Bezpečnostní přehled: 10 let bezpečnostní strategie Microsoftu a přeceňované bezpečnostní předpisy

Pavel Houser , 17. květen 2012 08:00 0 komentářů
Bezpečnostní přehled: 10 let bezpečnostní strategie Microsoftu a přeceňované bezpečnostní předpisy

10 let bezpečnostní strategie Microsoftu. Spor o záplatování staršího Photoshopu. Zabezpečení není jen „fajfka“ od auditora. Podvodníci mají zájem o účty openID. Nové procesory Intelu zvyšují bezpečnost na úrovni hardwaru. Následuje pravidelný čtvrteční bezpečnostní přehled.

Shoda s předpisy a bezpečnost IT není nutně totéž. Řada institucí se soustředí hlavně na to, aby získala od auditora zabezpečení příslušnou fajfku, realita je už tolik nezajímá. Tyto organizace jsou pak posedlé všemožnými normami, ale neberou už v úvahu skutečné útočníky.

Jaké jsou hlavní příznaky tohoto nežádoucího stavu? Neustálé diskuse o různých standardech, posedlost pravidelnými audity; shoda s předpisy by přitom měla být cestou k rozumnému řízení rizik, nikoliv cílem sama o sobě. Manažeři musejí neustále vyplňovat zaškrtávací políčka v nesrozumitelných tabulkách.

Protože řada metodik vyžaduje ke splnění shody provedení penetračního testování, stává se toto prakticky jediným prostředkem bezpečnostní kontroly. Posedlost shodou se projevuje také důrazem na forenzní nástroje a na průkazný záznam incidentů spíše než na samotnou prevenci útoků. Rostou výdaje na údržbu systémy, aniž by se ten ale stával kvůli tomu bezpečnější. Procesy slouží jen ke splnění auditu, pokud je splněno, nezavádějí se pro jistotu už žádné další změny. Atd.

Zdroj: DarkReading.com

Adobe nakonec ustoupila od předchozího rozhodnutí nevydávat záplatu kritické bezpečnostní zranitelnosti v Adobe CS5. Zákazníky této verze Adobe předtím vyzvala k upgradu (verze 6 se chyba netýkala) a navíc zdůraznila, že o Photoshop se útočníci nikdy příliš nezajímali (což je možná pravda, ale v době, kdy jiné aplikace Adobe jsou tak oblíbeným terčem, na to asi nejde tak docela spoléhat). Problém mohl vést ke spuštění kódu při otevření podvodného souboru ve formátu TIF. Záplata se tedy chystá i pro starší verzi. Odpor uživatelů byl dán asi hlavně tím, že upgrade by v tomto případě vyšel na zhruba 200 dolarů. Hněv vzbudilo také původní doporučení Adobe, aby uživatelé byli prostě opatrní při práci se soubory TIF.

Zdroj: The Register, HelpNet, CNet

Doporučuje se aktualizovat na PHP 5.4.3 nebo PHP 5.3.13. Předcházející verze obsahují bezpečnostní zranitelnosti v komunikaci mezi jazykem a rozhraním CGI. Mezitím již byly zaznamenány masové pokusy o zneužití těchto chyb, které mohly podle výzkumníků TrustWave SpiderLabs vést ke kompromitaci webových serverů.

Zdroj: The Register

10 let uplynulo od chvíle, kdy Bill Gates po sérii bezpečnostních incidentů navrhl strategii Trustworthy Computing.

Ačkoliv byla celá koncepce přijata se skepsí, opravdu znamenala do značné míry bod obratu, a to i přes řadu chyb (např. firewall ve Windows XP byl ve výchozím nastavení zapnut až spolu se Service Packem 2). Po problému s malwarem typu AutoRun také zbytečně dlouho trvalo, než bylo do Windows XP a Vista zpětně portováno omezení automatického spouštěné médií z Windows 7.

Podrobný přehled uplynulé dekády nabízí mj. ZDNet.

Mj. z něj vyplývá, že předpovědi vývoje IT bezpečnosti z té doby se z dnešního pohledu jeví jako poněkud absurdní.

Zdroj: ZDNet, CNet

47 lidí bylo v Kanadě zatčeno pro provozování sítě zneužívající klonovaných platebních karet. Způsobená škoda měla být kolem 7 milionů dolarů. Gang působil asi 4 roky, provedl skimming asi 200 zařízení v Montrealu a jeho okolí a vytvořil až 12 000 klonovaných karet.

Zdroj: HelpNet Security

Výzkumníci z Barracuda Labs tvrdí, že podvodníci při phishingu stále častěji cílí na účty openID, které jim umožňují získat najednou přístupové údaje k více službám oběti (openID podporuje např. Google, AOL, Facebook a Twitter).

Navíc zde uživatelé nemají heslo spojené s jedinou službou, takže podvodníci nemusí napodobovat příslušné stránky/kouzlit s adresou. Na první pohled jde tyto triky z adresního řádku prohlížeče většinou ale stejně odhalit, protože není použit protokol https. Podvodníkům se při plošných útocích a neustálých přesunech domén nevyplatí (alespoň prozatím) pokoušet se implementovat protokol SSL.

Zdroj: SecurityNewsDaily

Podle společnosti McAfee kopíruje vývoj malwaru pro Android víceméně to, co se v minulosti odehrávalo u Windows. Nyní se například jako vektor infekce začal používat i kanál IRC.

