Bezpečnostní přehled: Device Guard a zabezpečení ve Windows 10

Pavel Houser , 21. září 2015 08:00 0 komentářů
Rubriky: Security
Bezpečnostní přehled: Device Guard a zabezpečení ve Windows 10

Hesla z hacknuté seznamky Ashley Madison. Zranitelnosti v Androidu i iOS. Kritika za vydávání aktualizací „jako celek“. Autodestrukce hardwaru jako forma ochrany. Dopady změkčení zákon o kybernetické bezpečnosti. Následuje pravidelný bezpečnostní přehled vytvářený především podle webů ZDNet, CNet, The Register a HelpNet Security.

Stagefright stále hrozí

Společnost Zimperium vydala proof-of-concept kódu, která zneužívá zranitelnost Stagefright v Androidu. Chybu, oznámenou se značnou publicitou letos v červenci, šlo zneužít posláním zprávy MMS; zranitelných původně bylo až 95 % zařízení s Androidem. Google sice v srpnu již vydal záplatu (viz také starší Bezpečnostní přehled), ukázalo se ale, že ta problém plně neřeší. Nyní vytvořený skript vygeneruje soubor MP4, s jehož pomocí může útočník ovládat kameru telefonu nebo odposlouchávat mikrofon. Kód pracuje na zařízení Nexus s Androidem 4.0.4, lze upravit i pro další zařízení/systémy. Android 5 a vyšší by však měl být odolný, protože má speciální ochranu proti zneužitím buffer overflow.

Jak se vyznat v hypervisoru VirtualBox

Tým linuxové distribuce Debian kritizoval Oracle za to, že vydala opravy pro hypervisor VirtualBox bez toho, aby bylo oznámeno, v čem spočívají zalátané zranitelnosti. Konkrétně se jedná o červencovou dávku záplat. (Poznámka: Podobně omezuje Microsoft informování o chybách v případě aktualizací pro Windows 10.) Vývojáři Debianu, kteří pro něj připravují balíček VirtualBox, chtěli např. samostatně pouze bezpečnostní opravy oddělené od dalších aktualizací, aby někteří uživatelé mohli co nejméně zasahovat do používané odladěné verze. Kód pro VirtualBox je sice z většiny open source, nicméně se v něm prý těžko vyznat a mezi mnoha změnami identifikovat právě konkrétní opravu zranitelnosti.

Představen MS Device Guard

Microsoft zveřejnil podrobnosti o tom, jak funguje jedna z bezpečnostních novinek v enterprise verzi Windows 10: Device Guard. Funkce umožňuje administrátorům nastavit, že uživatelé nebudou moci spouštět žádný software, který není podepsán Microsoftem nebo důvěryhodnými dodavateli. Pomocí různých politik integrity kódu mohou organizace přesně definovat, co se vlastně smí spouštět v jejich prostředí. Vlastní aplikace lze do systému přidat bez úprav (podepisování) a označit je za důvěryhodné. Jednou z funkcí Device Guard má být ochrana před exploity typu zero day.

Čipy na střepy

V kalifornském výzkumném centru Xerox PARC (kde mj. bylo vynalezeno rozhraní GUI s myší) byly vyvinuty čipy vybavené funkcí autodestrukce. Systém má být určen např. pro ukládání šifrovacích klíčů. Jako substrát je použito tvrzené sklo Gorilla Glass. Teplem (následek odporu/elektrického proudu) se čip rozbije na malé kousky, z nichž data údajně nejde rekonstruovat (poznámka: lze ale opravdu spoléhat na takovou hardwarovou destrukci, když se NASA podařilo přečíst hard disk z raketoplánu Columbia?). Destrukci lze vyvolat víceméně libovolným signálem, třeba poslaným na dálku rádiově. Projekt finančně podpořila americká vojenská agentura DARPA, technologie by mohla najít využití třeba ve vojenských dronech.

Jak odemknout uzamčenou obrazovku Androidu

Android 5.0 až 5.1.1 umožňuje útočníkovi s fyzickým přístupem k zařízení obejít uzamčení obrazovky. Pokud se do přístupného pole pro tísňové volání zadá speciální řetězec, který se uloží do schránky a poté použije v poli pro heslo v nastavení fotoaparátu, dojde k pádu aplikace. Poté se zobrazí vstupní stránka zařízení, která již není uzamčena. Zdroj: Národní centrum kybernetické bezpečnosti

CSIRT.CZ varuje/oznamuje

Nově uvolněná verze operačního systému iOS 9 nepřináší pouze nové funkce, ale také opravuje nebezpečnou zranitelnost v technologii AirDrop (technologie pro sdílení obsahu mezi zařízeními pro iOS/OS X) umožňující útočníkovi nainstalovat malware do zařízení v jeho dosahu.

