Bezpečnostní přehled: Ransomware jako letadlová hra

Další únik dat z Yahoo. Problémy s určením výdajů na bezpečnost ve vztahu k IT jako celku. Likvidace hardwaru přes USB. Malware těžící novou kryptoměnu Zcash. Účinnost různých metod phishingu. Zranitelnosti a opravy: NetGear, McAfee, jádro Linuxu a další.
Následuje pravidelný bezpečnostní přehled vytvářený především podle webů ZDNet, CNet, The Register a HelpNet Security.

Jaký je podíl bezpečnosti ve výdajích na IT?

Podle analýzy Gartneru vynakládají firmy na IT bezpečnost/řízení rizik mezi 1 a 13 % nákladů na IT jako celek, v průměru je tato hodnota 5,6 %. Všechna tato čísla jsou ovšem poněkud zavádějící (i když mají smysl relativní, pokud se stejná metodika průzkumu uplatňuje v delším období, napříč obory apod.). Bezpečnostní prvky jsou totiž začleněny do hardwaru včetně síťových prvků a softwaru, bezpečností se nějak zabývají i lidé z IT oddělení, kteří to nemají přímo v popisu práce, outsourcovaná služba je rovněž nějak zabezpečena… ve všech těchto případech se pak náklady v příslušné kolonce neobjeví. Sporné je i samotné vymezení, mají se do IT bezpečnosti započítávat řešení pro kontinuitu podnikání nebo ochranu soukromí? Mnohé firmy navíc vůbec nevedou IT bezpečnost jako samostatnou položku. V některých případech se náklady na IT zabezpečení stanovují „organizačně“, tj. je to rozpočet, s nímž disponuje šéf IT zabezpečení (CISO), takovou funkci ale zdaleka nemají ani všechny velké podniky.

USBKill: Kdo odolá?

The Register informoval o tom, co všechno dokáže zničit přístroj USBKill. Jedná se o zařízení, které po připojení do USB portu v několika vteřinách přístroj usmaží pomocí kontinuálního přepětí na tomto portu. Zatímco jiné nízkoúrovňově působící škodlivé USB disky lze zkoumat třeba ve virtualizovaném prostředí, zde na systému nezáleží, jediné, co pomůže, je ochrana proti přepětí. Zničit se takto podařilo Xbox One S PlayStation 4 Pro, Microsoft Surface, MacBook Pro, Google Pixel a Samsung Galaxy S7 Edge. Přežil např. iPad Pro. Dále se ale ukázalo, že tímto způsobem lze ničit i přístrojové desky automobilů. A jak by tomu bylo třeba v letadlech? USB porty jsou dnes všude…

Smartphony s malwarem

Trojské koně byly podle analýzy společnosti Dr. Web objeveny na 28 smartphonech s Androidem. Vesměs jde o levné modely málo známých výrobců, nicméně mezi infikovanými zařízeními je i Lenovo A6000 a A319. Na vině jsou podle všeho prodejci nebo další subjekty v dodavatelském řetězci. Většina trojských koní stahuje/instaluje/zobrazuje adware, tedy pro uživatele ještě relativně neškodný druh malwaru. Na telefonech Lenovo byl konkrétně objeven Android.Sprovider.7 vložený do aplikace Rambla.

Phishing se vyplatí „koupit“

Studie Imperva se zaměřuje na srovnávání phishingových kampaní. Nejvyšší účinnost prý mají předpřipravené balíčky (tedy phishing-as-a-service), které zahrnují např. „dodávku“ kompromitovaných serverů, systémů pro rozesílání spamu nebo e-mailových adres. Nejvýnosnější čas pro phishingové útoky je dopoledne (lidé tedy provádějí příslušné operace spíše v zaměstnání než doma) a je údajně snadnější přimět uživatele, aby otevřel přílohu v e-mailu (a např. do ní vyplnil citlivé informace nebo na e-mail odpověděl) než aby klikl na odkaz a vyplnil formulář na webu.

Infikujte přátele

Další milý trik provozovatelů ransomwaru. Tvůrci PopCorn Time (nesouvisí se stejnojmenným bittorentovým klientem) nabízejí obětem následující byznys: za odemčení dat netřeba platit výkupné 1 bticoin, pokud dotyčný dokáže infikovat další dva lidi – pomocí odkazu lze údajně jednoznačně propojit oběti s konkrétním prostředníkem. Ten ovšem dostane dešifrovací klíč pouze tehdy, pokud obě další oběti zaplatí (tj. nelze si takto nechat fiktivně zašifrovat prázdné operační systémy apod.).
Poznámka: Virální technika, totéž nabízet dalším obětem v řadě? Nebo dokonce oběti nejprve nabídnout dešifrovací klíč, ale v případě ještě více infikovaných i podíl ze zisku? Dělat z oběti komplice?

