Bezpečnostní přehled: Device Guard a zabezpečení ve Windows 10

Pavel Houser , 21. září 2015 08:00 0 komentářů
Rubriky: Security
Bezpečnostní přehled: Device Guard a zabezpečení ve Windows 10

Hesla z hacknuté seznamky Ashley Madison. Zranitelnosti v Androidu i iOS. Kritika za vydávání aktualizací „jako celek“. Autodestrukce hardwaru jako forma ochrany. Dopady změkčení zákon o kybernetické bezpečnosti. Následuje pravidelný bezpečnostní přehled vytvářený především podle webů ZDNet, CNet, The Register a HelpNet Security.

Stagefright stále hrozí

Společnost Zimperium vydala proof-of-concept kódu, která zneužívá zranitelnost Stagefright v Androidu. Chybu, oznámenou se značnou publicitou letos v červenci, šlo zneužít posláním zprávy MMS; zranitelných původně bylo až 95 % zařízení s Androidem. Google sice v srpnu již vydal záplatu (viz také starší Bezpečnostní přehled), ukázalo se ale, že ta problém plně neřeší. Nyní vytvořený skript vygeneruje soubor MP4, s jehož pomocí může útočník ovládat kameru telefonu nebo odposlouchávat mikrofon. Kód pracuje na zařízení Nexus s Androidem 4.0.4, lze upravit i pro další zařízení/systémy. Android 5 a vyšší by však měl být odolný, protože má speciální ochranu proti zneužitím buffer overflow.

Jak se vyznat v hypervisoru VirtualBox

Tým linuxové distribuce Debian kritizoval Oracle za to, že vydala opravy pro hypervisor VirtualBox bez toho, aby bylo oznámeno, v čem spočívají zalátané zranitelnosti. Konkrétně se jedná o červencovou dávku záplat. (Poznámka: Podobně omezuje Microsoft informování o chybách v případě aktualizací pro Windows 10.) Vývojáři Debianu, kteří pro něj připravují balíček VirtualBox, chtěli např. samostatně pouze bezpečnostní opravy oddělené od dalších aktualizací, aby někteří uživatelé mohli co nejméně zasahovat do používané odladěné verze. Kód pro VirtualBox je sice z většiny open source, nicméně se v něm prý těžko vyznat a mezi mnoha změnami identifikovat právě konkrétní opravu zranitelnosti.

Představen MS Device Guard

Microsoft zveřejnil podrobnosti o tom, jak funguje jedna z bezpečnostních novinek v enterprise verzi Windows 10: Device Guard. Funkce umožňuje administrátorům nastavit, že uživatelé nebudou moci spouštět žádný software, který není podepsán Microsoftem nebo důvěryhodnými dodavateli. Pomocí různých politik integrity kódu mohou organizace přesně definovat, co se vlastně smí spouštět v jejich prostředí. Vlastní aplikace lze do systému přidat bez úprav (podepisování) a označit je za důvěryhodné. Jednou z funkcí Device Guard má být ochrana před exploity typu zero day.

Čipy na střepy

V kalifornském výzkumném centru Xerox PARC (kde mj. bylo vynalezeno rozhraní GUI s myší) byly vyvinuty čipy vybavené funkcí autodestrukce. Systém má být určen např. pro ukládání šifrovacích klíčů. Jako substrát je použito tvrzené sklo Gorilla Glass. Teplem (následek odporu/elektrického proudu) se čip rozbije na malé kousky, z nichž data údajně nejde rekonstruovat (poznámka: lze ale opravdu spoléhat na takovou hardwarovou destrukci, když se NASA podařilo přečíst hard disk z raketoplánu Columbia?). Destrukci lze vyvolat víceméně libovolným signálem, třeba poslaným na dálku rádiově. Projekt finančně podpořila americká vojenská agentura DARPA, technologie by mohla najít využití třeba ve vojenských dronech.

Jak odemknout uzamčenou obrazovku Androidu

Android 5.0 až 5.1.1 umožňuje útočníkovi s fyzickým přístupem k zařízení obejít uzamčení obrazovky. Pokud se do přístupného pole pro tísňové volání zadá speciální řetězec, který se uloží do schránky a poté použije v poli pro heslo v nastavení fotoaparátu, dojde k pádu aplikace. Poté se zobrazí vstupní stránka zařízení, která již není uzamčena. Zdroj: Národní centrum kybernetické bezpečnosti

CSIRT.CZ varuje/oznamuje

Nově uvolněná verze operačního systému iOS 9 nepřináší pouze nové funkce, ale také opravuje nebezpečnou zranitelnost v technologii AirDrop (technologie pro sdílení obsahu mezi zařízeními pro iOS/OS X) umožňující útočníkovi nainstalovat malware do zařízení v jeho dosahu.

