Bezpečnostní přehled: 18 let za provoz kartářského fóra

Pavel Houser , 02. leden 2014 09:30 2 komentářů
Bezpečnostní přehled: 18 let za provoz kartářského fóra

Antiviry pro Android se zlepšují. Bude trendem roku 2014 soukromý cloud? Měly by smartphony povinně umožňovat vzdálené zablokování? Objevena zranitelnost SD karet. Následuje pravidelný bezpečnostní přehled vytvářený především podle webů ZDNet, CNet, The Register a HelpNet Security.

Starší verze prohlížeče Safari má problém s hesly a dalšími citlivými údaji. Uchovává tyto informace ve formě prostého textu v souboru LastSession.plist, který je sice skrytý, ale kdo ví, co má hledat, nemá s jeho nalezením problém. Samotný soubor má sloužit pro funkci rychlého obnovení stránek otevřených při poslední relaci browseru. Problém má být naštěstí nikoliv plošný, podle Applu se týká pouze verzí OS X 10.8.5 se Safari 6.0.5 (8536.30.1) a OS X 10.7.5 se Safari 6.0.5 (7536.30.1).

Výzkumníci z Carnegie Mellon University doporučují jako doplněk hesel systém založený na autorizaci prostřednictvím „příběhu“. Při prvním přihlášení uživatel určitým způsobem spojí více objektů (např. obrázků – ta odpovídají podstatným jménům, uživatel si vybere propojující sloveso a na to bude příště tázán spolu s heslem). V jiné verzi by se pak příběhy mohly používat i k samotnému generování hesel – samozřejmě tak, aby příslušný asociační postup nemohl zopakovat nejen robot, ale ani lidský útočník.

Hodnocení AV-Test ukazuje, že většina dodavatelů antivirů pro Android oproti situaci před několika měsíci podstatně vylepšila kvalitu svých produktů. Mezi placenými a bezplatnými produkty není podle testu v kvalitě podstatnější rozdíl; platí se tedy de facto za dodatečné funkce typu šifrování či zálohování. AV-Test ovšem upozorňuje, že ochranné nástroje pro Android v účinnosti zaostávají za těmi pro Windows. Antiviry na Androidu totiž samy běží v sandboxu, nalezené škodlivé aplikace nejsou proto schopny odstraňovat automaticky a musejí spoléhat na to, že uživatel si označenou aplikaci dokáže odinstalovat ručně – příslušný „kill-switch“ pro automatické odstranění má pouze Google, který ho používá jen v případě, že se malware vloudí do oficiálního distribučního kanálu Google Play.

Předpovědi na rok 2014

Podle redakce The Register: „Snowdenův efekt“ se mj. má projevit nárůstem používání soukromých cloudů.

Prognóza Unisys zase jako hlavní trend roku 2014 uvádí systematičtější nasazení šifrovacích technologií v podnikové sféře, a to i u malých firem. Podniky se ve zvýšené míře rozhodnou provozovat svoji IT infrastrukturu jako službu (IaaS) – tj. opět příklon ke cloudu, kdy namísto obav z bezpečnosti je potřeba lepšího zabezpečení naopak motivací. Bezproblémové fungování čtečky prstů v Apple iPhone by uživatele i dodavatele mohlo vést také k většímu zájmu o biometrickou identifikaci obecně. Pro vzdálený přístup k firemním systémům se stále častěji bude vyžadovat údaj o geografické poloze žadatele.

A do třetice předpověď pro rok 2014 od WatchGuard: větší zájem útočníků o zdravotnická data, úspěch CryptoLockeru povzbudí další podvodníky k tvorbě ransomwaru, stále větší zájem bude vzbuzovat také „internet věcí“.

V kauze „vládního“ sledování se nyní přetřásá obvinění RSA, že od NSA přijala 10 milionů dolarů a zabudovala zadní vrátka do svého generátoru náhodných čísel/šifrování pomocí eliptických křivek, eventuálně záměrně oslabila účinnost ochrany. RSA obvinění popírá.

