Bezpečnostní přehled: 18 let za provoz kartářského fóra

Pavel Houser , 02. leden 2014 09:30 2 komentářů
Bezpečnostní přehled: 18 let za provoz kartářského fóra

Antiviry pro Android se zlepšují. Bude trendem roku 2014 soukromý cloud? Měly by smartphony povinně umožňovat vzdálené zablokování? Objevena zranitelnost SD karet. Následuje pravidelný bezpečnostní přehled vytvářený především podle webů ZDNet, CNet, The Register a HelpNet Security.

Starší verze prohlížeče Safari má problém s hesly a dalšími citlivými údaji. Uchovává tyto informace ve formě prostého textu v souboru LastSession.plist, který je sice skrytý, ale kdo ví, co má hledat, nemá s jeho nalezením problém. Samotný soubor má sloužit pro funkci rychlého obnovení stránek otevřených při poslední relaci browseru. Problém má být naštěstí nikoliv plošný, podle Applu se týká pouze verzí OS X 10.8.5 se Safari 6.0.5 (8536.30.1) a OS X 10.7.5 se Safari 6.0.5 (7536.30.1).

Výzkumníci z Carnegie Mellon University doporučují jako doplněk hesel systém založený na autorizaci prostřednictvím „příběhu“. Při prvním přihlášení uživatel určitým způsobem spojí více objektů (např. obrázků – ta odpovídají podstatným jménům, uživatel si vybere propojující sloveso a na to bude příště tázán spolu s heslem). V jiné verzi by se pak příběhy mohly používat i k samotnému generování hesel – samozřejmě tak, aby příslušný asociační postup nemohl zopakovat nejen robot, ale ani lidský útočník.

Hodnocení AV-Test ukazuje, že většina dodavatelů antivirů pro Android oproti situaci před několika měsíci podstatně vylepšila kvalitu svých produktů. Mezi placenými a bezplatnými produkty není podle testu v kvalitě podstatnější rozdíl; platí se tedy de facto za dodatečné funkce typu šifrování či zálohování. AV-Test ovšem upozorňuje, že ochranné nástroje pro Android v účinnosti zaostávají za těmi pro Windows. Antiviry na Androidu totiž samy běží v sandboxu, nalezené škodlivé aplikace nejsou proto schopny odstraňovat automaticky a musejí spoléhat na to, že uživatel si označenou aplikaci dokáže odinstalovat ručně – příslušný „kill-switch“ pro automatické odstranění má pouze Google, který ho používá jen v případě, že se malware vloudí do oficiálního distribučního kanálu Google Play.

Předpovědi na rok 2014

Podle redakce The Register: „Snowdenův efekt“ se mj. má projevit nárůstem používání soukromých cloudů.

Prognóza Unisys zase jako hlavní trend roku 2014 uvádí systematičtější nasazení šifrovacích technologií v podnikové sféře, a to i u malých firem. Podniky se ve zvýšené míře rozhodnou provozovat svoji IT infrastrukturu jako službu (IaaS) – tj. opět příklon ke cloudu, kdy namísto obav z bezpečnosti je potřeba lepšího zabezpečení naopak motivací. Bezproblémové fungování čtečky prstů v Apple iPhone by uživatele i dodavatele mohlo vést také k většímu zájmu o biometrickou identifikaci obecně. Pro vzdálený přístup k firemním systémům se stále častěji bude vyžadovat údaj o geografické poloze žadatele.

A do třetice předpověď pro rok 2014 od WatchGuard: větší zájem útočníků o zdravotnická data, úspěch CryptoLockeru povzbudí další podvodníky k tvorbě ransomwaru, stále větší zájem bude vzbuzovat také „internet věcí“.

V kauze „vládního“ sledování se nyní přetřásá obvinění RSA, že od NSA přijala 10 milionů dolarů a zabudovala zadní vrátka do svého generátoru náhodných čísel/šifrování pomocí eliptických křivek, eventuálně záměrně oslabila účinnost ochrany. RSA obvinění popírá.

