Vítejte u dalšího dílu bezpečnostního týdeníku CDR, dnes pro 49. týden. Úvodem vyhlásíme výsledky soutěže o avast! a zveřejníme vítězné příhody. Přijde čas i na poslední soutěž o ESET Smart Security 6. V klasické porci bezpečnostních novinek nebude chybět komentář aktuálních MySQL zranitelností, čtěte Chyby v softwaru.  Hlavním tématem dnešního dílu je však kauza Eurograbber, která otřásla minulý týden Evropou, více Událostech.

Vyhlášení soutěže o avast! Internet Security

Minulý týden jste soutěžili o sedmou verzi Internet Security od avastu. Za úkol bylo sepsat příhodu na téma Nejvtipnější bezpečnostní zážitek. Příběhů se nám sešla pěkná řádka a notně jsme se u nich v redakci nasmáli :-), děkujeme všem soutěžícím!

Nakonec jsme po těžkém výběru zvolili za vítězné dvě příhody od Libora A. Vyhrává tak avast! Internet Security, blahopřejeme!

Vítězná příhoda #1 aneb Záloha se dá dělat i takhle:

Při psaní příběhu se "zázračným" kladivem jsem si vzpomněl ještě na jednu příhodu, která bohužel už neměla tak veselý konec. Po vysoké škole jsem v rámci civilní služby pracoval na jedné obci. Byl jsem požádán, zda bych nenaprogramoval několik databázových aplikací, které by usnadnily činnost úřadu. Protože úřad byl vybaven databázi MS Access a nejednalo o nic světoborného, naprogramoval jsem příslušné aplikace v tomto prostředí. Po mnoha letech mi zavolali z úřadu, zda bych se nemohl zastavit, že jim jedna moje aplikace "zlobí". Přijel jsem na úřad, zasedl k počítači a otevřel aplikaci. Skutečně se chovala velice nestandardně - byl problém vložit nová data. Optal jsem se, zda mají stará data zazálohováná a bylo mi sděleno, že skutečně provádějí každý rok zálohu na disketovou mechaniku a že pokud se nepodaří aplikaci "rozchodit", tak budou muset obnovit data za uplynulé roky a poslední rok "nadatlovat" do databáze znovu. Měl jsem trochu obavu, zda budou ještě staré floppy disky fungovat, ale byl jsem ujištěn, že je používají běžně a k plné spokojenosti. Teprve v tuto chvíli jsem uzavřel aplikaci s tím, že si přenesu mdb soubor do svého počítače pokusím se ji zprovoznit doma. Jenže v tu chvíli jsme objevil proč aplikace "zlobila" - pevný disk odcházel "do věčných lovišť" a nebylo možno ani příslušný databázový soubor zkopírovat. Dokonce ani aplikaci už se nepodařilo znovu otevřít. Smutným bývalým kolegyním jsem oznámil, že už se mi s velmi vysokou pravděpodobností nepodaří jednoduchým způsobem data zachránit, až tedy je nejlevnějším a nejrychlejším řešením obnovit data ze zálohy a opětovné doplnění údajů za poslední rok. Dostal jsem do ruky klasickou 3,5" floppynu, kterou jsem sám od školy prakticky nepoužil a ani jsem si nevzpomínal, kde jsem ji naposledy držel v ruce. Na štítku bylo poctivě napsáno, jaké roky jsou na ní zazálohované a další "potřebné" informace. Vložil jsem disketu do mechaniky a hledal zazálohovaný datový soubor. Ke svému úžasu jsem na disketě nalezl pouze zástupce na soubor na tom pevném (a nyní již nefunkčním) disku. Pak se teprve ukázalo, jak probíhala záloha. Pracovnice, která měla obsluhu programu na starosti, vždy při zálohování "zkopírovala" soubor, který měla na ploše a kterým otevírala databázi. Ještě že měly na úřadě vytištěné každoroční uzávěrky, data tak byla uložena alespoň na papíru. Tím skončil (pro mne nečekaně dlouhý) životní cyklus jedné má aplikace.