Podvodníci začali vytvářet oznámení, které simulují hlášky prohlížeče MS Edge o infekci stránky. V podvrženém oznámení pak bývají uvedena např. telefonní čísla „technické podpory“ provázaná s dalšími podvody nebo jde o čísla speciálně tarifikovaná.

Zranitelnosti a opravy

Další zranitelnost ve směrovačích, tentokrát jde o Netgear R7000 a R6400. Útočník může bez oprávnění spouštět příkazy s právy roota. Stačí přimět uživatele k návštěvě webu, který obsahuje určité URL (třeba v neviditelném rámečku). Následně se pak část tohoto URL spustí na IP adrese směrovače a dojde zde k otevření portů včetně telnetu. Americký CERT v tomto případě přímo doporučil nepoužívat oba modely až do vydání záplaty.
Aktualizace: Počet zranitelných zařízení se výrazně rozšířil. Netgear již začal s vydáváním oprav, k dispozici je beta verze záplatovaného firmwaru.

McAfee vydala novou verzi s opravou 10 kritických zranitelností (např. CVE-2016-8021, CVE-2016-8022 a CVE-2016-8023) v řešení VirusScan Enterprise Linux. Podvodník mohl systém kompromitovat vytvořením falešného aktualizačního serveru. Andrew Fasano z MITu, který problém objevil, na něj přitom výrobce upozornil už před půl rokem, právě takovou dobu si McAfee vyhradila na opravu. Útok začíná vnucením falešného tokenu, následuje vzdálené spuštění kódu a eskalace oprávnění.

V jádru Linuxu byly zalátány zranitelnosti CVE-2016-6480, CVE-2016-6828 a CVE-2016-8655. Poslední chyba umožňuje lokálním uživatelům (což může stejně tak znamenat vzdálené uživatele cloudových či virtualizovaných řešení) spouštět libovolné příkazy s právy roota nebo vyřadit celý systém z provozu. Ne problém upozornil Philip Pettersson; uvádí, že zranitelné byly mj. nejnovější verze Debian, Fedora, Red Hat Enterprise Linux 7 i Ubuntu. Ke všem hlavním distribucím by již měly být k dispozici opravy.

Viz také: Prosincové záplaty Microsoftu, Adobe a Applu

CSIRT.CZ upozorňuje/varuje

Jeden z nejrozšířenějších typů ransomwaru, Locky, se objevil v nové formě. Dostala jméno Osiris podle koncovek zašifrovaných souborů. Nový verze ransomwaru se šíří e-mailovem s infikovanými excelovými přílohami. Po otevření souboru je uživatel vyzván k povolení maker.

Ze světa firem

Vývoj ransomwaru v roce 2016 podle výroční studie Kaspersky Security Bulletin. Počet útoků na podniky se v průběhu roku 2016 ztrojnásobil. Druh ransomwaru pojmenovaný Shade, byl schopný změnit svůj přístup k oběti – když se ukázalo, že infikovaný počítač patří finanční instituci, začal namísto šifrování složek se stahováním a instalací spywaru.

*Zdroj: tisková zpráva společnosti Kaspersky Lab *

Objeveno bylo více než 1 000 počítačů s „mining“ softwarem, který byl schopný generovat Zcash. Tato měna je v oběhu od října a její hodnota při uvedení raketově stoupala, což ji ihned zatraktivnilo pro podvodníky. Kyberzločinci distribuovali aplikace generující tuto měnu prostřednictvím torentů jako dodatek k bezplatným nebo načerno pořízeným softwarům.

*Zdroj: tisková zpráva společnosti Kaspersky Lab *

ČD–Telematika inovuje svou službu ČDT-AntiDDoS zkrácením reakční doby na DDoS útok u varianty této služby „Připraveno k čištění“. Automatické přesměrování do scrubbing centra a začátek čištění proběhne nově do 4 minut od detekce DDoS útoku; dosud to bylo po uplynutí až 15 minut.

Zdroj: tisková zpráva společnosti ČD–Telematika

Bezplatný nástroj Eset Online Scanner umožňuje ověřit, zda počítač nebyl součástí botnetu Avalanche (o jeho konci viz předcházející Bezpečnostní přehled.

