W tym tygodniu wybraliśmy dla was osiem szczególnie interesujących newsów. Jednak nie bez powodu nasze zestawienie otwiera informacja o niezwykle niebezpiecznym ataku typu side-channel, którym możemy być zagrożeni wszyscy. Chcecie dowiedzieć się więcej? Zapraszamy do lektury.
1. Nowy atak typu side-channel groźny dla Windows i Linux
Nowy rodzaj ataku wykryty przez ekspertów nie wykorzystuje błędów w architekturze procesora, ani w innych podzespołach komputera. Jest więc szczególnie groźny, bo jako “niezależny sprzętowo” może dotknąć praktycznie każdego użytkownika, bez względu na konfigurację jego urządzenia.
Atak celuje w tzw. kanał boczny – podręczną pamięć maszyny, a konkretnie jej zasoby zwane “page caches”, przechowujące dane użytkownika, załadowane biblioteki i kod obsługujący działające aplikacje. Daje atakującym nieuprawniony podgląd dostępu pamięci do procesów systemu, pozwalając w obecnej wersji m.in. sczytywać klawisze klawiatury. Istnieje opcja zdalnego wykonania złośliwego kodu, ale znacznie groźniejsza jest jego lokalna aktywacja. Potrafi ona omijać skuteczne zabezpieczenia typu sandbox, czyli testowanie zagrożenia w bezpiecznym, izolowanym środowisku, najczęściej w chmurze. Niezbędne aktualizacje są już dostępne dla Windowsa, patche Linuxowe jeszcze w opracowaniu. System MacOS nie był badany pod kątem podatności na zagrożenie.
Źródło newsa [EN]
2. Algorytmy rozpoznawania twarzy na Androidzie łatwo oszukać zdjęciem
Rozpoznawanie twarzy użytkownika miało zwiększyć wygodę korzystania ze smartfona, równocześnie wynosząc bezpieczeństwo urządzenia (i danych jego właściciela) na kolejny poziom. Tymczasem w jednym z ostatnich testów aż 42 ze 110 sprawdzonych urządzeń można było odblokować pokazując im zdjęcie właściciela. Co więcej, jakość zaprezentowanej systemowi fotografii (pobranej np. z social mediów) mogła pozostawiać wiele do życzenia, a mimo to algorytmy uznawały jej zgodność ze stanem faktycznym za wystarczającą. Zabiegowi oparły się m.in. najnowsze telefony Apple i wiele wyższych urządzeń działających pod Android od takich dostawców jak Samsung, Huawei, OnePlus i Honor. Trochę martwić może fakt, że wiele urządzeń oszukanych zdjęciem pochodziło od tych samych producentów (Samsung), a zawiodły m.in. modele takich marek jak Asus, Huawei, Lenovo/Motorola, LG, Nokia, Samsung, BlackBerry, i Xiaomi. Warto wspomnieć, że wyższa cena wcale nie gwarantowała skuteczności zabezpieczenia, bo test oblała – zresztą jak wszystkie modele tej firmy – nawet Sony Xperia ZX2 Premium. Cóż, technologia rozpoznawania twarzy na pewno jeszcze pokaże pełnię możliwości, ale na razie musi jej wystarczyć 3. miejsce na podium – za tradycyjnym numerem PIN i czytnikiem linii papilarnych.
Źródło newsa [EN]
3. 85 aplikacji adware pobranych 9 mln razy wylatuje z Google Play
Adware to skrót od advertisment-ware – złośliwego kodu wyświetlającego niepożądane reklamy, często dopisywanego do programów o innym przeznaczeniu, lub fałszywek na takie programy pozujących. Z Google Play wyleciało właśnie 85 takich aplikacji propagujących wirusa AndroidOS_HidenAd. Ukrywając swoje działanie w tle robak monitorował blokadę ekranu zainfekowanego urządzenia, wyświetlając pełnoekranowe reklamy po każdym odblokowaniu i co 15 lub 30 minut. Ukrywano go m.in. w symulatorach jazdy samochodem, aplikacjach do streamingu wybranych kanałów telewizyjnych i w programach oferujących funkcje pilota. Najpopularniejszy z nich – Easy Universal TV Remote – ostatnią aktualizację otrzymał 12 listopada zeszłego roku, pobrano go ponad 5 mln razy. Wszystkie usunięte aplikacje zachowywały się podobnie mimo tego, że pisały je różne zespoły developerskie i podpisane były różnymi certyfikatami. Po pierwszym uruchomieniu witały użytkownika dużą reklamą, której zamknięcie zdawało się przyciskami “start”, “open app.” prowadzić do właściwego startu programu… w rzeczywistości otwierając kolejną reklamę. Po jej zamknięciu program żądał dobrej noty w sklepie Google, zasypując ekran linkami do kolejnych reklam. A jeśli uparty użytkownik nadal próbował odpalić aplikację, ta wyświetlała fałszywy ekran wczytywania i “wieszała się”.
Źródło newsa [EN]
4. Liczba luk WordPress w 2018 potroiła się
Zasilając około 30% stron internetowych WordPress jest obecnie najpopularniejszym systemem CMS w sieci, wyprzedzając kolejne na liście Joomlę i Drupala. Popularność wśród użytkowników przyciąga też cyberprzestępców, potrafiących skutecznie wykorzystać luki bezpieczeństwa dynamicznie rozwijanej platformy. A tych jest niestety coraz więcej – w 2018 odnotowano 271% wzrost zagrożeń związanych z WordPress w stosunku do 2017, zamykając rok liczbą 542 bugów. Najwięcej błędów (98%) wykryto w zewnętrznych pluginach rozszerzających funkcjonalność stron opartych na WordPress, których na oficjalnej stronie platformy dostępnych jest już ponad 50 tys. Alarmujące jest to, że na 38% wykrytych podatności nie ma żadnych patchy, ułatwiając zdalne wykonywanie złośliwego kodu, ataki typu SQL-injection czy XSS (cross-site scripting). Liczba podatności pozwalających tylko na te ostatnie od 2017 roku podwoiła się. Jeżeli Wasze strony i klienci korzystają z WordPressa, warto zrobić solidny audyt bezpieczeństwa.
