Bezpečnostní přehled: AppContainer, další vrstva ochrany Windows

Heartbleed zůstává rizikem. Kybernetickou kriminalitou je stále více ohroženo zdravotnictví. Ransomware Charger na Google Play. Další cíl útočníků: Hadoop. Jak změnila zabezpečení aktualizace Windows 10 Anniversary Update. GFI Software koupila Kerio Technologies. Vydána finální verze Firefoxu 51.
Následuje pravidelný bezpečnostní přehled vytvářený především podle webů ZDNet, CNet, The Register, SecurityWeek a HelpNet Security.

MongoDB, Elastic Search a Hadoop

Ransomware má další cíl: po volně přístupných instalacích MongoDB (viz zde http://www.itbiz.cz/clanky/bezpecnostni-prehled-dosahne-ransomware-letos-vrcholu) a ElasticSearch (viz předcházející Bezpečnostní přehled http://www.itbiz.cz/clanky/bezpecnostni-prehled-hrozba-jmenem-ransomworm) se podvodníci podobných způsobem zaměřují na prostředí Hadoop. Společnost Fidelis Cybersecurity, která na problém upozornila, navíc uvádí, že Hadoop je často provozován v režimu PaaS, kdy vzdálený přístup k systému nelze zakázat. O to víc je pak volně přístupných instancí. Řádově by se snadnou obětí ransomwaru mohlo stát až 10 000 aplikací na platformě Hadoop.

AppContainer omezuje útoky pomocí fontů

Poslední aktualizace Windows 10 Anniversary Update prý výrazně zvýšila odolnost systému i proti zero day exploitům. V srpnu loňského roku Windows získaly v rámci aktualizace mj. technologii AppContainer. Microsoft nyní uvádí, že s touto aktualizací se např. výrazně snížilo riziko exploitů chyb CVE-2016-7255 a CVE-2016-7256. Microsoft tyto chyby opravil v listopadu, ale počítače s Anniversary Update byly proti reálně probíhajícím útokům odolné i bez nasazení příslušných záplat. Protože jednotlivé chyby se samozřejmě budou objevovat i nadále, je podle Microsoftu důležité nasazovat obecné techniky, které tyto problémy zmírňují. AppContainer má např. zajišťovat izolaci zpracování fontů, což byl oblíbený vektor útoku. Nasadit Windows 10 Anniversary Update v této souvislosti doporučil mj. i Will Dormann z amerického CERTu.

Firefox upozorňuje na rizikové formuláře

Vydán byl nový Firefox, finální verze 51. Podobně jako Chrome začíná prohlížeč viditelně označovat weby, které žádají zadávání potenciálně citlivých informací a přitom nepoužívají https. Zatímco Chrome používá označení v adresním řádku, Firefox má jako hlavní varování text pod políčkem formuláře pro zadávání informací. V budoucních verzích Mozilla plánuje přidávat další varování.

Heartbleed skoro po 3 letech

Ředitel firmy Shodan John Matherly uvádí, že asi 200 000 služeb je stále napadnutelných kvůli zranitelnosti Heartbleed. Tato chyba (CVE-2014-0160) v knihovně OpenSSL byla objevena už v roce 2014. Zneužití umožňuje útočníkovi získávat z relací např. hesla, přihlašovací cookies nebo soukromé šifrovací klíče. Zranitelné služby nejsou soustředěny do nějakých speciálních „nebezpečných“ regionů, podle Matherlyho se provozují cca stejně v USA, Německu, Číně i Jižní Koreji. Ještě před rokem byla přes Heartbleed zranitelná až desetina služeb VPN (z těch, které používaly příslušnou knihovnu).

Čína vydala speciální pravidla pro provozovatele služeb VPN, které obcházejí firewall mezi touto zemí a zbytkem světa. Speciální licence budou muset mít poskytovatelé internetu i VPN a dále i provozovatelé cloudových služeb.

Stále ohroženější zdravotnictví

Organizace Identity Theft Resource Center a CyberScout zveřejnily odhad škod, které za rok 2016 způsobila kybernetická kriminalita v USA. Podobná čísla mají samozřejmě smysl jen relativní, tj. když se srovnají s údaji získanými podle stejné metodiky pro jiné časové období. Závěr: meziroční nárůst 40 %. Zajímavé je, že drtivá většina škod se týká pouhých dvou kategorií: podniky a zdravotnické instituce. Mnohem menší podíl mají z hlediska způsobených ztrát vzdělávací instituce, vládní, vojenské apod. Agentury, banky a další finanční služby. V minulosti tomu přitom tak nebylo, ještě před 10 lety byly poměry úplně jiné, vlády či univerzity byly na žebříčku mnohem výše. Za posledních 5 let ale výrazně vzrostly škody způsobené zdravotnickým institucím (zde pravděpodobně hraje roli ransomware?).

Jako vektor útoku jasně převládá phishing, podle tohoto průzkumu se na škodách ve stále menší míře podílí činnost insiderů, fyzické krádeže i kompromitování citlivých dat u obchodních partnerů. Po útocích (sem statistika zahrnuje phishing, hacking a skimming) je druhou nejčastější příčinou narušení dat náhoda, když někdo pošle citlivé informace omylem e-mailem nebo je na webu nastaví jako veřejně viditelné.

Cisco uvádí, že botnet Necrus se opět probouzí. V loňském roce, kdy součástí botnetu bylo až půl milionu kompromitovaných zařízení, tato síť sloužila především k šíření ransomwaru Locky, který se stal vůbec nejrozšířenějším vzorkem malwaru. Tyto útoky na konci loňského roku poklesy, ale vzhledem k jejich výnosnosti pro podvodníky se téměř jistě jedná pouze o dočasnou situaci. Šifrování používané nejnovější verzí ransomwaru Locky se dosud nepodařilo prolomit.

