Menu

Bezpečnost

Bezpečnost

NOVÁ WINDOWS, STARÉ VIRY

Windows Vista: Problémy už na startu

Máme-li věřit Microsoftu, jsou Windows Vista nejbezpečnějším operačním systémem všech dob. Bezpečnostní experti to však vidí trochu jinak, a už mají i důkazy. Od 30. ledna, kdy je systém Vista v prodeji pro koncové zákazníky, je jisté jen jedno: přinejmenším tři viry z první desítky v žebříčku běží i pod novým operačním systémem.

Staronoví škůdci

Viry Stratio-Zip, Netsky-P a MyDoom-O jsou v současné době odpovědné za zhruba 40 % všech infekcí. Netsky-P umožňuje útočníkovi zneužít cizí e-mailové adresy ke spamovému napadení. Všechny zprávy pak hacker rozesílá jménem oběti. Podobně funguje MyDoom-O: v adresáři Windows zakládá soubor services.exe, jehož prostřednictvím může útočník získat přístup do počítače. Třetí záškodník, Stratio-Zip, přichází rovněž elektronickou poštou, infekci však šíří pomocí ZIP archivu. Ten pak obsahuje vlastní virus.
Tyto viry jsou známy už dlouho -proč proti nim tedy programátoři Windows Vista nevymysleli nějakou protizbraň? Podle zasvěcených nejprve nebezpečí podcenili a později už byl tlak výroby příliš vysoký: „Ještě teď přidávat na disky aktualizaci, to by znamenalo příliš velké náklady, lepší proto bude vyřešit problém později bezpečnostní záplatou,“ tolik jeden z pracovníků Microsoftu.

Vstupní brána: Síťový nástroj není zcela bezpečný

Ale systém Vista nemá problémy jen s viry. Podle výrobce antivirových prostředků Symantec vykazuje bezpečnostní mezeru také podpora sítí - a to v nástroji Teredo, který transformuje příkazy nového síťového protokolu IPv6 do starého IPv4. Za tím účelem program přijímá data z protokolu IPv6 a vkládá je do datového proudu IPv4. Přitom se však důležité bezpečnostní prvky ztratí. Další špatná zpráva pochází rovněž od antivirové firmy: podle Trend Micro je jistá bezpečnostní mezera ve Windows Vista poprvé nabízena ke koupi - za 50 000 USD na jedné tajné webové stránce.
Kdo tedy chce mít opravdovou jistotu, nesmí se spoléhat na Microsoft, neboť proti těmto hrozbám nepomůže ani nástroj Visty zvaný Defender. Účinnou ochranu poskytnou jen další bezpečnostní nástroje. Například který z antivirů už spolupracuje s Windows Vista, to se dozvíte na adrese www.microsoft.com/security/partners/antivirus.asp.

Kopie za babku

A aby problémů nebylo málo, prolomena byla i ochrana proti nelegálnímu kopírování. Konec s pirátskými kopiemi - pod tímto heslem ohlašoval Microsoft v listopadu obsáhlý systém opatření proti nelegálnímu kopírování nových Windows Vista. Jedno z těchto opatření je prolomeno už nyní: aktivace produktu pro hromadné licence systému Vista, které byly od konce listopadu dodávány firemním zákazníkům.
Pikantní na tom je, že právě tato povinná aktivace firemních verzí byla zavedena teprve s Windows Vista, aby se zabránilo vytváření ilegálních kopií. Vícemístná varianta Windows XP byla totiž dodávána ještě bez aktivace a prostřednictvím dodaného klíče ji bylo možno nainstalovat na libovolném počtu počítačů - i mimo firmu. Pro Microsoft je tedy o to trapnější, že nyní je také nová ochrana zneužívána k ilegální aktivaci.

