Bezpečnostní přehled: Budou USA regulovat export zero day zranitelností?

Pavel Houser , 01. červen 2015 08:00 0 komentářů
Rubriky: Security
Bezpečnostní přehled: Budou USA regulovat export zero day zranitelností?

Spotřebitelská poptávka po bezpečnosti klesá, podniková roste. Jak lze zneužít monitorovací kamery ve městech. Doplňující otázky pro reset hesla se stávají noční můrou. Následuje pravidelný bezpečnostní přehled vytvářený především podle webů ZDNet, CNet, The Register a HelpNet Security.

Bezpečnostní trh podle Gartneru

Celosvětový trh s bezpečnostním softwarem rostl podle Gartneru v roce 2014 meziročně o 5,3 % na 21,4 miliard dolarů. 39 % tohoto trhu tvoří řešení pro koncové uživatele/ochranu koncových bodů, příjmy v této oblasti trhu ale systematicky klesají. Rostou oblasti, jako je prevence úniku dat (DLP), bezpečnostní brány, řízení identit a SIEM (security information and event management). V řadě těchto kategorií se jedná o dvojciferné přírůstky, např. u DLP 15,8 %, u SIEM 11 %.

Z hlediska pořadí jednotlivých dodavatelů stále vede Symantec, už podruhé však dle Gartneru příjmy společnosti meziročně klesly – o 1,3 % na 3,7 miliard dolarů. Na vině je především oslabující poptávka ve spotřebitelském segmentu, kde má Symantec tradičně silnou pozici. Naopak růst tržeb i podílu zaznamenává IBM a Intel/McAfee, v žebříčku největších dodavatelů bezpečnostního softwaru se dále už stabilně umisťuje Trend Micro a EMC.

Po kryptografii další omezení exportu?

V USA se diskutuje o možnosti zakázat export zero day zranitelností a malwaru. Za návrhem v tuto chvíli nestojí tajné služby/armáda/ministerstvo bezpečnosti, ale obchodu. Kritici podobný nápad přirovnávají k zákazu „vyvážet“ silné šifrovací technologie, který poškodil americké firmy ve světě proti konkurenci a např. v souvislosti s PGP i budil odpor. Navíc existuje i spousta programů bug bounty, v rámci nichž firmy vykupují zranitelnosti od výzkumníků, ty se pak různě sdílejí – to by každý (Američan) měl zkoumat, co se s jeho oznámením bude dít dál?

Jak fungují otázky pro reset hesla

Výzkum Google kritizuje používání otázek při obnově uživatelských hesel. Analýza ukazuje, že lidé odpovědi na otázky zapomínají, eventuálně na ně může se slušnou pravděpodobností správně odpovědět kdokoliv a účet ukrást. Několik příkladů: oblíbené jídlo si lidé radši volí něco absurdního, by na to nepřišel nikdo jiný, a vzápětí sami zapomenou (byl to škvor, střevlík nebo střevlíci?). Místo narození, různá příjmení za svobodna či křestní jména rodičů si sice uživatelé raději nevymýšlejí, ale často může otázku zodpovědět po pár pokusech i někdo jiný – ať už náhodně (v zemi X jsou dvě velká města, v asijských zemích bývá malá variabilita určitých jmen...), nebo si o uživateli příslušnou informaci zjistí. Na speciální údaje, jako jsou čísla lidí ve věrnostních programech leteckých společností, je zase třeba složitě hledat příslušný doklad, zrovna když to člověk potřebuje ze všeho nejméně.

Přístup k zabezpečení účtu založený na otázkách tohoto typu je dnes prostě zbytečný a zastaralý. Řešení, až na ojedinělé situace, kdy to může být problematické: Obnova hesel pomocí e-mailu/SMS.

