Bezpečnostní přehled: Co přinesou Windows 10?

Pavel Houser , 02. březen 2015 07:00 0 komentářů
Rubriky: Technologie, Security
Bezpečnostní přehled: Co přinesou Windows 10?

Google občas pozdrží publikování informací o bezpečnostních zranitelnostech. Jak bude vypadat přihlašování bez hesla ve Windows 10: biometrie, tokeny nebo ještě něco jiného? Kauza Superfish. Uveden Avast for Business, bezplatné bezpečnostní řešení i pro firmy neomezené počtem instalací. Následuje pravidelný bezpečnostní přehled vytvářený především podle webů ZDNet, CNet, The Register a HelpNet Security.

Google Zero Project bude více spolupracovat s dodavateli softwaru

Google v rámci svého Zero Project částečně ustoupil kritice softwarových firem (veřejně si stěžoval např. Microsoft a Apple). Zveřejňování zranitelností bude i nadále probíhat automaticky 90 dní poté, co problém bude reportován dodavateli, nicméně pokud o to dodavatel softwaru speciálně požádá, dostane na dokončení opravy kratší dodatečnou lhůtu – 14 dní, když výslovně slíbí vydání opravy v tomto termínu. Kritici dodávají, že informace publikované Googlem často zahrnují i metody zneužití formou proof-of-concept, takže vyvinout samotný útočný kód pak už může jít velmi rychle.

Microsoft dále zastává názor, že ke každé chybě by se mělo přistupovat individuálně a po dohodě s výrobcem. Google namítá, že „mechanicky“ uplatňované pravidlo, které uplatňuje, je dobré v tom, že nikoho nezvýhodňuje. K tomu dodává, že třeba americký CERT zveřejňuje obdobné informace už po 45 dnech.

Internet věcí a nástroje IAM

Pro přijetí Internetu věcí v podnikovém prostředí je nutné změnit systémy pro řízení identit a přístupu (identity and access management, IAM). Studie společnosti Gartner tvrdí, že dnes jsou tato řešení orientována spíše na uživatele než na zařízení. Nový přístup by měl jako „subjekty“ chápat nejen lidi, ale i systémy, aplikace, zařízení a služby.

Ověřování ve Windows 10 zatím nejasné

Windows 10 mají nabídnout i jiné možnosti ověřování než pouze hesla. Microsoft se připojil k alianci Fast IDentity Online (FIDO) a hodlá podpořit standard FIDO 2.0. Namísto hesel má být k dispozici dvoufaktorová autentizace na úrovni zabezpečení vyhovující i podnikům, která může být založena např. na biometrii nebo na hardwarovém tokenu (USB klíčenka apod.). Tak by to zřejmě vypadalo při současných technologiích, aliance FIDO chce ale přijmout standardy založené na protokolech Near Field Communications (NFC) a Bluetooth. K tomu by mělo dojít ještě letos, stejně tak by v roce 2015 měly být hotové i Windows 10. Co se ale stihne nakonec do Windows 10 implementovat, to není v tuto chvíli ještě jasné.

Kauza Superfish pod lupou

Na spotřebitelských noteboocích značky Lenovo byl předinstalován adware Superfish – jakýsi „nákupní rádce“. Produkt vzbudil odpor zákazníků a vyvolal i obavy vzhledem k bezpečnostním rizikům (souvisely především s kořenovými certifikáty, Superfish kvůli cílení reklamy analyzoval prohlížené webové stránky, a pokud se připojení realizovalo přes https, de facto prováděl útok typu man-in-the-middle).

Superfish již není dále aktivní a je zakázaný pro všechny produkty na trhu. Lenovo přestalo tento software v lednu předinstalovávat. Tento software ani v budoucnosti instalovat nebudeme,“ praví tisková zpráva společnosti Lenovo. Superfish nicméně údajně nesledoval aktivity uživatele a nevytvářel jeho profil, reklamu servíroval na základě aktuálně zobrazené webové stránky. Společnost Lenovo posléze uznala i možné související bezpečnostní problémy a vydala vlastní nástroj pro odstranění tohoto softwaru.

Už 24 hodin poté, co existence softwaru Superfish vyšla najevo, aktualizoval Microsoft svůj nástroj Windows Defender tak, aby tuto „infekci“ automaticky odstraňoval. Edd Bot na ZDnet upozorňuje, že Windows Defender ale neodstraňuje kořenové certifikáty z úložiště Firefoxu, takže problém do určité míry přetrvá. Jako hrozbu identifikují nyní Superfish např. i aktualizované bezpečnostní produkty Symantec. Viz také: Windows Defender nově odstraní škodlivou aplikaci Superfish, Lenovo již nebude na své laptopy instalovat nebezpečný software

Bezpečný Flash, nový Firefox

Mozilla finalizuje svůj projekt Shumway. Jedná se o vývoj open source plug-inu pro Firefox, který by byl schopen zobrazovat v prohlížeči formát Flash. Cílem je umožnit uživatelům obejít se bez přehrávače Adobe Flash Player, v němž jsou pravidelně odhalovány kritické bezpečnostní zranitelnosti.

