Bezpečnostní přehled: Přibývá nedůvěryhodných certifikátů

Záplaty Adobe, zranitelnost knihovny glibc, problémy s insidery, jak se vyvíjí ransomware, ústup Windows XP, biometrika v podobě rozpoznávání chůze… Následuje pravidelný bezpečnostní přehled vytvářený především podle webů ZDNet, CNet, The Register a HelpNet Security.

Redakční systémy zdrojem ohrožení

Podle studie společnosti DB Networks vzrostlo v loňském roce výrazně množství objevených zranitelností, které umožňují útoky SQL injection. Za nejzávažnější pokládá analýza chybu v redakčním systému Drupal, která byla objevena v říjnu 2014 a učinila zranitelnými přes milion webů. Zajímavé na údajích DB Networks je, že nejvíce zranitelností SQL injection prý bylo v roce 2010, pak tyto hodnoty až do roku 2013 klesaly, loni se trend opět obrátil.

Uhádnout myšlenky

Fujitsu údajně vyvíjí software, který by měl uživatele varovat ještě předtím, než klikne na nějaký škodlivý link, odpoví na podvodný e-mail, někam zadá heslo apod. Nástroj má vycházet z analýzy dosavadního chování uživatele, z toho, jak se chová riskantně, jak důvěřuje ve své schopnosti a je přesvědčen, že se mu nemůže nic stát atd. Umělá inteligence prý dokáže se slušnou pravděpodobností uhodnout, co se člověk chystá provést, ještě než to provede.
Poznámka: Oč toto může být funkčnější než webový štít, který uživatele nechá kliknout, ale akci zablokuje?

Zranitelnost knihovny GNU C

Výzkumníci společnosti Qualys upozorňují na zranitelnost knihovny GNU C Library (glibc), která útočníkům umožňuje vzdálené ovládnutí linuxového systému, aniž by museli mít předem jakékoliv oprávnění. Zranitelnost je označována jako Ghost (CVE-2015-0235), týká se všech verzí Linuxu od roku 2000, které používají knihovnu glibc-2.2 a novější, nicméně některé aktualizace problém zmírňují. Na druhé straně zase tyto aktualizace často nejsou označovány jako bezpečnostní záplaty, takže mnohdy se s jejich instalací správci neobtěžovali. Podle vyjádření Wolfganga Kandeka, CTO společnosti Qualys, pro web HelpNet Security může ke zneužití stačit už i zaslání e-mailu a výsledkem je získání kompletních oprávnění.

Komentář/popis zneužití na YouTube:

Aktualizovat Symantec

Výzkumník Stefan Viehböck objevil v softwaru Symantecu pro zabezpečení datových center (Symantec Critical System Protection 5.2.9 a Server Advanced 6.0.x/6.0 MP1) chybu, která umožňovala útočníkům získat privilegovaný přístup k serverům pro správu. Podrobnosti byly publikovány v okamžiku, kdy Symantec již vydal příslušné aktualizace. Viehböck nicméně doporučuje přesto přezkum/audit těchto systémů, protože útočníci mohli tímto způsobem třeba přenastavit bezpečnostní politiky u všech klientských zařízení/uživatelů.

Adobe má v novém roce problémy

Adobe vydala mimořádnou opravu pro zranitelnost přehrávači Flash Player – jedná se však o jinou zranitelnost, než je ta zmíněná v předcházejícím bezpečnostním přehledu (viz zde http://www.itbiz.cz/clanky/bezpecnostni-prehled-otazniky-kolem-zakona-o-kyberneticke-bezpecnosti).

Chyba mj. umožňovala obcházet mechanismus znáhodnění paměti ve Windows (ASLR). Zranitelnost se vyskytovala ve verzích od 15.0.0.223 po nejnovější 16.0.0.257, oprava je určena pro všechny OS, ačkoliv samotná možnost zneužití by měla být pouze záležitostí verze pro Windows.

Aktualizace: Výše zmíněná zranitelnost byla již opravena rovněž. Adobe vydala dvě mimořádné opravy krátce po sobě, chyby již jsou aktivně zneužívány a při návštěvě podvodných/kompromitovaných webů jsou bez aktualizaci chránění pouze ti, kteří používají Chrome, jinak může dojít ke vzdálenému spuštění kódu bez další interakce.