Ransomware vydělává

Ransomware je dnes pro podvodníky opravdu výnosný. Podle analýzy FireEye provozovatelé malwaru TeslaCrypt a AlphaCrypt dokázali za 2 měsíce získat od 163 obětí přes 76 tisíc dolarů. A to přitom v této kategorii malwaru existují mnohem rozšířenější produkty...

CSIRT.CZ varuje

Objevena byla nová zranitelnost v protokolu TLS pojmenovaná Logjam. Chyba CVE-2015-4000 umožňuje útočníkovi v pozici man-in-the-middle zachytávat a dešifrovat zabezpečenou komunikaci mezi uživateli a webovými stránkami či e-mailovými servery. Zdroj: Národní centrum kybernetické bezpečnosti

Ze světa firem

V oficiálním obchodu s aplikacemi pro Android bylo objeveno 30 podvodných aplikací. Tvářily se jako doplňky ke hře Minecraft, ale ve skutečnosti se snažily uživatele vydírat. Google již příslušný malware odstranil. Zdroj: tisková zpráva společnosti Eset

Vydány byly beta verze nových bezpečnostních produktů pro domácnosti Eset NOD32 Antivirus 9 a Eset Smart Security 9. Oba produkty mají podle Esetu nové uživatelské rozhraní, inovovaný proces aktualizací a podporu Windows 10. Smart Security 9 navíc obsahuje ochranu elektronického bankovnictví a platebních transakcí pod názvem Banking & Payment Protection. Zdroj: tisková zpráva společnosti Eset

Městský kamerový systém (CCTV) může být zneužitý třetí stranou, ukázal výzkum prováděný Vasiliosem Hioureasem z Kaspersky Lab a Thomasem Kinseyem ze společnosti Exigent Systems. Útočníci mohou využít chyby v systémové konfiguraci sítě. Monitorovací kamery v nejmenovaném městě byly připojeny prostřednictvím smyčkové sítě (mesh network). V té jsou uzly mezi sebou navzájem propojeny a slouží jako odrazové můstky pro data (v tomto případě video kanály) na jejich cestě do kontrolního střediska. Namísto použití Wi-Fi hotspotu nebo kabelového připojení uzly v takovýchto sítích jednoduše přenášejí data na nejbližší uzel, který je přenese dál skrze ostatní uzly přímo do kontrolního střediska. Pokud se vetřelec připojí jen k jedinému takovému uzlu v síti, je schopný manipulovat s daty, která jsou přes něj posílána. Zdroj: tisková zpráva společnosti Kaspersky Lab

UniCredit Bank nabízí přihlašování do mobilního bankovnictví otiskem prstu. Tento způsob je dostupný pro telefony Apple a Samsung. Zdroj: tisková zpráva společnosti UniCredit Bank

V rámci letošního ročníku soutěže Cisco Outstanding Thesis Award 2015 si tři nejlepší absolventské práce spadající do okruhu počítačových věd, zejména strojového učení a kybernetické bezpečnosti, rozdělí celkem 70 tisíc Kč. Soutěž vyhlašuje společnost Cisco ve spolupráci s Fakultou elektrotechnickou ČVUT v Praze a je otevřena studentům všech vysokých škol v ČR. Zdroj: tisková zpráva společnosti Cisco

Google a Visa spolupracují kolem nové platformy Android Pay. Zabezpečené API Android Pay budou postavené na stávající funkcionalitě Google Host Card Emulation (HCE). Zdroj: tisková zpráva asociace Visa Europe

NetGear uvolnil do prodeje na českém a slovenském trhu novou bezpečnostní kameru pro domácnosti – model Arlo. Zdroj: tisková zpráva společnosti NetGear

Avira vydává verzi Antivirus Pro. Obsahuje mj. službu Encrypted VPN společnosti Private WiFi. Zdroj: tisková zpráva společnosti Avira

Sophos oznámil dostupnost zařízení pro jednotnou správu hrozeb (UTM), která podporují bezdrátový protokol 802.11ac. Jde o nové modely řady SG – SG 125w a SG 135w. Zdroj: tisková zpráva společnosti Sophos

