Bezpečnostní přehled: Shadow Group vs. Equation Group

Problematika nechtěných programů, které se nacházejí na pomezí legality. Hry tajných služeb a zranitelnosti v produktech Cicso a Fortinet. Řízení uživatelských účtů ve Windows. Kvantová kryptografie přes satelit, čtení URL pozpátku. Manažeři IT podporují mobilitu i na úkor bezpečnosti.
Následuje pravidelný bezpečnostní přehled vytvářený především podle webů ZDNet, CNet, The Register a HelpNet Security.

Exploity proti síťovým zařízením

Asi hlavní kauzou, kterou média zmiňovala v posledním týdnu, je hacknutí Equation Group, což má být údajně skupina pracující pro americké vládní agentury – shromažďuje zranitelnosti a vytváří exploity, jako byl červ Stuxnet. Za útokem stojí skupina Shadow Group, u níž mnozí předpokládají pro změnu vazby na Rusko (stejně jako se do souvislosti s Ruskem dávají i nedávné hacky amerických politiků).

Skupina Shadow Group chce většinu získaných informací, de facto stáhnutou adresářovou strukturu hacknutých serverů, prodat (za milion bitcoinů), jako vábnička byly publikovány informace o zranitelnostech, především v síťovém hardwaru Cisco, Juniper a Fortinet.

Ve zveřejněných adresářích z Equation Group (názvy adresářů EPICBANANA a EXTRABACON, tyto názvy jako programy NSA zmiňoval i Snowden) se nacházejí dvě zranitelnosti umožňující vzdálené spuštění kódu ve firewallech Cisco, jedna je nová, druhá byla opravena v roce 2011. Dosud neznámá chyba existuje v kódu od roku 2013 a podle Cisca nebyla výrobci nikdy reportována.

Fortinet potvrdil, že popisovaná zranitelnost existuje, ale byla přítomna ve verzích firmwaru FortiGate starších než srpen 2012.

Poznámka PH: Pokud Shadow Group chtějí milion bitcoinů, pak samozřejmě ty nejcennější úlovky nepustí teď z rukou, informace o opravených chybách ale nepůsobí zrovna senzačně. Ovšem celá aukce zranitelností může být jen jakýsi trik, hra mezi tajnými službami apod.

Nechtěné programy vydělávají, víceméně legálně

Google, New York University a Computer Science Institute publikovaly studii o programech pay-per-install (PPI) – tedy takových, které se při instalaci uživateli pokusí změnit prohlížeč, podobu vyhledávání, vstupní stránku, vytvoří mu prostor pro zobrazování reklamy nebo k sobě přibalí další programu, různé lišty a jiná rozšíření, o něž uživatel původně nestál. V podstatě nejde o malware, tyto aktivity dodavatelů jsou vesměs legální (nakonec něco podobného dělá třeba i Opera nebo Skype; jako měřítko legálnosti lze brát třeba to, zda všechny změny musí uživatel odklikat v dialozích a zda se nechtěných funkcí lze zase zbavit), nicméně uživatelům to komplikuje život možná i častěji než pořádně škodlivé programy; podle odhadu se celosvětově instaluje 60 milionů těchto aplikací každý týden. PPI současně často znamená, že platbu za instalaci získává např. web, z něhož si uživatel takový program stáhne; může to být třeba i v řádu dolarů za instalaci a nejmenovaný velký web podle studie takto za rok vyinkasoval až 460 milionů dolarů.

Nástroj pro sociální inženýry

Publikován byl testovací nástroj DataSploit, které umožňuje automatizovaně zjišťovat, jaká data jsou na webu o konkrétních uživatelích – jména, e-mailové adresy, telefonní čísla a další informace využitelné při sociálním inženýrství. Také se s těmito údaji korelují např. webové stránky včetně eventuálních bezpečnostních děr, někde uložené přihlašovací údaje apod. DataSploit byl vytvořen v Pythonu a využívá technologie MongoDb, Django, Celery a RabbitMq.

Kvantová kryptografie i přes satelit

Čína oznámila, že jako první na světě vypustila satelit, který pro zabezpečení komunikace využívá kvantovou kryptografii. Satelit tedy podporuje distribuci šifrovacích klíčů, jako provázané částice (kdy změna jedné vyvolá i změnu druhé, což se používá k detekci odposlechu) jsou použity obvyklé fotony.

Podrobnosti: Čína vypustila satelit s kvantovou kryptografií

(Poznámka PH: Zajímavé by bylo zjistit, kde se kvantová kryptografie používá kolem nás v produkčním prostředí. Asi před 10 lety jsem četl, že kvantovou kryptografii nasazuje do provozu banka ve Vídni, co se změnilo od té doby?)

Podvrh adresy ve Firefoxu a Chrome: URL pozpátku

Výzkumník Rafay Baloch si vydělal 5 000 dolarů tím, že upozornil na způsob, jak lze manipulovat s podobou adresy v adresní řádce prohlížečů Chrome a Firefox. Problém má spočívat v tom, že některé jazyky/verze prohlížeče čtou/zobrazují/renderují znaky zprava doleva. Následně pak lze adresy „překlápět“ a 127.0.0.1/اbackslash/http://example.com zobrazit jako http://example.com/‭backslash/127.0.0.1. Chrome 53 a Firefox 48 pro mobilní zařízení mají tento problém opravit.

(Poznámka PH: zpětné lomítko má způsobit, že prohlížeč si „začne myslet“, že adresu je třeba uspořádat naopak. Testovací adresa má být http://182.176.65.7/%EF%B9%B0/http://google.com/test, zranitelný prohlížeč zobrazí v adresním řádku http://google.com/test/182.176.65.7, tj. jasné je možné využití pro phishing; nicméně můj Firefox se takto ošidit nedá.)

