Trendy – bezpečnost 2.2018

Chytrá domácí zařízení z oblasti IoT se určitě objevila i pod mnoha loňskými vánočními stromečky. Výrobci těchto zařízení však často opomíjejí jejich zabezpečení, a tak se na ně stále častěji zaměřuje malware. Slabého zabezpečení nově využívá i červ IoT Reaper. Je nástupcem malwaru Miria, který v prosinci roku 2016 infikoval mnohá síťová zařízení a spustil ve velkém rozsahu DDoS útoky. IoT Reaper pro Linux se zaměřuje především na routery a síťové kamery. Využívá nejméně deset různých bezpečnostních mezer, které už sice výrobci záplatovali, ale ne každý uživatel záplaty instaloval. Po infikování zranitelného systému hledá IoT Reaper další náchylné hostitele v síti. Každý infikovaný bod je pak součástí botnetu, který přijímá instrukce od řídicího serveru a může být v budoucnu použit pro DDoS útoky nebo pro zasílání nevyžádané pošty.

Mirai a IoT Reaper jsou přitom jen dva příklady malwaru, který se zaměřuje na domácí i firemní chytrá zařízení, která se začínají masově rozšiřovat. Pokud si je chcete pořídit, řiďte se našimi bezpečnostními pokyny, které najdete v článku na straně 114. Ve stručnosti: Aktualizace: Aktualizace a bezpečnostní záplaty instalujte co nejdříve. Chyby jsou masivně využívány ihned poté, co se stanou známými.

Izolace: Pokud je to možné, zařízení IoT by měla pracovat ve vlastní síti, která je oddělena od běžné Wi-Fi sítě domácnosti.
Informovanost: Zákazníci by měli být o zranitelnostech informováni a výrobci by měli aktivně hledat řešení pro bezpečnostní problémy svých produktů.

Foto popis| Inteligentní, ale zranitelná: Síťová zařízení, jako Arlo od Netgearu, jsou potenciálními branami do domácích sítí uživatelů.

Datové hrozby a úniky měsíce

České republice hrozí kyberšpionáž

Nový škodlivý kód, kterým se kybernetická skupina Turla snaží získávat citlivé informace z ambasád a konzulátů ve východoevropských zemích, objevili analytici bezpečnostní společnosti ESET. K útoku je zneužívána legitimní instalace přehrávače Adobe Flash Player z internetových stránek společnosti Adobe, spolu s kterou si oběť stáhne i sledovací malware. K samotné infikaci legitimních aplikací Adobe nedošlo. Kromě škodlivého kódu si oběť na svoje zařízení nainstaluje také funkční Flash Player. Společnost ESET vylučuje, že by Turla útočila přímo na Adobe. Soustředí se výhradně na zařízení s operačními systémy Windows a macOS. Přesný způsob, jak Turla v tomto případě infikovala své oběti, nezná ani společnost ESET.

Disqus: Údaje milionů uživatelů v oběhu

Společnost Disqus, která poskytuje diskusní platformu pro webové stránky řady firem, byla napadena hackery. Byla jí ukradena databáze s informacemi o 17,5 milionu uživatelů. Jde o údaje, jako jsou e-mailové adresy a hesla. I když k úniku došlo už v roce 2012, teprve nyní tyto informace vypluly na povrch.

Face ID od Applu hacknuto

Bezpečnostní společnosti Bkav se podařilo proniknout do řízení přístupu Face ID telefonů Apple iPhone X. Navíc pracovníci této firmy vytvořili umělou masku, na kterou byl reprodukován obličej majitele iPhonu. Jediné, co potřebovali k vytvoření této masky, byly fotografie dotčené osoby. Podrobnosti o pokusu ještě nejsou známy, stejně jako odpověď Applu.

Chrome blokuje WoSign

Google postupuje rázně: aktuální verze prohlížeče Google Chrome už nepovažuje bezpečnostní certifikáty SSL čínských webů, jako WoSign a StartCom, za důvěryhodné. Vadí jí především pochybné obchodní modely těchto firem. Mimo jiné byly totiž SSL certifikáty zpětně antidatovány. Firefox a další společnosti chtějí postupovat podobně.

Masivní růst volného SSL

Volně dostupné SSL certifikáty společnosti Let’s Encrypt se těší velké popularitě. V současné době už existuje více než 45 milionů SSL certifikátů a jejich počet neustále narůstá. Od začátku roku 2018 jsou k dispozici i další wildcard certifikáty.

Nejčastější je spyware

Podle bezpečnostní společnosti F-Secure je s jasnou převahou nejčastějším typem malwaru spyware. Ransomware obsadil až třetí pozici. Na druhém místě jsou bankovní trojské koně.

