Bezpečnostní přehled: Biometrie podle mozkových vln?

Pavel Houser , 15. červen 2015 08:30 0 komentářů
Rubriky: Security
Bezpečnostní přehled: Biometrie podle mozkových vln?

Opravy Microsoftu, kritické balíčky pro Windows a Internet Explorer. Mozilla zvyšuje odměny pro bezpečnostní výzkumníky. Duqu 2.0, jeden z nejsofistikovanějších současných malwarů. Podpora HTTP Strict Transport Security v prohlížečích. Následuje pravidelný bezpečnostní přehled vytvářený především podle webů ZDNet, CNet, The Register a HelpNet Security.

Druhé červnové úterý

Červnové záplaty Microsoftu. Vydáno bylo 8 bulletinů zabezpečení, z toho 2 jsou hodnoceny jako kritické. Jedná se o bulletiny/balíčky záplat MS15-056 a MS15-057. MS15-056 je kumulativní aktualizací Internet Exploreru verze 6-11. Některé z opravených chyb umožňují vzdálené spuštění kódu, u serverových Windows by nicméně závažnost problému měla být nižší. Na příslušné chyby upozornilo 16 výzkumníků, mj. členové HP ZeroDay Initiative, NSFocus Security Team a Palo Alto Networks. Další kritická oprava MS15-057 je určena pro Media Player ve Windows Vista, 7, Windows Server 2003 a 2008 R2. Chybu lze zneužít už při zobrazení webu obsahujícím speciálně upravené video, může následovat vzdálené spuštění kódu bez nutnosti další akce uživatele.

Další záplaty se statutem důležitých jsou určeny pro MS Office, operační systémy, ovladače jádra a MS Exchange Server 2013 (chyba umožňuje zvýšení oprávnění). Zajímavé je číslování záplat. Bulletiny zabezpečení mají čísla MS15-056 po MS15-064, chybí však bulletin 058.

Adobe vydala současně s Microsoftem opravu pro 13 zranitelností v přehrávači Flash Player. Záplata je určena pro verze pro Windows, MacOS X i Linux a je hodnocena jako kritická.

Otisk mozku

Nová biometrická metoda identifikace by mohla vycházet přímo z lidského mozku. Vědci z Binghamton University a State University of New York se domnívají, že individuálně specifická je reakce mozku při čtení nebo vyslovení určité skupiny písmen. Prozatím byl systém analyzující mozkové vlny schopen odlišit dobrovolníky s přesností 94 %. Podle autorů výzkumu by výhodou nebo metody mělo být, že příslušnou informaci si nelze okopírovat načerno, jak se to může stát např. u otisku prstu (poznámka: proč by nemohlo existovat zařízení generující pro detektor odpovídající vlnění?). Výzkumníci se nedomnívají, že kvůli komplikacím se čtením informace/skenováním mozku by se jejich metoda autentizace rozšířila plošně, mohla by však najít uplatnění u systémů s extrémními bezpečnostními nároky.

Ransomware vydělává

Analýza PandaLabs ukazuje na velké rozšíření ransomwaru CryptoLocker. Obecně je prý tento způsob dnes pro podvodníky výnosnější než krádeže informací, hesel, účtů atd. Některé výsledky průzkumu jsou ovšem podivné. Celosvětově je prý v průměru malwarem infikováno 37 % PC, v Číně to je 48 %, ale např. i v Německu 27 %. Jak se tohle počítalo?

Jak vynutit https

Microsoft přidal do Internet Exploreru 11 podporu HTTP Strict Transport Security (HSTS). Jde o způsob, jak mohou weby převádět návštěvníky z protokolu http na https, respektive vynutit tento typ spojení; technologie brání některým typům útoku man-in-the-middle. Chrome, Firefox, Opera a Safari již HSTS podporují, v implementacích jsou však mezi prohlížeči rozdíly, např. při kombinaci obsahu, jehož část se přenáší obyčejným protokolem http a část zabezpečeným https.

Mozilla bude platit lépe

Mozilla zvýšila maximální odměny za objevování bezpečnostních děr ze stávajících 3 000 až na 10 000 dolarů. Tato částka může být vyplacena v několika případech, např. za objev zranitelností umožňujících vzdálené spuštění kódu (bez nutnosti dalších chyb, speciálních okolností apod.).

Dugu 2.0

Kaspersky Lab odhalila kyberútok na vlastní podnikovou síť. Příslušná kampaň má oběti má i mezi významnými cíli v západních zemích i na Blízkém východě.

Jedná se o kampaň označenou jako Duqu 2.0. Útok je považován za velmi sofistikovaný. Zneužil zero day zranitelnost a po proniknutí do oprávnění administrátora domény se malware rozšířil do sítě pomocí MSI (Microsoft Software Installer) souborů, které běžně systémoví správci využívají k nasazení softwaru na vzdálených počítačích s Windows. Tento kybernetický útok za sebou nezanechal žádné soubory ani nezměnil systémová nastavení, což extrémně ztížilo jeho odhalení. Kód Duqu 2.0 existuje pouze v operační paměti počítače a snaží se odstranit veškeré stopy na pevném disku.

Kaspersky Lab provedla úvodní bezpečnostní audit a analýzu útoku. Audit zahrnoval ověření zdrojového kódu a kontrolu podnikové infrastruktury. Audit stále probíhá a bude dokončen během několika týdnů. Kromě krádeže duševního vlastnictví nebyly nalezeny žádné jiné známky škodlivých aktivit. Zdroj: tisková zpráva společnosti Kaspersky Lab

CSIRT.CZ varuje

Výzkumník Jan Souček odhalil zranitelnost v e-mailové aplikaci iOS. Společnost Apple na chybu upozornil již v lednu. Podle jeho vyjádření oprava dosud nebyla zmíněna v žádném z vydaných updatů. Zdroj: Národní centrum kybernetické bezpečnosti.

