Bezpečnostní přehled: Device Guard a zabezpečení ve Windows 10

Pavel Houser , 21. září 2015 08:00 0 komentářů
Rubriky: Security
Bezpečnostní přehled: Device Guard a zabezpečení ve Windows 10

Hesla z hacknuté seznamky Ashley Madison. Zranitelnosti v Androidu i iOS. Kritika za vydávání aktualizací „jako celek“. Autodestrukce hardwaru jako forma ochrany. Dopady změkčení zákon o kybernetické bezpečnosti. Následuje pravidelný bezpečnostní přehled vytvářený především podle webů ZDNet, CNet, The Register a HelpNet Security.

Stagefright stále hrozí

Společnost Zimperium vydala proof-of-concept kódu, která zneužívá zranitelnost Stagefright v Androidu. Chybu, oznámenou se značnou publicitou letos v červenci, šlo zneužít posláním zprávy MMS; zranitelných původně bylo až 95 % zařízení s Androidem. Google sice v srpnu již vydal záplatu (viz také starší Bezpečnostní přehled), ukázalo se ale, že ta problém plně neřeší. Nyní vytvořený skript vygeneruje soubor MP4, s jehož pomocí může útočník ovládat kameru telefonu nebo odposlouchávat mikrofon. Kód pracuje na zařízení Nexus s Androidem 4.0.4, lze upravit i pro další zařízení/systémy. Android 5 a vyšší by však měl být odolný, protože má speciální ochranu proti zneužitím buffer overflow.

Jak se vyznat v hypervisoru VirtualBox

Tým linuxové distribuce Debian kritizoval Oracle za to, že vydala opravy pro hypervisor VirtualBox bez toho, aby bylo oznámeno, v čem spočívají zalátané zranitelnosti. Konkrétně se jedná o červencovou dávku záplat. (Poznámka: Podobně omezuje Microsoft informování o chybách v případě aktualizací pro Windows 10.) Vývojáři Debianu, kteří pro něj připravují balíček VirtualBox, chtěli např. samostatně pouze bezpečnostní opravy oddělené od dalších aktualizací, aby někteří uživatelé mohli co nejméně zasahovat do používané odladěné verze. Kód pro VirtualBox je sice z většiny open source, nicméně se v něm prý těžko vyznat a mezi mnoha změnami identifikovat právě konkrétní opravu zranitelnosti.

Představen MS Device Guard

Microsoft zveřejnil podrobnosti o tom, jak funguje jedna z bezpečnostních novinek v enterprise verzi Windows 10: Device Guard. Funkce umožňuje administrátorům nastavit, že uživatelé nebudou moci spouštět žádný software, který není podepsán Microsoftem nebo důvěryhodnými dodavateli. Pomocí různých politik integrity kódu mohou organizace přesně definovat, co se vlastně smí spouštět v jejich prostředí. Vlastní aplikace lze do systému přidat bez úprav (podepisování) a označit je za důvěryhodné. Jednou z funkcí Device Guard má být ochrana před exploity typu zero day.

Čipy na střepy

V kalifornském výzkumném centru Xerox PARC (kde mj. bylo vynalezeno rozhraní GUI s myší) byly vyvinuty čipy vybavené funkcí autodestrukce. Systém má být určen např. pro ukládání šifrovacích klíčů. Jako substrát je použito tvrzené sklo Gorilla Glass. Teplem (následek odporu/elektrického proudu) se čip rozbije na malé kousky, z nichž data údajně nejde rekonstruovat (poznámka: lze ale opravdu spoléhat na takovou hardwarovou destrukci, když se NASA podařilo přečíst hard disk z raketoplánu Columbia?). Destrukci lze vyvolat víceméně libovolným signálem, třeba poslaným na dálku rádiově. Projekt finančně podpořila americká vojenská agentura DARPA, technologie by mohla najít využití třeba ve vojenských dronech.

Jak odemknout uzamčenou obrazovku Androidu

Android 5.0 až 5.1.1 umožňuje útočníkovi s fyzickým přístupem k zařízení obejít uzamčení obrazovky. Pokud se do přístupného pole pro tísňové volání zadá speciální řetězec, který se uloží do schránky a poté použije v poli pro heslo v nastavení fotoaparátu, dojde k pádu aplikace. Poté se zobrazí vstupní stránka zařízení, která již není uzamčena. Zdroj: Národní centrum kybernetické bezpečnosti

CSIRT.CZ varuje/oznamuje

Nově uvolněná verze operačního systému iOS 9 nepřináší pouze nové funkce, ale také opravuje nebezpečnou zranitelnost v technologii AirDrop (technologie pro sdílení obsahu mezi zařízeními pro iOS/OS X) umožňující útočníkovi nainstalovat malware do zařízení v jeho dosahu.

