Bezpečnostní přehled: Spor o MongoDB

Měli by se dodavatelé databází snažit o bezpečnější defaultní nastavení? Jak ochránit bankomaty. Zabezpečení pro průmyslové systémy. Záplaty a chyby: Flash, 7-Zip, rizika pro uživatele Androidu. Jak se má postupovat při publikování informací o bezpečnostních zranitelnostech? Smí výzkumník zkoušet neautorizovaný přístup na kompromitovaný server?
Následuje pravidelný bezpečnostní přehled vytvářený především podle webů ZDNet, CNet, The Register a HelpNet Security.

Flash věčně děravý

Adobe vydala záplaty 25 zranitelností v přehrávači Flash Player, jedna z těchto chyb – CVE-2016-4117 – byla už aktivně zneužívána. Oprava je určena pro všechny verze přehrávače (Windows, OS X i Linux; opravené verze mají číslo 21.0.0.24), v prohlížečích MSIE 11, MS Edge a Google Chrome se příslušný plug-in zaktualizuje automaticky. Všech 25 zalátaných děr je kritických a umožňují útočníkovi vzdálené spuštění kódu už při zobrazení podvodného souboru SWF. Konkrétně jde např. o zranitelnosti typu porušení paměti, přetečení haldy či zásobníku.

Co se týče škod, které způsobily zero day útoky před vydáním aktualizace, žádné informace v tomto smyslu zatím nejsou známy.

Útok DDoS provázejí pokusy o další průnik

57 % organizací, které se staly terčem většího útoku DDoS, v této souvislosti zaznamenaly také nějaký průnik do svých systémů, únik citlivých dat apod. Společnost Neustar na základě celosvětového průzkumu mezi IT profesionály na tomto základě tvrdí, že finanční ztráty v důsledku nedostupnosti služeb nejsou zdaleka jedinou škodou, kterou útoky DDoS působí, protože jsou s nimi přímo spojeny i další podvodné aktivity. 50 % dotazovaných podniků (jistěže jde o velké firmy) uvádí, že hodinový výpadek služeb je vyjde na více než 100 000 dolarů, 33 % pak dokonce škodu za hodinu vyčísluje na více než 250 000 dolarů.

Kompromitace milionů e-mailových účtů je asi jen kachna

Objevila se nabídka přístupových údajů k 10 milionům e-mailových účtů (GMail, Hotmail, Yahoo, Mail.ru…). Od počátku se pochybovalo o tom, že by tyto informace byly získány při kompromitaci samotných služeb, ale spíše třetích stran. Přiřazení adres a hesel je proto velmi nejisté (v řadě případů se takto prokazatelně k účtu dostat nejde) a média záležitost spíše přeceňují.

Jak se (ne)smí prezentovat zranitelnosti

David Levin z firmy Vanguard Cybersecurity byl na Floridě zatčen za průnik do státního hlasovacího systému – přesněji řečeno nejspíš za to, že zveřejnil způsob, jak zde pomocí SQL injection lze získat oprávnění administrátora. Chyby v systému Levin odhalil prostřednictvím nástroje Havij; uvádí, že hesla byla uchovávána ve formátu prostého textu a míra zabezpečení cca odpovídá situaci před 10 lety. Levin je aktuálně propuštěn na kauci. The Register v této souvislosti odkazuje na pomůcku Dana Kaminského, která je návodem, jak by měli bezpečnostní výzkumníci postupovat, aby se jim něco podobného nestalo.

Rozhovor s Levinem na Youtube

Malware na Google Play

V pěti aplikacím na Google Play byl objeven malware Viking Horde. Z kompromitovaného zařízení udělá součást „klikacího“ botnetu, kromě reklamních podvodů botnet také rozesílá spam a provádí útoky DDoS. Vlastníka zařízení může bezprostředně ohrozit posílání SMS na speciálně tarifikovaná čísla nebo stahování dalších škodlivých aplikací. Aplikace s malwarem si před jejich odstraněním stáhlo přes 50 000 uživatelů.

