Bezpečnostní přehled: 18 let za provoz kartářského fóra

Pavel Houser , 02. leden 2014 09:30 2 komentářů
Bezpečnostní přehled: 18 let za provoz kartářského fóra

Antiviry pro Android se zlepšují. Bude trendem roku 2014 soukromý cloud? Měly by smartphony povinně umožňovat vzdálené zablokování? Objevena zranitelnost SD karet. Následuje pravidelný bezpečnostní přehled vytvářený především podle webů ZDNet, CNet, The Register a HelpNet Security.

Starší verze prohlížeče Safari má problém s hesly a dalšími citlivými údaji. Uchovává tyto informace ve formě prostého textu v souboru LastSession.plist, který je sice skrytý, ale kdo ví, co má hledat, nemá s jeho nalezením problém. Samotný soubor má sloužit pro funkci rychlého obnovení stránek otevřených při poslední relaci browseru. Problém má být naštěstí nikoliv plošný, podle Applu se týká pouze verzí OS X 10.8.5 se Safari 6.0.5 (8536.30.1) a OS X 10.7.5 se Safari 6.0.5 (7536.30.1).

Výzkumníci z Carnegie Mellon University doporučují jako doplněk hesel systém založený na autorizaci prostřednictvím „příběhu“. Při prvním přihlášení uživatel určitým způsobem spojí více objektů (např. obrázků – ta odpovídají podstatným jménům, uživatel si vybere propojující sloveso a na to bude příště tázán spolu s heslem). V jiné verzi by se pak příběhy mohly používat i k samotnému generování hesel – samozřejmě tak, aby příslušný asociační postup nemohl zopakovat nejen robot, ale ani lidský útočník.

Hodnocení AV-Test ukazuje, že většina dodavatelů antivirů pro Android oproti situaci před několika měsíci podstatně vylepšila kvalitu svých produktů. Mezi placenými a bezplatnými produkty není podle testu v kvalitě podstatnější rozdíl; platí se tedy de facto za dodatečné funkce typu šifrování či zálohování. AV-Test ovšem upozorňuje, že ochranné nástroje pro Android v účinnosti zaostávají za těmi pro Windows. Antiviry na Androidu totiž samy běží v sandboxu, nalezené škodlivé aplikace nejsou proto schopny odstraňovat automaticky a musejí spoléhat na to, že uživatel si označenou aplikaci dokáže odinstalovat ručně – příslušný „kill-switch“ pro automatické odstranění má pouze Google, který ho používá jen v případě, že se malware vloudí do oficiálního distribučního kanálu Google Play.

Předpovědi na rok 2014

Podle redakce The Register: „Snowdenův efekt“ se mj. má projevit nárůstem používání soukromých cloudů.

Prognóza Unisys zase jako hlavní trend roku 2014 uvádí systematičtější nasazení šifrovacích technologií v podnikové sféře, a to i u malých firem. Podniky se ve zvýšené míře rozhodnou provozovat svoji IT infrastrukturu jako službu (IaaS) – tj. opět příklon ke cloudu, kdy namísto obav z bezpečnosti je potřeba lepšího zabezpečení naopak motivací. Bezproblémové fungování čtečky prstů v Apple iPhone by uživatele i dodavatele mohlo vést také k většímu zájmu o biometrickou identifikaci obecně. Pro vzdálený přístup k firemním systémům se stále častěji bude vyžadovat údaj o geografické poloze žadatele.

A do třetice předpověď pro rok 2014 od WatchGuard: větší zájem útočníků o zdravotnická data, úspěch CryptoLockeru povzbudí další podvodníky k tvorbě ransomwaru, stále větší zájem bude vzbuzovat také „internet věcí“.

V kauze „vládního“ sledování se nyní přetřásá obvinění RSA, že od NSA přijala 10 milionů dolarů a zabudovala zadní vrátka do svého generátoru náhodných čísel/šifrování pomocí eliptických křivek, eventuálně záměrně oslabila účinnost ochrany. RSA obvinění popírá.