Google opět provokuje, tentokrát Apple

Google v rámci programu Project Zero zveřejnil podrobnosti o 3 zero day zranitelnostech v operačním systému X OS. Stalo se to opět automaticky, 90 dní poté, co byl na problém upozorněn Apple. Publikována byla již proof-of-concet metoda, jak jde těchto chyb zneužívat. Apple se k záležitosti veřejně nevyjádřil. Zranitelnosti nicméně nejsou kritické, vyžadují, aby útočník měl k počítači s MacOS fyzický přístup.
Viz také: Google a Microsoft se hádají o zveřejňování zranitelností

Opravy pro Chrome

Chrome 40 opravuje 62 bezpečnostních zranitelností, za které Google tentokrát zaplatil 88 500 dolarů. Největší odměnu 12 000 dolarů dostal výzkumník vystupující pod přezdívkou Cloudfuzzer (2 zranitelnosti po 3 000 a 2 po 2 000). Zřejmě nejzávažnější zalátaná chyba CVE-2014-7923 umožňovala zneužití pomocí porušení paměti.

Cryptowall – i ransomware se vyplatí aktualizovat

Ransomware Cryptowall by zaznamenán ve verzi 3.0 (též označován jako Crowti). Za odemčení zašifrovaných souborů požaduje 500 bitcoinů. Nová verze s řídicími servery komunikuje přes Tor a zatím zasáhla asi 4 000 počítačů, především v USA a Austrálii. Odhaduje se, že za poslední půlrok ovšem podvodníci tímto způsobem dokázali znepřístupnit data více než 600 000 uživatelů.

Insideři jsou problémem všude

Analýza společnosti Vormetric rozebírá kybernetickou kriminalitu insiderů. 93 % amerických firem přiznává, že proti vlastním zaměstnancům nemají dostatečnou obranu, 59 % pokládá za největší riziko privilegované uživatele. Za nejcennější typ dat většina respondentů považuje databáze, na druhém místě jsou souborové servery. Celosvětově 54 % respondentů uvádí, že výdaje na IT bezpečnost u nich v letošním roce vzrostou, pouze 8 % hodlá tyto výdaje snižovat.

Interní IT hrozby vedly ke ztrátám dat u 16 % českých podniků. Vyplývá to z průzkumu Kaspersky Lab mezi 3 900 IT profesionály v 27 zemích včetně ČR. Zranitelnosti softwaru uvedlo mezi interními riziky 34 % dotázaných firem v Česku. Únik dat z firemního mobilního zařízení (27 % českých respondentů) a náhodný únik dat způsobený zaměstnanci (26 %) jsou druhou a třetí nejčastější interní hrozbou. Úniky dat se nevyhýbají ani firmám provozujícím kritickou infrastrukturu (telekomunikace, energetika…).
Zdroj: tisková zpráva společnosti Kaspersky Lab

Ze světa firem – výběr z tiskových zpráv

Počet nedůvěryhodných certifikátů sloužících k podpisu škodlivého softwaru se za poslední rok zdvojnásobil. Antivirová databáze Kaspersky Lab jich obsahovala na konci roku 2014 více než šest tisíc. Analytici společnosti proto radí administrátorům i uživatelům, aby slepě nedůvěřovali digitálním podpisům a nespouštěli podepsané soubory čistě jen na základě síly jejich podpisu. Stuxnet zneužíval certifikáty ukradené z Realteku a JMicronu. Gang Winnti odcizil certifikáty z napadených herních společností a využil je pro nové útoky. Existují i příklady stejných certifikátů použitých pro spuštění útoků dalších skupin čínských hackerů, což naznačuje, že se s nimi obchoduje na černém trhu. Také skupina stojící za kampaní Darkhotel obvykle podepisovala své backdoory digitálními certifikáty a zřejmě měla přístup k tajným klíčům potřebným k tvorbě falešných certifikátů.
Zdroj: tisková zpráva společnosti Kaspersky Lab

Brněnská IT firma Kinalisoft vyvíjející systém pro rozpoznávání člověka podle jeho chůze uspěla jako zatím jediný zástupce ČR při rozdělování peněz Evropskou komisí v rámci programu SME Instrument (Horizont 2020). Rozpoznávání chůze nemá nahradit jiné obdobné biometrické metody, ale spíše je doplnit. Například když si pachatel nasadí kuklu, nebude fungovat často využívaná metoda rozpoznávání obličeje a chůze zůstane jako identifikátor jednou z mála použitelných možností. Další prostor pro využití lze najít například v bankách, na letištích, v různých zabezpečených areálech apod.
Zdroj: tisková zpráva společnosti Kinalisoft