V Kalifornii se chystá jednání o návrhu zákona, podle kterého by všechny nově prodávané mobilní telefony musely obsahovat funkci pro vzdálené zablokování v případě ztráty/krádeže zařízení. Předkladatelé návrhu tvrdí, že krádeže smartphonů jsou dnes v zemi hlavním katalyzátorem pouliční kriminality včetně vysoce násilných činů. Při více než polovině loupeží je prý ukraden i telefon. Někteří prodejci telefonů jsou obviňováni, že vzdálené blokování neimplementují úmyslně, protože více krádeží pro ně znamená více prodejů.

Ruská bezpečnostní firma Doctor Web varuje před trojanem Trojan.Skimer.18, který vytváří zadní vrátka v bankomatech. Samo o sobě to není žádná novinka, tentokrát má ale malware cílit na jeden z celosvětově nejpoužívanějších systémů bankomatů (nekonkretizováno).

Prosincová akce Microsoftu proti botnetu ZeroAccess podle všeho zatím botnet skutečně vyřadila z provozu – jeho aktivita dosud nebyla obnovena.

Andrew „bunnie“ Huang a Sean „xobs“ Cross vystoupili na Chaos Computer Club s postupem, jak hacknout SD flash karty používané pro ukládání dat ve smartphonech či digitálních fotoaparátech. Útočník může svůj kód údajně spouštět přímo v rámci operačního systému karty. Postup lze využít např. k útoku man-in-the-middle, krádeži či modifikaci dat, když si je uživatel přetahuje do počítače. Obdobný útok lze v principu cílit i na SSD disky. Samotné zneužití ovšem není univerzální, závisí na konkrétním mikrokontroleru. Demonstrační video na YouTube:

Ukrajinec Roman Vega byl v USA odsouzen na 18 let. Vega, vystupující samozřejmě pod mnoha pseudonymy, založil postupně 2 on-line tržiště pro obchodování s kradenými údaji o kreditních kartách: Boa Factory a Carder Planet. Toto tržiště mělo na vrcholu své slávy (počátek nového století) 6 500 uživatelů, komunikovalo se zde převážně rusky a šlo o jedno z největších míst pro transakce tohoto typu. Vega zde mj. vytvořil systém kontroly/reputací, který umožnil, že i podvodníci si mezi sebou mohli víceméně důvěřovat a mít záruku, že po platbě obdrží např. použitelná (zneužitelná) čísla karet.

18 let se zdá být obrovský trest (šlo sice o organizovanou, nicméně nenásilnou činnost), navíc samotný proces se táhl asi 10 let, které Vega čekal ve vazbě/vězení. Zatčen byl v roce 2003 na Kypru a vydán do USA; v té době měl databázi půl milionu ukradených čísel karet. Vegův příběh podrobně popisuje i v češtině vyšlá kniha Temný trh (Argo a Dokořán 2013).

BBC stále používá klasický nezabezpečený protokol FTP. Útočník zveřejnil informace, z nichž vyplývá, že měl přístup k příslušnému serveru. Není známo, jaká data ukradl ani jak hluboko do systému pronikl. Možná se zde dokonce používala verze ProFTPD, která obsahovala zranitelnost umožňující útočníkovi nejen přístup k datům, ale i vzdálené spuštění kódu.

V kauze sledování uživatelů ze strany tajných služeb či státních orgánů Microsoft slibuje uživatelům větší důraz na ochranu dat včetně právních kroků. „Podnikneme nová opatření k posílení právní ochrany dat našich zákazníků. Naší zásadou například je upozornit zákazníky z firemního sektoru i veřejné správy, pokud obdržíme soudní příkaz týkající se jejich dat. V případech, kdy nám v tom brání povinnost mlčenlivosti, takový příkaz napadneme u soudu.“

Zdroj: tisková zpráva společnosti Microsoft

SAP oznamuje spuštění platformy SAP Mobile Platform 3.0 a její cloudové verze. Má poskytovat platformu pro vývoj mobilních aplikací, které budou splňovat podnikové požadavky na zabezpečení. V tiskové zprávě se objevuje nová zkratka: BYOT (Bring Your Own Tools), tj. volnost používaných nástrojů při návrhu, vývoji, testování, nasazování či škálování aplikací.