Demonstrační video:

Ze světa firem

K testování byla uvolněna beta verze řešení Eset Mail Security 6 pro Microsoft Exchange. Jde o řešení pro ochranu celého serveru – mailboxů i serverového prostředí. K novinkám podle dodavatele patří i pokročilá kontrola paměti, která monitoruje chování škodlivých procesů a kontroluje je ihned po rozbalení v paměti. Proto je schopná detekovat i hrozby maskující se silným šifrováním. Zdroj: tisková zpráva společnosti Eset

Kaspersky Lab vydala českou verzi servisního baličku SP1 pro podnikové řešení Kaspersky Endpoint Security for Business. Zlepšuje zejména možnosti ochrany a správy mobilních zařízení v podnikové síti. Zdroj: tisková zpráva společnosti Kaspersky Lab

Kaspersky Lab se stala jedním ze zakladatelů celosvětové neziskové iniciativy Securing Smart Cities. Jejím cílem je řešit kybernetickou bezpečnost v inteligentních městech. Další zatím zúčastněné organizace: IOActive, Bastille, Cloud Security Alliance. Zdroj: tisková zpráva společnosti Kaspersky Lab

Check Point 2015 Security Report pokládá za hlavní trend v podnikové bezpečnosti nárůst útoků na mobilní zařízení. Organizace s více než 2 000 zařízeními v síti mají až 50% šanci, že existuje nejméně 6 infikovaných nebo pro útok vytipovaných mobilních zařízení. Co se týče používání rizikových aplikací, z analyzovaných organizací 96 % zaznamenalo ve své síti používání neschválených/problémových P2P aplikací pro sdílení souborů. Součástí celé studie byly i organizace z České republiky. ČR dle analýzy nijak speciálně nevybočuje. Zdroj: tisková zpráva společnosti Check Point Software Technologies

Uvedeno bylo nové řešení pro ochranu serverů Sophos Cloud Server Protection Advanced. Integruje seznamy důvěryhodných aplikací (whitelist) a ochranu proti malwaru. „Uzamknout“ tímto způsobem server do požadované konfigurace obnáší podle dodavatele pouze několik kliknutí myší, z jediné konzole lze takto snadno nastavit všechny firemní servery. Zdroj: tisková zpráva společnosti Sophos

Sophos oznámil koupi firmy Reflexion Networks, která dodává řešení pro zabezpečení e-mailu. Má asi 17 000 zákazníků především mezi středně velkými podniky, dodává jim především řešení pro šifrování e-mailu a služby business continuity. Finanční podmínky transakce nebyly zveřejněny.

Globální partnerství AVG a ZTE. Od května 2015 jsou chytré telefony a tablety ZTE prodávány s předinstalovanou zkušební verzí aplikace AVG AntiVirus PRO for Android. Poté se uživatelé mohou rozhodnout, zda koupit plnou verzi nebo přejít na základní bezplatnou. Zdroj: tisková zpráva společnosti AVG

Psali jsme na ITBiz

Na téma bezpečnosti na ITBiz viz také:


Komentáře

RSS 

Komentujeme

Bezpečnost IT a tygří logika

Pavel Houser , 14. únor 2017 11:00
Pavel Houser

Jak praví známý vtip, běží-li za vámi tygr, netřeba se pohybovat rychleji než šelma – stačí předběhn...

Více






Kalendář

20. 03.

24. 03.
CeBIT 2017
25. 03. INSPO 2017
28. 04. Oracle Code 2017
RSS 

Zprávičky

Samsung představil nové Gear VR s ovladačem

ITBiz.cz , 26. únor 2017 20:23

Samsung představil zcela nové brýle Gear VR s ovladačem, kterými rozšiřuje vlastní portfolio zařízen...

Více 0 komentářů

3 nové smartphony Nokia s Androidem

ITBiz.cz , 26. únor 2017 20:12

Znovuzrození se dočkala Nokia 3310....

Více 0 komentářů

Acer uvádí smartphony Liquid Z6E

ITBiz.cz , 26. únor 2017 19:38

Technologie BlueLightShield snižuje míru vystavení modrému světlu....

Více 0 komentářů

Starší zprávičky

Rakovnické Gymnázium Zikmunda Wintra fakultní školou pro ČVUT

ITBiz.cz , 26. únor 2017 19:30

Již deváté střední škole propůjčila Fakulta elektrotechnická ČVUT v Praze statut fakultní školy. ...

Více 0 komentářů

V Barceloně začíná Mobile World Congress 2017

ITBiz.cz , 26. únor 2017 16:14

LG G6 je jednou z prvním novinek představených v Barceloně. Smarpthone pro sledování videa a fotogra...

Více 0 komentářů

110 grafických karet vytvořilo kolizi pro SHA-1 - za rok

ITBiz.cz , 25. únor 2017 19:50

Za projektem stojí Google a získal už velký mediální ohlas, i když technické podrobnosti zatím zveře...

Více 0 komentářů

Prodej chytrých telefonů v Německu loni poprvé klesl

ČTK , 25. únor 2017 14:35

Tržby poklesly i přes rostoucí průměrnou cenu smartphonu....

Více 0 komentářů