Obří dávka oprav se tentokrát týká prakticky veškerého softwaru Microsoftu. Kritická chyba v Androidu, kompromitován Nintendo Club. Obrana může vycházet z toho, že také internetoví podvodníci jsou především líní. Následuje pravidelný bezpečnostní přehled vytvářený především podle webů ZDNet, CNet, The Register a HelpNet Security.
Microsoft vydal 9. 7, červencový balíček bezpečnostních aktualizací. Mezi bulletiny zabezpečení je hned 6 kritických, přičemž 3 z nich ( MS13-052, MS13-053 a MS13-054) se týkají problémů se zpracováním fontů TrueType.
Útočník může těchto chyb zneužít pomocí zaslaného dokumentu i webové stránky (tj. na úrovni Internet Exploreru i Windows). U fontu nastaví nekorektní hodnoty, následuje přetečení paměti vyhrazené pro zpracování fontů a útočník se pak může pokusit do paměti vsunout svůj kód. Windows přitom pracují s fonty na vyšší úrovni oprávnění než běžného uživatele, takže podvodník může nad systémem získat i plnou kontrolu.
Kromě Windows a Internet Exploreru látají kritické bulletiny zabezpečení také .NET Framework, Silverlight, MS Office, Visual Studio a Lync; ve všech těchto případech opět hrozí vzdálené spuštění kódu. Jako důležitý je označen 7. bulletin, který se týká bezpečnostního programu Windows Deffender.
Počítáno nikoliv na bulletiny, ale podle opravených chyb, těch bylo tentokrát 34, z toho přesně polovina v Internet Exploreru. Problémy se týkají všech podporovaných kombinací MSIE a Windows (včetně 8 a RT). Bezpečnostní analytik Paul Henry z firmy Lumension se domnívá, že tato várka záplat je zřejmě nejdůležitější za celý letošní rok. Ohroženy jsou prakticky všechny produkty Microsoftu, prakticky všechny problémy jsou kritické, a proto je těžko doporučovat, v jakém pořadí záplaty nasazovat. Rozhodně ale rychle…
Mimochodem, letos už Microsoft vydal 22 kritických bulletinů zabezpečení, za celý loňský rok to přitom bylo jen 34.
V aplikaci Cryptocat, která slouží pro tvorbu šifrovaných chatových spojení, byla objevena kritická zranitelnost. Problém se týká verzí 2.0 a 2.0.42, vývojáři vyzývají uživatele, aby provedli aktualizaci. Chyba, kterou objevil nezávislý tester Steve Thomas, umožňuje dostat se k otevřené podobě zašifrovaných skupinových konverzací hrubou silou; to kvůli tomu, že byly generovány příliš krátké soukromé klíče ECC. Komunikace one-to-one, která je chráněna přes protokol OTR, se zranitelnost netýká. Taktéž prý nejsou pravdivé pověsti, že kompromitovány byly SSL klíče Cryptocat.
Thomas vytvořil pro ilustraci problému nástroj Decryptocat. Ačkoliv se sám podílí na vývoji systému Cryptocat, o celém týmu prý nemá žádné iluze. Prý zde nerozumějí kryptografii, namíchali řadu technologií a nejsou systém schopni řídit.
Nový hromadný útok/distribuce malwaru zneužívá Darkleech, což je modul pro webový server Apache. Do kódu serverů je vsouván tag Iframe, jenž návštěvníky přesměrovává na weby, které se ihned pokoušejí o útoky drive-by download pomocí sady Blackhole. Následně se instalují trojské koně Pony Loader a Sirefef Nymaim, což je ransomware, který zamyká počítač a požaduje výkupné 300 dolarů.
Německý ministr vnitra Hans-Peter Friedrich uvedl ke kauze PRISM logickou poznámku: máte-li obavy z tohoto sledování, prostě neužívejte služby amerických firem typu Microsoft, Google a Facebook. Zack Whittaker na CNet tento přístup ale kritizuje: vláda sama má podle něj povinnost chránit vlastní občany před špehováním. (Poznámka: otázka možná spíš zní, komu sledování vadí, když lidé na sebe na Facebooku stejně ochotně všechno řeknou sami. Plus jak můžeme vědět, že u jiné služby by to nebylo ještě horší?)