Ze světa firem

V loňskem roce došlo v ČR k více než 4 000 kybernetickým útokům, což je o 40 % více než v roce 2013. Tento rostoucí trend bude v budoucnu sílit, a to ze dvou důvodů. Prováděcí předpisy přijaté k zákonu o kybernetické bezpečnosti zásadně omezily okruh povinných osob, které měly povinně zavést bezpečnostní opatření. Úpravami kybernetického zákona a prováděcími vyhláškami byly zcela vynechány například obce. Další příčinou růstu kybernetické kriminality je/bude nedostatečný zájem firem o kybernetickou bezpečnost. Zdroj: tisková zpráva společnosti Bureau Veritas

Uvedena byla nová verze nástroje pro vzdálenou správu řešení Eset - Eset Remote Administrator. Jednou z hlavních novinek je možnost použití dvoufaktorové autentizace pro přístup do správcovské webové konzole. Zdroj: tisková zpráva společnosti Eset

Hesla Ashley Madison, která se podařilo dešifrovat, jsou podle četnosti následující: 123456, password, 12345, 12345678, qwerty, pussy, secret, dragon, welcome, ginger.

Nejde o pořadí všech hesel. Ta byla zašifrována pomocí aplikace bcrypt a útočníci dostali do rukou pouze hashe. Jedná se o pořadí nejslabších/nejsnáze dešifrovaných hesel (navíc pouze z 1 milionu ze seznamu 36 milionů). „I když byl použit jeden z nejsilnějších dostupných šifrovacích algoritmů, tak bylo triviální získat seznam slabých hesel pomocí otestování známých hesel oproti seznamu hashů.“ Zdroj: blog společnosti Avast

AVG zavádí ve svých aplikacích jednostránková pravidla ochrany soukromí, která mají být jednodušší, kratší a snazší na pochopení než obsáhlé dokumenty, které jsou dnes běžnou praxí (a uživatel je obvykle radši prostě odkliká, než aby je studoval). Zdroj: tisková zpráva společnosti AVG Technologies

Comguard oznámil uzavření distributorské smlouvy s firmou ManageEngine. Ta v oblasti zabezpečení dodává nástroje pro vyhodnocování logů z firewallů, identity a password management zahrnující i správu hesel pro privilegované uživatele. Zdroj: tisková zpráva společnosti Comguard

Na český trh přichází řešení Kaspersky Internet Security – multi-device 2016. Dodavatel především zdůrazňuje, že tato verze přináší nové technologie pro ochranu soukromí. Zdroj: tisková zpráva společnosti Kaspersky Lab

Nizozemská policie zatkla dva muže pro podezření z účasti na ransomwarových útocích CoinVault. S policí přitom spolupracovaly zejména bezpečnostní firmy Kaspersky Lab a Panda Security. Zdroj: tisková zpráva společnosti Kaspersky Lab

Barracuda Web Application Firewall rozšiřuje svou podporu prostředí MS Azure a nyní chrání tři typy Azure aplikací: API, webové a mobilní. Zdroj: tisková zpráva společnosti Gesto Communications (distributor řešení Barracuda Networks pro ČR a Slovensko)

Psali jsme na ITBiz

Na téma zabezpečení na ITBiz viz také:


Komentáře


RSS 

Komentujeme

Chatbot mluví za mrtvého – od nápadu k realizaci

Pavel Houser , 30. listopad 2016 13:00
Pavel Houser

Na webu The Verge popsala Casey Newton příběh dvou přátel (Eugenia Kuyda a Roman Mazurenko). Peripet...

Více





Kalendář

RSS 

Zprávičky

Tchajwanský Foxconn jedná o rozšíření svých aktivit v USA

ČTK , 07. prosinec 2016 15:00

Tchajwanská společnost Foxconn jedná o rozšíření svých aktivit ve Spojených státech. Oznámila to dne...

Více 0 komentářů

Nejvyšší soud USA se postavil na stranu Samsungu proti Applu

ČTK , 07. prosinec 2016 12:30

Americký nejvyšší soud se v mnohaletém patentovém sporu mezi výrobci chytrých telefonů Apple a Samsu...

Více 0 komentářů

Evropská komise Microsoftu schválila převzetí sítě LinkedIn

ČTK , 07. prosinec 2016 10:30

Evropská komise schválila americké softwarové společnosti Microsoft záměr koupit za 26 miliard dolar...

Více 0 komentářů

Starší zprávičky

Porozumění větám, konkurence pro Turingův test

Pavel Houser , 06. prosinec 2016 18:00

Konverzační roboti mají stále problémy pochopit věty, kde smysl nelze vyvodit ze samotné gramatické ...

Více 0 komentářů

Americká GoDaddy koupí evropský webhosting Host Europe

ČTK , 06. prosinec 2016 16:00

Americký registrátor internetových domén GoDaddy, který je ve svém oboru největší na světě, se dohod...

Více 0 komentářů

Ruská Centrální banka oznámila masivní útok hackerů

ČTK , 06. prosinec 2016 11:00

Do systému ruské Centrální banky se letos dostali hackeři a s pomocí zfalšovaných hesel se pokusili ...

Více 0 komentářů

CETIN vydal dluhopisy za 25 miliard Kč

ČTK , 05. prosinec 2016 18:00

Česká telekomunikační infrastruktura (CETIN) upsala dluhopisy v eurech a korunách v celkovém objemu ...

Více 1 komentářů