Přeběhlíci: Uživatelé aktivují bez Microsoftu

A v čem spočívá hackerský trik? Aby Microsoft svým velkým zákazníkům trochu zjednodušil aktivaci, kterou je nutno obnovovat každých 180 dnů, dává firmám od 25 zakoupených licencí Visty k dispozici vlastní aktivační službu. Tento tzv. KMS server za normálních okolností aktivuje jenom PC v lokální síti. Avšak krátce po vydání Windows Vista se hackerům podařilo dva z těchto serverů pozměnit tak, že verze Visty uvolňují i mimo firemní síť, například po internetu. Zmanipulované servery sice byly brzo odstaveny, avšak mezitím se na webu objevily v podobě image pro virtuální PC „VMWare“. Po stažení takového obrazu může softwarový pirát přes VMWare nechat službu proběhnout na vlastním počítači a svou kopii Visty si tak sám aktivovat.
Microsoft mlčí. Na web „prosáklo“ pouze lapidární stanovisko Cori Hartjeové, šéfky oddělení Genuine software u Microsoftu: „Tuto formu pirátství pečlivě pozorujeme a proti zcizeným nebo zneužitým klíčům či serverům budeme postupovat.“ Na dotaz Chipu, zda má Microsoft možnost nelegálně aktivované verze Visty zablokovat prostřednictvím WGA, dosud žádná odpověď nepřišla. Pokud tedy Microsoft tuto skulinu skutečně přehlédl a nemá proti ní žádný prostředek, zůstane zřejmě všechno jako pod XP. Bezpečnostní systémy budou zatěžovat poctivé uživatele - a všichni ostatní se jako dosud zdarma obslouží na internetu.
Info: www.microsoft.com  

PROGNÓZY INTERNET SECURITY SYSTEMS

Útoky na browsery a obrázkový spam

Internet Security Systems, divize společnosti IBM, vydala nedávno zprávu, ve které oznámila výsledky svého statistického vyhodnocení bezpečnosti za rok 2006, popsala klíčové výsledky výzkumu v uvedeném roce a předpověděla povahu internetového ohrožení, které se objeví v roce 2007.

Jak vyplývá ze zprávy, která byla vypracována výzkumným a vývojovým týmem ISS X-Force, v roce 2006 bylo zaznamenáno a analyzováno 7247 nových druhů možných napadení, což je v průměru 20 zranitelností denně. To představuje skoro 40% nárůst proti statistickým údajům z roku 2005. Více než 88 % zranitelností z roku 2006 může být aplikováno vzdáleně a více než 50 % dovoluje útočníkům získat přístup do napadeného stroje a ovládnout jej.

Černá budoucnost?

„Ačkoliv se tato čísla zdají velmi hrozivá, dobrou zprávou je, že náš výzkum naznačuje od loňského roku procentuální pokles velmi nebezpečných hrozeb,“ řekl Gunter Ollmann, ředitel bezpečnostní strategie IBM Internet Security Systems. „V roce 2005 bylo z celkového počtu zranitelností velmi nebezpečných pouze 20 %, přičemž v roce 2006 jich bylo zjištěno už jen 18 %. Bezpečnost počítačového průmyslu během celého roku rychle narůstala, ale navzdory statistikám, jako je tato, předpokládáme, že rok 2007 bude vyžadovat ještě vyšší úroveň zabezpečení a inovací, které nám pomohou vypořádat se s hrozícím nebezpečím a novými směry útoků.
Očekává se, že útoky na internetové prohlížeče budou v roce 2007 i nadále vzrůstat, částečně jako výsledek nově vytvořeného průmyslu „zneužívání na zakázku“. Prodej získaných dat se stává stále organizovanějším a stále častěji na sebe bere podobu prodejních kanálů využívaných legitimními společnostmi. Poskytovatelé těchto prodejních kanálů získávají vytěžený kód od podsvětí, zašifrují jej, aby zabránili jeho dalšímu nelegálnímu šíření, a prodávají jej za velké peníze distributorům spamu. Organizovaný vývoj a prodej zašifrovaného vytěženého kódu učiní v novém roce ochranu autorizovaného kódu ještě méně efektivní.

Obrázkový spam

Pokud jde o spam, tým X-Force předpokládá ještě sofistikovanější a na spamových obrázcích založené techniky. V roce 2007 budou pravděpodobně vyvinuty nové formy obrázkového spamu, které dokáží obejít ochranná řešení, jež byla vyvinuta pro boj s ranými formami obrázkového spamu.
Tým X-Force také v roce 2006 pozoroval značné procento zneužívání webových prohlížečů a prudký nárůst využívání webového kódování za účelem snížení účinnosti detekce obtěžování, a tím i nižší ochrany před útoky. Údaje týmu X-Force naznačují, že přibližně 50 % webových stránek, jejichž cílem je infikovat prohlížeče, se snaží zakrýt své útoky - zhruba 30 % stránek dokonce šifruje veškerou svou komunikaci.

Statistika nuda je...

