Zo sveta IT bezpečnosti, 7/2023

Zo sveta IT bezpečnosti, 7/2023

Geopolitické hry

Americké ministerstvo obrany vyšetruje prienik do vládnych komunikačných sietí. Zamestnanec leteckej základne Arnold v štáte Tennessee si domov odniesol komunikačné vybavenie a informácie, ktoré mu umožňovali pristupovať do armádnej komunikačnej siete. Vyšetrovatelia majú podozrenie, že mal prístup aj ku komunikácii FBI a ďalších vládnych agentúr v Tennessee.

Parlament Spojeného kráľovstva presadzuje rozsiahly návrh zákona o regulácii internetu, ktorý okrem iného naruší súkromie ľudí na celom svete. Zákon o online bezpečnosti, ktorý je v záverečnej fáze pred schválením v Snemovni lordov, dáva britskej vláde možnosť vynútiť si zadné vrátka do komunikačných služieb, ktoré tak prakticky ukončia end-to-end šifrovanie. Viaceré firmy ohlásili ukončenie podpory ich produktov v Británii, ak bude zákon schválený.

Návrh s porovnateľným dopadom sa diskutuje aj v USA, kde proti-drogová agentúra DEA spolupracuje na senátnom návrhu, ktorý by vyžadoval od prevádzkovateľov šifrovaných komunikačných služieb, aby úrady informovali o aktivitách používateľov súvisiacich s drogovou trestnou činnosťou.

Ruská federácia 5. júla testovala odpojenie krajiny od globálneho internetu. Rusko takéto odpojenie testovalo odpojenie v minulosti niekoľkokrát, vzhľadom na komplexitu, z hľadiska fungovania štátu a infraštruktúry vždy neúspešne.

Nórsky úrad na ochranu údajov, Datatilsynet, je prvým národným orgánom, ktorý označil behaviorálnu reklamu na platformách spoločnosti Facebook a Instagram za nezákonnú. Nórsky úrad uložil spoločnosti Meta dočasný zákaz používania behaviorálneho profilovania používateľov na cielenie reklamy.

Podpisovacie kľúče, umožňujúce vydávať prístupové údaje pre viaceré služby spoločnosti Microsoft boli kompromitované čínskou hackerskou skupinou vedenou pod identifikátorom Storm-0558. Microsoft podcenil pri svojej počiatočnej komunikácii rozsah problému, nakoľko sa týka aj prístupu k službám ako SharePoint, Teams, OneDrive a niektoré typy multi-tenant aplikácií.
Spoločnosť Microsoft o chybe informovala v súvislosti s incidentom, kedy spoločnosť odhalila, že čínska hackerská skupina kompromitovala e-maily niekoľkých organizácií v EU a USA.
Aby toho nebolo málo, Microsoft sa rozhodol premenovať svoj kľučový produkt Azure ID premenovať na Microsoft Entra ID.

Európska únia v pondelok schválila novú dohodu, ktorá umožňuje spoločnostiam voľne prenášať údaje medzi Európskou úniou a Spojenými štátmi americkými, čím sa potenciálne ukončí problém technologických gigantov, ako Facebook a Google, ktoré čelili kritike a žalobám za spracovanie používateľských dát za oceánom.

Research & Engineering

Po rokoch intenzívnej práce Internet Engineering Task Force (IETF) oficiálne zverejnila Messaging Layer Security (MLS) štandard. Vedený ako RFC 9420, je MLS prvý globálny otvorený štandard pre end-to-end šifrovanú komunikáciu a bol spoločne vyvinutý IT gigantami v spolupráci s akademickými inštitúciami.

Americká výskumná spoločnosť MITRE publikovala ich tradičný zoznam 25 najrozšírenejších softvérových zraniteľností, tentoraz pre rok 2023.

Výskumníci z nemeckej RWTH Aachen univerzity analyzovali 337171 Docker image, ktoré stiahli z oficiálneho kontajnerového registra Docker Hub. Zistili, že až 8,5% z nich obsahuje citlivé informácie, ako sú privátne kľuče či API tokeny.

Holandskí výskumníci publikovali informácie o piatich zraniteľnostiach v európskom rádiokomunikačnom štandarde TETRA. O zraniteľnostiach sa tušilo už dlhšie, ale vzhľadom na to, že použité šifrovacie schémy neboli verejné, výskum zaostával.

Bezpečnostný výskumník spoločnosti Google, Tavis Ormandy, zverejnil tento týždeň na svojom blogu informácie o zraniteľnosti Zenbleed (CVE-2023-20593), ktorou trpí celý rad procesorov AMD Zen 2. Zraniteľnosť možno zneužiť na čítanie informácií ako hesiel či šifrovacích kľúčov pri ich spracovaní v registroch procesora.

Zločin a úniky informácií

Spoločnosť Microsoft zverejnila informácie o zero-day zraniteľnosti (CVE-2023-36884) vo viacerých Windows a Office produktoch. Chyba umožňuje vzdialené spustenie kódu na zariadení používateľa prostredníctvom škodlivého dokumentu balíka Office a je aktívne zneužívaná útočníkmi.

Zariadenia hráčov staršej hry Call of Duty: Modern Warfare 2 infikuje počítačový červ, ktorý sa automaticky šíri cez multiplayer lobby miestnosti.

Americká agentúra pre kybernetickú bezpečnosť a bezpečnosť infraštruktúry, CISA, varuje pred kritickými zraniteľnosťami (CVE-2023-3595, CVE-2023-3596) v celej rade priemyselných modulov spoločnosti Rockwell Automation. Zraniteľnosti sú útočníkmi aktívne zneužívané.

Ostatné

Tisíce kamier od čínskej štátnej spoločnosti Hikvision, nainštalovaných po svete, obsahuje starú zraniteľnosť (CVE-2017-7921), ktorá umožňuje zmeniť používateľské heslo a získať kontrolu nad kamerou. Pri mojom hľadaní mi služba Shodan vrátila 970 zraniteľných kamier na Slovensku.

Google prostredníctvom svojho zamestnanca publikoval návrh štandardu s názvom Web Environment Integrity API, ktorého víziou je umožniť webovému prehliadaču overiť integritu systému na ktorom beží a následne o systéme podať atestáciu webovej stránke. Návrh vyvolal rozhruch, pretože je proti slobode používateľa na ktorej do súčasnosti stojí internet. Funkcionalita Web Environment Integrity API umožňuje webovým službám overiť či autorské práva obsahu nebudú na zariadení kompromitované, alebo či je systém dostatočne uzavretý pre používateľa, aby bol bezpečný pre zobrazované citlivé údaje s ktorými na stránkach pracuje. Návrh štandardu Google implementoval a testuje v prehliadačoch Google Chrome a Chromium.

Priemyselné počítače Siemens A8000 CP-8050 a CP-8031 obsahujú kritickú zraniteľnosť, kedy neautentifikovaný útočník dokáže spustiť na zariadeniach kód na diaľku.

Ben Hawkes, známy výskumník zaoberajúci sa hľadaním softvérových zraniteľností, ktorý viedol elitný tím Google Project Zero, založil konzultačnú spoločnosť s názvom Isosceles.

Kevin Mitnick, hacker, ktorý sa transformoval na bezpečnostného konzultanta a svojimi knihami oslovil tisíce mladých ľudí, zomrel vo veku 59 rokov.

Tento newsletter je rozosielaný odberateľom newsletteru kratkespravy.sk, členom Asociácie kybernetickej bezpečnosti a členom ISACA Slovensko.

Pridaj komentár

Vaša e-mailová adresa nebude zverejnená. Vyžadované polia sú označené *