Bezpečnostní přehled: Google a Microsoft se hádají o zveřejňování zranitelností

První letošní záplaty Microsoftu, po dlouhé době není látán Internet Explorer. Opravy Adobe, chyba v produktech Corelu. Nakolik se lze spolehnout na prohlížeč WhiteHead Aviator? V Praze vzniká nové datové centrum. Jaké byly nejvýznamnější bezpečnostní incidenty v ČR v loňském roce? A měly by oficiální instituce vůbec komunikovat přes Facebook a Twitter, když nedokáží garantovat bezpečnost svých účtů?
Následuje pravidelný bezpečnostní přehled vytvářený především podle webů ZDNet, CNet, The Register a HelpNet Security.

Spotlight ignoruje Apple Mail

{seealso}Spotlight, desktopový vyhledávač pro Mac OS X, prý při zobrazení výsledků vyhledávání ignoruje nastavení Apple Mail. Což může znamenat, že zobrazí a stáhne třeba vzdálený obsah v podobě neviditelných obrázků, i když samotný Mail byl nastaven tak, by to nedělal. Spammer v tu chvíli pozná, že adresa je aktivní. Navíc když uživatel na výsledky vyhledávání kliká, hrozí i třeba exploity prováděné pomocí grafických souborů, i když je Mail dal do karantény nebo je nastaven tak, aby nezobrazoval připojené soubory.

Není jasné, jak (nebo zda vůbec, možné zneužití je spíše náhodné) by měl Apple reagovat. Pro uživatele je nejjistější ochranou odškrtnout v nastavení Spotlight, aby se prohledávala pošta a zprávy.

Google proti Aviatoru

Google se hádá s tvůrci open source prohlížeče WhiteHead Aviator, který vychází z Chrome. Dva výzkumníci Googlu Justin Schuh a Tavis Ormandy tvrdí, že Aviator je vyvíjen mizerně, oproti Chrome je o 2 verze pozadu a nebyly do něj navíc implementovány různé ochranné funkce. Kód prý tvůrci přidávají bez toho, aby chápali, jak vlastně funguje Chrome – potíž má být třeba s tím, jak se bezpečně ukončují procesy běžící v sandboxu. Přitom tvůrci Aviator naopak prezentují jako ultrabezpečný prohlížeč s důrazem na ochranu soukromí. Schuh přímo napsal, že projekty jako Aviator dělají špatné jméno celému open source.

WhiteHead se brání, že nikdy netvrdili, že budou aktualizovat stejně rychle jako Google, nemají na to dostatečný tým – naopak implementovali funkce, které v Chrome nejsou (třeba práce s odkazy v URL proti pokusům o cross domain). Google se prý bojí odlivu uživatelů od Chrome, což je ale dost směšné tvrzení, když o Aviatoru prakticky nikdo nikdy neslyšel a reklamní systémy Googlu nejsou závislé na prohlížečích, alespoň ne přímo. Schuh víceméně zopakoval, že na Aviatoru je prakticky všechno špatně, přidané funkce jen generují další zranitelnosti, kód má špatnou úroveň a velikost společnosti není důvodem, aby v prohlížeči zůstávaly známé chyby. To, že kód je zveřejněn, podle Schuha tvůrce rozhodně nezbavuje odpovědnosti.

Corel má problémy se zranitelností

Marcos Accossatto ze společnosti Core Security upozorňuje na zero day zranitelnost v produktech Corelu, především v Corel Draw, ale i v dalších (ověřeno pro Paint Shop Pro X7, CAD 2014 a VideoStudio PRO, může se týkat i jiných). Útok se provádí pomocí souboru ve formátu příslušné aplikace a jeho podstatou je podvržení DLL knihoven (především wintab32.dll). Corel byl na problém upozorněn na počátku prosince a když firma nereagovala, Core Security nyní vše zveřejnila. Produkty Corelu mají stále asi 100 milionů uživatelů.

Microsoft kritizuje Google

Microsoft kritizoval Google za automatické zveřejňování neopravených bezpečnostních zranitelností (včetně jedné ve Windows 8.1). Podle Microsoftu by se to mělo dít s přihlédnutím ke kontextu, povaze chyby. Vývoj každé opravy a její testování trvá různě dlouho.

