Bezpečnostní přehled: Device Guard a zabezpečení ve Windows 10

Pavel Houser , 21. září 2015 08:00 0 komentářů
Rubriky: Security
Bezpečnostní přehled: Device Guard a zabezpečení ve Windows 10

Hesla z hacknuté seznamky Ashley Madison. Zranitelnosti v Androidu i iOS. Kritika za vydávání aktualizací „jako celek“. Autodestrukce hardwaru jako forma ochrany. Dopady změkčení zákon o kybernetické bezpečnosti. Následuje pravidelný bezpečnostní přehled vytvářený především podle webů ZDNet, CNet, The Register a HelpNet Security.

Stagefright stále hrozí

Společnost Zimperium vydala proof-of-concept kódu, která zneužívá zranitelnost Stagefright v Androidu. Chybu, oznámenou se značnou publicitou letos v červenci, šlo zneužít posláním zprávy MMS; zranitelných původně bylo až 95 % zařízení s Androidem. Google sice v srpnu již vydal záplatu (viz také starší Bezpečnostní přehled), ukázalo se ale, že ta problém plně neřeší. Nyní vytvořený skript vygeneruje soubor MP4, s jehož pomocí může útočník ovládat kameru telefonu nebo odposlouchávat mikrofon. Kód pracuje na zařízení Nexus s Androidem 4.0.4, lze upravit i pro další zařízení/systémy. Android 5 a vyšší by však měl být odolný, protože má speciální ochranu proti zneužitím buffer overflow.

Jak se vyznat v hypervisoru VirtualBox

Tým linuxové distribuce Debian kritizoval Oracle za to, že vydala opravy pro hypervisor VirtualBox bez toho, aby bylo oznámeno, v čem spočívají zalátané zranitelnosti. Konkrétně se jedná o červencovou dávku záplat. (Poznámka: Podobně omezuje Microsoft informování o chybách v případě aktualizací pro Windows 10.) Vývojáři Debianu, kteří pro něj připravují balíček VirtualBox, chtěli např. samostatně pouze bezpečnostní opravy oddělené od dalších aktualizací, aby někteří uživatelé mohli co nejméně zasahovat do používané odladěné verze. Kód pro VirtualBox je sice z většiny open source, nicméně se v něm prý těžko vyznat a mezi mnoha změnami identifikovat právě konkrétní opravu zranitelnosti.

Představen MS Device Guard

Microsoft zveřejnil podrobnosti o tom, jak funguje jedna z bezpečnostních novinek v enterprise verzi Windows 10: Device Guard. Funkce umožňuje administrátorům nastavit, že uživatelé nebudou moci spouštět žádný software, který není podepsán Microsoftem nebo důvěryhodnými dodavateli. Pomocí různých politik integrity kódu mohou organizace přesně definovat, co se vlastně smí spouštět v jejich prostředí. Vlastní aplikace lze do systému přidat bez úprav (podepisování) a označit je za důvěryhodné. Jednou z funkcí Device Guard má být ochrana před exploity typu zero day.

Čipy na střepy

V kalifornském výzkumném centru Xerox PARC (kde mj. bylo vynalezeno rozhraní GUI s myší) byly vyvinuty čipy vybavené funkcí autodestrukce. Systém má být určen např. pro ukládání šifrovacích klíčů. Jako substrát je použito tvrzené sklo Gorilla Glass. Teplem (následek odporu/elektrického proudu) se čip rozbije na malé kousky, z nichž data údajně nejde rekonstruovat (poznámka: lze ale opravdu spoléhat na takovou hardwarovou destrukci, když se NASA podařilo přečíst hard disk z raketoplánu Columbia?). Destrukci lze vyvolat víceméně libovolným signálem, třeba poslaným na dálku rádiově. Projekt finančně podpořila americká vojenská agentura DARPA, technologie by mohla najít využití třeba ve vojenských dronech.

Jak odemknout uzamčenou obrazovku Androidu

Android 5.0 až 5.1.1 umožňuje útočníkovi s fyzickým přístupem k zařízení obejít uzamčení obrazovky. Pokud se do přístupného pole pro tísňové volání zadá speciální řetězec, který se uloží do schránky a poté použije v poli pro heslo v nastavení fotoaparátu, dojde k pádu aplikace. Poté se zobrazí vstupní stránka zařízení, která již není uzamčena. Zdroj: Národní centrum kybernetické bezpečnosti

CSIRT.CZ varuje/oznamuje

Nově uvolněná verze operačního systému iOS 9 nepřináší pouze nové funkce, ale také opravuje nebezpečnou zranitelnost v technologii AirDrop (technologie pro sdílení obsahu mezi zařízeními pro iOS/OS X) umožňující útočníkovi nainstalovat malware do zařízení v jeho dosahu.