Zdroj: tisková zpráva společnosti Eset

Dva roky stará bitcoinová burza CoinMate.io využívá provozní platformu společnosti Profinit. Výsledkem má být zabezpečení srovnatelné s bankovními systémy. „Pro vklady uživatelů je využita bitcoinová peněženka (cold wallet), ke které systém vůbec nemá přístup, ale díky principu veřejné účetní knihy může sledovat pohyb na účtech. Proto je možné ihned připisovat vklady, ale nelze i po napadení systému tyto bitcoiny ukrást. Naopak pro výběry bitcoinů je využívána druhá peněženka (hot wallet), ve které je jen minimální objem bitcoinů nutný pro denní výběry. Tato peněženka je průběžně doplňována manuálními převody z cold wallet,“ uvádí TZ.

Zdroj: tisková zpráva společnosti Profinit

Představeny byly rozšířené funkce pro domácí bezpečnostní kameru Logitech Circle. K novinkám má patřit detekce osob metodami umělé inteligence a zóny sledování pohybu ve vybraných oblastech domu.

Zdroj: tisková zpráva společnosti Logitech

Podle průzkumu Acronis je v oblasti sdílení a přístupu k citlivým datům pro české společnosti největší výzvou nezabezpečený přístup k datům z mobilních zařízení (45 %).

Zdroj: tisková zpráva společnosti Acronis

IBM spouští betaverzi kyberbezpečnostního programu Watson for Cyber Security. Téměř 60 % odborníků na bezpečnost považuje kognitivní systémy za novou prioritu. Aktuálně zavádí kognitivní bezpečnostní nástroje jen 7 % z nich, v příštích dvou až třech letech to však plánuje 21 % respondentů. (Poznámka: Kognitivní systémy zde lze brát cca jako synonymum umělé inteligence, zahrnuje např. strojové učení a zpracování přirozeného jazyka.)

Zdroj: tisková zpráva společnosti IBM

V rámci soutěže Cisco Outstanding Thesis Award, kterou uspořádala již třetí rok po sobě společnost Cisco a Fakulta elektrotechnická ČVUT v Praze, byly oceněny i práce týkající se bezpečnosti IT. V kategorii magisterských prací zvítězil Jakub Černý (ČVUT FEL) za práci, která popisuje boj s kybernetickým zločinem na bázi teorie her. Martin Čerňáč (ČVUT FIT) byl oceněn za bakalářskou práci Studie kvality parametrů digitálních certifikátů na českém internetu.

Zdroj: tisková zpráva společnosti Cisco

Axis rozšiřuje své portfolio bezpečnostních řešení o 7 sedm nových IP kamer Canon. Patří mezi ně např. modely VB-S30VE (kompaktní venkovní mini kopulová kamera s otáčením/nakláněním/přiblížením obrazu) a VB-H761LVE (venkovní pevná kamera s 20násobným přiblížením a IR přisvětlením).

*Zdroj: tisková zpráva společnosti Axis Communications *

Čeští uživatelé internetu byli cílem masově šířeného e-mailu – podvodu, jehož autoři se vydávali za Lidl a za vyplnění dotazníku nabízeli poukázky do těchto prodejen v hodnotě 2 500 Kč. Lidl prohlašuje, že s akcí nemá nic společného. (Pravděpodobně načasováno na předvánoční nákupní horečku.)

Zdroj: Lidl

Na sociálních sítích se objevily reklamy, které slibují finanční odměnu za přihlášení do internetového bankovnictví. Jedná se však o phishing, odkaz směřuje na podvodné weby, např. ibnew.esy.es, ibnewmban.com a mbanking24.esy.es.

Zdroj: mBank (cíleno i na klienty dalších tuzemských bank)

Psali jsme na ITBiz.cz

Na téma zabezpečení na ITBiz viz také
Yahoo: Hackeři ukradli data z miliardy uživatelských účtů
Z hlediska počtu kompromitovaných účtů jde o jeden z největších incidentů v dějinách kybernetické kriminality vůbec. Přitom v září Yahoo přiznalo, že v roce 2014 došlo ke kompromitaci dalšího půl milionu účtů. Experti v souvislosti s incidenty zmiňují i používání zastaralých šifrovacích technologií (MD5). I když hesla nebyla uložena otevřená a unikla v podobě hash, na jejich bezpečnost se kvůli tomu spolehnout nejde.

Exit mobile version