Zpráva týmu X-Force se mimo jiné věnuje také následujícím statistikám za rok 2006:
* Během minulého roku vzrostl objem spamu ve srovnání s rokem 2005 o 100 %.
* Největšími původci spamu jsou USA, Španělsko a Francie.
* Po angličtině je nejčastěji používaným jazykem, ve kterém je spam napsán, němčina. (X-Force očekává, že jelikož se uživatelé počítačů stávají při detekci spamu a jeho mazání mnohem ostražitějšími, budou se útočníci stále více zaměřovat na jiné jazyky, než je angličtina, aby zvýšili poměr otevřených spamů.)
* Většina nejobvyklejších slov v řádku Předmět byla v roce 2006 „Re: hi“.
* Největším zdrojem phishingových spamů je Jižní Korea.
* Největší kategorií hrozeb škodlivým kódem jsou tzv. downloaders, představující 22 % škodlivého kódu. (Downloader je úzce zaměřený škodlivý kód, který se na stroje instaluje sám za účelem pozdějšího stahování mnohem sofistikovanějšího malwarového agenta.)
* Nejčastějším cílem zneužívání používaným na internetu k infekci webových prohlížečů malwarem byla zranitelnost MS-ITS firmy Microsoft (MS04-013), odhalená již v roce 2004.
V roce 2007 očekává ISS neustálý nárůst počtu zranitelností, zejména v souvislosti s uvedením nového operačního systému. I když nový operační systém obsahuje mnohem více zabezpečovacích funkcí než dřívější verze a podstoupil vyčerpávající bezpečnostní audit, jeho komplexnost bude pravděpodobně zdrojem nových zranitelností. Synchronizované uvedení nových a aktualizovaných produktů, které podporují nový operační systém, bude navíc pravděpodobně přispívat k tomu, že se rok 2007 stane rekordním rokem zranitelností.
Statistickou zprávu ISS IBM X-Force v plném rozsahu, včetně popisu trendů v oblasti zabezpečení a předpovědí ISS spolu s grafickými prezentacemi bezpečnostních statistik, naleznete na adrese http://www.iss.net/documents/whitepapers/X_Force_Exec_ Brief.pdf.

SMARTPHONY

Nástup mobilových virů

Do oběhu se dostává spyware pro smartphony se Symbianem. Nový škůdce SymbOS/Mobispy. A protokoluje seznamy volajících a SMS zpráv a pak je posílá hackerskému serveru na internetu. Škůdce využívá komerčního programu pro ukládání dat na internet. Přístup má normálně pouze majitel telefonu, který se identifikoval jeho sériovým číslem IMEI. Jinak je tomu u spywaru: zde má přístup nejen uživatel mobilu, ale také hacker. Navíc se program v infikovaném telefonu schová tak, že na něj neodkazuje žádná položka v menu. Kdo se chce proti takovým programům chránit, musí si nainstalovat virový skener, jaké nabízejí všichni velcí výrobci antivirových prostředků.
Info: www.symbianwatch.com  

TOP 10 MALWARE

Samotní dva škůdci představují téměř 50 % veškerého malwaru.
Jiné 25,9 %
W32/Zafi-AA 1,7 %
W32/Sality-AA 1,8 %
W32/Mytob-C 2,4 %
W32/MyDoom-O 2,4 %
W32/Nyxem-D 2,5 %
W32/Netsky-D 3,9 %
W32/Zafi-B 4,3 %
W32/Bagle-Zip 6,1 %
W32/Netsky-P 15,6 %
W32/Stratio-Zip 33,3 %

ÚTOK ČERVA

Nový virus využívá staré díry

Jedna varianta Spybot viru dělá těžkou hlavu univerzitám a veřejným zařízením. Skrze mezeru v aktualizačním mechanismu antivirového nástroje od Symantecu nebo pěti známými skulinami v XP - například chybou v mechanismu plug & play ve Windows - se do počítače dostane červ Sdbot. worm!811a7027. Jeho prostřednictvím je pak možné nepozorovaně spouštět programy a startovat útoky typu DoS (Denial of Service). Na uvedené vstupní brány jsou sice k dispozici bezpečnostní aktualizace, ty si však mnozí uživatelé nenainstalovali. Tak je tomu hlavně na univerzitách, a proto jsou postiženy především domény .edu. Pomoc zjednají záplaty, které Microsoft a Symantec dávají k dispozici v aktualizacích.
Info: www.symantec.com  

OPERAČNÍ SYSTÉMY A ZRANITELNOSTI

MS INTERNET EXPLORER

Na stránkách determina.com byla zveřejněna informace o zranitelnosti ActiveX v Internet Exploreru verze 5 až 6, která způsobí pád prohlížeče při zobrazení zákeřně upravených stránek. Dle sdělení Microsoftu tuto chybu nelze zneužít k vykonání kódu na počítači postiženého uživatele. Podrobnosti o této zranitelnosti naleznete adrese www.determina.com/security.research/vulnerabilities/activex-bgcolor.html.
Info: zpravy.actinet.com

