB flash. U asi 50 % z těchto zařízení se zjistilo, že byly zapojeny do počítače, některé už po několika minutých. Jen 16 % z lidí, co si disk připojili, provedli jeho skenování nějakým bezpečnostním nástrojem, ostatní prostě prohlíželi a spouštěli obsah.

Detekce byla provedena tak, že na klíčence byly HTML soubory a počítalo se zobrazování vzdáleného obrázku. Takže někdo třeba zapojil klíčenku bez připojení k internetu, někdo obsah smazal, uvedená čísla jsou z hlediska rizikovosti chování tedy „tím nejnižším odhadem“.

Infikovat nějakou instituci tak, že se kolem rozhází infikované disky USB flash, to tedy vypadá jako stále celkem účinná a pro podvodníky nadějná metoda. Ostatně právě takhle se prý dostal i červ Stuxnet do íránských systémů oddělených od internetu.

Opera s VPN

Opera do svého prohlížeče integruje VPN, uživatel si může vybrat proxy server v USA/Kanadě nebo Německu, další by měly být přidávány. Prohlížeč i s touto funkcionalitou má být zdarma, vyžadována nebude ani žádná speciální registrace. Zatím je vše dostupné pouze v testovacím režimu (vývojářské verzi browseru).

Umělá inteligence z MITu

Computer Science and Artificial Intelligence Laboratory z MITu představila platformu AI Squared (AI2). Má jít o jednu z metod využívajících umělou inteligenci. Dokáže prý při nízké úrovně falešných poplachů odhalit až 85 % útoků (poznámka: což nevypadá zrovna impozantně, i když samozřejmě záleží na metodice). Základní metoda je prostě strojové učení, když program dostane o úspěšnosti své detekce reakci od lidského operátora. Učení/generování nových modelů probíhá prý mj. velmi rychle.

Viz také: Umělá inteligence prý bezpečnost nezařídí

Lidé službu užívají i po úniku svých osobních dat

Studie RAND Corporation vede k závěru, že pouze asi 10 % z lidí (data v USA), kteří zjistili, že podniku unikla jejich data, kvůli tomu přestalo používat služby příslušné firmy. 77 % z postižených naopak uvedlo, že reakce firmy na incident (způsob oznámení apod.) byla uspokojivá. Asi 10 % zaznamenalo ještě před oficiálním oznámením nějakou podezřelou aktivitu na svém účtu, další část ze o problému dozvěděla předtím z jiných zdrojů.

Jméno výrobce umožnilo kompromitovat dopravní systém

Experti společnosti Kaspersky Lab provedli analýzu chytrých monitorovacích systémů v dopravě. Největším bezpečnostním problémem se ukázalo být zřetelně vytištěné jméno prodejce na schránce čidla (senzoru). Díky tomuto údaji byli experti na internetu schopni vyhledat bližší informace o tom, jak zařízení funguje a jaký software používá. Ovládací software k senzoru byl snadno dostupný na webu poskytovatele, stejně tak i celá technická dokumentace popisující, jaké příkazy může třetí strana do zařízení zadat. Pro získání přístupu k senzoru se k němu stačilo pouze přiblížit a připojit se pomocí Bluetooth. Protože nebyl nastaven žádný další ověřovací proces, připojit se k němu mohl kdokoliv s touto technologií a softwarem pro získání hesel. Dostupný software a technická dokumentace zajistily analytikům přístup ke všem informacím, které zařízení shromáždilo. Dokázali pak změnit způsob, jakým zařízení získávalo nová data. Změnili například typ vozidla z osobního automobilu na nákladní nebo průměrnou rychlost dopravy. (Zdroj: tisková zpráva společnosti Kaspersky Lab)

Java vs. Flash

Podle studie NTT Group přestaly být exploity Javy pro podvodníky zajímavé. Všech 10 nejvýznamnějších zranitelností, na něž loni cílily exploit kity, byly chyby v přehrávači Flash Player; ještě v roce 2013 byl poměr obou platforem zhruba 1:1. Dle studie NTT byla asi pětina zranitelností zjištěná v sítích jejich klientů stará/opravená už více než 3 roky.