Další novinka od Mozilly: Nově uvedený Firefox 36 přináší opravy 9 bezpečnostních chyb, z toho 3 hodnotí Mozilla jako kritické (jedna z toho se týká porušení paměti, druhá přetečení zásobníků při přehrávání formátu MP4). Nová verze prohlížeče také přidává podporu protokolu HTTP2.

Skenování webových aplikací

Google vydal nový bezpečnostní nástroj Cloud Security Scanner, který je určen pro testování webových aplikací. Využít ho mohou především ti, kdo jako webovou platformu využívají Google App Engine, speciálně má být zaměřen na hledání zranitelností typu cross-site scripting a kontrolu javascriptového kódu v kombinaci s kódem HTML 5. Funkčností má nástroj převyšovat obvyklé techniky parsování kódu/emulaci prohlížeče. Cloud Security Scanner je prozatím v betaverzi.

CSIRT.CZ varuje

Zaznamenána byla nová spamová kampaň zaměřená na uživatele v ČR. Zpráva informuje adresáta o slevě na pohonné hmoty v síti čerpacích stanic Agip. Ve skutečnosti se však snaží z lidí vytáhnout peníze.

Internet Systems Consortium (ISC) vydalo bezpečnostní update opravující středně závažnou zranitelnost v BINDu, jednom z nejvíce používaných DNS serverů.

Nástup biometrie

Generace Z upřednostňuje před PIN kódy biometrická řešení. Polovina lidí ve věku 16-24 let věří, že se od používání hesel zcela upustí do roku 2020. Průzkum byl proveden ve Velké Británii. Reagovat budou muset především banky: „Budou-li chtít pokrýt rostoucí poptávku generace Z, budou muset nejen pokračovat ve vývoji biometrických řešení, ale jejich vývoj navíc urychlit. A za druhé budou muset nepřetržitě zkoumat rozšiřující se možnosti ověřování totožnosti, aby pak byly schopné zajistit svým zákazníkům nejen maximální zabezpečení ale také pohodlí při používání...“ Zdroj: tisková zpráva společnosti Visa Europe

Era testuje na 13 svých finančních centrech biometrické podpisy. Během prvních dvou měsíců pilotního provozu bylo touto formou podepsáno přes 2 000 dokumentů.

ČSOB a Era rovněž zahájily pilotní provoz několika dalších biometrických metod. V pražské centrále v Radlicích testuje na 500 zaměstnanců tzv. Finger Vein, technologii snímání cévního řečiště. Spuštěn byl rovněž pilotní provoz založený na technologii rozpoznání obličeje, kde by pro identifikaci měly stačit běžné kamery v chytrých telefonech či tabletech. Zdroj: tisková zpráva společnosti ČSOB

Ze světa firem

Eset představil novou generaci bezpečnostních produktů pro firemní zákazníky. Nejdůležitějšími novými funkcemi jsou podle dodavatele Botnet Protection, Exploit Blocker (proti zero day útokům; speciálně chrání často zneužívané aplikace, jako jsou internetové prohlížeče, Acrobat Reader, poštovní klienti nebo Java), Anti-Phishing a Anti-Theft. Další inovaci představuje nový nástroj vzdálené správy Eset Remote Administrator. Zdroj: tisková zpráva společnosti Eset

Avast uvádí bezplatné zabezpečení pro malé a střední firmy – Avast for Business. Je založené na cloudu, podle dodavatele má nízké nároky na implementaci a správu, a je proto určeno především pro podniky s velmi omezeným rozpočtem na IT. Není zde žádný limit ohledně počtu uživatelů či chráněných zařízení. K podporovaným platformám patří kromě Windows (včetně serverových verzí) i Mac OS X.

Funkčnost je následující:

  • Bezplatná antivirová ochrana (souborový, webový a e-mailový štít)
  • HTTP a HTTPS skenování a integrovaná ochrana webového prohlížeče
  • Webová konzole určená na správu
  • Reportovací a notifikační systém
  • Placené prémiové funkce zahrnují např. firewall, sandbox, antispam a ochranu pro servery MS Exchange a MS Sharepoint. Zdroj: tisková zpráva společnosti Avast

AVG oznámila dostupnost servisního modulu VMware ESXi pro platformu vzdálené správy (RMM) AVG Business Managed Workplace. Modul je určen partnerům AVG, kteří tak mohou rozšířit vzdálenou správu virtuálních systémů svých zákazníků. AVG Business Managed Workplace již dříve poskytoval virtualizační funkcionalitu prostřednictvím servisního modulu Microsoft Hyper-V. Zdroj: tisková zpráva společnosti AVG Technologies

