Bezpečnostní přehled: Malware přepisující firmware pevných disků

Zranitelné mohou být i NoSQL databáze. Další problém se směrovači NetGear. Stažena únorová záplata Microsoftu. Bankovní útoky za miliardu dolarů. Následuje pravidelný bezpečnostní přehled vytvářený především podle webů ZDNet, CNet, The Register a HelpNet Security.

Zranitelné databáze MongoDB

Desítky tisíc databází MongoDB jsou zranitelné vzdálenými útoky, a to včetně databází velkých firem. MongoDB je oblíbená NoSQL databáze, kterou používá i řada velkých internetových služeb včetně eBay a SourceForge. Testování bylo provedeno pomocí skenovacího nástroje Shodan na portu TCP 27017, který je v MongoDB nastaven jako výchozí. Takto bylo objeveno asi 40 000 databází, které umožňovaly bez dalšího vzdálený zápis. Příslušné číslo může být vyšší (někteří poskytovatelé zakazují podobné plošné skenování, některé databáze používají jiný port), ale i nižší (v tom smyslu, že některé zranitelné databáze asi nebyly součásti produkčního prostředí, ale šlo o pasti – honeypoty).
Problém má být v tom, že dokumentace k databázi prý neobsahuje dostatečně explicitní pokyny o tom, že se má aktivovat šifrování či řízení přístupu. Ve výchozím nastavení to není nutné, protože je umožněn pouze místní přístup, to ovšem logicky skoro každý změní – ale pak už neudělá nic dalšího.

Kolik je infikovaných mobilních zařízení?

Alcatel-Lucent Motive Security Labs odhaduje, že na světě je dnes asi 16 milionů mobilních zařízení infikovaných malwarem (tj. kompromitováno je 0,68 % zkoumaných zařízení, 16 milionů je přepočet). To má zahrnovat zařízení zneužívaná ke špionáži, DDoS útokům, k reklamním a bankovním podvodům.

Jinak podle studie prý loni bylo mnohem více incidentů spojených s platbou na point-of-sale terminálech než v internetových obchodech (pro podvodníky nejsou tak zajímavé karty, s nimiž lze často platit pouze na internetu). K DDoS útokům jsou stále více zneužívány síťové komponenty, DSL a kabelové modemy a domácí směrovače.

Stažená záplata Microsoftu

Microsoft stáhl únorovou záplatu KB2920732, protože někteří uživatelé reportovali, že po jejím nasazení nelze spustit PowerPoint – přitom oprava měla původně za cíl právě zlepšit stabilitu PowerPointu. Web The Register spočítal, že za poslední tři čtvrtě roku musel Microsoft podobným způsobem stáhnout a znovu vydat celkem 6 záplat. Co s tím mají dělat administrátoři (jakkoliv problémy, kvůli nimž jsou záplaty staženy, se týkají vždy jen zlomku uživatelů)? Možné je třeba nasazovat záplaty až se zpožděním a ihned instalovat pouze opravy kritické, přece jen je to však oproti automatickému režimu pracnější…

Chytřejší Simplocker

Simplocker, ransomware pro mobilní zařízení s Androidem, který šifruje soubory, se objevil v nové verzi. Původní verze (rozšíření především Rusko, Ukrajina a anglicky mluvící země) používala pro všechny oběti stejný šifrovací klíč. Avast proto dokázal poměrně rychle vyvinout bezplatný nástroj, pomocí něhož se uživatelé mohli opět dostat ke svým datům. V nové verzi to už tak jednoduše nejde. Nikolaos Chrysaidos, který v Avastu odpovídá za platformu Android, doporučuje obětem (nová verze zatím zasáhla asi 5 000 zařízení), aby si zašifrovaný obsah zkopírovali do počítače, nic podvodníkům neplatili a vyčkali, zda se přece jen neobjeví řešení. Do té doby lze telefon zkusit používat v nouzovém režimu (a odstranit v něm i samotnou škodlivou aplikaci).