Ze světa firem

V loňskem roce došlo v ČR k více než 4 000 kybernetickým útokům, což je o 40 % více než v roce 2013. Tento rostoucí trend bude v budoucnu sílit, a to ze dvou důvodů. Prováděcí předpisy přijaté k zákonu o kybernetické bezpečnosti zásadně omezily okruh povinných osob, které měly povinně zavést bezpečnostní opatření. Úpravami kybernetického zákona a prováděcími vyhláškami byly zcela vynechány například obce. Další příčinou růstu kybernetické kriminality je/bude nedostatečný zájem firem o kybernetickou bezpečnost. Zdroj: tisková zpráva společnosti Bureau Veritas

Uvedena byla nová verze nástroje pro vzdálenou správu řešení Eset - Eset Remote Administrator. Jednou z hlavních novinek je možnost použití dvoufaktorové autentizace pro přístup do správcovské webové konzole. Zdroj: tisková zpráva společnosti Eset

Hesla Ashley Madison, která se podařilo dešifrovat, jsou podle četnosti následující: 123456, password, 12345, 12345678, qwerty, pussy, secret, dragon, welcome, ginger.

Nejde o pořadí všech hesel. Ta byla zašifrována pomocí aplikace bcrypt a útočníci dostali do rukou pouze hashe. Jedná se o pořadí nejslabších/nejsnáze dešifrovaných hesel (navíc pouze z 1 milionu ze seznamu 36 milionů). „I když byl použit jeden z nejsilnějších dostupných šifrovacích algoritmů, tak bylo triviální získat seznam slabých hesel pomocí otestování známých hesel oproti seznamu hashů.“ Zdroj: blog společnosti Avast

AVG zavádí ve svých aplikacích jednostránková pravidla ochrany soukromí, která mají být jednodušší, kratší a snazší na pochopení než obsáhlé dokumenty, které jsou dnes běžnou praxí (a uživatel je obvykle radši prostě odkliká, než aby je studoval). Zdroj: tisková zpráva společnosti AVG Technologies

Comguard oznámil uzavření distributorské smlouvy s firmou ManageEngine. Ta v oblasti zabezpečení dodává nástroje pro vyhodnocování logů z firewallů, identity a password management zahrnující i správu hesel pro privilegované uživatele. Zdroj: tisková zpráva společnosti Comguard

Na český trh přichází řešení Kaspersky Internet Security – multi-device 2016. Dodavatel především zdůrazňuje, že tato verze přináší nové technologie pro ochranu soukromí. Zdroj: tisková zpráva společnosti Kaspersky Lab

Nizozemská policie zatkla dva muže pro podezření z účasti na ransomwarových útocích CoinVault. S policí přitom spolupracovaly zejména bezpečnostní firmy Kaspersky Lab a Panda Security. Zdroj: tisková zpráva společnosti Kaspersky Lab

Barracuda Web Application Firewall rozšiřuje svou podporu prostředí MS Azure a nyní chrání tři typy Azure aplikací: API, webové a mobilní. Zdroj: tisková zpráva společnosti Gesto Communications (distributor řešení Barracuda Networks pro ČR a Slovensko)

Psali jsme na ITBiz

Na téma zabezpečení na ITBiz viz také:


Komentáře

RSS 

Komentujeme

Makroviry inspirují

Pavel Houser , 20. září 2017 06:30
Pavel Houser

Úspěšný návrat malwaru šířeného pomocí maker vedl útočníky k tomu, že svou pozornost obrátili k příb...

Více






Kalendář

25. 09.

29. 09.
Susecon 17
25. 09.

29. 09.
Microsoft Ignite 2017
27. 09. Startup Festival
RSS 

Zprávičky

EK:Digitální firmy platí poloviční daně oproti tradičním podnikům

ČTK , 25. září 2017 09:00

Krátkodobá řešení podle návrhu zahrnují např. zdanění digitálních podniků na základě jejich tržeb, n...

Více 0 komentářů

Hewlett Packard Enterprise propustí asi 5 000 lidí

ČTK , 25. září 2017 08:00

Plánované zrušení 10 % pracovních míst by mohlo být předehrou k dalšímu snižování počtu zaměstnanců....

Více 0 komentářů

Mobilní platby: Jak si ČR stojí ve srovnání s Evropou

Pavel Houser , 24. září 2017 09:00

Biometrii Češi považují za nejvhodnější formu ověření platby....

Více 0 komentářů

Starší zprávičky

Důvěra Čechů v e-shopy roste

Pavel Houser , 23. září 2017 09:00

Drtivá většina české internetové populace nakupuje on-line dlouhodobě, dále však narůstá četnost nák...

Více 0 komentářů

Nové verze Javy: Java SE 9 a Java EE 8

Pavel Houser , 22. září 2017 14:51

Oracle oznamuje všeobecnou dostupnost nových verzí platformy Java: Java SE 9 (JDK 9), Java Platform ...

Více 0 komentářů

Baidu investuje do vývoje autonomního řízení

ČTK , 22. září 2017 13:00

Cílem projektu Apollo je vyvinout technologii pro samořízené automobily do roku 2020....

Více 0 komentářů

Kaprain koupil kabelovou Rio Media

ČTK , 22. září 2017 09:00

Spojením Nej.cz a Rio Media vznikne druhý největší poskytovatel kabelové televize a významný poskyto...

Více 0 komentářů