Nejčastější typy útoků (v procentech)
Spyware 60
Bankovní trojan 20
Ransomware 16
Zdroj: F-Secure

Miliony instalací padělaného WhatsAppu

Škodlivým programům se znovu a znovu daří pronikat do obchodu s androidovými aplikacemi Google Play. Nejnovějším příkladem je falešná verze populární aplikace WhatsApp Messenger, kterou si stáhlo a nainstalovalo asi milion uživatelů. Tvůrci této verze mohli použít jako název společnosti „WhatsApp Inc.“, což je skutečně název původní verze tohoto programu. V názvu však přidali znak Unicode. Služba Google Play ale znak nerozpoznala, identifikovala ho jako nového výrobce aplikace a povolila použití programu. Aplikaci v obchodě zablokovala až po stížnostech uživatelů. Incident ukázal, jak snadno jsou zranitelné i zdánlivě zabezpečené seznamy programů a autorů.

Jak ochránit chytrou televizi s Androidem

Asi tři čtvrtiny televizorů prodaných na českém trhu má chytré funkce. Málokterý divák ale po připojení televize k internetu řeší její ochranu před kybernetickými hrozbami, byť televize je z hlediska možných útoků naprosto stejně dobře dostupným cílem jako tablet nebo smartphone. Zvláště pak televizory, které využívají operační systém Android. Ty jsou v mnoha ohledech hůře zabezpečené než tablety a chytré telefony. Ochrana televizoru s Androidem tak závisí čistě na uživateli. Bezpečnostní společnost Eset doporučuje využít několik základních pravidel pro jejich ochranu.

> Aplikace stahujte z ověřených a oficiálních zdrojů.
> Ujistěte se, že oprávnění, která dáváte aplikacím, mají smysl.
> Nepřipojujte k televizoru neprověřená zařízení.
> Instalujte si aplikaci pro detekci virů.
> Aktualizujte aplikace.
> Neukládejte do aplikací citlivá osobní data.
> Pozor na integrovanou webkameru.
> Neklikejte na podezřelé odkazy.

Operace proti botnetu Gamarue

Škodlivý kód známý také jako Andromeda používali zločinci pro krádeže přihlašovacích údajů k internetovým účtům. Eset se v boji proti tomuto botnetu spojil s Microsoftem a bezpečnostními institucemi (FBI, Interpol, Europol) v mezinárodní operaci.

Díky společnému postupu mohly orgány činné v trestním řízení během jediného dne zatknout odpovědné osoby a znemožnit činnost rodiny malwaru, která je zodpovědná za infikování více než 1,1 milionu operačních systémů. Výzkumníci ze společností Eset a Microsoft sdíleli své technické analýzy, statistiky a informace o doménách, na kterých fungovaly vzdálené řídicí servery (C&C), jejichž prostřednictvím skupina útočníků prováděla své zločinné aktivity. Eset rovněž poskytl svoje dosavadní informace o botnetu Gamarue, které získal nepřetržitým monitoringem tohoto malwaru a jeho dopadu na uživatele za posledních několik let. Popularita botnetu Gamarue vyústila ve vznik velkého množství jeho klonů. Vzorky tohoto malwaru byly distribuovány po celém světě prostřednictvím sociálních médií, zpráv, externích médií, spamu a pomocí dalších prostředků.

Okradených přibývá

Zkušenost s krádeží při on-line platbě mají již čtyři procenta Čechů. Většinou přišli o částku do 5 000 Kč, jak zjistil průzkum, který pro společnost Eset realizoval Seznam.cz.

Počet Čechů, kteří nakupují zboží v čínských e-shopech, výrazně stoupá. Zatímco v roce 2016 si objednával zboží z Číny přes internet každý třetí uživatel, který nakupuje on-line, v roce 2017 jejich podíl stoupl na 42 procent. Podíly nakupujících v evropských a amerických e-shopech meziročně rovněž stouply, ale ne tak dramaticky jako u čínských obchodů. Roste však také podíl Čechů, kteří mají v souvislosti s on-line nakupováním osobní zkušenost s krádeží. Čtyři procenta respondentů průzkumu připustila, že byla při platbě přes internet okradena.

Oproti loňskému roku je to o jeden procentní bod více. Stejně jako loni při krádeži přišli většinou o částku do 5 000 Kč, přičemž pouze v polovině případů se jim peníze vrátily. Třetina své peníze již nedostala a zbytek získal alespoň část odcizené částky. Průzkum potvrdil i předpokládaný nárůst počtu nákupů přes mobilní telefon. Zatímco v roce 2016 nakupovala dárky přes mobil třetina Čechů, v roce 2017 to bylo již 44 procent. Z nich však jen zhruba polovina používá nějakou bezpečnostní aplikaci. Tablety využívá k nákupům 18 procent Čechů.

Polovina Čechů měla už napadený počítač virem

Digitální agentura AITOM se ve svém výzkumu zabývala kybernetickou bezpečností a vztahem Čechů k různým druhům internetového zabezpečení. Zaměřila se především na skupiny lidí, kteří žádné obranné programy nevyužívají a v minulosti byli napadeni virem.