Chris Betz, vrchní ředitel Microsoft Security Response Center, uvedl, že výslovně požádali Google, aby se zveřejněním počkal až do 13. ledna, kdy bude (respektive byla) uvolněna oprava. Google informoval Microsoft o chybě 30. září a automaticky byla publikována 29. prosince, podle Microsoftu šlo o schválnost. Google namítá, že dlouho neopravené chyby už mohli objevit a zneužívat i podvodníci, takže by uživatelé o nich měli vědět. V tomto případě jde spíše o přestřelku mezi konkurenty, chyba totiž nebyla zneužitelná vzdáleně, jindy však podobný střet přístupů může mít mnohem zásadnější dopad.
Viz také [jeden z předcházejících bezpečnostních přehledů]
(http://www.itbiz.cz/clanky/bezpecnostni-prehled-servery-obsahuji-zranitelne-implementace-php)

A Google si ještě přisadil, když jen 2 dny před lednovými aktualizacemi Microsoftu byla zveřejněna další zranitelnost, kvůli které může běžný uživatel získat při přihlašování k Windows 8.1 práva administrátora. Zde Google upozornil Microsoft na problém 13. října, takže to prostě tak opět z 90denního limitu automaticky vyšlo. Následovala hádka stejná jako v předešlém případě, kdy Bert popíchl Google nabídkou, ať se přidá k programu Microsoftu Coordinated Vulnerability Disclosure.

Nové aktualizace Microsoftu

Nyní tedy konečně k samotným posledním aktualizacím Microsoftu. Druhé lednové úterý bylo vydáno 8 bulletinů zabezpečení, z toho 1 kritický – balíček MS15-002 je určen pro Telnet server jako součást Windows. Zde může útočník pomocí poslání speciálního paketu na příslušný port způsobit vzdálené spuštění kódu. Ve skutečnosti tohle je ale problém, který se mnoha uživatelů týkat nebude. V některých verzích Windows musí být Telnet server speciálně doinstalován, ve Windows Serveru 2003 pak speciálně povolen, ve výchozím nastavení není aktivován nikde. Krom dvou záplat zmíněných výše (oznámených Googlem – MS15-001 a MS15-003) jsou nekritické opravy určeny pro specializované subsystémy (Windows Error Reporting – česky půvabně Služba zasílání zpráv o chybách systému Windows, Network Policy Server apod.). Jak poznamenává The Register, po dlouhé době není mezi záplatami ani jediná určena pro Internet Explorer.

Záplaty od Adobe

Adobe vydala opravy 9 bezpečnostních zranitelností v prohlížeči Flash Player a prostředí AIR. 6 z těchto chyb umožňuje vzdálené spuštění kódu, záplaty se týkají verzí pro Windows, Linux i Mac OS X. (Uživatelé MSIE i Chrome již dostanou příslušnou záplatu pro Flash od Microsoftu, resp. Googlu.)

Falešný e-mail Obchody24

Neznámí pachatelé rozesílají falešné e-maily tvářící se jako potvrzení objednávky z e-shopu Obchody24.cz. Přílohy e-mailů (zip, ve skutečnosti spustitelný soubor) obsahují malware, označovaný mj. jako winpe/Kryptik.CEDX.
Zdroj: tisková zpráva portálu Obchody24.cz

Pozor na phishing Airbank

Nová phishingová kampaň v ČR míří na zákazníky AirBank. Plošně rozesílaná nabídka požaduje aktualizaci osobních údajů ve formuláři. (Poznámka: Útok není nijak sofistikovaný, link vede na zjevně nepodobnou adresu v brazilské doméně.)
Zdroj: tisková zpráva společnosti AirBank

Podle statistik ČSOB a Ery útočí hackeři nejčastěji na účty klientů prostřednictvím podvodných e-mailů. Phishing a malware představují 78 % všech evidovaných útoků, zbytek tvoří útoky s využitím sociálních sítí, zejména Facebooku. Počet kybernetických útoků meziročně stoupl o desítky procent.
Zdroj: tisková zpráva společnosti ČSOB/ERA

Kamery s tepelným alarmem

Nová řada Axis Q29 přináší síťové kamery s tepelným alarmem. Modely Q2901-E a Q2901-E PT mohou sloužit současně jak k detekci narušitelů, tak pro nepřetržité sledování teploty místa či zařízení, kde je třeba hlídat riziko přehřátí.
Zdroj: tisková zpráva společnosti Axis Communications

