Jak souvisí bezpečnost softwaru a prodej ojetých automobilů? Kampaň Anunak. Prognózy na rok 2015: fragmentace kriminality, role řízení rizik. Thunderbolt umožňuje útoky typu BadUSB. Následuje pravidelný bezpečnostní přehled vytvářený především podle webů ZDNet, CNet, The Register a HelpNet Security.
Rok 2015 podle Gartneru. Bezpečnost se ještě více propojí s řízením rizik. Není možné 100% chránit všechno a zdroje jsou omezené, proto podniky musejí různým typům hrozeb stejně jako různým systémům, aplikacím a datům důsledně přiřazovat priority. Útočníci pracují vesměs pro zisk (jistě, některé akce spojované s podporou států balancují spíše mezi vandalismem a terorismem), takže jejich optikou by se měli dívat na bezpečnost i správci IT.
Prognóza BAE Systems Applied Intelligence na rok 2015. Dojde k fragmentaci počítačové kriminality. Vše je jako služba, vstup do odvětví je levný, na druhé straně mnohé velké a organizované gangy (největší botnety apod.) byly rozbity. S řadou malých skupin, které operují na sobě nezávisle, bude mít policie, byť třeba pracující mezinárodním měřítku, práci mnohem obtížnější. Zdůrazňují se bezpečnostní rizika Internetu věcí (Internetu všeho), nicméně ani případné incidenty nástup těchto technologií nezastaví. Útočníci se stále více a efektivněji budou pokoušet klamat, nechávat po sobě falešné stopy ukazující na jiné skupiny/státy.
O Vánocích napadla skupina Lizard Squad servery PlayStation Network a Xbox Live. Servery byly v důsledku toho pár dní částečně nedostupné. Poté se útočníci zaměřili na systém Tor. Přidali do sítě své vlastní nové uzly (asi 3 000 uzlů, tedy asi 0,3 % celé sítě) pokoušející se šířit malware, ty jsou však už nyní na black listu, takže by uživatele systému neměly ohrožovat.
Na toto téma viz také
Služby pro Xbox a PlayStation měly problémy, nyní je prý na řadě TOR
Prosincové opravy Microsoftu nebyly z nejvydařenějších. Objevují se informace, že také bulletin zabezpečení MS14-082 může uživatelům způsobovat problémy.
O prosincových opravách viz také: Bezpečnostní přehled: Phishing zasáhl 16 % Čechů
Výzkumník Trammel Hudson chce na konferenci Chaos Communications Congress představit nový způsob, jak ovládnout Mac OS pomocí zařízení připojeného přes rozhraní Thunderbolt. Princip má být podobný jako u útoků typu BadUSB. Škodlivý kód se dá tímto způsobem propašovat na úroveň ROM/BIOSu, obejde i mechanismus Apple EFI atd. Tímto způsobem by podle Hudsona útočníci mohli vytvářet velmi stabilní botnety z infikovaných počítačů Mac.
Různé rodiny malwaru Zeus mají konkurenci. V poslední době se rozšiřuje botnet ovládaný bankovním trojským koněm Vawtrak. Začal v Japonsku, nyní však podle výzkumníků společnosti PhisLab byl zaznamenán už i v USA a např. i na Slovensku. Vawtrak se šíří z podvodných nebo kompromitovaných webů, pomocí příloh e-mailu a stahuje se též jako sekundární infekce do již ovládaných systémů.
Společnosti Group-IB a Fox-IT upozorňují na kampaň Anunak. Zatímco v USA, Evropě a Rusku se tito útočníci zaměřují na maloobchod, vládní sítě (špionáž) a tvorbu botnetů, v Rusku a postsovětských zemích tato skupina útočí proti bankám. Nesnaží se okrádat uživatele, ale přímo banky a provozovatele platebních systémů. Cílem je dostat malware do pokladních systémů či bankomatů a peníze pak nakonec ukrást odsud. V mnoha případech ale útočníci finální akci zatím neprovedli a nechali infikované systémy jako „spící“. Podle zprávy je skupina stojící za Anunakem zajímavá tím, jak je jejich aktivita nespecializovaná, jinak většinou se podvodníci soustředí na to, co umí – buď botnety, nebo APT útoky, nebo…
V Rusku kampaň zasáhla 50 bank a 5 platebních systémů, přičemž průměrná škoda byla pochopitelně vysoká, podle odhadů si zde útočníci přišli už na 17 milionů dolarů.