CSIRT.CZ varuje

V polovině února se začala šířit e-mailem další phishingová zpráva odkazující na stránku, která se snaží o vylákání přístupových údajů uživatelů internetového bankovnictví České spořitelny.
Zdroj: CSIRT.CZ

Ve směrovačích NetGear byla objevena další závažná bezpečnostní chyba, která umožňuje útočníkům získat přístup k citlivým informacím, jako jsou administrátorské heslo, přístupový klíč do Wi-Fi sítě či informace o firmware a typu zařízení. Pokud je zapnutá vzdálená správa, útok lze provést i přes WAN rozhraní.
Zdroj: CSIRT.CZ

Operace Cabanak

Během dvou let ukradli kybernetičtí zločinci z různých finančních institucí po celém světě až miliardu dolarů. Mezi postiženými zeměmi je i ČR. Za útokem označovaným Carbanak stojí mezinárodní kriminální skupina, jejíž členové pocházejí z Ruska, Ukrajiny, dalších částí Evropy a Číny. Podvod odpovídá trendu, kdy útočníci kradou peníze přímo z bank a vynechávají koncové uživatele.

Konkrétně útoky probíhaly několika způsoby:

Zločinci získali přístup do počítače zaměstnance banky nebo finanční instituce pomocí cíleného spear phishingu a infikováním zařízení oběti malwarem Carbanak. Poté byli schopní vstoupit do interní sítě a vysledovat správcovské počítače určené pro bezpečnostní kamery. To jim umožnilo sledovat vše, co se dělo na obrazovkách zaměstnanců, kteří pracovali se systémy převodů hotovosti. Takto podvodníci získali detailní přehled o práci bankovního úředníka a mohli ji napodobit tak, aby převedli a vybrali peníze.

Poté podvodníci využili online bankovnictví nebo mezinárodní online platební systémy k převodu peněz z účtů v bance na jejich vlastní účty. Tyto peníze byly následně vybrány v bankách v Číně nebo USA.

V dalších případech pronikli kybernetičtí zločinci do jádra systémů účtů, pozměnili zůstatky a zbytek peněz převedli podvodnými transakcemi na své účty. Například když bylo na účtu tisíc dolarů, změnili jeho hodnotu na deset tisíc dolarů a devět tisíc si převedli k sobě. Oběť dlouho nic netušila, protože zůstatek byl stále původních tisíc dolarů.

V jiných případech zločinci také získali kontrolu nad bankomaty a zadali jim, aby vydaly hotovost v určený čas, kdy jeden člen gangu k přístroji přišel a vydané peníze převzal.
Na vyšetřování se podílely IT firmy, Interpol, Europol i policie jednotlivých států. Zdroj: tisková zpráva společnosti Kaspersky Lab

První malware infikující pevné disky

Tým analytiků Kaspersky Lab odhalil skupinu stojící za komplexním a sofistikovaným útokem – The Equation Group. Tato skupina byla aktivní téměř dvě desetiletí a od roku 2001 infikovala tisíce a možná i desetitisíce obětí ve více než 30 zemích po celém světě.
Analytici byli schopni získat dva použití útočné moduly, které umožňují přeprogramovat firmware více než desítky známých značek pevných disků. Jde zřejmě o vůbec první známý malware schopný tímto způsobem infikovat pevné disky.
(Na toto téma viz také: NSA umí vložit špionážní kód přímo do firmwaru pevného disku)
Přeprogramováním firmwaru harddisků (tedy přepisem jejich operačního systému), dosáhla skupina dvou cílů:
Vysokou úroveň odolnosti, která pomáhá malwaru překonat i naformátování disku a reinstalaci operačního systému. Pokud se malware dostane do firmwaru, může se nekonečně obnovovat. Umí totiž zabránit smazání určitého oddílu nebo jeho nahrazení škodlivým během obnovení systému.