V 10. ročníku hackerské soutěže Pwn2Own na konferenci CanSecWest se budou odměny vyplácet i za demonstraci zranitelností objevených v linuxové distribuci Ubuntu.

Zdroj: ABCLinuxu

RaaS Satan

Nabídka ransomware-as-a-service se rozšířila o ransomware Satan, který byl hojně inzerován v podzemních fórech. Zašifrované soubory mají v tomto případě koncovku .stn. Zájemci mohou Satan používat zdarma, mezi oba podvodníky se pak dělí až vyplacené výkupné. K dispozici jsou i rozsáhlé možnosti, jak malware konfigurovat. V této podobě je malware přístupný prakticky komukoliv, jeho šifrování se dosud prolomit nepodařilo.

Ze světa firem

GFI Software získala akvizicí Kerio Connect, Kerio Control, Kerio Operator a Kerio Cloud, produkty společnosti Kerio Technologies. Původem česká firma s aktuálním sídlem v San Jose nabízí unified communications a bezpečnostní řešení malým a středně velkým firmám. Produkty Kerio Technologie jsou dostupné prostřednictví sítě partnerů ve více než 100 zemích světa.

Zdroj: tisková zpráva společnosti GFI Software

Poznámka: Finanční aspekty transakce nebyly zveřejněny.
Viz také: GFI Software koupila Kerio Technologies

Eset otevřel dvě nová vývojová centra v Montrealu a v rumunském Jasy. Nová kancelář v Montrealu rozšiřuje již existující pobočku Eset Canada Recherché, která byla založena v roce 2009.

Zdroj: tisková zpráva společnosti Eset

Toshiba představila notebook pro profesionály Portégé X20W-D. V oblasti zabezpečení nabízí toto zařízené SecurePad s čtečkou otisků prstů a IR-kameru pro autentizaci obličeje s podporou Windows Hello a Intel Authenticate.

Zdroj: tisková zpráva společnosti Toshiba

Nová verze zálohovacího softwaru Acronis True Image 2017 obsahuje jako speciální funkci ochranu proti ransomwaru pomocí funkce Active Protection. Dále jsou např. k dispozici funkce kontrolující změny v dokumentech a verifikace dokumentů na bázi blockchainu.

Zdroj: tisková zpráva společnosti Acronis

Viz také: Acronis True Image 2017 New Generation

Novým předsedou představenstva akciové společnosti Anect, která mimo jiné poskytuje i služby v oblasti kybernetické bezpečnosti, se stal její výkonný ředitel Jan Zinek.

Zdroj: tisková zpráva společnosti Anect

V aplikaci EnergyRescue na Google Play byl objeven malware Charger. Infikovaná aplikace krade ze zařízení kontakty a SMS zprávy a snaží se získat administrátorská oprávnění. Pokud je uživatel udělí, ransomware uzamkne zařízení a zobrazí zprávu požadující platbu. Přitom vyhrožuje postupným zveřejňováním/prodejem dat. Útočníci požadují bitcoinový ekvivalent 180 dolarů, tj. mnohem víc, než dosud bylo o mobilního ransomwaru obvyklé.

Malware používá některé pokročilé techniky. Nahrává např. dynamicky kód z šifrovaných zdrojů, což většina detekčních technologií nezachytí. Kód je zároveň zahlcen nesmyslnými příkazy, které maskují skutečné fungování. Než Charger spustí škodlivou činnost, zkontroluje také, zda nedošlo ke spuštění v emulátoru (tak funguje stále více typů škodlivých kódů).

Zdroj: tisková zpráva společnosti Check Point Software Technologies

TP-Link představuje Auranet, nové řešení pro rozsáhlé Wi-Fi sítě s centralizovanou správou. Do řady Auranet patří mj. hardwarový Wi-Fi kontrolér AC500 pro 500 přístupových bodů nebo nový přístupový bod CAP300. Použité šifrování je WPA/WPA2-enterprise a ověřování podle standardu 802.1X pomocí serveru Radius. Pro ověřování uživatelů slouží tzv. kaptivní portál.

Zdroj: tisková zpráva společnosti TP-Link

Jednotlivým (koncovým) uživatelům internetu bylo při úspěšném útoku ukradeno v průměru 476 dolarů, přičemž jeden z deseti dotázaných uvedl částku vyšší než 5 000 dolarů. 52 % obětí se ukradená částka vrátila pouze zčásti nebo vůbec; do zbylých 48 % se počítá např. i situaci, kdy škodu zaplatila banka.

Zdroj: tisková zpráva společnosti Kaspersky Lab

Aktuální phisgingové kampaně v ČR

Phishingový útok míří/mířil na klienty České pošty. Šlo o SMS, které obsahují výzvu k instalaci a odkaz na aplikaci „Pošta Online“. Připojený odkaz směřuje na weby obsahující škodlivý kód.
Podvodný e-mail, mířící na klienty ČSOB, se tváří jako zpráva z příslušného internetového bankovnictví a vyzývá k přihlášení. Tiskovou zprávu k incidentu speciálně vydala společnost Avast, která útok zachytila.
Viz také: ČSOB zaznamenala podvodné e-maily mířící na klienty

Psali jsme na ITBiz.cz
Na téma zabezpečení na ITBiz viz také
Bezpečnostní přehled: Hrozba jménem ransomworm

Exit mobile version