Jaime Blasco, ředitel výzkumu firmy AlienVault Labs, uvádí, že běžní uživatelé i administrátoři jsou dnes příliš fascinováni sofistikovanými a cílenými útoky, fenoménem APT apod. Jenže to představuje jen velmi malou část kybernetické kriminality. Internetoví podvodníci ve své většině mají stejnou vlastnost jako jiní podvodníci i jiní lidé – jsou především líní a snaží se proto primárně spouštět útoky jednoduché a proveditelné plošně. Dostatečná ochrana (jednotlivce/firmy) je tedy také jednoduchá. Tím se samozřejmě problém nevyřeší, ale obětí se stane alespoň někdo jiný.
Druhá věc: Útočníci jsou schopni zřejmě snižovat své náklady, protože své techniky sdílejí a dokáží spolupracovat (ač by si z logiky věci rozhodně neměli věřit ani navzájem). Možná by podobné sdílení mělo více fungovat i na „bílé“ straně?
Web Club Nintendo se stal terčem masivního útoku pomocí neoprávněných přihlašování. Posléze bylo takto kompromitováno asi 24 000 účtů, nicméně příslušná data neobsahují žádné informace typu čísel platebních karet (má jít jen o jména, e-maily, adresy a telefonní čísla). A jak se při masivním přihlašování mohlo stát, že se podařilo některá jména/hesla „trefit“ (údajně v poměru 24 000 z asi 15,5 milionů pokusů)? Kompromitovány byly účty japonských uživatelů, útočníci zřejmě tedy použili nějaký seznam uživatelských jmen a hesel jiné japonské služby. Nintendo pozastavuje platnost kompromitovaných účtů a uživatele vyzývá ke změně hesla.
EU se podle agentury Reuters rozhodla zvýšit postihy těch, kdo naruší data, provádějí kybernetické útoky apod. Velkou většinou hlasů o tom rozhodl Evropský parlament. Nelegální přístup k informačním systémům má být trestán minimálně 2 roky nepodmíněně, útoky proti infrastruktuře minimálně 5 lety. Členské země prý mají povinnost implementovat tato pravidla do 2 let do své národní legislativy – s výjimkou Dánska, které se k dohodě odmítlo připojit.
CTO společnosti Bluebox Security Jeff Forristal upozornil na to, že systém Android obsahuje už dlouho (cca 4 roky – od verze 1.6 Donut) závažnou bezpečnostní chybu. Problém spočívá v tom, že malware lze do zařízení dostat jako aktualizaci stávající aplikace – může mít totiž stejný podpis. Google uvádí, že v rámci obchodu Google Play by tato metoda ovšem nefungovala. Uživatel si proto musí „aktualizaci“ nainstalovat ručně z jiného webu.
Podrobnosti mají být oznámeny na konferenci Black Hat 1. srpna.
Poznámka: Problém byl značně medializován, nejde ale trochu o bouři ve sklenici vody? Když si uživatel cokoliv instaluje, může si do zařízení dostat škodlivý kód. Viz třeba malware pro PC s oblibou se vydávající za aktualizace Readeru PDF, přehrávače videa…? Je toto takový rozdíl? Analytik analytik David Meyer se na The Register rovněž vyjadřuje, že problém je zřejmě méně závažný, než to zpočátku vypadalo. (Ovšem protiargumenty: Malware takto může automaticky získat vyšší oprávnění, než „odněkud stažená aplikace“. Malware dodaný do legitimní aplikace bude hůře rozpoznáván bezpečnostními nástroji? Atd.)
Aplikace AVG Uninstaller je nyní zdarma dostupná pro chytré telefony a tablety s operačním systémem Android. I přes dodavatele nejde přímo o bezpečnostní aplikaci: poskytuje uživatelům přehled o velikosti, frekvenci užívání, spotřebě baterie a o využití mobilních dat aplikacemi a na základě souhrnu těchto informací navrhuje, kterou aplikaci by bylo vhodné odinstalovat.
Zdroj: tisková zpráva společnosti AVG