Symantec oznámil nové jméno své samostatné veřejně obchodovatelné společnosti pro Information Management – Veritas Technologies Corporation. Tato společnost bude vytvořena po dokončení rozdělení společnosti Symantec.
Zdroj: tisková zpráva společnosti Symantec

Pátá generace procesorů Intel Core vPro nabízí podle dodavatele hardwarově posílené zabezpečení a možnosti správy. V kombinaci s Intel Solid-State Drive Pro 2500 Series mohou IT oddělení implementovat integrované šifrovací funkce. Technologie Intel Identity Protection má zjednodušovat autentifikaci.
Zdroj: tisková zpráva společnosti Intel

Nová verze sady nástrojů Cisco Meraki je určena pro řízení podnikové IT infrastruktury v cloudu. Co se týče zabezpečení, nabízí řešení pro jednotné řízení bezpečnostních hrozeb (UTM), které dle dodavatele umožňuje sledování situace a rychlou reakci pomocí technologie Sourcefire.
Zdroj: tisková zpráva společnosti Cisco

Windows 8.1 brzy v ČR překonají Windows XP. Ve firmách jsou ovšem mnohem oblíbenější Windows 7. Podle údajů společnosti Servodata přešlo během roku 2014 na Windows 7 až 60 % velkých českých firem. Administrátoři IT těchto podniků hodnotí Windows 7 jako aktuálně nejvhodnější systém pro korporátní využití. Statistika gemiusRanking uvádí, že Windows 7 pohání téměř 48 % českých počítačů připojených k internetu.
Zdroj: tisková zpráva společnosti Servodata

Záplatováno několik bezpečnostních zranitelností v PHP. Doporučuje se provést aktualizaci PHP na nejnovější verze co nejdříve.
Zdroj: CSIRT.cz

K dispozici jsou nové verze síťových služeb VMware vCloud Air, které využívají síťovou virtualizační platformu VMware NSX. Co se týče bezpečnosti, zákazníci mohou nyní definovat zabezpečené skupiny, které umožní izolaci síťového provozu bez nutnosti použití několika virtuálních sítí. Tato funkce poskytuje podle dodavatele bezpečnostní model „nulové důvěry“, který byl navrhnut jako ochrana proti získání plného přístupu k síti insidery či narušiteli. Funkce je zaváděna jako distribuovaný firewall.
Zdroj: tisková zpráva společnosti VMware

Předpověď vývoje IT v letošním roce podle IDC: Na téma bezpečnosti se jako trend uvádí poptávka po řešeních, která „zabezpečí koncové body cloudu (např. biometrické zabezpečení mobilních zařízení) i jeho jádro (šifrování dat se stane v cloudu běžnou praxí). Významnou kategorií „dat jako služby“ bude sběr a analýza bezpečnostních dat, kde rychle rostoucí počet firem bude požadovat informace na míru.“
Zdroj: tisková zpráva společnosti IDC

Nový bakalářský obor Informační bezpečnost otevře od září letošního roku Fakulta elektrotechniky a komunikačních technologií VUT v Brně. Díky zaměření studijního oboru, kde se kromě technických předmětů bude učit např. též ekonomie či softwarové právo, mají absolventi najít uplatnění nejen na čistě technických pozicích, ale také na obchodních, konzultantských či manažerských postech.
Zdroj: tisková zpráva Vysokého učení technického Brno

Psali jsme na ITBiz

Na téma bezpečnosti na ITBiz viz také:

Útvar proti kyberkriminalitě by měl fungovat od příštího roku
V ČR by měl od 1. ledna 2016 začít fungovat speciální útvar v boji proti kybernetické kriminalitě, kde budou zástupci policie a Národního bezpečnostního úřadu (NBÚ).

[T-Mobile se vloni ubránil výrazně silnějším DDoS útokům]
(http://www.itbiz.cz/tiskove-zpravy/t-mobile-se-vloni-ubranil-vyrazne-silnejsim-ddos-utokum)
Podle zpráv společnosti T-Mobile koncem roku stoupla intenzita DDoS útoků až o 15 milionů %. Nejvíce se útočilo na NTP a DNS servery, nejméně na mobilní infrastrukturu. Útoky byly eliminovány prostřednictvím systému Arbor.

Exit mobile version