WINDOWS MEDIA PLAYER

Kritická mezera v Media Playeru 9 a 10 zjedná útočníkovi v napadeném počítači administrátorská práva. Postiženy jsou speciálně playlisty ve formátu ASX. K infikování vede už pouhé otevření takového seznamu. Záplata dosud není k dispozici, nezbývá tudíž než čekat na aktualizaci…
Info: www.microsoft.com

QUICKTIME

Hackeři se mohou dostat k datům vašeho účtu on-line služeb, jako například MySpace. Umožňuje to mezera v přehrávači QuickTime a útok typu Cross-Site Scripting pomocí JavaScriptu ve webovém prohlížeči. Ani v tomto případě není záplata dosud k dispozici a nezbývá než čekat na aktualizaci aplikace.
Info: www.quicktime.com

PROFESIONÁLNÍ OCHRANA

Braňte se jako FBI a NSA

U celé řady programů v naší rubrice najdete link na server Secunia s informacemi o problémech nebo zranitelnostech. Jednou z mála výjimek je firewall Sidewinder, který funguje jako komplexní bezpečnostní brána a aplikační proxy firewall. Nabízí vestavěné split smtp a dns servery, integrovanou antivirovou, antispywarovou a URL filtraci, kterou používají pro svoji vysokou bezpečnost významné bezpečnostní agentury. Mezi veřejné reference patří například FBI, NSA, CIA, US Army, US AirForce, nebo US NAVY. Pokud si však plánujete, že si takto zabezpečíte svůj domácí počítač s Windows XP, musíme vás zklamat. Produkt je určen především firmám a organizacím. Nejnižší model stojí přibližně 50 tisíc Kč.
Info: www.comguard.cz  

MAC OS X

22 mezer v počítačích Apple

Kdo stále věří tomu, že operační systém Applu je naprosto bezpečný, mýlí se. Nová bezpečnostní aktualizace, kterou Apple uveřejnil na webu, řeší přes 22 systémových děr. Zejména chyba v softwaru pro práci s obrazy disku měla za následek hned dvě kritické mezery. První z nich, kterou odhalila bezpečnostní firma Secunia, může vést ke zhroucení systému v důsledku útoků DoS - nebo útočníkovi rovnou umožní převzít kontrolu nad celým systémem. Ta druhá využívá defektní DMG archiv, aby - opět prostřednictvím útoku Denial of Service - počítač ochromila. 12 z oněch 22 bezpečnostních děr umožňuje, aby útočník na počítačích Macintosh spouštěl kód, který mu zjedná kompletní přístup do systému. Aktualizace všechny známé bezpečnostní mezery odstraňuje.
Info: www.apple.com  

MICROSOFT OFFICE

Word a spol. - brány pro viry

Uživatelé MS Office se musí obávat viru Exploit-MSWord.b. Ten se usadí ve zcela nevinně vyhlížejícím wordovském souboru a umožňuje hackerům spouštět na lokálním počítači škodlivý kód. Záplatu na nového škůdce dosud Microsoft nedal k dispozici. Poněkud alibistické doporučení zní: „Otvírejte wordovské soubory jen z důvěryhodných zdrojů.“ Jenom výrobci antivirů už prostřednictvím aktualizace virových signatur svých nástrojů nabízejí protilék. Lstivý škůdce využívá přetečení bufferu ve Wordu 2000 až 2003. Útočník pak může převzít uživatelská práva přihlášeného uživatele a instalovat programy nebo vysílat data do internetu, aniž by uživatel něco z toho zpozoroval.
Aby toho nebylo málo, ve Wordu 2000 byla objevena další chyba (www.microsoft.com/technet/security/advisory/932114.mspx), umožňující vzdálenému útočníkovi spustit na cílovém stroji libovolný kód. Zranitelnost vzniká při zpracování dokumentu, který obsahuje speciálně upravený řetězec a při jehož otevření může dojít ke spuštění útočníkova kódu. Ani v tomto případě nebyla záplata dosud zveřejněna a i v tomto případě je k dispozici obligátní rada: „Doporučuje se neotevírat dokumenty z nedůvěryhodných a neznámých zdrojů.“ Další možnosti snížení rizika výskytu této zranitelnosti uvádí US-CERT (Computer Emergy Response Team): neotevírat wordovské dokumenty nebo přílohy v nevyžádaných e-mailech, zakázat automatické otevírání wordovských dokumentů, nespoléhat na rozpoznání typu souborů z přípony, instalace antivirového programu + jeho pravidelná aktualizace, uložit a otestovat každou e-mailovou přílohu před jejím spuštěním a omezit administrátorská oprávnění uživatelů.
Info: www.us-cert.gov  