TP-Link Archer C9

Na trh přichází bezdrátový směrovač TP-Link Archer C9 s celkovou přenosovou rychlostí na bezdrátové síti až 1,9 Gb/s. Co se týče zabezpečení, produkt nabízí šifrované standardem WPA-PSK/WPA2-PSK a podporuje zabezpečený přístup pro hosty oddělený od zbytku sítě.
Zdroj: tisková zpráva společnosti TP-Link

VSHosting buduje datové centrum

Společnost VSHosting začala v pražské Hostivaři se stavbou nového datového centra (ServerPark). Co se týče bezpečnosti, „součástí ServerParku budou zesílené železobetonové konstrukce, čtyři bezpečnostní zóny, pancéřové dveře, sofistikovaný systém zabezpečení včetně laserové detekce, bezpečnostní kamery či protisabotážní elektronické prvky. Budova bude chráněna automatickým hasícím systémem s inertním plynem. ServerPark bude mít několik nezávislých záložních generátorů s možností zajištění až několikatýdenního provozu.“
Zdroj: tisková zpráva společnosti VSHosting
Viz také: V Praze roste jedno z nejbezpečnějších datových center

Nový mainframe IBM

IBM představila nový mainframe z13. Systém podle dodavatele „urychluje šifrování mobilních transakcí v reálném čase, čímž zajišťuje bezpečnost dat a transakcí a zkracuje dobu zpracování. Využívá pěti set nových patentů včetně nových šifrovacích technologií.“ V rámci řešení je k dispozici také nástroj IBM MobileFirst Protect, který poskytuje zabezpečení a správu klientské infrastruktury a veškerých zařízení, aplikací, obsahu a transakcí.
Zdroj: tisková zpráva společnosti IBM

Seznam bojuje proti spamu

Email Seznamu chce zpřísnit svoji antispamovou politiku. Od dubna veškerá hromadná korespondence mířící do schránek na seznam.cz, která nebude obsahovat platný digitální podpis DKIM (DomainKeys Identified Mail), bude automaticky vyhodnocována jako spam. Půjde o nutnou, nikoliv však postačující podmínku – na zprávy s platným digitálním podpisem budou aplikovány další mechanismy antispamové kontroly.
Zdroj: tisková zpráva společnosti Seznam.cz, blog Seznam.cz

Comguard nabízí řešení Secunia

Distribuční firma Comguard oznámila, že rozšířila nabídku bezpečnostních řešení o produkty firmy Secunia. Konkrétně jde o produkty pro firemní zákazníky Secunia Corporate Software Inspector a Secunia Vulnerability Intelligence Manager, pro které Comguard zajišťuje také lokální technickou a obchodní podporu.
Zdroj: tisková zpráva společnosti Comguard

Firmy uvažují o biometrickém podpisu

Podle posledních průzkumů 70 % velkých firem uvažuje o využití dynamického biometrického podpisu.
Zdroj: tisková zpráva společnosti Ness

Coolhousing je členem bezpečnostního projektu FENIX

Sdružení NIX.CZ oznámilo přijetí nového člena bezpečnostního projektu Fenix. Již devátým subjektem se stala společnost Coolhousing, která provozuje vlastní datové centrum v Praze. Cílem projektu Fenix je umožnit v případě DoS útoku dostupnost internetových služeb s pomocí dalších subjektů.
Zdroj: tisková zpráva sdružení NIX.CZ

Zranitelnost TP-LINK

CSIRT.CZ považuje za nejvýznamnější tuzemský incident loňského roku zranitelnosti ROM-0 v některých routerech TP-LINK a fakt, že tato zranitelnost začala být aktivně využívána k útokům na klienty bank v ČR. Přehled zmiňuje také kampaň proti najímání bílých koní pro převody ukradených peněz a fakt, že klienti bank začali žádosti o toto sami hlásit.
Zdroj: blog sdružení CZ.NIC

Na téma bezpečnosti na ITBiz viz také:

Hackeři napadli Twitter amerického Centrálního velení (= velitelství ozbrojených sil USA pro Blízký východ, Perský záliv a severní Afriku)

Samozřejmě to neznamená žádný hack vojenských systémů, ale Twitteru. Už samotný fakt, že útočníci dokázali na tomto oficiálním profilu zanechat svou zprávu, je však dost tristní.
Poznámka: Měly by za těchto okolností kritické instituce ale vůbec mít oficiální profily na Facebooku a Twitteru, když nedokáží garantovat jejich bezpečnost/autentičnost?

Exit mobile version