Problémy s MongoDB – mají svůj podíl odpovědnosti i vývojáři?

Některé bezpečnostní incidenty z poslední doby vznikly v důsledku úniku dat z populární NoSQL databáze MongoDB (viz např. jeden z předcházejících bezpečnostních přehledů). Kelly Stirman z MongoDB v této souvislosti uvedl pro The Register, že problém není v samotné databázi, ale že uživatelé nezapnou bezpečnost (včetně ověření přístupu) během konfigurace systému. Kritici nicméně tvrdí, že bezpečnost by mohla být předkonfigurovaná a defaultně např. zakázán vzdálený přístup přes internet To, že dodavatel někde zformuluje osvědčené postupy (best practices), podle kritiků nestačí. Stirman se nicméně neobává, že by incidenty mohly narušit renomé MongoDB.

Databázi si každý den jen z webu MongoDB stahuje až 30 000 lidí. MongoDB používají např. služby eBay a Foursquare.

Zranitelnost Stuxnet aktuální i po šesti letech

Podle analýzy Microsoft Security Intelligence Report je nejčastější zneužívaná (jednotlivá) zranitelnost CVE-2010-2568, tedy chyba opravená už před cca 6 lety – kdy na ni cílil mj. i červ Stuxnet. Přitom Windows 8 a novější už příslušnou chybu vůbec neobsahují, takže útočníci mohou cílit výhradně na neaktualizované a ještě k tomu jen starší systémy. Jinak i tato studie potvrzuje, že zneužití s mnohem větší pravděpodobností přichází přes software třetích stran/aplikace než přes samotná Windows.

Jaeson Schultz ze společnosti Cisco upozornil na bezpečnostní chybu (přetečení haldy – heap overflow) v komprimačním nástroji 7-Zip. Vzdálený útočník může získat stejná oprávnění jako aktuálně pracující uživatel. 7-Zip je součástí řady dalších produktů, např. FireEye nebo MalwareBytes; to ale nutně neznamená, že zranitelné jsou i ty.

Výzkumníci společnosti Forcepoint Security Labs upozorňují na kampaň Jaku (planeta z Hvězdných válek). Jejím hlavním cílem je instalace nástrojů, které umožní tichý monitoring zaměstnanců vědeckých a výzkumných center, technologických firem i vlád. Akce je vysoce cílená, k nejvíce kompromitacím systémů došlo v Jižní Koreji, Japonsku, Číně a USA. Spekuluje se o podílu Severní Koreje. Počet obětí je zatím odhadován asi na 19 000, na více než polovině z kompromitovaných systémů údajně běží nelicencovaná verze Windows.

Jak chránit bankomaty

Bankomatové podvody se zdaleka neomezují na odečítání údajů o kartě – skimming. Reálné útoky podle Kaspersky Lab stále více zneužívají nedostatků standardu XFS, který útočníkům umožňuje dostat malware dovnitř bankomatu. K doporučením pro ochranu bankomatů (především už na straně výrobce) patří např. opravit XFS standard a zavést dvoufaktorové ověřování mezi zařízeními a legitimním softwarem. To sníží pravděpodobnost, že by útočníci za pomoci trojanů získali kontrolu nad bankomatem a mohli provést neoprávněný výběr peněz. Nezbytné je zavést také „ověřování výdeje hotovosti“. Tím se zabrání útokům přes falešná centra pro zpracování údajů. (Zdroj: tisková zpráva společnosti Kaspersky Lab)

Poznámka: V USA ještě pokračují i podvody přes známý skimming, protože dosud nebyl dokončen přechod na standard karet EMV. Bezpečnostní firma např. FireEye uvádí, že nedávno zde došlo ke kompromitaci terminálů, při nich se podvodníci (skupina Fin6) dostali k údajům o 10 milionech platebních karet.