Upozorňuje také na počet uživatelů, jejichž přihlašovacích údajů se někdo pokusil zneužít, a přiblížila, jak se Češi staví k souborům cookies.

Celkem 29 % uživatelů na svém notebooku například nepoužívá žádný firewall. Muži si na viry dávají větší pozor - bez firewallu je pouze 15 % z nich. U žen se číslo vyšplhalo na 47 %. Nejopatrnější je skupina mezi 18 a 29 lety, počítač nemá chráněný jen 15 % uživatelů. Mezi lidmi ve věku 30-44 let můžeme najít 31 % nezabezpečených přístrojů a v kategorii 45-59 let 38 %.

V případě neplaceného antivirového programu je situace horší. Nainstalován je podle průzkumu jen na 56 % chytrých telefonů. Virem přitom mělo někdy napadený počítač 60 % lidí s přístupem k internetu. Nejčastějšími oběťmi jsou lidé mezi 18 a 29 lety - v takové situaci už se ocitlo 70 % z nich. S virem se setkalo také 59 % uživatel ve věku 30-44 let a 51 % připojených mezi 45. a 59. rokem života. Obecně jsou opatrnější lidé s dokončeným VŠ vzděláním. V situaci, kdy se někdo snažil zneužít jejich přihlašovacích údajů, se ocitlo 23 % všech uživatelů.

Agentura se zaměřila také na soubory cookies a zjistila, že 26 % Čechů vůbec neví, co tento termín označuje. U žen se jedná o 35 %, u mužů je číslo nižší (18 %). 29 % respondentů uvedlo, že si tyto soubory pravidelně nekontroluje ani nevymazává. I v tomto případě je počet žen dvojnásobně vyšší (40 %), mezi muži lze najít pouze 20 % takových uživatelů. AITOM se v problematice kybernetické bezpečnosti aktivně angažuje.

IoT - brána do našich domovů

Studie Haunted House společnosti Sophos, zaměřená na dlouhodobé posouzení bezpečnosti světa internetu věcí, ukázala, že počet útoků se zvyšuje doslova každý den. Aktivní síťové skenování odhalilo v České republice 306 otevřených internetových bran.

Až doposud nebyla k dispozici prakticky žádná relevantní data o vnějších útocích na IoT zařízení domácnosti. Proto společnost Sophos pověřila firmu Koramis, která se specializuje na oblast průmyslové automatizace, vybudováním honeypotu v podobě chytré domácí infrastruktury, tzv. Strašidelného domu.

Na ploše 4 x 2,5 metru tohoto domu se nacházelo celkem 13 IoT zařízení a řídicích systémů od různých výrobců připojených k internetu. Dvě z celkem tří testovacích fází měly za účel zaznamenávat charakter a počet pokusů o přístup k jednotlivým komponentám Strašidelného domu. Pokusů o průnik do Strašidelného domu bylo zaznamenáno více, než společnost Sophos předpokládala. Během první fáze, která proběhla na jaře roku 2017, bylo zaznamenáno přibližně 1 500 pokusů každý den. Ve druhé, podzimní fázi bylo toto číslo již více než dvojnásobné - cca 3 800.

Aktivní síťové skenování odhalilo mnoho internetových bran pro IoT komponenty a jejich počet neustále roste. V České republice se počet otevřených bran během pouhých dvou měsíců (od poloviny září do poloviny listopadu) zvýšil o 2,34 procenta, na 306. Podrobný popis projektu Haunted House a prezentace výsledků jsou k dispozici ke stažení na adrese www.sophos-events.com/smarthome.

Čeští uživatelé těží kryptoměny, aniž by o tom věděli

Potenciálně nechtěné aplikace, tzv. PUA, jsou programy či kódy, které nepředstavují přímé ohrožení osobního počítače uživatele, přesto je doporučeno se jim vyhnout. Právě do této kategorie spadá JS/CoinMiner, škodlivý kód, který používají zločinci pro těžbu kryptoměn s využitím výpočetního výkonu uživatele. Za uplynulý měsíc představovala právě aplikace JS/CoinMiner nejčastější internetovou hrozbu, kterou v České republice zachytila společnost Eset.
JS/CoinMiner existuje ve dvou variantách.

Tou častější je javový skript, který běží na pozadí internetových stránek a využívá výpočetního výkonu uživatele k těžení kryptoměn. Ta druhá, méně častá, se chová jako trojan a zneužívá exploitu EternalBlue SMB, vyvinutého americkou Národní bezpečnostní agenturou NSA. Do zařízení proniká prostřednictvím neaktualizovaného operačního systému. Jakmile jej infikuje, stáhne do něj škodlivý skript a zneužije ho. Doporučenými nástroji ochrany jsou kromě spolehlivého bezpečnostního softwaru i pravidelné aktualizace operačního systému Windows.