Schopnost tvorby neviditelných a odolných oblastí uvnitř harddisku. Ty jsou využity k ukládání vyfiltrovaných informací a jejich pozdějšímu užití útočníky. Někdy je díky tomu možné prolomit i šifrování.

Skupina Equation komunikovala s dalšími tvůrci malwaru, jako byl Stuxnet a Flame, a to patrně z nadřazené pozice. Equation měla přístup k zero-day zranitelnostem dřív než Stuxnet a Flame, a poté je s nimi sdílela. Zdroj: tisková zpráva společnosti Kaspersky Lab

Ze světa firem

Výzkum Cisco Annual Security Report zjistil, že nemalé procento IT odborníků podceňuje instalaci pravidelných bezpečnostních aktualizací. 56 % firem stále používá knihovny OpenSSL starší než 50 měsíců, které obsahují zranitelnost Heartbleed. Stejně tak například pouze desetina uživatelů programu Internet Explorer používá jeho nejnovější verzi.

Závěr: programy, které se aktualizují automaticky (konkrétně zmíněn Chrome), výrazně přispívají k vytvoření bezpečnějšího prostředí. Zdroj: tisková zpráva společnosti Cisco

Talkey, řešení pro ochranu firemních i osobních informací, si nyní mohou instalovat také uživatelé používající poštovního klienta Thunderbird nebo počítače s operačním systémem Mac OS. Dosud bylo Talkey dostupné pro Outlook a Windows.
Uživateli stačí malá obslužná aplikace, poté si vytvoří svůj unikátní Talkey klíč a heslo. Každý lokální i sdílený soubor, stejně jako zasílaný e-mail, pak může jednoduše zašifrovat. Jedná se o placené řešení (a poměrně drahé – cena cca 3 000 Kč ročně).
Zdroj: tisková zpráva společnosti Talkey

Celých 25 % výdajů na IT v příštích třech letech bude oproti současným 18 % směřováno do bezpečnosti (globální průzkum mezi manažery a IT specialisty ve velkých firmách).
Zdroj: tisková zpráva společnosti CA Technologies

Společnost Sophos jmenovala Joea Levyho novým technickým ředitelem (CTO). Levyho dřívější působení: Blue Coat Systems, Solera Networks a SonicWall.
Zdroj: tisková zpráva společnosti Sophos

Microsoft pro své cloudové služby přijal mezinárodní standard ISO/IEC 27018 týkající se zabezpečení ochrany dat a jejich soukromí. Co ze standardu vyplývá?

Pokud by došlo k neoprávněnému přístupu k osobním údajům, nebo k zařízení zpracovávajícímu data, případně k neoprávněnému přístupu do prostor datového centra, což by mělo za následek ztrátu, prozrazení nebo změnu uchovávaných informací, potom dáme o této skutečnosti našim zákazníkům vědět,“ uvádí Brad Smith, viceprezident společnosti Microsoft pro právní záležitosti. „Na základě tohoto standardu veškeré oprávněné zákonné požadavky na zpřístupnění údajů využitelných k identifikaci osob a dat týkajících se konkrétní organizace nebo společnosti ze strany orgánů činných v trestním řízení musí být zveřejněny zároveň dotčenému subjektu, pokud však není zákonem výslovně zakázáno o takovémto požadavku informovat,“ dodává Smith.
Zdroj: tisková zpráva společnosti Microsoft

Check Point koupil izraelský start-up Hyperwise. Firma dodává bezpečnostní technologii, která se snaží implementovat izolaci jednotlivých procesů (sandboxing) nikoliv na úrovni aplikace či operačního systému, ale přímo v rámci procesoru. Finanční podmínky transakce nebyly zveřejněny.

Psali jsme na ITBiz

Na téma bezpečnosti na ITBiz viz také:

Příbuzná témata: Ochrana, Malware,
Bezpečnost, Internet, Soukromí,
Antivirus,

Exit mobile version