Hlavní navigace

Postřehy z bezpečnosti: dostaneme tě, Fantomasi! Ale nespěchá to.

CESNET CERTS

V dnešním díle zjistíme, že Fantomas se na nás bude z našich mobilů ještě chvíli beztrestně dívat, že v kyberútocích se již Evropa Americe vyrovná, a že do většího blackoutu může chybět jen málo.

Odborníci z izraelské společnosti CheckPoint zaznamenali chybu v jednom z bezpečnostních mechanismů Androidu. V novém modelu přístupu aplikací k systémovým zdrojům, který byl v Androidu zaveden od verze 6.0.0 (Marshmallow), existuje oprávnění SYSTEM_ALERT_WINDOW, které umožňuje aplikaci zobrazit obsah nad čímkoliv ostatním, co momentálně Váš telefon zobrazuje. Na rozdíl od jiných oprávnění je udělení SYSTEM_ALERT_WINDOW v Androidu 6.0.0 pro uživatele značně nepohodlné a nelze jej udělit pouhým omylem: Je zapotřebí projít několik menu a oprávnění dané aplikaci ručně povolit. Google si uvědomil nebezpečnost této funkce, která umožňuje zobrazovat škodlivou reklamu, phishingový materiál, bankovní malware či ransomware, který nadřazenou vrstvou zobrazení uživateli zcela zablokuje přístup k ovládání mobilního zařízení, a tak udělení oprávnění uživatelům znesnadnil.

Přesto, jak odhalil CheckPoint, funkci zneužívá 74 % ransomwaru, 57 %  adwaru a 14 % bankovního malwaru. To rozhodně nejsou zanedbatelná čísla, ale reálné využití nedostatku v zabezpečení. V čem je tedy problém? Vynucení ručního povolení oprávnění SYSTEM_ALERT_WINDOW Googlu záhy způsobilo problémy. Řada legitimních aplikací vyžaduje zobrazení překryvného materiálu bez kterého by jejich funkcionalita byla značně ochromena. Například Facebook tímto způsobem zobrazuje příchozí zprávu Messengeru. Problém vyřešil Google dočasně tím, že od Marshmallow verze 6.0.1 umožňuje aplikacím oprávnění SYSTEM_ALERT_WINDOW udělit bez ručního schválení uživatelem, pokud je tato aplikace nainstalována z Obchodu Play. Tím obchází vlastní bezpečnostní mechanizmus. CheckPoint zjistil, že toto oprávnění požaduje 45 % všech aplikací v obchodu. Mezi nimi je evidentně i řada škodlivých aplikací, které projdou i Bouncerem, automatickým skenerem malwaru, který je součástí Obchodu Play. Nedávno odhalenými aplikacemi tohoto typu byly např. FalseGuide a Skinner.

Google má naštěstí řešení uvedeného problému. Je jím omezující oprávnění TYPE_APPLICATION_OVERLAY, které znemožní aplikacím překrýt systémové dialogy a umožní uživateli např. odinstalovat škodlivou aplikaci, nebo alespoň v nastavení systému zablokovat její nežádoucí chování. A kdy že se této bezpečnostní záplaty dočkáte? Uživatelé současných verzí Androidu možná nikdy. Zmíněná oprava by totiž měla být až v Androidu O, který nevyjde dříve, než na podzim. Zda dojde k nápravě i u verzí 6 a 7 není v tuto chvíli zcela jasné. Zbývá tedy jen doporučit uživatelům, aby si prošli své aplikace a zkontrolovali nutnost povolení SYSTEM_ALERT_WINDOW a další, méně známé aplikace, instalovali s velkou opatrností.

Útoky přicházejí z Evropy

Jak ukázala výroční zpráva společnosti NTT, významným zdrojem kyberútoků jsou v současné době evropské země. Těsně za USA, které drží v žebříčcích zdrojů útoků dlouhodobě první místo, se na druhé příčce v kategorii phishingu umístilo Nizozemí a v celkové kategorii všech útoků je na druhém místě Velká Británie. Více než polovina (konkrétně 53 %) všech phishingových útoků pochází ze zemí EMEA. Phishing je mezi útoky nejvíce zastoupený (73 %). Tato hodnocení budou pravděpodobně velmi objektivní, neboť NTT má přehled o 40 % veškerého světového síťového provozu a základem jejich analýzy bylo tři a půl biliónů logů a více než šest miliard útoků.