V Kalifornii se chystá jednání o návrhu zákona, podle kterého by všechny nově prodávané mobilní telefony musely obsahovat funkci pro vzdálené zablokování v případě ztráty/krádeže zařízení. Předkladatelé návrhu tvrdí, že krádeže smartphonů jsou dnes v zemi hlavním katalyzátorem pouliční kriminality včetně vysoce násilných činů. Při více než polovině loupeží je prý ukraden i telefon. Někteří prodejci telefonů jsou obviňováni, že vzdálené blokování neimplementují úmyslně, protože více krádeží pro ně znamená více prodejů.

Ruská bezpečnostní firma Doctor Web varuje před trojanem Trojan.Skimer.18, který vytváří zadní vrátka v bankomatech. Samo o sobě to není žádná novinka, tentokrát má ale malware cílit na jeden z celosvětově nejpoužívanějších systémů bankomatů (nekonkretizováno).

Prosincová akce Microsoftu proti botnetu ZeroAccess podle všeho zatím botnet skutečně vyřadila z provozu – jeho aktivita dosud nebyla obnovena.

Andrew „bunnie“ Huang a Sean „xobs“ Cross vystoupili na Chaos Computer Club s postupem, jak hacknout SD flash karty používané pro ukládání dat ve smartphonech či digitálních fotoaparátech. Útočník může svůj kód údajně spouštět přímo v rámci operačního systému karty. Postup lze využít např. k útoku man-in-the-middle, krádeži či modifikaci dat, když si je uživatel přetahuje do počítače. Obdobný útok lze v principu cílit i na SSD disky. Samotné zneužití ovšem není univerzální, závisí na konkrétním mikrokontroleru. Demonstrační video na YouTube:

Ukrajinec Roman Vega byl v USA odsouzen na 18 let. Vega, vystupující samozřejmě pod mnoha pseudonymy, založil postupně 2 on-line tržiště pro obchodování s kradenými údaji o kreditních kartách: Boa Factory a Carder Planet. Toto tržiště mělo na vrcholu své slávy (počátek nového století) 6 500 uživatelů, komunikovalo se zde převážně rusky a šlo o jedno z největších míst pro transakce tohoto typu. Vega zde mj. vytvořil systém kontroly/reputací, který umožnil, že i podvodníci si mezi sebou mohli víceméně důvěřovat a mít záruku, že po platbě obdrží např. použitelná (zneužitelná) čísla karet.

18 let se zdá být obrovský trest (šlo sice o organizovanou, nicméně nenásilnou činnost), navíc samotný proces se táhl asi 10 let, které Vega čekal ve vazbě/vězení. Zatčen byl v roce 2003 na Kypru a vydán do USA; v té době měl databázi půl milionu ukradených čísel karet. Vegův příběh podrobně popisuje i v češtině vyšlá kniha Temný trh (Argo a Dokořán 2013).

BBC stále používá klasický nezabezpečený protokol FTP. Útočník zveřejnil informace, z nichž vyplývá, že měl přístup k příslušnému serveru. Není známo, jaká data ukradl ani jak hluboko do systému pronikl. Možná se zde dokonce používala verze ProFTPD, která obsahovala zranitelnost umožňující útočníkovi nejen přístup k datům, ale i vzdálené spuštění kódu.

V kauze sledování uživatelů ze strany tajných služeb či státních orgánů Microsoft slibuje uživatelům větší důraz na ochranu dat včetně právních kroků. „Podnikneme nová opatření k posílení právní ochrany dat našich zákazníků. Naší zásadou například je upozornit zákazníky z firemního sektoru i veřejné správy, pokud obdržíme soudní příkaz týkající se jejich dat. V případech, kdy nám v tom brání povinnost mlčenlivosti, takový příkaz napadneme u soudu.“

Zdroj: tisková zpráva společnosti Microsoft

SAP oznamuje spuštění platformy SAP Mobile Platform 3.0 a její cloudové verze. Má poskytovat platformu pro vývoj mobilních aplikací, které budou splňovat podnikové požadavky na zabezpečení. V tiskové zprávě se objevuje nová zkratka: BYOT (Bring Your Own Tools), tj. volnost používaných nástrojů při návrhu, vývoji, testování, nasazování či škálování aplikací.