CSIRT varuje/informuje

Česká republika je na seznamu čtyř zemí, jejichž uživatelé OS Android byli v průběhu uplynulých měsíců nejvíce infikováni trojským koněm, který umožňuje získat administrátorská práva a veškeré informace o zařízeni posílat řídicímu serveru. Tento malware je navíc schopen zobrazit falešné okno, které vypadá jako okno aplikace GooglePlay, a požadovat informace o platební kartě.

Ze světa firem

Na trh přichází GFI LanGuard 12, nejnovější verze řešení pro detekci síťových zranitelností a správu softwarových aktualizací. Verze 12 přináší možnost centralizovaného monitorování a reportování prostřednictvím nové webové konzole přístupné přes zabezpečené protokoly. K dalším novinkám podle dodavatele patří vyšší škálovatelnost a vylepšená integrace s Microsoft Active Directory. (Zdroj: tisková zpráva společnosti GFI)

Kaspersky Lab uvedla na český trh specializované bezpečnostní řešení pro ochranu kritické infrastruktury a zabezpečení průmyslových podniků. Kaspersky Industrial CyberSecurity zabezpečuje ICS/SCADA servery, HMI panely, inženýrské pracovní stanice a systémy PLC. Řešení obsahuje ochranu proti malwaru, whitelisting a funkci pro odhalování zranitelností. Další ochranné technologie jsou speciálně navržené přímo pro průmyslová prostředí; zahrnují kontrolu integrity PLC programů (Integrity check for PLC programs), sémantický monitoring kontroly příkazů (Semantic monitoring of proces control commands) a telemetrická data (Telemetry data), která podle dodavatele dokážou odhalit kybernetické útoky cílící na fyzické části infrastruktury. Speciální režim Observability Mode se soustředí na odhalení kybernetických útoků, chyby provozního personálu a anomálie uvnitř průmyslové sítě. (Zdroj: tisková zpráva společnosti Kaspersky Lab)

Viz také: Za třetinou výpadků průmyslových sítí stojí škodlivý software

Až 98 % českých firem provádí zálohu dat, ale jen 51 % jich alespoň nepravidelně testuje možnosti jejich obnovy.* (Zdroj: průzkum společností České Radiokomunikace/EY)*

Představen byl nástroj EMC Enterprise Copy Data Management (eCDM) pro správu kopií stejných dat v prostředí úložišť. (Zdroj: tisková zpráva společnosti EMC)

Společnost Arrow oznámila, že je výhradním autorizovaným distributorem bezpečnostních produktů FireEye pro ČR a SR. (Zdroj: tisková zpráva společnosti Arrow)

Heslo do internetového bankovnictví si aktivně mění jen 16 % uživatelů v ČR, zbytek si jej nemění nikdy (44 %) nebo pouze, když je k tomu vyzve systém (40 %). Své heslo do internetového bankovnictví používá i pro přístup do jiných aplikací 15,5 % lidí. 13 % Čechů přistupuje do on-line bankovnictví tak, že si příslušnou stránku najde ve vyhledávači (!). Třetina Čechů někdy půjčila svou platební kartu někomu blízkému. (Zdroj: tisková zpráva ČSOB)

Na trh přichází nová bezpečnostní kamera Axis P1244 určená pro diskrétní videodohled. Podle dodavatele je model díky malým rozměrům vhodný pro použití v obchodech a bankách a pro integraci do stísněných prostorů, jako jsou bankomaty a prodejní automaty nebo automaty na prodej vstupenek. (Zdroj: tisková zpráva společnosti Axis Communications)

Psali jsme na ITBiz.cz

Na téma zabezpečení na ITBiz viz také:

Zabezpečení se odvíjí od analýzy aktiv: Jak funguje Security Expert Center společnosti O2 IT Services.

Kritické záplaty Microsoftu: Webové prohlížeče, fonty a grafika: Microsoft vydal druhé květnové úterý celkem 15 bulletinů zabezpečení, které látají 36 zranitelností. 7 z bulletinů Microsoft označuje za kritické.

Exit mobile version