ZRANITELNÉ PROGRAMY

Nové bezpečnostní mezery

VZDÁLENÉ SPUŠTĚNÍ KÓDU

MS Office Excel

Microsoft na svých stránkách zveřejnil upozornění (www.microsoft.com/technet/security/advisory/932553.mspx) na „zero-day“ chybu objevenou v Excelu z Office 2000, XP, 2003 a také verze 2004 pro Mac. Microsoft zatím zkoumá, jestli jsou zranitelné i jiné aplikace sady Office. Při otevření zákeřně upraveného souboru může útočník spustit kód na systému postiženého uživatele. Na opravě chyby výrobce pracuje a prozatím se doporučuje otevírat soubory pouze z důvěryhodných zdrojů.
Info: zpravy.actinet.com

ANTIPHISHINGOVÝ PROBLÉM

INTERNET EXPLORER 7

Slabé místo v novém IE7 umožňuje útočníkovi zfalšovat v adresní liště údaj o aktuální webové stránce. To může mít za následek, že antiphishingový filtr nezasáhne a považuje stránku za bezpečnou.
Záplata prozatím není k dispozici.
Info: www.microsoft.com

SPUŠTĚNÍ KÓDU

Mozilla Firefox 2

Kritická slabina ve webovém prohlížeči Firefox umožňuje útočníkům spouštět libovolný škodlivý kód. Mezeru využívá „Race condition“. Zde se škůdce skrývá mezi vlastními vyvoláními programu.
Ani zde není záplata k dispozici.
Info: www.firefox.com  

CO PŘIJDE V ROCE 2007

Tohle si na nás autoři virů vymysleli pro nový rok:
1 Phishingové webové stránky
2 Spam a obrazový spam
3 Videa jako zdroj virů
4 Útoky na smartphony
5 Adware
6 Krádeže identity
7 Automatizované útoky „botů“
8 Obrození souborových virů
9 Rootkity
10 Individuální virové programy
Zdroj: McAfee

BEZPEČNOST PŘEDEVŠÍM

Konference pro čtenáře magazínu Chip

Počítačový časopis Chip a společnost Exponet vás zvou do pražského hotelu Olympik Artemis na konferenci a výstavu IT Security Workshop. Akce se koná ve dnech 20. - 21. března.

Dnes už těžko najdeme společnost, která by nepoužívala internet nebo informační systém. Většina z nás svěřuje počítačům cenné informace, kterou jsou stěžejní pro podnikání nebo pro uchování soukromí. Na data v počítačích uložená však číhá řada nebezpečí. Kromě často zmiňovaných virů, spywaru nebo hackerů mohou být data poškozena i výpadkem elektrického proudu.
A právě na ochranu dat a informací nejen před zmiňovanými hrozbami je zaměřen IT Security Workshop. Výměna zkušeností a nové informace pomohou návštěvníkům konference a výstavy IT Security Workshop najít vhodné bezpečnostní řešení a čelit tak bezpečnostním hrozbám, které na nás v současném kybernetickém světě číhají.
Na konferenci a výstavě budou prezentovány metody a nástroje pro efektivní zajištění bezpečnosti informačních a komunikačních systémů, ale i pro zabezpečení běžného domácího PC. V rámci bohatého programu se s vámi o své zkušenosti a znalosti podělí specialisté ze společností, které jsou v oblasti bezpečnostních řešení technologickými lídry, jako např. ze společností Microsoft, ESET software, Comguard, SkyNet, Annex NET, DNS a Ascon.
Společnost Microsoft investovala za několik posledních let do oblasti zabezpečení vlastních produktů více prostředků než ostatní výrobci a v dnešních moderních IT prostředích na platformě Windows je to znát. Kromě obecného zabezpečení konkrétních produktů (Windows, Exchange, SQL, SMS, Operations Manager a dalších), realizovaného ve formě nástrojů a doporučených postupů, nabízí Microsoft nyní také ucelenou řadu produktů Forefront, pokrývajících celou infrastrukturu.
Na výše uvedené akci se také dozvíte, proč je nástroj ESET NOD32 (získal ocenění „The best antivirus 2006“) nejvýkonnějším antivirovým produktem na trhu. V praktické ukázce společnosti Annex NET budete mít možnost seznámit se s komplexním řešením zabezpečení sítě nazvaným Astaro Security Gateway software.


Dokumenty ke stažení