Podle Cisca jsou tři miliony serverů napadnutelných ransomwarem. Nejedná se jen o Red Hat JBoss chybu, kterou využíval také ransomware Samsam (Samas), ale také o Destiny management systém, který se používá především na univerzitách a státních institucích. Ransomware je již dnes velkým byznysem. Podle statistik FBI bylo oznámeno tolik incidentů, že jen za minulý rok se jednalo o sumu 24 milionů dolarů. To jsou však jen ohlášené incidenty, takže se jedná o mizivé procento. Autoři CryptoWallu si podle odhadů přišli již na 325 milionů dolarů, ale teď ho poprvé z prvního místa ohrožuje Locky, který ukazuje kam se vývoj ransomwaru bude ubírat. Do teď stačilo mít alespoň nějakou zálohu, ale až budou potichu v podobě boot/root-kitu vyčkávat a pomalu šifrovat data, aby tak znehodnotili zálohy, tak teprve pak to bude obrovský problém. Můžeme se jen modlit, aby útočníci nezměnili i obchodní model a neplatili jste za velikost zašifrovaných dat. To by mohlo být pro některé firmy likvidační. Hlavně tam kde neexistuje řízení identit a přístupu, takže všichni mohou všude a všechno, protože tak je to nejjednodušší. Cisco skupina Talos předpovídá budoucí vývoj ransomwaru v podobě cryptowormu.
Není tomu tak dávno, co se objevil i RansomWeb šifrující databázi nebo některé soubory na webovém serveru. V případě, že se do systému dostane pomocí privilegovaného oprávnění (root/admin), který má přístup ke všem databázím, tak je schopen zašifrovat všechny databáze na daném serveru, což může mít obrovský dopad pro vaše zákazníky. Soubory na vašem laptopu jsou víceméně neměnné. Sem tam nahrajete fotky z dovolené, oscanujete nějaký dokument, ale hlavní data mají vetšinou lidé na mailovém serveru, nebo na úložišti typu Dropbox, Google Drive, Microsoft OneDrive apod., takže stačí jedna jejich záloha a jste víceméně chráněni. Na serverech je však situace jiná. I chybějící jedna vteřina dat může mít obrovský dopad (bankovní transakce, eshopy, …) a teď si představte, že by museli obnovit ze zálohy den stará data.
Naše postřehy
Mobilní telefony BlackBerry se dlouhou dobu považovaly za velice bezpečný telefon, který používali i američtí prezidenti. Nikdy jsem úplně nechápal, proč ho veřejnost považuje za bezpečný telefon (jen kvůli šifrování úložiště?). Možná jen ti co ho nikdy nepoužívali. Já jsem z jejich Messenger klienta obdržel během prvního týdne používání asi 30 spamů a šifrování jsem si musel zapnout sám i když podle firemní politiky mělo být aktivované od první synchronizace. Zmiňuji to proto, že podle dokumentů, které se dostaly k redaktorům serveru Vice, měla kanadská policie minimálně od roku 2010 master klíč, který je schopen veškerou, rádoby end-to-end, komunikaci Messengera dešifrovat. Určitě ne jen kanadská policie. Používejte raději aplikaci Signal nebo Threema.
V jednom z minulých dílů jsme psali o ransomwaru Petya a že naštěstí nešifruje data, ale používá jen XOR. Nyní se objevila webová aplikace, kam stačí poslat 512 bytů z vašeho disku, čímž získáte klíč k vašemu MFT souboru. Pokud byste měli problém se získáním výše zmíněné části diku, tak i na to existuje program. Protože z napadeného disku nemůžete nastartovat systém, tak disk vyjměte a připojte ho přes USB k jinému počítači.
Mike Olsen objevil v několika CCTV kamerách, které koupil přes Amazon, malware. Po přihlášení na webové rozhraní si všiml, že chybí základní funkce potřebné pro správu kamer a pak pomocí doplňku pro webové vývojáře objevil skrytý iFrame odkazující na doménu Brenz.pl. Tato doména byla podle Sucuri v roce 2011 zapojena v kampani šířící malware. Dnes je sice neaktivní, ale i tak na ní odkazují dnes prodávané kamery a bůhví jaký další malware může být v kamerách nainstalovaný. Pokud byste měli chuť a čas si reverznout vlastní embedded systém (kameru, WiFi router, IoT, …), tak doporučuji web /dev/ttys0.
Senátor Richard Burr a senátorka Dianne Feinstein připravili zákon, který by ukládal velkým společnost za povinnost pomoci státním složkám s dešifrováním informací. Záleží na výkladu a finální verzi, ale vlastně chtějí mít backdoor v každém zařízení. Naštěstí návrh nebude podporován ani Bílým domem, takže snad vůbec neprojde.
Badlock je název nově objevené chyby postihující Windows (CVE-2016–0128) a Sambu (CVE-2016–2118). Chyba se týká DCE/RPC protokolu a je možné díky ní provést man-in-the-middle útok, eskalaci oprávnění, nebo DoS. Postižené jsou víceméně všechny verze.
Ředitel FBI, který by nejraději zakázal end-to-end šifrování a jakýkoliv nárok lidí na soukromí, má na svém notebooku webovou kameru přelepenou černou páskou. Neprotiřečí si trochu? Jak ho teď ostatní složky mohou monitorovat? Například NSA projekt Optic Nerve náhodně zaznamenával každých pět vteřin obraz z kamery uživatelů Yahoo.
Ve zkratce
Pro pobavení
Informační bezpečnost v praxi :)
Závěr
Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a redaktorů serveru Security-Portal.cz. Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, tak nám napište na FB stránku, případně na Twitter. Děkujeme.