Bezpečnostní přehled: Proč se vyplatí útoky zrovna na oddělení HR

O nadužívání slova hacking. Statistiky zranitelností CVE za loňský rok, vyhrály Android a Adobe. Policie chce přístup k datům zavražděného zákazníka Amazonu. Novinky ze světa ransomwaru. Databáze MongoDB přístupné bez hesla. Se zabezpečením e-mailu jsou na tom firmy prý hůře než koncoví uživatelé.

Následuje pravidelný bezpečnostní přehled vytvářený především podle webů ZDNet, CNet, The Register, SecurityWeek a HelpNet Security.

Kauza Amazon Echo
Po kauze FBI vs. Apple (zamčený iPhone) je zde další obdobný případ. Policie v Arkansasu požaduje od Amazonu záznam ze zařízení Echo. Jedná se o chytrý přehrávač, který se ovládá hlasem – dokáže tedy zaznamenávat zvuk. Zařízení stálo v bytě zavražděného a v den vraždy se prokazatelně používalo. Neví se ovšem, co přesně Echo zaznamenává a nějak ukládá (=zda i něco jiného, než co vyhodnotí jako ovládací příkazy), tj. zda takto lze v principu vůbec získat nějaké informace relevantní pro vyšetřování. Po zavraždění vlastníka zařízení by policie přístup ke cloudovému úložišti zavražděného každopádně ráda dostala, Amazon zatím odmítá heslo poskytnout a trvá na soudním příkazu.
(Poznámka: oproti kauze kolem iPhonu jsou zde ovšem i rozdíly. Apple se odmítl podvolit i soudnímu příkazu. Apple navíc uváděl, že přístup k zařízení vůbec nemá, protože neexistuje backdoor. To u účtu na Amazonu a podobné službě lze tvrdit hůře, provozovatel např. musí dokázat obnovit přístup k účtu při zapomenutí hesla.)

Lajdáctví, nebo hacking?
Zack Whittaker na ZDNet se zamýšlí nad tím, jak se dnes jakýkoliv únik dat často označuje za hacknutí (konkrétně inspirací ke komentáři byl unik dat ze státní instituce v Nevadě). Jinak řečeno, slovo je velmi nadužívané. Pokud si člověk vygoogluje seznam zařízení, které třeba umožňují přístup na nesmazatelné defaultní oprávnění, jde potom ovládnutí takového zařízení vůbec označovat za hacking?
Věc má minimálně ještě jednu další stránku. Když někdo špatně nakonfiguruje web nebo FTP server, takže příslušné citlivé informace jsou volně přístupné, pak se provozovatel označením incidentu za hacking celkem zbavuje odpovědnosti a skrývá, že šlo prostě o jeho vlastní lajdáctví. Takže i v Nevadě začala oficiální místa najednou mluvit o „útoku“, „krádeži dat“. Neoprávněný přístup do systému je ovšem trestný čin (a to bez ohledu na to, zda jsou nějaká data zkopírována), může se to v nějakém ohledu vztahovat i na toho, kdo si příslušná „volně přístupná“ data zobrazil, eventuálně je zkopíroval a pak poslal dál?

Přes chytré měřáky lze vypnout i zabezpečení
Netanel Rubin z filrmy Vaultra upozorňuje na rizika chytrých měřičů a dalších zařízení pro ovládání spotřeby elektřiny v domácnosti. Útočníci mohou získat k zařízení přístup např. kvůli nevhodné implementaci bezdrátové komunikace. Jindy se mohou za zařízení vydávat pomocí vlastního aparátu někde v sousedství. Rizika se neomezují na podvody s vyúčtováním nebo vypnutím systému, ale tímto způsobem lze potenciálně nastavovat odběry až tak, že se zničí další zařízení a vznikne riziko požáru. Rubin též demonstroval, jak útočník může ovládnutím tohoto systému posléze získat kontrolu i nad další domácí elektronikou a třeba vypnout zabezpečení a otevřít dveře.

Nejzranitelnější produkt: Android
Analýza databáze CVE zranitelností (spravuje společnost Mitre) za loňský rok poskytuje následující údaje. Celkem bylo za rok zaznamenáno přes 10 000 zranitelností. Co se jednotlivých produktu týče, nejvíce děr bylo objeveno v Androidu (523 záznamů), v žebříčku dodavatelů vede Adobe (celkem 1 383 záznamů, speciálně Flash Player 266 záznamů). Pořadí dalších dodavatelů: Microsoft (1 325), Google (695), Apple (611). V žebříčku produktů je na 2. místě Debian (319) a na 3. Ubuntu (278), často však kvůli chybám v balíčcích třetích stran, které jsou součástí příslušných distribucí, nikoliv samotných operačních systémů. A u Androidu je množství chyb dáno zase i tím, že Google za jejich reportování štědře platí, takže velké množství lidí má motivaci je hledat.

