Postřehy z bezpečnosti: Výsledky pentestů

31. 7. 2018
Doba čtení: 3 minuty

Sdílet

V tomto díle se podíváme na výsledky penetračních testů, nové zranitelnosti bluetooth, odsouzení dvou vývojářů malwaru, výpadek systémů u dopravní společnosti a nový vir používající staré zranitelnosti.

Pentesteři z Rapid7 vydali zprávu, ve které shrnují výsledky 268 testů, které probíhaly mezi různými typy firem všech velikostí. V 84 % dokázali úspěšně využít aspoň jednu zranitelnost. Je trochu znepokojivé, že v 61 případech ze sta zůstal tester coby útočník nepovšimnut. Šance na trvalé skrytí útočníka v týlu nepřítele rapidně stoupají – pokud není detekován první den, s největší pravděpodobností si ho už nikdy nikdo nevšimne. V 8 % byl útočník detekován do hodiny

Zkoumal se také počet hesel, která lze ukradnout. V polovině případech dokázali útočníci získat přihlašovací údaje aspoň jednoho právoplatného uživatele. Pokud se předtím už dostali do vnitřní LAN/WLAN sítě, pak ke krádeži došlo skoro v 9 z 10 případů. Přičemž stále platí, že útočníci získávají heslo kromě sociálního inženýrství stále i obyčejným hádáním. Ať už má firma nastavenou heslovou politiku jak chce složitě, nevyhne se tomu, že by některý ze zaměstnanců nevyužil jména firmy (Firma123) nebo ročního období. Heslo Summer2018! má jak velké, tak malé písmeno, číslo i speciální znak, ale zůstává krásně uhádnutelné, byť by firma nařídila zaměstnanci, aby si heslo měnil každé čtvrtletí. Na podzim očekávejme tedy asi Autumn2018. Stálicí na poli bezpečných hesel je pak variace slova password. Nevadí, že drtivá většina zaměstnanců má heslo silné jak ocel, čím větší firma, tím spíš se najde někdo, jehož účet útočník může zneužít. Vy znáte někoho ze svého okolí, kdo má heslo na papírku? 

Ve zprávě se také dočtete priority firem, jakého typu dat si nejvíce cení a překvapivě čísla kreditních karet to nejsou.

Naše postřehy

Byla zjištěna kryptografická chyba u funkce bluetooth, která umožní neoprávněný přístup vzdálenému útočníkovi. Zranitelnost zabezpečení je součástí dvou funkcí bluetooth. První z nich je způsobena špatnou implementací technologie s nízkou spotřebou energie (Low Energy) v souvislosti se spárováním zabezpečených připojení v softwaru operačního systému a druhá chyba je v implementaci BR/EDR v rámci firmwaru zařízení nazývaného „Secure Simple Pairing“. Vzhledem k tomu, že některé zařízení bluetooth mají povolené výše zmíněné zranitelné funkce, může útočník, který se nachází v dosahu signálu zařízeních bluetooth, využít útok man-in-the-middle během procesu párování a získat šifrovací klíč. To mu umožní zachytit nebo injektovat malware do napadených zařízení.

Téměř tři roky po zatčení dvou mladých holandských bratrů, kteří byli obviněni z vývoje a distribuci ransomwaru CoinVault, byli odsouzení k 240 hodinám veřejně prospěšných prací. Dvojce byla zatčena s pomocí vědců z Kaspersky Labs, kteří našli plné jméno jednoho z podezřelých, včetně IP adresy, která byla ponechána v příkazovém řádku serveru. Ransomware CoinVault se objevil v květnu roku 2014 a byl jedním z nejúspěšnějších šifrovacích ransomwarů. Povedlo se zašifrovat víc než 14 000 počítačů s Windows po celém světě. Mezi nejvíce postižené země patřilo Nizozemsko, USA, Velká Británie, Německo a Francie. Podle dostupných zdrojů se podařilo dostat peníze od téměř 1 300 lidí.

Dopravní společnost COSCO zaznamenala výpadek IT systémů v Jižní a Severní Americe. Společnost zatím nevydala detailnější prohlášení, objevují se však zvěsti, že se jedná o infekci ransomware. Podle nezávislého výzkumníka Kevina Beamonta jsou mimo provoz webové prezentace, telefony, e-mailová infrastruktura včetně VPN a WAN gateway. Obecně vše co patří pod AS 32604. Pro představu napadení A.P. Moller–Maersk ransomwarem během loňského roku způsobilo škody v hodnotě 300 milionů dolarů.

Na Ukrajině mezitím řádí nový malware přezdívaný Felixroot. Tento malware využívá starých zranitelností v Microsft Office, konkrétně CVE-2017–0199 a CVE-2017–11882. První zranitelnost umožňuje stažení a spuštění Visual Basic skriptu obsahující příkazy pro power-shell při otevření souboru, zatímco druhá zranitelnost umožňuje spuštění libovolného kódu. Po úspěšném napadení, se malware uspí na 10 minut, aby komplikoval analýzu a po následné instalaci zadních vrátek čeká ze stejného důvodu minutu mezi jednotlivými příkazy.

Ve zkratce

NetSpectre neboli síťový přízrak – další přírůstek do rodiny

Nezabezpečený protokol rsync na jedné z českých univerzit

iPhone na dálkové ovládání

“Okamžité ověření hesla” – účinná phisingová kampaň

bitcoin_skoleni

Společnosti Lifelock měla na svých stránkách chybu umožňující získávání uživatelských e-mailů

Pro pobavení

O seriálu

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET. 

Autor článku

Národní bezpečnostní tým CSIRT.CZ je provozován sdružením CZ.NIC. Podílí se především na řešení incidentů týkajících se kybernetické bezpečnosti v sítích provozovaných v České republice.