Podvodníci nabízejí jiným podvodníkům snadnou tvorbu malwaru, jehož funkcionalita cca odpovídá bankovnímu trojskému koni Zeus. Kit Scylex se v podzemních fórech nabízí od 7 500 dolarů. Základní verze obsahuje např. rootkit, keylogger a manipulaci s formuláři, dražší verze přidávají možnost manipulovat s veškerým internetovým provozem oběti pomocí proxy serveru.

Zranitelnosti a opravy, problém v UAC

Výzkumníci Cisco Talos upozornili na zranitelnost v PLC systémech Allen-Bradley Rockwell Automation, kdy útočník může měnit konfiguraci zařízení nebo do něj i nahrát vlastní firmware. Problém je v implementaci protokolu SNMP, většina provozovatelů systému podle objevitelů zranitelnosti o této funkcionalitě zařízení zřejmě ani neví.

SAP vydal opravy několika zranitelností, které umožňovaly průchod adresáři bez autorizace (directory traversal), cross-site scripting a SQL injection. U některých záplat není povaha chyb specifikována.

Výzkumník Matt Nelson uvedl, že útočník může ovládnout funkci Řízení uživatelských účtů (UAC) ve Windows, a to aniž by na cílový počítač musel vložit speciální soubor DLL. Vlastní zranitelnou komponentou má být prohlížeč logů Windows Event Viewer. Na rozdíl od vložení DLL souboru je popsaný útok mnohem obtížnější zachytit bezpečnostním řešením. Problém ale podle všeho není tak závažný, protože počítač už musí být kompromitován předem. Nelsos doporučuje, aby si lidé nastavovali Řízení uživatelských účtů do nejparanoidněji (vyžadovat schválení každé změny apod.).

CSIRT varuje/oznamuje

Byly demonstrovány dva postupy, kterými lze simulovat odemykací radiový signál stamiliónů vozů. První se týká vozů koncernu VW, druhý vozů Alfa Romeo, Chevrolet, Peugeot, Lancia, Opel, Renault a Ford.

Ze světa firem

V Google Play se objevily falešné verze nástroje pro úpravu fotografií Prisma, které obsahovaly malware (respektive původně downloader, který stahoval další škodlivý software nebo prováděl jiné nežádoucí aktivity). Došlo k tomu těsně před uvolněním této aplikace pro OS Android (Prisma byla předtím pro iOS). Než Google stihl škodlivé aplikace z nabídky vyřadit, stáhlo si je více než 1,5 milionů uživatelů. (Zdroj: tisková zpráva společnosti Eset)

Eset nabízí novou řadu bezpečnostních produktů pro domácnosti (10. verze řešení Eset NOD32 Antivirus a Eset Smart Security). Hlavní novinky co se týče úrovní ochrany podle dodavatele: skripty, testování domácí sítě (např. směrovačů) a webkamera. (Zdroj: tisková zpráva společnosti Eset)

Kaspersky Lab představuje bezplatný software Anti-Ransomware Tool for Business, který nabízí ochranu proti ransomwaru pro korporátní uživatele. Podle průzkumu Kaspersky Lab se v posledních 12 měsících stalo obětí ransomwaru téměř 42 % středních a malých podniků. Více než třetina (34 %) z nich zaplatila výkupné, přesto každý pátý podnik v průzkumu svá data stejně nedokázal obnovit. Anti-Ransomware Tool for Business lze používat i vedle bezpečnostních řešení jiných dodavatelů. (Zdroj: tisková zpráva společnosti Kasperski Lab)

Necelá desetina (8 %) respondentů z ČR uvádí, že během pobytu v zahraničí došlo ke zneužití jejich platební karty. (Zdroj: tisková zpráva společnosti Kasperski Lab)

NetGear uvádí novou verzi firmwaru pro datová úložiště ReadyDATA. Verze ReadyDATA v1.4.4 má mj. zvyšovat zabezpečení ve vztahu ke zranitelnostem typu Badlock a Poodle. (Zdroj: tisková zpráva společnosti NetGear)

Bylo uvedeno AirWatch Express, jednoduché cloudové řešení pro správu mobilních zařízení určené k rychlému zprovozňování nových zařízení. Zahrnuje rovněž podporu pro BYOD. (Zdroj: tisková zpráva společnosti AirWatch)

Téměř polovina (47 %) IT manažerů s rozhodovací pravomocí čelí takovému tlaku na zajištění firemní mobility, že jsou ochotni podstoupit riziko v oblasti bezpečnosti firemních dat. Nadpoloviční většina dotázaných (55 %) uvedla, že výhody firemní mobility převažují nad potenciálními bezpečnostními riziky. Vedení společností navíc tlačí na manažery IT, aby zajistili přístup a sami přistupovali k podnikovým datům z vlastních mobilních zařízení, přestože je to v rozporu s firemními pravidly/bezpečnostními politikami. Bezpečnostní rizika nespočívají primárně v tom, zda mobilní zařízení patří zaměstnancům či firmě. Třetina zaměstnanců (33 %) uvádí, že se více starají o zabezpečení dat na vlastních zařízeních než na firemních. (Zdroj: tisková zpráva společnosti VMware/EMC, průzkum v oblasti EMEA)

Mirantis bude nabízet podporu, záplaty a aktualizace pro platformu SUSE Linux Enterprise Server. Prioritní předplacené služby budou k dispozici na dobu jednoho nebo tří let a budou obsahovat bezpečnostní a další aktualizace. (Zdroj: tisková zpráva společnosti SUSE)

Psali jsme na ITBiz.cz

Na téma zabezpečení na ITBiz: Bezpečnostní přehled: Kolik zero day chyb mají v trezorech tajné služby

Exit mobile version