Zdroj: tisková zpráva společnosti SAP

Datacard, dodavatel řešení pro bezpečnou identifikaci a personalizaci karet, koupil firmu Entrust (dodavatel zabezpečení na bázi identity). Spojený podnik bude zaměstnávat téměř 2 000 lidí. Finanční podmínky transakce nebyly publikovány.

Zdroj: tisková zpráva společnosti Datacard Group

64 % rodičů nechává své děti mladší sedmi let na internetu bez dozoru a dovolují jim používání zařízení s internetem i tehdy, když nejsou ve stejné místnosti.

Zdroj: tisková zpráva společnosti AVG, v průzkumu nezahrnuta data z ČR


Komentáře

Kolemjdouci #1
Kolemjdouci 02. leden 2014 10:40

"RSA obvinění popírá."
Neverte nicemu, co nebylo oficialne popreno.
Dual_EC_DRBG backdoor: a proof of concept
http://blog.0xbadc0de.be/archives/155

Jan Novák #2
Jan Novák 09. leden 2014 11:02

Vzhledem k tomu, že si stránku prohlížím právě ze Safari, trochu mě ta informace postrašila. Hesla si sice zásadně neukládám (až na nepodstatné výjimky), ale kdo ví, co dělá prohlížeč za mými zády. Naštěstí mám nějakou pravěkou verzi 5.0 (7533.16), nejsem příznivcem horečných aktualizací (mám s nimi spíš špatné zkušenosti). Třeba se mně to netýká. Ale pokud se někdo dostane až k souborům mého počítače ...
Ještě že je pokyny internetového bankovnictví nezbytné autorizovat přes telefon (SMS), tak se může útočník leda podívat, kolik mám peněz a co jsem kdy platil, ale jediné co může dělat je mi je závidět.

RSS 

Komentujeme

Virtuální realitou proti strachu ze smrti

Pavel Houser , 18. červenec 2017 07:00
Pavel Houser

Lidé, kteří reportují „zážitky blízké smrti“, pak mnohdy mají ze smrti menší strach. Nedalo by se to...

Více






Kalendář

22. 07.

27. 07.
Black Hat 2017
27. 07.

30. 07.
Defcon 2017
27. 08.

31. 08.
VMworld 2017
RSS 

Zprávičky

Roboty využívá téměř čtvrtina českých menších firem

ČTK , 24. červenec 2017 10:00

Důvodem investic do robotizace nesmí být všeobecný trend, ale faktická potřeba. ...

Více 0 komentářů

Začne platit nový zákon, který má šetřit náklady na budování sítí

ČTK , 24. červenec 2017 09:00

Provozovatelé vodovodních, energetických i kanalizačních sítí budou muset umožnit přístup zájemců o ...

Více 0 komentářů

Šéfem nového úřadu pro kyberbezpečnost by měl být Navrátil

ČTK , 24. červenec 2017 08:00

Úřad měl dostat vlastní rozpočtovou kapitolu. ...

Více 0 komentářů

Starší zprávičky

China Unicom má slíbeno od investorů 12 miliard dolarů

ČTK , 23. červenec 2017 10:14

Připravovaná investice je součástí snahy čínské vlády oživit státní giganty soukromým kapitálem. ...

Více 0 komentářů

Čína chce být do 2025 světovým lídrem v oblasti umělé inteligence

ČTK , 22. červenec 2017 09:00

Plán přichází v době, kdy USA chtějí více kontrolovat investice, včetně investic do umělé inteligenc...

Více 0 komentářů

Santa Fe se chystá na premiéru opery o Jobsovi

ČTK , 22. červenec 2017 08:00

Spád opery je stejně rychlý a dynamický jako technologie, které Jobs vytvořil, tvrdí autoři....

Více 0 komentářů

Policejní úřady USA a EU zakročily proti ilegálním serverům

ČTK , 21. červenec 2017 10:00

Kromě AlphaBay se zásah týkal také ilegálního tržiště darknetu Hansa....

Více 1 komentářů