V Kalifornii se chystá jednání o návrhu zákona, podle kterého by všechny nově prodávané mobilní telefony musely obsahovat funkci pro vzdálené zablokování v případě ztráty/krádeže zařízení. Předkladatelé návrhu tvrdí, že krádeže smartphonů jsou dnes v zemi hlavním katalyzátorem pouliční kriminality včetně vysoce násilných činů. Při více než polovině loupeží je prý ukraden i telefon. Někteří prodejci telefonů jsou obviňováni, že vzdálené blokování neimplementují úmyslně, protože více krádeží pro ně znamená více prodejů.

Ruská bezpečnostní firma Doctor Web varuje před trojanem Trojan.Skimer.18, který vytváří zadní vrátka v bankomatech. Samo o sobě to není žádná novinka, tentokrát má ale malware cílit na jeden z celosvětově nejpoužívanějších systémů bankomatů (nekonkretizováno).

Prosincová akce Microsoftu proti botnetu ZeroAccess podle všeho zatím botnet skutečně vyřadila z provozu – jeho aktivita dosud nebyla obnovena.

Andrew „bunnie“ Huang a Sean „xobs“ Cross vystoupili na Chaos Computer Club s postupem, jak hacknout SD flash karty používané pro ukládání dat ve smartphonech či digitálních fotoaparátech. Útočník může svůj kód údajně spouštět přímo v rámci operačního systému karty. Postup lze využít např. k útoku man-in-the-middle, krádeži či modifikaci dat, když si je uživatel přetahuje do počítače. Obdobný útok lze v principu cílit i na SSD disky. Samotné zneužití ovšem není univerzální, závisí na konkrétním mikrokontroleru. Demonstrační video na YouTube:

Ukrajinec Roman Vega byl v USA odsouzen na 18 let. Vega, vystupující samozřejmě pod mnoha pseudonymy, založil postupně 2 on-line tržiště pro obchodování s kradenými údaji o kreditních kartách: Boa Factory a Carder Planet. Toto tržiště mělo na vrcholu své slávy (počátek nového století) 6 500 uživatelů, komunikovalo se zde převážně rusky a šlo o jedno z největších míst pro transakce tohoto typu. Vega zde mj. vytvořil systém kontroly/reputací, který umožnil, že i podvodníci si mezi sebou mohli víceméně důvěřovat a mít záruku, že po platbě obdrží např. použitelná (zneužitelná) čísla karet.

18 let se zdá být obrovský trest (šlo sice o organizovanou, nicméně nenásilnou činnost), navíc samotný proces se táhl asi 10 let, které Vega čekal ve vazbě/vězení. Zatčen byl v roce 2003 na Kypru a vydán do USA; v té době měl databázi půl milionu ukradených čísel karet. Vegův příběh podrobně popisuje i v češtině vyšlá kniha Temný trh (Argo a Dokořán 2013).

BBC stále používá klasický nezabezpečený protokol FTP. Útočník zveřejnil informace, z nichž vyplývá, že měl přístup k příslušnému serveru. Není známo, jaká data ukradl ani jak hluboko do systému pronikl. Možná se zde dokonce používala verze ProFTPD, která obsahovala zranitelnost umožňující útočníkovi nejen přístup k datům, ale i vzdálené spuštění kódu.

V kauze sledování uživatelů ze strany tajných služeb či státních orgánů Microsoft slibuje uživatelům větší důraz na ochranu dat včetně právních kroků. „Podnikneme nová opatření k posílení právní ochrany dat našich zákazníků. Naší zásadou například je upozornit zákazníky z firemního sektoru i veřejné správy, pokud obdržíme soudní příkaz týkající se jejich dat. V případech, kdy nám v tom brání povinnost mlčenlivosti, takový příkaz napadneme u soudu.“

Zdroj: tisková zpráva společnosti Microsoft

SAP oznamuje spuštění platformy SAP Mobile Platform 3.0 a její cloudové verze. Má poskytovat platformu pro vývoj mobilních aplikací, které budou splňovat podnikové požadavky na zabezpečení. V tiskové zprávě se objevuje nová zkratka: BYOT (Bring Your Own Tools), tj. volnost používaných nástrojů při návrhu, vývoji, testování, nasazování či škálování aplikací.