Kritická chyba v procesorech

Společnost Apple těsně před Vánocemi musela přiznat, že zpomaluje procesory starších modelů iPhonů - údajně kvůli baterii. Teď je jasné, že zpomalovat budou muset nejen iPhony, ale v podstatě všechny počítače, notebooky a další zařízení vybavená procesory Intel, ale i AMD a ARM.

V procesorech byly totiž objeveny vážné bezpečnostní chyby označené jako Meltdown a Spectre, které mimo jiné umožňují hackerům „nahlédnout“ do jejich paměti a přečíst si tam, co potřebují. Aby se tento bezpečnostní problém vyřešil, je potřeba instalovat dodatečný software, který chod počítače zpomalí. S informací přišli bezpečnostní odborníci společnosti Google a informoval o nich i server The Register, i když o problému museli patrně už dlouho vědět i výrobci procesorů. Například šéf firmy Intel před oznámením problému prodal akcie v hodnotě půl miliardy korun.

Problém se týká procesorů Intel Core šesté, sedmé a osmé generace, Xeon V5, V6, Xeon-W, ale i procesorů z nižších řad, jako jsou Pentium a Atom. Záplata, která je v současné době k dispozici, zpomalí procesor tak, že jeho výkon klesne až o pětinu. Specializované servery hovoří přesněji o hodnotě 17 % výkonu. Záleží ale na tom, jaké aplikace na počítači provozujete. Například u herních nebo grafických počítačů by mělo dojít jen ke zpomalení v jednotkách procent. Intel tvrdí, že jeho záplaty pro Meltdown a Spectre budou mít minimální dopad na výkon. Výčet softwaru, kterého se tento problém dotkne, je velký. Jde o Windows, Linux, macOS i o servery s databázovými stroji. Microsoft poskytl první bezpečnostní záplatu (KB4073117) pro Windows již 3. ledna.

Problém přiznal i Apple a týká se v podstatě všech chytrých telefonů iPhone, tabletů iPad i počítačů Mac (hodinky s watchOS údajně ohroženy nejsou). Apple už také sdělil, že vydal softwarové úpravy k odstranění těchto nedostatků, a informoval i o tom, že nemá informace, že by hackeři bezpečnostních slabin jeho čipů využili. Google už oznámil, že chytré telefony s Androidem jsou dostatečně chráněné, pokud mají uživatelé nainstalovány nejnovější bezpečnostní aktualizace - ne všichni je ale mají k dispozici. Společnost Nvidia vydala prohlášení, ve kterém problém také přiznává. Týká se karet GeForce, Quadro, NVS a Tesla. Vyřešila ho aktualizací ovladačů. V budoucnu můžeme očekávat řadu žalob na Intel a další společnosti.

Zabezpečení v roce 2018

Společnost Trend Micro předpovídá, že technologické změny povedou k větším nárokům na správu bezpečnostních záplat pro blokování nejnovějších hrozeb.

V průběhu roku 2017 způsobily kybernetické útoky vedoucím pracovníkům mnoho vrásek - za většinou incidentů přitom stály útoky, které využívaly již známé zranitelnosti. Přesně tak tomu bude podle společnosti Trend Micro i v roce 2018, a to zejména v důsledku neustálého rozšiřování podnikových informačních architektur, které budou obsahovat více bezpečnostních děr. Správa takzvaných záplat (patchů) i vzdělávání zaměstnanců by proto z důvodu ochrany nejdůležitějších dat měly být prioritou pro všechny.

Ve své zprávě zaměřené na předpovědi pro rok 2018 Trend Micro uvádí, že informační a provozní technologie se budou stále více sbližovat a podnikové aplikace i platformy tak budou vystaveny rizikům spojeným se zranitelnostmi a nežádoucími manipulacemi. Společnost navíc předpovídá nárůst zranitelností ve světě internetu věcí (IoT), protože stále více zařízení se vyrábí bez ohledu na bezpečnostní nařízení a průmyslové standardy. Celkově větší propojenost přináší širší možnosti provedení útoků - představuje totiž pro počítačové zločince nové příležitosti ke zneužití známých problémů a chyb k průniku do podnikové sítě.

Ransomware, tedy vyděračský software, bude díky své prokazatelné úspěšnosti i nadále hlavním nástrojem kybernetických zločinců. Vyděrači se zaměří na narušení chodu konkrétních organizací s cílem maximalizovat možnou výši výkupného. Mezi útočníky poroste i popularita podvodů realizovaných prostřednictvím firemních e-mailů, tedy tzv. BEC útoků (Business Email Compromise), a to pro svou poměrně vysokou návratnost vynaložených investic na zajištění „úspěšnosti“ bezpečnostních incidentů.