Vítězná příhoda #2 aneb Zázračné kladivo:

Před pár lety jsem dělal pro jednu státní instituci se sídlem v Praze. Jako mimopražák jsem jezdil na ústředí jen jednou za 14 dní a protože jsem měl na starosti "metodické řízení" jednoho informačního systému, byl jsem brán mezi svými kolegy (tedy většinou mnohem staršími kolegyněmi) za počítačového specialistu. Při jedné návštěvě jsem byl požádán, zda bych se nepodíval na jeden starý počítač. Že přestal fungovat, ale že by bylo potřeba z něj alespoň zachránit "cenná data". Sedl jsem si k počítači a skutečně se mi jej nepodařilo rozchodit, proto jsem požádal o zapůjčení nějakého nářadí, abych se mohl podívat dovnitř a případně vymontovat harddisk. K mému pobavení mi bylo přineseno poměrně veliké kladivo a klasické kombinačky. Fakt jsem se bavil tím, co asi budu dělat s tím kladivem, tak jsem jej položil před počítač, že si pomohu kombinačkama a vyšroubuji šroubky ze skříně, abych vyndal disk. A protože než něco "nevratného" začnu dělat, tak vždycky provedu ještě poslední pokus i tentokrát jsem sáhl na vypínač a pokusil se PC zapnout. K mému úžasu tentokrát počítač bez nejmenších problémů naběhl a fungoval. Nemusím jistě zdůrazňovat, že předtím jsem jej x-krát zkusil zapnout. Data jsem zazálohoval na jiný počítač a čistě ze srandy jsem doporučil, aby tam to kladivo nechali, jako výhrůžku počítači, co by jej mohlo čekat, kdyby nechtěl pracovat. Nevím jak dlouho tam to kladivo bylo, ale tuto příhodu, kdy položení kladiva před počítač jej nečekaně "opravilo" používám jako důkaz toho, že existují věci mezi nebem a počítačem, kterým ani pán bůh nerozumí :-)

Třetí vánoční soutěž - ESET Smart Security 6

Vánoční soutěže s CDR Security Update se blíží ke konci, dnes máte poslední možnost vyhrát zajímavé produkty pro bezpečné prožití vánočních svátků (a následujícího roku ;-) ).

Co můžu vyhrát?

I naposledy to je antivir. Šalamounsky jsme si nechali to nejoblíbenější na konec a dnes bude původ produktu u našich bratrů na Slovensku. Jedná se o nejnovější šestou verzi ESET Smart Security, která nově implementuje také anti-theft funkcionalitu. Mezi další funkce patří ochrana krádeže identity a optimalizace zatížení systému antivirovým řešením. Standardně pak obsahuje kvalitní firewall s ochranou procházení webu proti phishingu, antivirový modul a anti-spam.

Na oficiálním webu koupíte ESET Smart Security 6 za 1499 Kč.

Soutěžní úkol

V posledním díle budete muset přijít s trochou kreativity a fotografickým umem. Pošlete nám vámi pořízenou fotografii (nebo naskenovaný nakreslený obrázek) na téma Počítačová bezpečnost. Opět může být z pracovního prostředí, s rodinou či s přáteli. Kreativitě se meze nekladou :-).

Fotografie/obrázky posílejte na e-mail mozek(zavináč)cdr.cz během týdne od pondělí 10. 12. do neděle 16. 12. 2012. Nezapomeňte uvést adresu pro zaslání výhry! Zkrácené jméno vítěze (Jirka M.) s nejlepším a nejzajímavějším obrázkem vyhlásíme příští pondělí. Moc se těšíme na zajímavé obrázky! :)

Chyby v softwaru

MySQL zranitelnosti nultého dne

Týká se verzí: MySQL 5.5.19, 5.1.53 a pravděpodobně dalších

Oblíbená databáze MySQL minulý týden zažila bezpečnostní incident. Bezpečnostní výzkumník King Cope zveřejnil informace a důkazné proof-of-concept exploity o dosud neznámých chybách na seznam Full Disclosure. Po první vlně zděšení se nakonec ukázalo, že záležitost není tak žhavá, jak na první pohled vypadá. "Některé techniky jsou zajímavé, ale musíte se přihlásit, aby fungovaly." říká HD Moore, CSO ve firmě Rapid7 (Metasploit Framework). "Většinou existují lepší cesty k získání přístupu." Většina zranitelností umožní útočníkovi odepření služby a pád programu.