Zdroj: tisková zpráva společnosti SAP

Datacard, dodavatel řešení pro bezpečnou identifikaci a personalizaci karet, koupil firmu Entrust (dodavatel zabezpečení na bázi identity). Spojený podnik bude zaměstnávat téměř 2 000 lidí. Finanční podmínky transakce nebyly publikovány.

Zdroj: tisková zpráva společnosti Datacard Group

64 % rodičů nechává své děti mladší sedmi let na internetu bez dozoru a dovolují jim používání zařízení s internetem i tehdy, když nejsou ve stejné místnosti.

Zdroj: tisková zpráva společnosti AVG, v průzkumu nezahrnuta data z ČR


Komentáře

Kolemjdouci #1
Kolemjdouci 02. leden 2014 10:40

"RSA obvinění popírá."
Neverte nicemu, co nebylo oficialne popreno.
Dual_EC_DRBG backdoor: a proof of concept
http://blog.0xbadc0de.be/archives/155

Jan Novák #2
Jan Novák 09. leden 2014 11:02

Vzhledem k tomu, že si stránku prohlížím právě ze Safari, trochu mě ta informace postrašila. Hesla si sice zásadně neukládám (až na nepodstatné výjimky), ale kdo ví, co dělá prohlížeč za mými zády. Naštěstí mám nějakou pravěkou verzi 5.0 (7533.16), nejsem příznivcem horečných aktualizací (mám s nimi spíš špatné zkušenosti). Třeba se mně to netýká. Ale pokud se někdo dostane až k souborům mého počítače ...
Ještě že je pokyny internetového bankovnictví nezbytné autorizovat přes telefon (SMS), tak se může útočník leda podívat, kolik mám peněz a co jsem kdy platil, ale jediné co může dělat je mi je závidět.


RSS 

Komentujeme

Chatbot mluví za mrtvého – od nápadu k realizaci

Pavel Houser , 30. listopad 2016 13:00
Pavel Houser

Na webu The Verge popsala Casey Newton příběh dvou přátel (Eugenia Kuyda a Roman Mazurenko). Peripet...

Více





Kalendář


RSS 

Zprávičky

Nahradí otisky prstů přístupová hesla?

ČTK , 05. prosinec 2016 14:30

Zní to jako skvělý nápad: zapomeňte na hesla a zamykejte telefon místo nich otiskem svého prstu. Je ...

Více 0 komentářů

Počítač a internet má na jižní Moravě více než 75 pct domácností

ČTK , 05. prosinec 2016 10:30

Počet jihomoravských domácností, které mají počítač a přístup k internetu, se loni přehoupl na jižní...

Více 0 komentářů

Vodafone zvýšil do září počet zákazníků na 3,54 milionu

ČTK , 04. prosinec 2016 18:00

Mobilní operátor Vodafone zvýšil do konce září počet zákazníků na českém trhu meziročně o 146.000 na...

Více 0 komentářů

Starší zprávičky

Nový škodlivý program ukradl údaje k milionu účtů Google

ČTK , 02. prosinec 2016 14:00

Nový škodlivý program Goolian narušil bezpečnost více než jednoho milionu účtů Google. Šíří se na za...

Více 1 komentářů

Telefony Nokia se příští rok vrátí na trh

ČTK , 02. prosinec 2016 10:30

Chytré telefony se značkou Nokia se objeví zpátky na trhu v příštím roce. Finská společnost Nokia dn...

Více 2 komentářů

CETIN nabídne příští rok operátorům připojení až 250 Mbit/s

ČTK , 01. prosinec 2016 17:00

Společnost Česká telekomunikační infrastruktura (CETIN) zvýší od května příštího roku rychlost inter...

Více 0 komentářů

Akcie Samsungu stouply na nový rekord

ČTK , 01. prosinec 2016 12:00

Akcie jihokorejské společnosti Samsung Electronics dnes stouply o více než čtyři procenta na nový re...

Více 0 komentářů