Volně přístupné databáze MongoDB
Asi 2 000 databází MongoDB, které byly bez přístupné z Internetu bez jakýchkoliv oprávnění, napadl ransomware. Victor Gevers z GDI.foundation uvedl, že část správců útočníkům požadovaných 0,2 bitcoinů opravdu zaplatilo. Každopádně na velké množství databází MongoDB přístupných bez hesla se upozorňuje už pár let, jejich množství klesá jen zvolna. V rámci Amazon Web Services až 78 % používaných implementací MongoDB obsahuje nějaký bezpečností problém. Napadnutelné databáze lze celkem snadno dohledat (takto lze najít asi 25 000 aplikací, je tedy skoro s podivem, že ransomware nenapadl všechny).

Zranitelnosti a opravy
Google vydal první letošní sadu záplat pro Android (přesněji řečeno, opravy jsou rozděleny do dvou balíčků, na samotný systém a ovladače + software výrobců zařízení). Z 95 opravených zranitelností je 22 označeno jako kritické, 50 má pak povahu eskalace oprávnění.
Kritická zranitelnost CVE-2017-0381, umožňující vzdálené spuštění kódu, se vztahuje ke komponentě Mediaserver, kterou je třeba látat velmi často. Další kritické zranitelnosti se týkají souborového systému jádra, sybsystému paměti jádra, zavaděče Qualcomm a ovladačů Nvidia, MediTek a Qualcomm (pro software Qualcomm byly uvolněny navíc ještě opravy tří dalších kritických chyb).

Kaspersky opravil ve svém softwaru chybu, která mohla uživatelům způsobovat problémy při ověřování certifikátů SSL (tj. pak např. nefungovaly určité weby).

Emsisoft publikoval nástroj pro odemčení souborů zašifrovaných ransomwarem Globe3 (verze Globe a Globe2 byly prolomeny už dříve). Globe3 může mít celou řadu podob, protože k dispozici je nástroj umožňující podvodníkům malware přizpůsobit na míru podle konkrétních cílů.

CSIRT.CZ upozorňuje/varuje
Nová kampaň cílí na HR oddělení. Využívá faktu, že pracovníci oddělení lidských zdrojů otevírají přílohy z neznámých zdrojů nejčastěji. Zatím tento útok používá ransomware GoldenEye (varianta Petya). Lze očekávat, že se připojí i ostatní producenti ransomwaru.

Poznámky: V minulosti podobné akce prováděl ransomware Cerber. Jak uvádí Check Point, stávající kampaň běží především v Německu. Průvodní e-maily většinou obsahovaly 2 přílohy, neškodný PDF s životopisem, který měl zaměstnance HR oddělení přimět otevřít samotný škodlivý Excel a povolit makra.
Allan Liska, bezpečnostní analytik Recorded Future, v této souvislosti poznamenává, že firmy jsou proti ransomwaru paradoxně zranitelnější než koncoví uživatelé. Microsoft, Google, Yahoo a další poskytovatelé webových e-mailů mají totiž mnohem efektivnější filtry než běžné společnosti, také umí mnohem rychleji identifikovat nové hrozby a začít je filtrovat. Nedokonalost technologií pro zabezpečení e-mailu v podnicích je podle Lisky vůbec hlavním důvodem nástupu ransomwaru v loňském roce.

Ze světa firem
38 % finančních institucí připouští, že je vzhledem ke komplexnímu technologickému prostředí stále složitější rozeznat podvodnou transakci od běžné. Specializované řešení proti finančním podvodům má zavedeno pouze 57 % z nich.
Zdroj: tisková zpráva společnosti Kaspersky Lab

Pouze 30 % uživatelů internetu vytváří pro každý svůj účet unikátní heslo. Každý 10. používá stejné heslo pro všechny služby. 47 % lidí používá ve svých heslech kombinaci malých a velkých písmen a 64 % kombinují písmena a čísla.
Zdroj: tisková zpráva společnosti Kaspersky Lab

Škodlivý kód Danger byl i v závěru roku 2016 nerozšířenější hrozbou v ČR; prosincových 46 % je ovšem přece jen méně něž 54% podíl v listopadu. Tento malware se šíří především pomocí e-mailů se škodlivými přílohami. Danger stahuje další škodlivé kódy, tj. oběti ohrožuje variabilním způsobem.

Top 10 hrozeb v ČR za prosinec 2016

  1. JS/Danger.ScriptAttachment (46 %)

  2. JS/TrojanDownloader.Nemucod (4 %)

  3. VBA/TrojanDownloader.Agent.CFL (3 %
    )

  4. JS/Kryptik.RE (2 %)

  5. VBA/TrojanDownloader.Agent.CCV (2 %)

  6. VBA/TrojanDownloader.Agent.CFA (2 %)

  7. VBA/TrojanDownloader.Agent.CEF (2 %)

  8. VBA/TrojanDownloader.Agent.CDE (2 %)

  9. VBA/TrojanDownloader.Agent.CDO (2 %)

  10. VBA/TrojanDownloader.Agent.CEW (2 %)

Zdroj: tisková zpráva společnosti Eset

Barracuda NextGen Firewall je nově k dispozici i pro Google Cloud Platform.
Zdroj: tisková zpráva společnosti Gesto Communications (distributor Barracuda Networks pro ČR a SR)

Psali jsme na ITBiz.cz

Na téma zabezpečení na ITBiz viz také

Doporučení FBI pro zvýšení bezpečnosti IT

Bezpečnostní přehled: Rok starý a nový

Exit mobile version