Bezpečnostní přehled: Budou USA regulovat export zero day zranitelností?

Pavel Houser , 01. červen 2015 08:00 0 komentářů
Rubriky: Security
Bezpečnostní přehled: Budou USA regulovat export zero day zranitelností?

Spotřebitelská poptávka po bezpečnosti klesá, podniková roste. Jak lze zneužít monitorovací kamery ve městech. Doplňující otázky pro reset hesla se stávají noční můrou. Následuje pravidelný bezpečnostní přehled vytvářený především podle webů ZDNet, CNet, The Register a HelpNet Security.

Bezpečnostní trh podle Gartneru

Celosvětový trh s bezpečnostním softwarem rostl podle Gartneru v roce 2014 meziročně o 5,3 % na 21,4 miliard dolarů. 39 % tohoto trhu tvoří řešení pro koncové uživatele/ochranu koncových bodů, příjmy v této oblasti trhu ale systematicky klesají. Rostou oblasti, jako je prevence úniku dat (DLP), bezpečnostní brány, řízení identit a SIEM (security information and event management). V řadě těchto kategorií se jedná o dvojciferné přírůstky, např. u DLP 15,8 %, u SIEM 11 %.

Z hlediska pořadí jednotlivých dodavatelů stále vede Symantec, už podruhé však dle Gartneru příjmy společnosti meziročně klesly – o 1,3 % na 3,7 miliard dolarů. Na vině je především oslabující poptávka ve spotřebitelském segmentu, kde má Symantec tradičně silnou pozici. Naopak růst tržeb i podílu zaznamenává IBM a Intel/McAfee, v žebříčku největších dodavatelů bezpečnostního softwaru se dále už stabilně umisťuje Trend Micro a EMC.

Po kryptografii další omezení exportu?

V USA se diskutuje o možnosti zakázat export zero day zranitelností a malwaru. Za návrhem v tuto chvíli nestojí tajné služby/armáda/ministerstvo bezpečnosti, ale obchodu. Kritici podobný nápad přirovnávají k zákazu „vyvážet“ silné šifrovací technologie, který poškodil americké firmy ve světě proti konkurenci a např. v souvislosti s PGP i budil odpor. Navíc existuje i spousta programů bug bounty, v rámci nichž firmy vykupují zranitelnosti od výzkumníků, ty se pak různě sdílejí – to by každý (Američan) měl zkoumat, co se s jeho oznámením bude dít dál?

Jak fungují otázky pro reset hesla

Výzkum Google kritizuje používání otázek při obnově uživatelských hesel. Analýza ukazuje, že lidé odpovědi na otázky zapomínají, eventuálně na ně může se slušnou pravděpodobností správně odpovědět kdokoliv a účet ukrást. Několik příkladů: oblíbené jídlo si lidé radši volí něco absurdního, by na to nepřišel nikdo jiný, a vzápětí sami zapomenou (byl to škvor, střevlík nebo střevlíci?). Místo narození, různá příjmení za svobodna či křestní jména rodičů si sice uživatelé raději nevymýšlejí, ale často může otázku zodpovědět po pár pokusech i někdo jiný – ať už náhodně (v zemi X jsou dvě velká města, v asijských zemích bývá malá variabilita určitých jmen...), nebo si o uživateli příslušnou informaci zjistí. Na speciální údaje, jako jsou čísla lidí ve věrnostních programech leteckých společností, je zase třeba složitě hledat příslušný doklad, zrovna když to člověk potřebuje ze všeho nejméně.

Přístup k zabezpečení účtu založený na otázkách tohoto typu je dnes prostě zbytečný a zastaralý. Řešení, až na ojedinělé situace, kdy to může být problematické: Obnova hesel pomocí e-mailu/SMS.

Ransomware vydělává

Ransomware je dnes pro podvodníky opravdu výnosný. Podle analýzy FireEye provozovatelé malwaru TeslaCrypt a AlphaCrypt dokázali za 2 měsíce získat od 163 obětí přes 76 tisíc dolarů. A to přitom v této kategorii malwaru existují mnohem rozšířenější produkty...

CSIRT.CZ varuje

Objevena byla nová zranitelnost v protokolu TLS pojmenovaná Logjam. Chyba CVE-2015-4000 umožňuje útočníkovi v pozici man-in-the-middle zachytávat a dešifrovat zabezpečenou komunikaci mezi uživateli a webovými stránkami či e-mailovými servery. Zdroj: Národní centrum kybernetické bezpečnosti

Ze světa firem

V oficiálním obchodu s aplikacemi pro Android bylo objeveno 30 podvodných aplikací. Tvářily se jako doplňky ke hře Minecraft, ale ve skutečnosti se snažily uživatele vydírat. Google již příslušný malware odstranil. Zdroj: tisková zpráva společnosti Eset

Vydány byly beta verze nových bezpečnostních produktů pro domácnosti Eset NOD32 Antivirus 9 a Eset Smart Security 9. Oba produkty mají podle Esetu nové uživatelské rozhraní, inovovaný proces aktualizací a podporu Windows 10. Smart Security 9 navíc obsahuje ochranu elektronického bankovnictví a platebních transakcí pod názvem Banking & Payment Protection. Zdroj: tisková zpráva společnosti Eset