Źródło newsa [EN]
5. Google wzmacnia bezpieczeństwo połączeń ze swoim DNS
Dzięki wdrożeniu standardu DNS-over-TLS (DoT) komunikacja systemu Google Public DNS z urządzeniami użytkowników ma być teraz bezpieczniejsza. Przypominamy, że DNS, czyli System Nazw Domenowych (Domain Name System) konwertuje tekstowe nazwy domen zrozumiałe dla człowieka w adresy IP wykorzystywane przez urządzenia w sieci. Z kolei szyfrowanie zapytań i odpowiedzi DNS transmisyjnym protokołem Transport Layer Security (TLS) to właśnie DNS-over-TLS (DoT). Jego stosowanie zwiększa prywatność użytkowników uniemożliwając m.in. ataki typu man-in-the-middle (niedostrzegalne dla użytkownika przechwycenie ruchu z jego urządzenia do żądanej witryny/usługi). DoT jest teraz dostępny dla użytkowników Androida w wersji 9 (Pie), a Google udostępnił dokumentację pomocną w prawidłowej konfiguracji usługi.
Źródło newsa [EN]
6. Cisco łata błąd pozwalający atakować system jednym mejlem
Producent usunął dwa poważne błędy swojej aplikacji bezpieczeństwa poczty, pozwalającej nadawcy pojedynczym mejlem doprowadzić do permanentnej odmowy usługi (denial of service – DoS) na chronionych urządzeniach. Podatność dotyczyła składnika Cisco AsyncOS, a konkretnie standardu wysyłki i otrzymywania bezpiecznych, zweryfikowanych wiadomości mailowych (S/MIME). Błędny kod przynosił błędną klasyfikację wiadomości podpisanych szyfrowaniem S/MIME. Atakujący mógł wykorzystać tę lukę tworząc wiadomość, z którą system nie potrafił sobie poradzić. Błąd filtrowania mógł doprowadzić do zapętlenia usterki pamięci i restartu, a w efekcie zawieszenia usługi, która nie była w stanie dłużej chronić firmowej poczty. Jeżeli korzystacie z Email Security Appliance firmy Cisco, upewnijcie się, że napędzający ją soft AsyncOS zaktualizowany jest do wersji 12, usuwającej wymienioną usterkę i szereg innych, pomniejszych błędów.
Źródło newsa [EN]
7. CryptoMix szyfruje pliki udając organizację charytatywną
Ktoś jeszcze myśli, że cyberprzestępcy mają jednak jakieś zasady? No to czytajcie! Szyfrujący pliki wirus CryptoMix pozuje na aplikację organizacji charytatywnej. Wyświetlony użytykownikowi dobrowolny datek, po opłaceniu wcale nie wesprze chorych dzieci, a pokryje ukryty pod tą nazwą haracz dla cyberprzestępców. Zagrożenie nie jest nowe, ale jego najnowsza wersja usiłuje zwiększyć swoją wiarygodność prawdziwymi przypadkami i historiami skopiowanymi z autentycznych stron wspierających chore dzieci. Po zaszyfrowaniu danych, ransomware tradycyjnie prezentuje tzw. notę okupową z dalszymi instrukcjami i listą kontaktowych adresów mailowych. Napisanie pod jeden z nich przynosi odpowiedź od “światowej społeczności charytatywnej na rzecz dzieci”. Wiadomość zawiera profil “wspieranego” dziecka oraz link do usługi One Time Secret – witryny pozwalającej na jednorazowe udostępnienie postu, kasowanego po pierwszym otwarciu hiperłącza. W linku cyberprzestępcy rozwijają swoją historię zapewniając, że wpłata zostanie przekazana na pomoc medyczną, a imię ofiary ujawnione jako “dobroczyńcy”.
Źródło newsa [EN]
8. Coinbase zawiesza transakcje Ethereum do wyjaśnienia
5 stycznia popularna platforma wymiany kryptowalut wykryła manipulację, w wyniku której tę samą cyfrową monetę Ethereum Classic (ETC) można było wydać dwukrotnie. Aby zabezpieczyć środki klientów i zbadać przyczyny wycieku, do zakończenia śledztwa zawieszono wszystkie transakcje kryptowalutą w ramach struktur i usług Coinbase. Z informacji od właściciela platformy wynika, że w wyniku manipulacji blisko 219,500 ETC (około 1,1 mln dolarów) najpierw wydano, a następnie odebrano nowym właścicielom przekazując je na na nowe konta wskazane przez cyberprzestępców. Ujawnienie sprawy poskutkowało natychmiastową reakcją rynku i spadkiem wartości ETC. Wiadomo też, że atak – bo i określa się badaną manipulację – nie był jednorazowy, a jego autorzy mogą spróbować ponownie. Z większymi markami na rynku kryptowalut jak Bitcoin czy Ethereum podobne zabiegi są praktycznie niemożliwe, ale jak widać utworzone w czerwcu 2016 roku Ethereum Classic – 18. najpopularniejsza kryptowaluta na świecie, warta globalnie około 539 mln dolarów – chętnie przyciąga cyberprzestępców.
Źródło newsa [EN]