Ze světa firem

V loňskem roce došlo v ČR k více než 4 000 kybernetickým útokům, což je o 40 % více než v roce 2013. Tento rostoucí trend bude v budoucnu sílit, a to ze dvou důvodů. Prováděcí předpisy přijaté k zákonu o kybernetické bezpečnosti zásadně omezily okruh povinných osob, které měly povinně zavést bezpečnostní opatření. Úpravami kybernetického zákona a prováděcími vyhláškami byly zcela vynechány například obce. Další příčinou růstu kybernetické kriminality je/bude nedostatečný zájem firem o kybernetickou bezpečnost. Zdroj: tisková zpráva společnosti Bureau Veritas

Uvedena byla nová verze nástroje pro vzdálenou správu řešení Eset - Eset Remote Administrator. Jednou z hlavních novinek je možnost použití dvoufaktorové autentizace pro přístup do správcovské webové konzole. Zdroj: tisková zpráva společnosti Eset

Hesla Ashley Madison, která se podařilo dešifrovat, jsou podle četnosti následující: 123456, password, 12345, 12345678, qwerty, pussy, secret, dragon, welcome, ginger.

Nejde o pořadí všech hesel. Ta byla zašifrována pomocí aplikace bcrypt a útočníci dostali do rukou pouze hashe. Jedná se o pořadí nejslabších/nejsnáze dešifrovaných hesel (navíc pouze z 1 milionu ze seznamu 36 milionů). „I když byl použit jeden z nejsilnějších dostupných šifrovacích algoritmů, tak bylo triviální získat seznam slabých hesel pomocí otestování známých hesel oproti seznamu hashů.“ Zdroj: blog společnosti Avast

AVG zavádí ve svých aplikacích jednostránková pravidla ochrany soukromí, která mají být jednodušší, kratší a snazší na pochopení než obsáhlé dokumenty, které jsou dnes běžnou praxí (a uživatel je obvykle radši prostě odkliká, než aby je studoval). Zdroj: tisková zpráva společnosti AVG Technologies

Comguard oznámil uzavření distributorské smlouvy s firmou ManageEngine. Ta v oblasti zabezpečení dodává nástroje pro vyhodnocování logů z firewallů, identity a password management zahrnující i správu hesel pro privilegované uživatele. Zdroj: tisková zpráva společnosti Comguard

Na český trh přichází řešení Kaspersky Internet Security – multi-device 2016. Dodavatel především zdůrazňuje, že tato verze přináší nové technologie pro ochranu soukromí. Zdroj: tisková zpráva společnosti Kaspersky Lab

Nizozemská policie zatkla dva muže pro podezření z účasti na ransomwarových útocích CoinVault. S policí přitom spolupracovaly zejména bezpečnostní firmy Kaspersky Lab a Panda Security. Zdroj: tisková zpráva společnosti Kaspersky Lab

Barracuda Web Application Firewall rozšiřuje svou podporu prostředí MS Azure a nyní chrání tři typy Azure aplikací: API, webové a mobilní. Zdroj: tisková zpráva společnosti Gesto Communications (distributor řešení Barracuda Networks pro ČR a Slovensko)

Psali jsme na ITBiz

Na téma zabezpečení na ITBiz viz také:


Komentáře

RSS 

Komentujeme

Virtuální realitou proti strachu ze smrti

Pavel Houser , 18. červenec 2017 07:00
Pavel Houser

Lidé, kteří reportují „zážitky blízké smrti“, pak mnohdy mají ze smrti menší strach. Nedalo by se to...

Více






Kalendář

22. 07.

27. 07.
Black Hat 2017
27. 07.

30. 07.
Defcon 2017
27. 08.

31. 08.
VMworld 2017
RSS 

Zprávičky

Čína chce být do 2025 světovým lídrem v oblasti umělé inteligence

ČTK , 22. červenec 2017 09:00

Plán přichází v době, kdy USA chtějí více kontrolovat investice, včetně investic do umělé inteligenc...

Více 0 komentářů

Santa Fe se chystá na premiéru opery o Jobsovi

ČTK , 22. červenec 2017 08:00

Spád opery je stejně rychlý a dynamický jako technologie, které Jobs vytvořil, tvrdí autoři....

Více 0 komentářů

Policejní úřady USA a EU zakročily proti ilegálním serverům

ČTK , 21. červenec 2017 10:00

Kromě AlphaBay se zásah týkal také ilegálního tržiště darknetu Hansa....

Více 1 komentářů

Starší zprávičky

Poskytovatelé IT služeb budou mít brzy problém uspokojit poptávku

Pavel Houser , 21. červenec 2017 09:00

Poskytovatelé řízených IT služeb (MSP – managed service providers) vidí ve službě cybersecurity-as-a...

Více 1 komentářů

Amazon spustil nákupní sociální síť Spark pro chytré telefony

ČTK , 21. červenec 2017 08:00

Jedná se de facto o křížence Instagramu, Pinterestu a e-shopu....

Více 0 komentářů

V Praze se instalují první chytré lavičky připojené přes síť LoRa

Pavel Houser , 20. červenec 2017 13:28

Lavička TreeSmart nabízí wi-fi připojení, nabíjení mobilních zařízení a senzory snímající vlhkost, t...

Více 7 komentářů

SUSE a Supermicro uzavírají globální partnerství

Pavel Houser , 20. červenec 2017 10:00

Firmy poskytnou řešení pro kritickou infrastrukturu, softwarově definovaná datová centra a integrova...

Více 0 komentářů