10 % spamu celosvětově proudí z USA, dříve vedoucí Čína má nyní podíl 5,5 % (pokles ze 16 %) a je až 6. místě. Data pocházejí z 1. čtvrtletí 2015. Druhý ve spamovém žebříčku je Vietnam, třetí Ukrajina, čtvrté Rusko a pátá Jižní Korea. Podíl ČR mírně vzrostl na 0,5 % a s ohledem na výsledky ČR v předchozích dvou čtvrtletích (40. a 45. místo) potvrzuje 37. příčka trend spíše zhoršování bezpečnostní situace, tj. stále více počítačů/hostingových služeb v ČR je nějak zapojeno do fungování botnetů. Co se týče množství spamu přepočítaného na obyvatele, v čele žebříčku je nyní Moldasko, na druhém místě dlouho vedoucí Bulharsko. Zdroj: tisková zpráva společnosti Sophos

Seznam.cz zavedl od dubna vyšší ochranu proti nevyžádané poště. Na straně Seznamu v případě e-mailingů bez digitálního podpisu DKIM končí ve složce Spam, a pokud ho obsahuje, tak v nedávno zavedené složce Hromadná pošta. Míra otevření e-mailingů vzhledem k hodnotám před zavedením složky Hromadná pošta klesla o 15 až 30 %. Zdroj: tisková zpráva společnosti Inveo

Psali jsme na ITBiz

Na téma bezpečnosti na ITBiz viz také:


Komentáře

RSS 

Komentujeme

Bezpečnost IT a tygří logika

Pavel Houser , 14. únor 2017 11:00
Pavel Houser

Jak praví známý vtip, běží-li za vámi tygr, netřeba se pohybovat rychleji než šelma – stačí předběhn...

Více






Kalendář

22. 02. IT mezi paragrafy
20. 03.

24. 03.
CeBIT 2017
25. 03. INSPO 2017
RSS 

Zprávičky

Majitel Snapchatu jde na burzu s nižší hodnotou, než se čekalo

ČTK , 18. únor 2017 09:00

Americká společnost Snap, která provozuje populární mobilní aplikaci Snapchat pro sdílení fotografií...

Více 0 komentářů

Rozšířená realita pro marketing a výdaje na bezpečnost IT kvůli požadavkům EU

Pavel Houser , 18. únor 2017 08:35

Co vlastně obnáší pojem "digitální transformace podniků"? A co z toho vyplývá dle prognóz IDC?...

Více 0 komentářů

Do roku 2020 vznikne v ČR 1200 stanic pro elektromobily

ČTK , 17. únor 2017 09:00

Do roku 2020 by mělo v Česku vzniknout celkem 1200 napájecích stanic pro elektromobily. Po setkání s...

Více 1 komentářů

Starší zprávičky

ČTÚ: Zákaz individuálních cen volání zakonzervuje odvětví

ČTK , 17. únor 2017 07:00

Zákaz individuálních cen volání pro spotřebitele, který obsahuje návrh novely telekomunikačního záko...

Více 0 komentářů

Ústečan platil falešnými eury, objednal si je na internetu

ČTK , 16. únor 2017 16:30

Případ padělaných bankovek nakoupených přes internet objasnili kriminalisté v Ústeckém kraji. Falešn...

Více 3 komentářů

Buffetova investiční firma prudce zvýšila svůj podíl v Applu

ČTK , 16. únor 2017 14:00

Investiční společnost Berkshire Hathaway amerického miliardáře Warrena Buffetta v posledním čtvrtlet...

Více 0 komentářů

Čistý zisk výrobce počítačů Lenovo klesl o 67 procent

ČTK , 16. únor 2017 11:00

Čistý zisk největšího světového výrobce osobních počítačů Lenovo Group ve třetím fiskální čtvrtletí ...

Více 1 komentářů