Autor: NTT

Blackoutový kyberútok málem skutečností

Američtí vědci našli závažný bezpečnostní problém v softwaru energetických zařízení dodávaných firmou General Electric a instalovaných v rozvodné síti Spojených států, ale i mimo ně. Prolomením slabé šifry autentizačních mechanismů se případný útočník mohl dostat k privilegovaným operacím na zařízení a odpojit tak celé kusy rozvodné sítě.

Je můj účet kompromitován?

Právě skončil Privacy Awareness Week, který je každoroční a celosvětovou iniciativou fóra Asia Pacific Privacy Authorities (APPA) a který si mimo jiné klade za cíl šířit informace v oblasti praktik ochrany osobních dat. Připojme se symbolicky k tomuto projektu i my návodem jak zkontrolovat, zda nebyly kompromitovány některé z vašich přístupových údajů. Jak uvidíte, právě teď je pro to velmi vhodný okamžik.

Projekt Have I been pwned (HIBP), který takovou kontrolu umožňuje, není žádnou novinkou. Světlo světa spatřil již v roce 2013. Nová je ovšem více než miliarda zcizených a kompromitovaných přihlašovacích údajů, které byly do projektu vloženy začátkem května. Data pocházejí z dvou velkých kombo seznamů a to Exploit.In a Anti Public, které se objevily na sklonku minulého roku. Odcizené údaje jsou posbírány z různých zdrojů a samozřejmě nemusí souviset s přístupem k dané e-mailové schránce. Ve většině případů se bude zřejmě jednat o přístupy k autorizovaným webovým stránkám a aplikacím. Zdroj přístupu v databázi uvedený není a jediná cesta, jak zjistíte, kde si máte kompromitované heslo změnit, je porovnání nalezeného hesla s heslem ve vašem správci hesel. Tedy pochopitelně pokud takovou aplikaci používáte a pokud nepoužíváte totéž heslo k různým službám tak, jako to dělá velké množství uživatelů Internetu.

Důležité je také mít svá hesla dostatečně silná. Pokud si s volbou silného hesla nevíte rady, zkuste se inspirovat společným projektem Carnegie-Mellonovy univerzity a Chicagské univerzity. Jejich vědci implementovali nový ukazatel kvality hesla, který nejenže uživateli ukáže, jak silné heslo zvolil, ale zároveň mu i ukáže a vysvětlí slabiny jeho hesla. Podívejte se na živou ukázku open-source projektu umístěném na GitHubu.

Krátce

  • Cisco Systems konečně zalepilo svou zero day zranitelnost nacházející se ve systémech IOS a IOS XE, která se týkala více než 300 modelů přepínačů Cisco. Aktualizujte!
  • Pravidelnou měsíční aktualizaci vydal také Microsoft. Odstraňuje několik vážných zranitelností umožňující útočníkovi získat kontrolu nad systémem.
  • Třetím, kdo napravil své hříchy je společnost Adobe. Ta vydala aktualizace odstraňující rovněž závažné zranitelnosti ve svých produktech Adobe Flash Player a Adobe Experience Manager Forms.
  • Uživatelé Google PHP API klienta nechť si dají pozor na phishingové útoky. V kódu se nachází XSS zranitelnost, kterou Google slíbil co nejdříve opravit.
  • Byla objevena nová zranitelnost WordPressu verze 4.3 umožňující vzdálené spuštění kódu.
  • Shodan vyvinul nový nástroj Malware Hunter na vyhledávání C&C serverů.
  • Společnost IBM zákazníkům omylem distribuovala USB flashdisky infikované malwarem.

Pro pobavení

O seriálu

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET.

Našli jste v článku chybu?