Zdroj: tisková zpráva společnosti SAP

Datacard, dodavatel řešení pro bezpečnou identifikaci a personalizaci karet, koupil firmu Entrust (dodavatel zabezpečení na bázi identity). Spojený podnik bude zaměstnávat téměř 2 000 lidí. Finanční podmínky transakce nebyly publikovány.

Zdroj: tisková zpráva společnosti Datacard Group

64 % rodičů nechává své děti mladší sedmi let na internetu bez dozoru a dovolují jim používání zařízení s internetem i tehdy, když nejsou ve stejné místnosti.

Zdroj: tisková zpráva společnosti AVG, v průzkumu nezahrnuta data z ČR


Komentáře

Kolemjdouci #1
Kolemjdouci 02. leden 2014 10:40

"RSA obvinění popírá."
Neverte nicemu, co nebylo oficialne popreno.
Dual_EC_DRBG backdoor: a proof of concept
http://blog.0xbadc0de.be/archives/155

Jan Novák #2
Jan Novák 09. leden 2014 11:02

Vzhledem k tomu, že si stránku prohlížím právě ze Safari, trochu mě ta informace postrašila. Hesla si sice zásadně neukládám (až na nepodstatné výjimky), ale kdo ví, co dělá prohlížeč za mými zády. Naštěstí mám nějakou pravěkou verzi 5.0 (7533.16), nejsem příznivcem horečných aktualizací (mám s nimi spíš špatné zkušenosti). Třeba se mně to netýká. Ale pokud se někdo dostane až k souborům mého počítače ...
Ještě že je pokyny internetového bankovnictví nezbytné autorizovat přes telefon (SMS), tak se může útočník leda podívat, kolik mám peněz a co jsem kdy platil, ale jediné co může dělat je mi je závidět.

RSS 

Komentujeme

Makroviry inspirují

Pavel Houser , 20. září 2017 06:30
Pavel Houser

Úspěšný návrat malwaru šířeného pomocí maker vedl útočníky k tomu, že svou pozornost obrátili k příb...

Více






Kalendář

25. 09.

29. 09.
Susecon 17
25. 09.

29. 09.
Microsoft Ignite 2017
26. 09.

26. 08.
Affiliate konferencia 2017
RSS 

Zprávičky

Hewlett Packard Enterprise propustí asi 5 000 lidí

ČTK , 25. září 2017 08:00

Plánované zrušení 10 % pracovních míst by mohlo být předehrou k dalšímu snižování počtu zaměstnanců....

Více 0 komentářů

Mobilní platby: Jak si ČR stojí ve srovnání s Evropou

Pavel Houser , 24. září 2017 09:00

Biometrii Češi považují za nejvhodnější formu ověření platby....

Více 0 komentářů

Důvěra Čechů v e-shopy roste

Pavel Houser , 23. září 2017 09:00

Drtivá většina české internetové populace nakupuje on-line dlouhodobě, dále však narůstá četnost nák...

Více 0 komentářů

Starší zprávičky

Nové verze Javy: Java SE 9 a Java EE 8

Pavel Houser , 22. září 2017 14:51

Oracle oznamuje všeobecnou dostupnost nových verzí platformy Java: Java SE 9 (JDK 9), Java Platform ...

Více 0 komentářů

Baidu investuje do vývoje autonomního řízení

ČTK , 22. září 2017 13:00

Cílem projektu Apollo je vyvinout technologii pro samořízené automobily do roku 2020....

Více 0 komentářů

Kaprain koupil kabelovou Rio Media

ČTK , 22. září 2017 09:00

Spojením Nej.cz a Rio Media vznikne druhý největší poskytovatel kabelové televize a významný poskyto...

Více 0 komentářů

Apple přiznává: Nové hodinky mají problémy s připojením

ČTK , 22. září 2017 08:00

Problémy s konektivitou mají hodinky v okamžiku, kdy mají použít veřejnou wi-fi síť....

Více 0 komentářů