Hlavní navigace

Postřehy z bezpečnosti: finální podoba směrnice NIS2 schválena

5. 12. 2022
Doba čtení: 4 minuty

Sdílet

 Autor: Depositphotos
V dnešním díle Postřehů se podíváme na schválení směrnice NIS2, zákaz dovozu čínských telekomunikačních systémů do USA nebo zneužívání certifikátů výrobců chytrých telefonů pro podepisování malwaru.

Schválena finální podoba směrnice NIS2

Radou Evropské unie byl v pondělí přijat návrh směrnice o opatřeních k zajištění vysoké společné úrovně kybernetické bezpečnosti v Unii, čímž byl zakončen celý schvalovací proces této směrnice na úrovni EU. Jednotlivé členské státy nyní budou mít 21 měsíců na transpozici nových požadavků do vlastních legislativních prostředí.

Zmiňovaná směrnice, obecně označovaná jako NIS2, stanoví minimální bezpečnostní požadavky na kybernetickou bezpečnost středních a velkých veřejných i soukromých organizací významných pro fungování společnosti a států. Oproti stávajícímu stavu směrnice mj. citelně rozšiřuje množství organizací, které budou v oblasti kybernetické bezpečnosti jednotlivými členskými státy EU regulovány. Dle odhadu NÚKIB by počet regulovaných organizací v ČR měl vzrůst z aktuálních cca 400 na zřejmě více než 6000.

Bližší informace o předpokládaných požadavcích a rozsahu nové regulace v českém prostředí poskytuje na svých stránkách NÚKIB.

Certifikáty zneužité pro podepisování škodlivého kódu

Větší množství certifikátů, které užívají výrobci zařízení založených na platformě Android pro podepisování vlastních systémových aplikací, bylo zneužito pro podepsání malwaru. Kódu podepsanému výše zmíněnými „platformními“ certifikáty jsou v rámci operačního systému přiřazena vysoká oprávnění, což je v případě škodlivých aplikací pochopitelně vysoce problematické.

O situaci informovala společnost Google v návaznosti na odhalení relevantních škodlivých aplikací jedním z jejích bezpečnostních specialistů.

Na základě pozdější analýzy bylo zjištěno, že zneužité certifikáty byly vydány společnostem Samsung, LG, Revoview a Mediatek. Podle vyjádření společnosti Google byly všechny organizace, jejichž certifikáty byly popsaným způsobem zneužity, na situaci upozorněny, v návaznosti na což provedly odpovídající reaktivní opatření. Uživatelé koncových zařízení zmiňovaných značek by tak měli být před případnými souvisejícími útoky plně chráněni (za předpokladu, že jejich zařízení jsou plně aktualizovaná).

Dle oficiálně publikovaných informací nebyl pro šíření malwaru podepsaného s pomocí výše zmíněných certifikátů využit oficiální Google Play Store a lze tak předpokládat, že daný škodlivý kód byl využit pouze v rámci vysoce cílených útoků.

Zákaz dovozu a prodeje některých technologií z Číny do USA

Na konci listopadu publikovala FCC, která je telekomunikačním regulátorem v USA, prohlášení o zákazu dovozu a prodeje nových komunikačních technologií, které představují „nepřijatelné bezpečnostní riziko pro národní bezpečnost“ do Spojených států.

Uvedený zákaz se specificky vztahuje na dovoz a prodej nových zařízení čínských značek Huawei, ZTE, Hytera, Hikvision a Dahua, nicméně netýká se zařízení, která již na americkém trhu jsou. Ta mohou být i dále prodávána a lze tak předpokládat, že citelnější ústup od používání čínských telekomunikačních systémů nebude v USA okamžitý, ale bude spíše otázkou střednědobého či dlouhodobého horizontu.

Zástupci výše uvedených firem se proti rozhodnutí FCC, resp. proti jeho odůvodnění, důrazně ohradili.

Vzhledem k tomu, že historicky vedla americká omezení na používání čínských technologií k diskuzi jejich bezpečnosti i v rámci dalších států (např. v Japonsku, Austrálii, Velké Británii, ale i České republice), není nepředstavitelné, že by se k podobným krokům mohly uchýlit i další státy, zejména pak členské země NATO.

LastPass informoval o úniku zákaznických dat

Společnost LastPass, provozovatel jednoho z nejznámějších cloudových systémů pro správu hesel, ve středu zveřejnila zprávu, v níž upozorňuje na již druhý průnik do svých systémů v tomto roce.

Při prvním průniku, k němuž došlo v srpnu, se útočníkům údajně podařilo získat přístup k vývojovému prostředí organizace a k vybraným zdrojovým kódům a dalším technickým informacím, avšak nedošlo ke kompromitaci žádných zákaznických dat. V rámci aktuálního průniku měli pak útočníci dle publikovaných informací využít znalosti z prvního letošního útoku na LastPass a získat tak přístup k úložišti s určitými zákaznickými informacemi.

Bližší informace o typu uniklých dat prozatím firma neposkytla, zdůraznila však, že vzhledem k „zero-knowledge“ architektuře jejího správce hesel jsou hesla jejích zákazníků v bezpečí.

UX DAy - tip 2

LastPass o bezpečnostních incidentech historicky komunikoval relativně otevřeně, a protože v současnosti již zahájil komplexní vyšetřování celého incidentu za pomoci společnosti Mandiant, lze očekávat, že ohledně aktuálního útoku budou z jeho strany v dohledné době publikovány další informace.

Další zajímavosti

Pro pobavení

My password is just every Unicode codepoint concatenated into a single UTF-8 string.

My password is just every Unicode codepoint concatenated into a single UTF-8 string.

Autor: Randall Munroe, podle licence: CC BY-NC 2.5

O seriálu

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET, bezpečnostního týmu CDT-CERT provozovaného společností ČD Telematika a bezpečnostních specialistů Jana Kopřivy ze společnosti Nettles Consulting a Moniky Kutějové ze sdružení TheCyberValkyries. Více o seriálu…

Byl pro vás článek přínosný?

Autor článku

Jan Kopřiva je specialistou na kybernetickou bezpečnost s dlouhou praxí a širokými zkušenostmi. V současnosti působí jako bezpečnostní konzultant ve společnosti Nettles Consulting a také jako jeden z odborníků ve sdružení SANS Internet Storm Center.