ČR zasáhly desítky tisíc e-mailů, které se tváří jako vrácení omylem obdržené smlouvy. V příloze e-mailu je komprimovaný soubor obsahující spustitelný malware. Zdroj: tisková zpráva společnosti Excello

IDC vypracovala na objednávku BSA studii, která má potvrzovat pozitivní korelaci mezi užíváním nelicencovaného softwaru a výskytem malwaru. „Prvním a klíčovým krokem ke snížení kybernetických bezpečnostních rizik /ve firmách/ je získání přehledu o užívaném softwaru a jeho lepší správa,“ praví vyjádření BSA. Zdroj: tisková zpráva organizace BSA

Comguard začíná distribuovat archivační softwarové řešení ArchiveOne od Barracudy. Řešení mj. obsahuje moduly, které umožňují dosažení shody s různými regulačními předpisy. Určeno je především menším firmám, předpřipravená je integrace s Outlookem, MS Exchange a MS Office 365. Zdroj: tisková zpráva společnosti Comguard

AirWatch oznámil spolupráci s Googlem na zvýšení bezpečnosti při podnikovém nasazení Androidu. Zákazníci AirWatch budou v rámci řešení Android for Work moci používat separaci profilů (tj. Oddělení pracovních a soukromých dat), šifrování firemních dat (na úrovni zařízení, profilů i dat) a správu aplikací (např. nastavení, jaké aplikace smějí co sdílet s aplikacemi třetích stran). Zdroj: tisková zpráva společnosti AirWatch by VMware (AirWatch byl loni koupen VMware)

Axis oznámil uvedení nové dohledové IP kamery P3905-RE, která je navržena pro vnější instalaci na dopravní prostředky. Kamera by měla vydržet vibrace, nárazy, výkyvy teplot i běžnou údržbu vozidla typu mytí. Zdroj: tisková zpráva společnosti Axis Communications

Psali jsme na ITBiz

Na téma bezpečnosti na ITBiz viz také:

  • Mozilla bude nově dohlížet na bezpečnost rozšíření pro Firefox Doplňky/rozšíření budou muset být elektronicky podepsané. Kritici tvrdí, že Firefox se tak pouze bude více podobat Google Chrome.
  • NSA má přístup k šifrovacím klíčům pro SIM karty Jedná se o produkty společnosti Gemalto, celosvětově největšího výrobce SIM karet. Gemalto v loňském roce vyrobila asi dvě miliardy SIM karet, má mezi svými klienty čtyři největší mobilní operátory v USA a dalších 450 operátorů po celém světě.
  • Operace Pouštní sokoli Analytici Kaspersky Lab odhalili arabskou kyberšpionážní skupinu Desert Falcons (Pouštní sokoli). Její aktivita se zaměřuje na významné instituce a osobnosti zejména v oblasti Blízkého východu, ale i v řadě dalších zemích.

Komentáře


RSS 

Komentujeme

Chatbot mluví za mrtvého – od nápadu k realizaci

Pavel Houser , 30. listopad 2016 13:00
Pavel Houser

Na webu The Verge popsala Casey Newton příběh dvou přátel (Eugenia Kuyda a Roman Mazurenko). Peripet...

Více





Kalendář


RSS 

Zprávičky

Telefony Nokia se příští rok vrátí na trh

ČTK , 02. prosinec 2016 10:30

Chytré telefony se značkou Nokia se objeví zpátky na trhu v příštím roce. Finská společnost Nokia dn...

Více 2 komentářů

CETIN nabídne příští rok operátorům připojení až 250 Mbit/s

ČTK , 01. prosinec 2016 17:00

Společnost Česká telekomunikační infrastruktura (CETIN) zvýší od května příštího roku rychlost inter...

Více 0 komentářů

Akcie Samsungu stouply na nový rekord

ČTK , 01. prosinec 2016 12:00

Akcie jihokorejské společnosti Samsung Electronics dnes stouply o více než čtyři procenta na nový re...

Více 0 komentářů

Starší zprávičky

FBI bude moci s povolením soudu pronikat do jakýchkoli počítačů

ČTK , 01. prosinec 2016 10:30

V americkém Senátu dnes selhal poslední pokus o zablokování rozšířených policejních pravomocí, které...

Více 2 komentářů

Gartner:Prodej tabletů v ČR letos klesne o osm procent na 1,1 mil

ČTK , 30. listopad 2016 14:00

Zájem o tablety letos dále klesá. Prodej tabletů a hybridních notebooků na českém trhu se letos sníž...

Více 0 komentářů

Grafen opracovaný laserem

Pavel Houser , 30. listopad 2016 11:00

Na Iowa State University přišli s další metodou pro tištění grafenových součástek. V tomto případě j...

Více 0 komentářů

GFI Software přichází s beta verzí pokročilé cloudové ochrany e-mailu

Petr Velecký , 29. listopad 2016 18:00

Beta verzi své nejnovější cloudové platformy pro zajištění bezpečnosti a kontinuity provozu podnikov...

Více 0 komentářů