Schválena finální podoba směrnice NIS2
Radou Evropské unie byl v pondělí přijat návrh směrnice o opatřeních k zajištění vysoké společné úrovně kybernetické bezpečnosti v Unii, čímž byl zakončen celý schvalovací proces této směrnice na úrovni EU. Jednotlivé členské státy nyní budou mít 21 měsíců na transpozici nových požadavků do vlastních legislativních prostředí.
Zmiňovaná směrnice, obecně označovaná jako NIS2, stanoví minimální bezpečnostní požadavky na kybernetickou bezpečnost středních a velkých veřejných i soukromých organizací významných pro fungování společnosti a států. Oproti stávajícímu stavu směrnice mj. citelně rozšiřuje množství organizací, které budou v oblasti kybernetické bezpečnosti jednotlivými členskými státy EU regulovány. Dle odhadu NÚKIB by počet regulovaných organizací v ČR měl vzrůst z aktuálních cca 400 na zřejmě více než 6000.
Bližší informace o předpokládaných požadavcích a rozsahu nové regulace v českém prostředí poskytuje na svých stránkách NÚKIB.
Certifikáty zneužité pro podepisování škodlivého kódu
Větší množství certifikátů, které užívají výrobci zařízení založených na platformě Android pro podepisování vlastních systémových aplikací, bylo zneužito pro podepsání malwaru. Kódu podepsanému výše zmíněnými „platformními“ certifikáty jsou v rámci operačního systému přiřazena vysoká oprávnění, což je v případě škodlivých aplikací pochopitelně vysoce problematické.
O situaci informovala společnost Google v návaznosti na odhalení relevantních škodlivých aplikací jedním z jejích bezpečnostních specialistů.
Na základě pozdější analýzy bylo zjištěno, že zneužité certifikáty byly vydány společnostem Samsung, LG, Revoview a Mediatek. Podle vyjádření společnosti Google byly všechny organizace, jejichž certifikáty byly popsaným způsobem zneužity, na situaci upozorněny, v návaznosti na což provedly odpovídající reaktivní opatření. Uživatelé koncových zařízení zmiňovaných značek by tak měli být před případnými souvisejícími útoky plně chráněni (za předpokladu, že jejich zařízení jsou plně aktualizovaná).
Dle oficiálně publikovaných informací nebyl pro šíření malwaru podepsaného s pomocí výše zmíněných certifikátů využit oficiální Google Play Store a lze tak předpokládat, že daný škodlivý kód byl využit pouze v rámci vysoce cílených útoků.
Zákaz dovozu a prodeje některých technologií z Číny do USA
Na konci listopadu publikovala FCC, která je telekomunikačním regulátorem v USA, prohlášení o zákazu dovozu a prodeje nových komunikačních technologií, které představují „nepřijatelné bezpečnostní riziko pro národní bezpečnost“ do Spojených států.
Uvedený zákaz se specificky vztahuje na dovoz a prodej nových zařízení čínských značek Huawei, ZTE, Hytera, Hikvision a Dahua, nicméně netýká se zařízení, která již na americkém trhu jsou. Ta mohou být i dále prodávána a lze tak předpokládat, že citelnější ústup od používání čínských telekomunikačních systémů nebude v USA okamžitý, ale bude spíše otázkou střednědobého či dlouhodobého horizontu.
Zástupci výše uvedených firem se proti rozhodnutí FCC, resp. proti jeho odůvodnění, důrazně ohradili.
Vzhledem k tomu, že historicky vedla americká omezení na používání čínských technologií k diskuzi jejich bezpečnosti i v rámci dalších států (např. v Japonsku, Austrálii, Velké Británii, ale i České republice), není nepředstavitelné, že by se k podobným krokům mohly uchýlit i další státy, zejména pak členské země NATO.
LastPass informoval o úniku zákaznických dat
Společnost LastPass, provozovatel jednoho z nejznámějších cloudových systémů pro správu hesel, ve středu zveřejnila zprávu, v níž upozorňuje na již druhý průnik do svých systémů v tomto roce.
Při prvním průniku, k němuž došlo v srpnu, se útočníkům údajně podařilo získat přístup k vývojovému prostředí organizace a k vybraným zdrojovým kódům a dalším technickým informacím, avšak nedošlo ke kompromitaci žádných zákaznických dat. V rámci aktuálního průniku měli pak útočníci dle publikovaných informací využít znalosti z prvního letošního útoku na LastPass a získat tak přístup k úložišti s určitými zákaznickými informacemi.
Bližší informace o typu uniklých dat prozatím firma neposkytla, zdůraznila však, že vzhledem k „zero-knowledge“ architektuře jejího správce hesel jsou hesla jejích zákazníků v bezpečí.
LastPass o bezpečnostních incidentech historicky komunikoval relativně otevřeně, a protože v současnosti již zahájil komplexní vyšetřování celého incidentu za pomoci společnosti Mandiant, lze očekávat, že ohledně aktuálního útoku budou z jeho strany v dohledné době publikovány další informace.
Další zajímavosti
- Publikováno RFC 9325 shrnující aktuální dobrou odbornou praxi pro používání TLS a DTLS
- Zdá se, že nová varianta ransomwaru LockBit má schopnost autonomního šíření s pomocí PsExec nebo GPO
- Nástroj ping ve FreeBSD obsahuje zranitelnost vedoucí ke spuštění libovolného kódu
- Anti-malware ClamAV se po dvaceti letech vývoje dočkal verze 1.0
- NVIDIA publikovala záplaty pro závažné zranitelnosti ve svých ovladačích
- Publikovány přednášky z konference BlackHat USA 2022
- 72 % organizací dle firmy Tenable stále nevyřešilo zranitelnost Log4Shell ve svém prostředí
- Publikována technika pro obcházení bezpečnostních kontrol NPM balíčků s využitím speciálně formátovaných identifikátorů verzí
- Autoři botnetu KmsdBot jej nechtěně sami „shodili“
- Aplikace CDC a armády USA obsahovaly ruský kód
- Masivní mezinárodní policejní akce vedla k vyřazení 12526 webových stránek spojených s prodejem nelegálního zboží
- Francouzský úřad pro ochranu osobních údajů uložil společnosti EDF pokutu, mj. za nedostatečnou ochranu hesel v souvislosti s používáním algoritmu MD5
- Facebook dostal v souvislosti s únikem osobních údajů pokutu €265 milionů
- Telegram údajně poskytnul data uživatelů soudům v Indii
- Nová australská legislativa umožňuje pokutovat organizace v souvislosti s úniky dat až do výše $50 milionů
- Poskytovatelé bezpečnostních služeb ve Velké Británii budou muset povinně hlásit bezpečnostní incidenty ve vlastním prostředí
- Zranitelnosti v systému SiriusXM umožňují vzdáleně kompromitovat některé typy vozidel
- Čína v souvislosti s aktuálními protesty citelně zesílila online cenzuru
- Proti ruským cílům byl využit nový wiper malware
- Mozilla a Microsoft přestaly považovat společnost TrustCor za důvěryhodnou certifikační autoritu
Pro pobavení
O seriálu
Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET, bezpečnostního týmu CDT-CERT provozovaného společností ČD - Telematika a bezpečnostních specialistů Jana Kopřivy ze společnosti Nettles Consulting a Moniky Kutějové ze sdružení TheCyberValkyries. Více o seriálu…