Ze světa firem

V loňskem roce došlo v ČR k více než 4 000 kybernetickým útokům, což je o 40 % více než v roce 2013. Tento rostoucí trend bude v budoucnu sílit, a to ze dvou důvodů. Prováděcí předpisy přijaté k zákonu o kybernetické bezpečnosti zásadně omezily okruh povinných osob, které měly povinně zavést bezpečnostní opatření. Úpravami kybernetického zákona a prováděcími vyhláškami byly zcela vynechány například obce. Další příčinou růstu kybernetické kriminality je/bude nedostatečný zájem firem o kybernetickou bezpečnost. Zdroj: tisková zpráva společnosti Bureau Veritas

Uvedena byla nová verze nástroje pro vzdálenou správu řešení Eset - Eset Remote Administrator. Jednou z hlavních novinek je možnost použití dvoufaktorové autentizace pro přístup do správcovské webové konzole. Zdroj: tisková zpráva společnosti Eset

Hesla Ashley Madison, která se podařilo dešifrovat, jsou podle četnosti následující: 123456, password, 12345, 12345678, qwerty, pussy, secret, dragon, welcome, ginger.

Nejde o pořadí všech hesel. Ta byla zašifrována pomocí aplikace bcrypt a útočníci dostali do rukou pouze hashe. Jedná se o pořadí nejslabších/nejsnáze dešifrovaných hesel (navíc pouze z 1 milionu ze seznamu 36 milionů). „I když byl použit jeden z nejsilnějších dostupných šifrovacích algoritmů, tak bylo triviální získat seznam slabých hesel pomocí otestování známých hesel oproti seznamu hashů.“ Zdroj: blog společnosti Avast

AVG zavádí ve svých aplikacích jednostránková pravidla ochrany soukromí, která mají být jednodušší, kratší a snazší na pochopení než obsáhlé dokumenty, které jsou dnes běžnou praxí (a uživatel je obvykle radši prostě odkliká, než aby je studoval). Zdroj: tisková zpráva společnosti AVG Technologies

Comguard oznámil uzavření distributorské smlouvy s firmou ManageEngine. Ta v oblasti zabezpečení dodává nástroje pro vyhodnocování logů z firewallů, identity a password management zahrnující i správu hesel pro privilegované uživatele. Zdroj: tisková zpráva společnosti Comguard

Na český trh přichází řešení Kaspersky Internet Security – multi-device 2016. Dodavatel především zdůrazňuje, že tato verze přináší nové technologie pro ochranu soukromí. Zdroj: tisková zpráva společnosti Kaspersky Lab

Nizozemská policie zatkla dva muže pro podezření z účasti na ransomwarových útocích CoinVault. S policí přitom spolupracovaly zejména bezpečnostní firmy Kaspersky Lab a Panda Security. Zdroj: tisková zpráva společnosti Kaspersky Lab

Barracuda Web Application Firewall rozšiřuje svou podporu prostředí MS Azure a nyní chrání tři typy Azure aplikací: API, webové a mobilní. Zdroj: tisková zpráva společnosti Gesto Communications (distributor řešení Barracuda Networks pro ČR a Slovensko)

Psali jsme na ITBiz

Na téma zabezpečení na ITBiz viz také:


Komentáře

RSS 

Komentujeme

V datových centrech už nejde o Windows?

Pavel Houser , 22. březen 2017 12:47
Pavel Houser

Trevor Pott si na The Register pokládá otázku o budoucnosti serverových Windows na platformě ARM. ...

Více






Kalendář

20. 03.

24. 03.
CeBIT 2017
21. 03.

24. 03.
Amper
23. 03. Cloud computing v praxi
RSS 

Zprávičky

Amazon koupí předního arabského e-prodejce Souq.com

ČTK , 23. březen 2017 08:45

Americký internetový prodejce Amazon se dohodl na koupi sta procent akcií dubajského on-line prodejc...

Více 0 komentářů

Nejméně aktualizované aplikace na PC: Java a Flash

Pavel Houser , 23. březen 2017 08:30

Dále z průzkumu: Windows XP jsou stále nainstalovány na 6 % zkoumaných počítačů. SSD má jen málo lid...

Více 0 komentářů

Výdaje kybernetického úřadu budou letos 214 milionů Kč

ČTK , 23. březen 2017 07:00

Výdaje nového Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB) by letos měly být zh...

Více 0 komentářů

Starší zprávičky

Prodej mobilů v ČR loni klesl o pět procent

ČTK , 22. březen 2017 16:14

Prodej mobilních telefonů v Česku loni klesl o pět procent, uvedla analytická firma GfK. Podle infor...

Více 0 komentářů

Nařízení EU usnadní uplatnění práva být zapomenut, ale s omezením

ČTK , 22. březen 2017 15:01

Nárok na vymazání osobních údajů, který od konce května příštího roku přinesou nová pravidla EU pro ...

Více 0 komentářů

Na trh přicházejí GFI OneConnect a OneGuard

Pavel Houser , 22. březen 2017 09:30

Nová řešení ochrany firemních sítí a e-mailové infrastruktury . ...

Více 0 komentářů

Kritická chyba v přepínačích Cisco

Pavel Houser , 22. březen 2017 09:00

Více než 300 typů přepínačů Cisco včetně 264 přepínačů Catalyst obsahují kritickou zranitelnost....

Více 0 komentářů