CDR SecUpdate 39 - Chirurgicky přesné útoky - změna pohledu na IT bezpečnost?
Chyby v softwaru
IE zranitelnost CVE-2013-3893 zneužívaná hackery během cílených útoků
Týká se: minimálně Internet Explorer 8, Internet Explorer 9
Chyba umožňující vzdálené spuštění kódu byla zneužívána v útocích proti IE ve verzi 8 a 9. Microsoft vydal bezpečnostní doporučení a vzápětí i Fix it řešení pro problém. Zranitelnost je přítomná v HTML rendering enginu IE (mshtml.dll) a původní exploit využíval sílu javascriptu. Fix it opravuje mshtml.dll.
Původně exploit operoval podle Microsoftu na "extrémně limitovaném" území, FireEye potvrdil následně výskyt v útocích proti japonským cílům v operaci DeputyDog. Podle FireEye je za tím prý stejná skupina, která v únoru tohoto roku kompromitovala Bit9.
Podle Rapid7 se však chyba týká všech verzí IE od verze 2001. Doporučujeme aplikovat Fix it a EMET 4.0 pro vynucení ASLR a ochranu proti heap sprayi a ROP.
Novinky a Události
Icefog APT - nová éra počítačových nájezdníků a žoldáků
Na stejné konferenci odhalili zástupci Kaspersky Lab informace o novince na scéně pokročilých hrozeb APT. Nebezpečný software pojmenovaný Icefog útočí na jihokorejské a japonské firmy a dodavatelské řetězce. Z průmyslu se útoky týkaly Lig Nex1 a Selectron Industrial Company, loďařské společnosti DSME Tech či Hanjin Heavy Industries, telekomunikační firmy Korea Telecom, mediální společnosti Fuji TV či organizace Japan-China Economic Association.
Icefog je zajímavý i tím, že v mnoha případech není nijak příliš persistentní ve smyslu dlouhodobého setrvávání v systému. Razí tak nový přístup v této oblasti rychlých a cílených útoků, kdy hackeři přesně vědí, pro co do systémů jdou, a jakmile to získají, okamžitě opouští perimetr. Takový přístup může kolikrát stížit následnou analýzu. Celý software nemusí být nijak robustní, náklady jsou menší a snížena může být celková komplexnost týmu hackerů. To jsou často žoldáci přímo určení na jeden projekt, specializovaní v této oblasti rychlých útoků.
Více se můžete dozvědět v dokumentu o celém projektu na webu Kaspersky Lab Securelist.com [PDF].
Změny v pohledu na bezpečnost jako jediné východisko z nevýhodné pozice obránců
Časy se mění. I když se obranné mechanismy stále vylepšují, útočníci jsou v mnoha případech stále smrtící a obránci pokulhávají. Na bezpečnostní konferenci Billington CyberSecurity se mimo jiné mluvilo o možných změnách fundamentálních přístupů k IT zabezpečení a experti se shodli, že je nutné začít na bezpečnost nahlížet z jiných pohledů. První věcí může být například přihlašování do informačních systémů (autentikace).
"V mém světě již nepoužívám slovo autentikace," řekl globální šéf IT bezpečnosti v Citi Charles Blauner v panelové diskuzi. "Je čas přenést se přes to. V našem případě o tom mluvíme spíše ve smyslu rozpoznávání, než autentikace. Je to o tom, že systém řekne 'poznávám tě' a z toho pak vychází."
Dále mluvil Blauner o možném řešení rozpoznávání, které vidí v biometrických technologiích, například ve skenování otisků prstů nebo oční rohovky. Ed Amoroso, CSO v AT&T, považuje kombinaci hesla a skenu za něco, co je pro útočníka mnohem těžší prolomit. To by němečtí hoši z CCC asi zaplakali.
Útočník může mít pravdu jen jednou, bezpečák ji musí mít pořád.
Amoroso tedy nejspíš nevidí problémy, které otisky prstů provázejí a spíše se bojí principu zpracovávání těchto biometrických dat. Za nebezpečné považuje posílat data po síti, která tak mohou být jednoduše kompromitována, doporučuje raději skladovat data přímo v koncovém zařízení.
Podle mě není až tak nutné přímo specifikovat princip rozpoznávání, ale nejdříve začít navrhovat systém přihlašování přímo pro zabezpečení procesu - security by design. Neměl by ověřovat účet, ale přímo osobu. Ta již pak bude mít pro sebe specifický pohled v systému, nezávisle na "účtu", kterým se přihlašuje.
Čtete týdenní bezpečnostní bulletin internetového magazínu CDR. Moderní trendy počítačové bezpečnosti a hlídací pes nově objevených kritických chyb ve vašem softwaru na jednom místě.
To je pro dnešek vše, zůstaňte s námi a za týden nashledanou.