Přílohy v JavaScriptu

Microsoft Malware Protection Center upozorňuje na další vlnu podvodných e-mailů, kdy škodlivá příloha obsahuje JavaScript (někdy komprimovaný). Tímto způsobem lze často mást bezpečnostní programy, v aktuální kampani se do archivu nebo vedle archivu pro jejich oklamání navíc často přikládají i neškodné soubory. Ve skutečnosti ale prakticky neexistuje legitimní důvod, proč by měl někdo posílat e-mailem jako přílohu soubory JS nebo JSE v ZIP nebo RAR. Administrátoři by proto problému měli předejít plošným blokováním.

Google denně skenuje 6 miliard aplikací

Google ve svém bezpečnostním reportu odhaduje, že 29 % zařízení se systémem Android není dostatečně zabezpečeno – v tom smyslu, že používají zastaralé verze. Verzi 4.4.4 (KitKat) a vyšší, které Google považuje za dostatečně bezpečné, má asi 71 % uživatelů Androidu. V absolutních číslech – na světě je asi 1,4 miliardy aktivně používaných zařízení, zranitelný Android má tedy 400 milionů lidí. Na Google Play skenuje Google každý den 6 miliard aplikací; potenciálně škodlivou aplikaci si dnes stáhne 0,15 % uživatelů tohoto systému („jen“ – ovšem v absolutních číslech je i to zase 70 milionů lidí).

Chrome Web Store zpřísnil pravidla pro nezávislé vývojáře. Plug-iny prohlížeče a další aplikace třetích stran již podle nových pravidel nesmějí přesouvat osobní data ve formě prostého textu. Vývojáři musejí také publikovat vlastní zásady ochrany osobních údajů, vysvětlit, jaká data z Chrome sbírají, jak je dále používají apod.

Zranitelnosti a opravy: VMware, Oracle, SAP

Ve VMware Client Integration Plugin byla objevena kritická bezpečnostní chyba, která umožňuje útoky man-in-the-middle. Opravit je třeba klient i server. VMware ale začne nabízet klienty, kteří využívají jen HTML5, takže popsané problémy by se brzy už neměly opakovat.

Oracle uvolnil svůj pravidelný čtvrtletní balíček oprav. Záplatovány jsou následující produkty: middleware Fusion, Peoplesoft, MySQL (většina z celkem 136 opravených zranitelností se týkala právě těchto 3 produktů), dále E-Business Suite, Sun Systems Products Suite a Java SE. Oracle známkuje závažnost zranitelností podle CVSS 3.0, ale ještě uvádí i starší CVSS 2.0. Dle starší metodiky by 7 ze zranitelností získalo nejvyšší závažnost 10 z 10, dle CVSS 3.0 žádná.

SAP vydal 19 záplat, které opravují 26 zranitelností. ERPScan uvádí, že mezi těmito chybami jsou i dvě takové, které mohou způsobit plnou kompromitaci systému (při svém kombinovaném zneužití, i když jednotlivě jde o méně závažné chyby). Celkem třeba poslední opravy ze SAP Marketplace nasadit víceméně do všech komponent SAP včetně jádra systému, platformy HANA a implementace Javy.

Ze světa firem

České podniky kladou při zálohování nejvíce důraz na jistotu obnovy dat (94 %), ať již ztracených či znepřístupněných ransomwarem. (Zdroj: tisková zpráva společnosti Acronis, lokální průzkum)

O2 IT Services (O2 ITS), dceřiná společnost O2 Czech Republic, otevírá v Praze nové centrum kybernetické bezpečnosti. Security Expert Center dodává služby, které soukromým i státním subjektům mají pomoci splnit požadavky zákona o kybernetické bezpečnosti. (Zdroj: tisková zpráva společnosti O2, podrobnosti zde)

VoIP volání považuje podle průzkumu za nebezpečné 74 % českých uživatelů. (Zdroj: tisková zpráva společnosti Kaspersky Lab)

Česká spořitelna varuje před dalším podvodným profilem na Facebooku, který se snaží vylákat přihlašovací údaje do internetového bankovnictví.

Čtvrtina českých firem zakazuje zaměstnancům využívání internetu pro soukromé účely, pětina blokuje sociální sítě. (Zdroj: Průzkum personální agentury Grafton, podrobnosti zde)