Skupina Anunak je dle studie Group-IB a Fox-IT stále aktivní.
Ivan Ristic ze společnosti Qualys se na Help Net Security zamýšlí nad tím, proč není bezpečnosti při návrhu a vývoji softwaru věnována větší pozornost. Je otázkou, jak se to učí na školách, což ale nebude tak podstatné, protože většina vývojářů tento stupeň stejně přeskočí. Spíše jde o to, že zabezpečení není tak vidět jako rozhraní a funkcionalita, to, jaká je „ideální úroveň zabezpečení/ideální investice do bezpečnosti“, určuje trh (snaha o 100% zabezpečení by znamenala nekonečné náklady/cenu).
Ristic používá přirovnání k prodeji ojetých automobilů a zmiňuje práci nositele Nobelovy ceny za ekonomii George A. Akerlofa. Kupující nemá dost informací, takže se musí řídit cenou; bude-li se řídit tím, co mu říká prodejce, maximálně zaplatí víc bez efektu („je to bezpečné“). To zase nutí poctivé prodejce, aby na příslušnou vlastnost rezignovali, protože jinak nejsou cenově konkurenceschopní.
Samozřejmě je to model krajně zjednodušený, to, že platí (platí-li) pro ojeté automobily, neznamená, že musí platit pro „nový/nepoužitý“ software, kde se k tomu přidávají různé certifikace, ojetý automobil je kus, software pak provází určitá pověst (to ovšem i konkrétního prodejce ojetin). Čili jde jen o velmi hrubou analogii. Otázkou též je, zda má smysl o této analogii uvažovat i ve vztahu ke specializovanému bezpečnostnímu softwaru, kdy se nejedná o přídatnou, skrytou funkci, ale o základní vlastnost…
Zářijová krádež dat o zákaznících v bance JPMorgan byla podle všeho způsobena selháním systémů dvoufaktorové autentizace. Což ovšem nebylo důsledkem sofistikovanosti samotného útoku, ale tím, že na jednom ze serverů nebyly nasazeny bezpečnostní opravy. Za hlavní riziko incidentu se pokládá fakt, že útočníci mohou nyní proti uživatelům, jejichž data tato unikla, zkoušet sofistikovanější phishing.
Viz také: Bezpečnostní přehled: Problémy s aktualizací antivirů
Uživatelé počítačů Mac a dalších produktů Apple se stále více stávají terčem kybernetických útoků. Podle studie Kaspersky Lab a B2B International mezi jedenácti tisíci uživateli ve 23 zemích včetně ČR každý čtvrtý uživatel Maců v uplynulém roce čelil malwaru. 21 % z těchto útoků vedlo k finančním ztrátám.
Nedávno objevený trojský kůň Wirelurker dokáže napadat i ta zařízení se systémem iOS, která neprošla jailbreakingem.
Od listopadu 2013 do října 2014 bylo 44 % všech phishingových útoků na OS X zaměřeno na odcizení finančních dat. V jiných prostředích to bylo jen 26 %.
Zdroj: tisková zpráva společnosti Kaspersky Lab
V uplynulém roce vyšla v nakladatelství Paseka kniha Steven D. Levitt – Stephen J. Dubner Mysli jako freak. Mj. se zde analyzuje, proč podvodníci rozesílají třeba dopisy snažící se o notoricky známý nigerijský podvod. Kdo na tak evidentní trik skočí? Odpověď dává teorie her. Samozřejmě, že podvodníci by mohli postupovat lstivěji a získat více odpovědí, jenže řada lidí by pak stejně v průběhu další komunikace získala podezření a k transakci by nedošlo. Podvodník by naopak musel ztratit velmi mnoho času příslušnou korespondencí, a to bez zisku. Proto je pro podvody (respektive – pro určitý typ podvodů) důležité hned na počátku vyselektovat lidi nejnaivnější, či rovnou řekněme nejslabomyslnější, a další „péči“ už věnovat pouze těmto nešťastníkům.
O knize na stránkách vydavatele
Na téma bezpečnosti na ITBiz viz také:
Provozovatel jaderných elektráren v Koreji se stal obětí hackerů
V této souvislosti se opět spekuluje o roli Severní Koreje. Publikovány byly různé technické dokumenty, schémata i údaje o zaměstnancích. Má jít nicméně o obecné/neutajované informace, které nijak neohrožují bezpečnost samotných reaktorů.