Městský kamerový systém (CCTV) může být zneužitý třetí stranou, ukázal výzkum prováděný Vasiliosem Hioureasem z Kaspersky Lab a Thomasem Kinseyem ze společnosti Exigent Systems. Útočníci mohou využít chyby v systémové konfiguraci sítě. Monitorovací kamery v nejmenovaném městě byly připojeny prostřednictvím smyčkové sítě (mesh network). V té jsou uzly mezi sebou navzájem propojeny a slouží jako odrazové můstky pro data (v tomto případě video kanály) na jejich cestě do kontrolního střediska. Namísto použití Wi-Fi hotspotu nebo kabelového připojení uzly v takovýchto sítích jednoduše přenášejí data na nejbližší uzel, který je přenese dál skrze ostatní uzly přímo do kontrolního střediska. Pokud se vetřelec připojí jen k jedinému takovému uzlu v síti, je schopný manipulovat s daty, která jsou přes něj posílána. Zdroj: tisková zpráva společnosti Kaspersky Lab

UniCredit Bank nabízí přihlašování do mobilního bankovnictví otiskem prstu. Tento způsob je dostupný pro telefony Apple a Samsung. Zdroj: tisková zpráva společnosti UniCredit Bank

V rámci letošního ročníku soutěže Cisco Outstanding Thesis Award 2015 si tři nejlepší absolventské práce spadající do okruhu počítačových věd, zejména strojového učení a kybernetické bezpečnosti, rozdělí celkem 70 tisíc Kč. Soutěž vyhlašuje společnost Cisco ve spolupráci s Fakultou elektrotechnickou ČVUT v Praze a je otevřena studentům všech vysokých škol v ČR. Zdroj: tisková zpráva společnosti Cisco

Google a Visa spolupracují kolem nové platformy Android Pay. Zabezpečené API Android Pay budou postavené na stávající funkcionalitě Google Host Card Emulation (HCE). Zdroj: tisková zpráva asociace Visa Europe

NetGear uvolnil do prodeje na českém a slovenském trhu novou bezpečnostní kameru pro domácnosti – model Arlo. Zdroj: tisková zpráva společnosti NetGear

Avira vydává verzi Antivirus Pro. Obsahuje mj. službu Encrypted VPN společnosti Private WiFi. Zdroj: tisková zpráva společnosti Avira

Sophos oznámil dostupnost zařízení pro jednotnou správu hrozeb (UTM), která podporují bezdrátový protokol 802.11ac. Jde o nové modely řady SG – SG 125w a SG 135w. Zdroj: tisková zpráva společnosti Sophos

10 % spamu celosvětově proudí z USA, dříve vedoucí Čína má nyní podíl 5,5 % (pokles ze 16 %) a je až 6. místě. Data pocházejí z 1. čtvrtletí 2015. Druhý ve spamovém žebříčku je Vietnam, třetí Ukrajina, čtvrté Rusko a pátá Jižní Korea. Podíl ČR mírně vzrostl na 0,5 % a s ohledem na výsledky ČR v předchozích dvou čtvrtletích (40. a 45. místo) potvrzuje 37. příčka trend spíše zhoršování bezpečnostní situace, tj. stále více počítačů/hostingových služeb v ČR je nějak zapojeno do fungování botnetů. Co se týče množství spamu přepočítaného na obyvatele, v čele žebříčku je nyní Moldasko, na druhém místě dlouho vedoucí Bulharsko. Zdroj: tisková zpráva společnosti Sophos

Seznam.cz zavedl od dubna vyšší ochranu proti nevyžádané poště. Na straně Seznamu v případě e-mailingů bez digitálního podpisu DKIM končí ve složce Spam, a pokud ho obsahuje, tak v nedávno zavedené složce Hromadná pošta. Míra otevření e-mailingů vzhledem k hodnotám před zavedením složky Hromadná pošta klesla o 15 až 30 %. Zdroj: tisková zpráva společnosti Inveo

Psali jsme na ITBiz

Na téma bezpečnosti na ITBiz viz také:


Komentáře


RSS 

Komentujeme

Chatbot mluví za mrtvého – od nápadu k realizaci

Pavel Houser , 30. listopad 2016 13:00
Pavel Houser

Na webu The Verge popsala Casey Newton příběh dvou přátel (Eugenia Kuyda a Roman Mazurenko). Peripet...

Více





Kalendář

RSS 

Zprávičky

Za vzněcováním smartphonu iPhone 6 jsou vnější vlivy, tvrdí Apple

ČTK , 08. prosinec 2016 11:30

Firma Apple odmítla podezření čínských uživatelů svého chytrého telefonu iPhone 6, že za problémy s ...

Více 0 komentářů

Verizon prodá firmě Equinix datová centra za 3,6 miliardy USD

ČTK , 08. prosinec 2016 10:00

Největší americký mobilní operátor Verizon Communications prodá specializované společnosti Equinix 2...

Více 0 komentářů

Tchajwanský Foxconn jedná o rozšíření svých aktivit v USA

ČTK , 07. prosinec 2016 15:00

Tchajwanská společnost Foxconn jedná o rozšíření svých aktivit ve Spojených státech. Oznámila to dne...

Více 0 komentářů

Starší zprávičky

Nejvyšší soud USA se postavil na stranu Samsungu proti Applu

ČTK , 07. prosinec 2016 12:30

Americký nejvyšší soud se v mnohaletém patentovém sporu mezi výrobci chytrých telefonů Apple a Samsu...

Více 0 komentářů

Evropská komise Microsoftu schválila převzetí sítě LinkedIn

ČTK , 07. prosinec 2016 10:30

Evropská komise schválila americké softwarové společnosti Microsoft záměr koupit za 26 miliard dolar...

Více 0 komentářů

Porozumění větám, konkurence pro Turingův test

Pavel Houser , 06. prosinec 2016 18:00

Konverzační roboti mají stále problémy pochopit věty, kde smysl nelze vyvodit ze samotné gramatické ...

Více 0 komentářů

Americká GoDaddy koupí evropský webhosting Host Europe

ČTK , 06. prosinec 2016 16:00

Americký registrátor internetových domén GoDaddy, který je ve svém oboru největší na světě, se dohod...

Více 0 komentářů