CDR.cz - Vybráno z IT

CDR SecUpdate 39 - Chirurgicky přesné útoky - změna pohledu na IT bezpečnost?

icefog-malware
Odhalené informace z posledních dnů ukazují na extrémně cílené počítačové útoky. Malé skupiny "kyberžoldáků" ani na systému nemusí vydržet bůhvíjak dlouho, stačí rychle a efektivně vykrást hnízdo a zase letět jinam.

Chyby v softwaru

IE zranitelnost CVE-2013-3893 zneužívaná hackery během cílených útoků

Týká se: minimálně Internet Explorer 8, Internet Explorer 9

Chyba umožňující vzdálené spuštění kódu byla zneužívána v útocích proti IE ve verzi 8 a 9. Microsoft vydal bezpečnostní doporučení a vzápětí i Fix it řešení pro problém. Zranitelnost je přítomná v HTML rendering enginu IE (mshtml.dll) a původní exploit využíval sílu javascriptu. Fix it opravuje mshtml.dll.

Původně exploit operoval podle Microsoftu na "extrémně limitovaném" území, FireEye potvrdil následně výskyt v útocích proti japonským cílům v operaci DeputyDog. Podle FireEye je za tím prý stejná skupina, která v únoru tohoto roku kompromitovala Bit9.

Podle Rapid7 se však chyba týká všech verzí IE od verze 2001. Doporučujeme aplikovat Fix it a EMET 4.0 pro vynucení ASLR a ochranu proti heap sprayi a ROP.

Novinky a Události

Icefog APT - nová éra počítačových nájezdníků a žoldáků

Na stejné konferenci odhalili zástupci Kaspersky Lab informace o novince na scéně pokročilých hrozeb APT. Nebezpečný software pojmenovaný Icefog útočí na jihokorejské a japonské firmy a dodavatelské řetězce. Z průmyslu se útoky týkaly Lig Nex1 a Selectron Industrial Company, loďařské společnosti DSME Tech či Hanjin Heavy Industries, telekomunikační firmy Korea Telecom, mediální společnosti Fuji TV či organizace Japan-China Economic Association.

Icefog je zajímavý i tím, že v mnoha případech není nijak příliš persistentní ve smyslu dlouhodobého setrvávání v systému. Razí tak nový přístup v této oblasti rychlých a cílených útoků, kdy hackeři přesně vědí, pro co do systémů jdou, a jakmile to získají, okamžitě opouští perimetr. Takový přístup může kolikrát stížit následnou analýzu. Celý software nemusí být nijak robustní, náklady jsou menší a snížena může být celková komplexnost týmu hackerů. To jsou často žoldáci přímo určení na jeden projekt, specializovaní v této oblasti rychlých útoků.

Více se můžete dozvědět v dokumentu o celém projektu na webu Kaspersky Lab Securelist.com [PDF].

Změny v pohledu na bezpečnost jako jediné východisko z nevýhodné pozice obránců

Časy se mění. I když se obranné mechanismy stále vylepšují, útočníci jsou v mnoha případech stále smrtící a obránci pokulhávají. Na bezpečnostní konferenci Billington CyberSecurity se mimo jiné mluvilo o možných změnách fundamentálních přístupů k IT zabezpečení a experti se shodli, že je nutné začít na bezpečnost nahlížet z jiných pohledů. První věcí může být například přihlašování do informačních systémů (autentikace).

"V mém světě již nepoužívám slovo autentikace," řekl globální šéf IT bezpečnosti v Citi Charles Blauner v panelové diskuzi. "Je čas přenést se přes to. V našem případě o tom mluvíme spíše ve smyslu rozpoznávání, než autentikace. Je to o tom, že systém řekne 'poznávám tě' a z toho pak vychází."

ed-amoroso

Dále mluvil Blauner o možném řešení rozpoznávání, které vidí v biometrických technologiích, například ve skenování otisků prstů nebo oční rohovky. Ed Amoroso, CSO v AT&T, považuje kombinaci hesla a skenu za něco, co je pro útočníka mnohem těžší prolomit. To by němečtí hoši z CCC asi zaplakali.

Útočník může mít pravdu jen jednou, bezpečák ji musí mít pořád.

Amoroso tedy nejspíš nevidí problémy, které otisky prstů provázejí a spíše se bojí principu zpracovávání těchto biometrických dat. Za nebezpečné považuje posílat data po síti, která tak mohou být jednoduše kompromitována, doporučuje raději skladovat data přímo v koncovém zařízení.

Podle mě není až tak nutné přímo specifikovat princip rozpoznávání, ale nejdříve začít navrhovat systém přihlašování přímo pro zabezpečení procesu - security by design. Neměl by ověřovat účet, ale přímo osobu. Ta již pak bude mít pro sebe specifický pohled v systému, nezávisle na "účtu", kterým se přihlašuje.


Čtete týdenní bezpečnostní bulletin internetového magazínu CDR. Moderní trendy počítačové bezpečnosti a hlídací pes nově objevených kritických chyb ve vašem softwaru na jednom místě. 

To je pro dnešek vše, zůstaňte s námi a za týden nashledanou.

Minulé díly CDR Security Update

Díly CDR Security Update SPECIÁL

Jiří Moos (Google+)

Jirka Moos je redaktor CDR.cz a DIIT.cz, kreativec se smyslem pro humor a také blázen do zabezpečení IT systémů. Vede bezpečnostní týdeník CDR Security Update a v současné době řeší marketing a redakční spolupráce CDR/DIIT.

více článků, blogů a informací o autorovi

Diskuse ke článku CDR SecUpdate 39 - Chirurgicky přesné útoky - změna pohledu na IT bezpečnost?

Úterý, 1 Říjen 2013 - 16:57 | HKMaly | To bylo porad reci, jak se nema na vsechno...
Úterý, 1 Říjen 2013 - 07:12 | general100 | Slovo autentikace, at uz je podobne s anglickym...

Zobrazit diskusi