Zdroj: BetaNews.com

Každý uživatel internetu čelí za hodinu v průměru 108 035útokům. Vyplývá to ze statistiky webových hrozeb vypracované pomocí cloudového monitorovacího systému Kaspersky Security Network za rok 2011. Nejčastějším zdrojem hrozeb byly zábavní stránky s video obsahem (31 %), dále vyhledávače (22 %), sociální sítě (21 %), stránky s obsahem pro dospělé a inzertní weby.

Zdroj: tisková zpráva společnosti Kaspersky Lab

GFI uvádí na trh MailEssentials 2012 UnifiedProtection. Řešení je určeno pro SMB sektor, zahrnuje antispam a 5 kombinovaných antivirových jader.

Zdroj: Tisková zpráva společnosti GFI

Zhruba 70 % majitelů tabletů a 53 % uživatelů mobilních telefonů se připojuje k internetu přes veřejné sítě WiFi, které představují zvýšené bezpečnostní riziko. Z průzkumu dále vyplynulo, že antivirové programy jsou nainstalovány na méně než polovině tabletů a sotva čtvrtině mobilních telefonů či smartphonů. Zdroj: tisková zpráva společnosti Kaspersky Lab

Podle statistik Eset Live Grid byl nejrozšířenější hrozbou v dubnu opět hrozby HTML/ScrInject.B. Jeho podíl by 6,75 % (6,95 % v Evropě). Na druhou pozici se posunul HTML/IFrame.B s globálním podílem 4,54 % (4,92% v Evropě). Malware INF/Autorun, který donedávna statistiky vedl, je nyní na třetím místě s podílem 4,32 % ve světě (3,04 % v Evropě).

Zdroj: tisková zpráva společnosti Eset

Na trh přichází procesor Intel Core vPro třetí generace obsahující mj. i inovace v oblasti zabezpečení.

Zdroj: tisková zpráva společnosti Intel Viz také starší bezpečnostní přehled.

Společnost Pro Document Services představuje na českém trhu produkt Intellistamp, řešení pro tvorbu hybridních podpisů dokumentů od belgické firmy Inventive Desginers. Technologie má vyřešit problém s klasickými elektronickými podpisy. Dokument opatřený elektronickým podpisem ztrácí totiž svou pravost např. vytištěním, digitální archivací nebo odfaxováním. Po těchto akcích se dá jen velmi složitě kontrolovat, zda nedošlo také ke změně obsahu.

Zdroj: tisková zpráva společnosti Pro Document Services

O bezpečnosti na ITBiz viz také: Bitcoinovou loupež za 1 milion 800 tisíc korun má na svědomí jediný hacknutý e-mail. Jedná se o druhou masivní krádež na Bitcoin burze v krátké době; není jasné, kdo za ní stojí, ani jak závažný bude mít dopad na fungování samotné virtuální měny.


Komentáře

RSS 

Komentujeme

Amazon v Brně? Opravdu můžeme být jen montovnou nebo skladištěm Evropy?

Andrea Čižmářová , 08. duben 2014 10:32
Andrea Čižmářová

Zpráva o tom, že americký internetový gigant Amazon nepostaví v Brně svůj velkosklad, vyvolala řadu ...

Více

Kurzy

EUR  EUR 27,48 0,1 %  +
USD  USD 19,888 0,1 %  +
JPY  JPY 19,395 -0 %  -
Zdroj: Kurzy.cz
RSS 

Zprávičky

ZTE rozšiřuje své obchodní aktivity do home entertainment průmyslu. Představuje konzoli ZTE9 FunBox

Patrik Kaspar , 22. duben 2014 14:26

Společnost ZTE, Čínský výrobce mobilních telefonů a příslušenství, uvádí v rámci svého joint venture...

Více

Centrum Holdings opustí po 4,5 letech jeho generální ředitel

Karel Michal , 22. duben 2014 12:06

Andreas Demuth, generální ředitel Centrum Holdings s.r.o, opustí na konci dubna téměř po 4,5 letech ...

Více 0 komentářů

Microsoft má pracovat na cloudových Windows

ITbiz.cz, 22. duben 2014 10:42

Společnost Microsoft prý pracuje na cloudové verzi operačního systému Windows, informaci sice nepotv...

Více 5 komentářů

Ajťáci vs. ECDL

Dnes to bude trochu kvíz, schválně, kdo pozná, kde se stala chyba?

Ajťáci vs. ECDL

Anketa

Dává akvizice Whatsapp Facebookem za 16 miliard dolarů finančně smysl?




Starší zprávičky

LinkedIn má již 300 milionů uživatelů

Martin Stančík , 21. duben 2014 12:00

Sociální síť LinkedIn oznámila, že dosáhla nového milníku - 300 milionů uživatelů, přičemž většina n...

Více 1 komentářů

Schneider Electric přišel s vlastní novou certifikací pro pracovníky datacenter

ITbiz.cz, 18. duben 2014 13:16

Společnost Schneider Electric spustila program certifikovaného online školení Data Center Certified ...

Více 0 komentářů

Fiskální výsledky SAPu za Q1 příjemně překvapily trh

ITbiz.cz, 18. duben 2014 10:39

SAP oznámil velmi dobré finanční výsledky za 1. čtvrtletí roku 2014. Provozní zisk společnosti se me...

Více 0 komentářů

Wall Street Googlu věří navzdory nepodařenému čtvrtletí

Martin Stančík , 18. duben 2014 10:00

I když finanční výsledky Googlu za uplynulé čtvrtletí nenaplnily očekávání analytiků, hodnota akcií ...

Více 0 komentářů