Jedna z chyb však umožňuje vzdálené spuštění libovolného kódu a stává se tak poměrně kritickou. Údajně chybu způsobí dlouhý argument příkazu GRANT FILE. "Je jednoduše zneužitelná." říká Sergei Golubchik vice president architektury v Monty Programu (MariaDB). "Můžete jendoduše provést injekci kódu."

Trochu se opět bojíme odpovědi Oracle, jejich pomalé reakce jsme již letos zažili a není to nic příjemného. I když to není přímo Java, tak stejně budeme čekat aktualizaci co nejdříve.

Události

Eurograbber ukradl miliardu sofistikovaným útokem

Minulý týden však rozhodně z bezpečnostního hlediska nevedl MySQL. Na velké titulky na zpravodajských webech dosáhla kauza Eurograbber, kterou dokumentovaly bezpečnostní firmy Check Point a Versafe. I když bych ji osobně neoznačil za pokročilou persistentní hrozbu APT, jedná se o velmi zajímavou záležitost už jen proto, že krádeže byly v desítkách miliónů euro.

Celý útok začal z uživatelského hlediska u infikování systému trojským koněm například z nebezpečného e-mailu nebo přes drive-by stažení při obecném prohlížení webu. Při dalším přihlášení na web internetového bankovnictví provede trojan pravděpodobně man-in-the-browser útok (MiB) a přidá k obsahu bankovnictví také svůj Javascript. Ten následně vyzve uživatele k "bezpečnostní aktualizaci" - ke stažení aplikace pro mobilní telefon.

Zadáte vaše telefonní číslo, které si systém uloží a pošle na číslo odkaz pro stažení "bezpečnostní aplikace". Po stažení se nainstaluje upravená varianta trojského koně ZitMo (Zeus in the mobile), který začne komunikovat s command and control serverem útočníka. 

Při posílání sms se zobrazí i uživateli zpráva, která obsahuje instrukce k instalaci na telefonu - celý proces vypadá velmi "uvěřitelně". Jakmile je nainstalován trojan na obou systémech a po odeslání ověřovacího kódu, je odeslána zpráva C&C serveru útočníků informující, že celý proces byl úspěšně ukončen. 

Po dalším přihlášení do bankovnictví eurograbber iniciuje transakci v přednastavené výši a sám si pošle ověřovací kód (TAN) z telefonu nutný k potvrzení transakce (dvouúrovňová autentikace). Krádež proběhne skrytě bez jediného vyskakujícího okna jak na telefonu, tak na počítači. Komunikace je realizována přes proxy servery a je velmi těžko vystopovatelná. 

Útok byl původně spuštěn v Itálii (16 napadených bank, celých 50 %), ale rychle se rozšířil do Německa (6 bank), Nizozemska (3) a Španělska (7). Útočníci si přišli údajně na 36 miliónů euro (v Itálii přes 16M, v Německu necelých 13M). Celou studii si můžete přečíst na na webu Check Pointu zde.

To je pro dnešek vše, zůstaňte s námi a za týden nashledanou.

Minulé díly CDR Security Update

• CDR SecUpdate za 48. týden - Soutěž o avast! Internet Security a chyby v průmyslových systémech každodenní kontroly SCADA

• CDR SecUpdate za 47. týden - Soutěž o Norton 360 a tipy pro bezpečné nakupování na internetu

• CDR SecUpdate za 46. týden - Hack exekutorské komory - hacktivismus mění pohled na bezpečnost

Díly CDR Security Update SPECIÁL

• CDR SecUpdate SPECIÁL: Laboratoř hackera - vaše lokální síť nemusí být bezpečná

• CDR SecUpdate SPECIÁL: Jak se dostat k citlivým datům iPhonu za pár sekund

• CDR SecUpdate SPECIÁL: Chraňte lépe svůj Google účet pomocí dvouúrovňové autentifikace