Bezpečnostní přehled: díky Windows 8 se zrodil nový fenomén: Keyjacking

Pavel Houser , 04. červenec 2013 09:00 1 komentářů
Bezpečnostní přehled: díky Windows 8 se zrodil nový fenomén: Keyjacking

Clickjakingové triky mají sourozence. Bankovní malware je ještě chytřejší. Počítačová kriminalita jako služba. Bezpečnost Javy by se měla zvýšit. Následuje pravidelný bezpečnostní přehled vytvářený především podle webů ZDNet, CNet, The Register a HelpNet Security.

Italský bezpečnostní výzkumník Rosario Valotta tvrdí, že Windows 8 jsou potenciálně zranitelné pomocí tzv. keyjackingu. Metoda se podobná clickjackingu, podvodník v tomto případě uživatele přiměje, aby zdánlivě vyplnil test CAPTCHA. Ve skutečnosti ale stisk kláves spouští příkazy v operačním systému (typicky R – Run atd.). Okénko pro „Captcha“ přitom zakrývá dialog, v němž se Windows uživatele ptají, zda se má určitý soubor stahovat, spouštět apod. Zranitelný je tímto způsobem nejnovější Chrome i Internet Explorer 9 a 10. Po návštěvě škodlivého webu lze malware instalovat jen s minimální interakcí uživatele, i když samozřejmě zbývá ochrana SmartScreen Reputation, zobrazoval by se dialog, pokud by aplikace vyžadovala oprávnění správce, atd. Možná mají útočníci jednodušší prostředky...

Společnost HP poskytla vyjádření k reportovanému bezpečnostnímu problému v úložných zařízeních HP StoreOnce SAN. Novějších systémů se softwarem StoreOnce 3 by se podle vyjádření tento problém týkat neměl.

Bezpečnostní výzkumník Microsoftu Hyun Choi upozorňuje na tzv. symbiotický malware. Konkrétně vše demonstruje na příkladu škodlivých kódů Vobus a Beebone. Jde o downloadery, které se stahují navzájem, není proto lehké je odstranit ze systému.

Společnost Trusteer upozorňuje, že nová varianta bankovního trojana Citadel (de facto klon malwaru Zeus) dokáže falešné stránky lokalizovat – tj. generuje je v jazyce, který pravděpodobně používá oběť. Tímto způsobem jsou zobrazovány weby vydávající se za sociální sítě, banky i prodejní místa typu Amazonu.

Analýza Juniper Networks uvádí, že z tvorby malwaru pro Android se již stal výnosný byznys. V současnosti až 92 % známého mobilního malwaru cílí právě na Android. Samozřejmě to souvisí i s uzavřeností platformy iOS, nicméně současně je to i dokladem úspěchu Googlu. Dosud nicméně převládá poměrně jednoduchý malware, který se snaží přinést podvodníkům jednorázový zisk např. zasíláním SMS na speciálně zpoplatněná čísla. Juniper uvádí, že velkou většinu mobilního malwaru by šlo odstranit prostě tím, že by zařízení používala nejnovější verzi OS.

Christopher Budd na webu BetaNews.com uvádí, že Oracle začal konečně brát vážně bezpečnostní problémy spojené s Javou. Vývoj Javy 8 slibuje zlepšení situace. Samozřejmě – existuje zde určitá setrvačnost, takže Java nějaký čas ještě bude pokládána za významné bezpečnostní riziko. Historie bezpečnostní politiky Microsoftu navíc ukazuje, že nic není zadarmo, zvýšení zabezpečení zasáhne do komfortu uživatelů, naruší stávající aplikace atd. Každopádně může být zajímavé zkusit si tipnout, na jaké aplikace se útočníci zaměří příště (historie: Windows, Internet Explorer, formáty MS Office, aplikace Adobe, Java...?).

Společnost Cisco vydala opravu zabezpečení pro software systémů IronPort AsyncOS. Chyba umožňovala útoky na dostupnost služby, i možnost vsunutí příkazů/spuštění kódu. Problém se nicméně týká pouze eskalace oprávnění, tj. zneužití může provést pouze někdo, kdo má již k zařízení přístup. Zařízení Csico IronPort AsyncOS je určeno pro zabezpečení e-mailu.

Když se jako služba poskytuje software, zabezpečení, platforma, architektura či infrastruktura, není divu, že totéž platí i pro kybernetickou kriminalitu. Raj Samani, technologický ředitel společnosti McAfee, tvrdí, že právě tento model nyní jasně převládá. Lidem s technickými dovednostmi se více vyplatí neprovádět trestnou činnost přímo, ale dodávat své know-how (např. na černém trhu prodávat zranitelnosti zero day).

Narušen byl web herní společnosti Ubisoft. Útočníci se dostali ke jménům uživatelů, jejich e-mailovým adresám a heslům uložených v zašifrované formě. Kompromitovány by ale neměly být žádné vysoce citlivé informace typu čísel platebních karet.

Panasonic Security Viewer je nová aplikace, která umožňuje zobrazení snímků ze síťového diskového rekordéru WJ-NV200 řady i-PRO SmartHD prostřednictvím zařízení se systémem Android a na iPhonu či iPadu. Aplikaci je možné spustit po připojení mobilního telefonu nebo tabletu k mobilní síti 3G/4G nebo bezdrátové síti Wi-Fi a umožňuje uživateli zobrazit živé video z kamer zaregistrovaných v rekordéru i obrazové záznamy uložené v rekordérech. K živému přenosu z bezpečnostních kamer se nyní mohou rychleji připojit vedoucí pracovníci, majitelé firem i provozovatelé budov.

Zdroj: tisková zpráva společnosti Panasonic

Většina firem považuje neopatrné zaměstnance za hlavní příčinu úniku klíčových dat. Podle celosvětového průzkumu Worldwide Security Products to za hlavní ohrožení citlivých informací považuje 52 % firem.

Zdroj: tisková zpráva společnosti Kaspersky Lab/IDC

Nová verze databáze Oracle 12c podle dodavatele posiluje také zabezpečení. Citlivá data typu čísel platebních karet lze nyní snadno zakázat zobrazovat, a to bez nutnosti zásahu do většiny stávajících aplikací. K dispozici je rovněž analýza uživatelských oprávnění a rolí, která umožňuje zjistit, jaká oprávnění se aktuálně používají, a zrušit ta, která nejsou nutná. Podpora pro řízení oprávnění přitom zajišťuje, že jejich změna/zvýšení zabezpečení nenaruší podnikové procesy.

Zdroj: tisková zpráva společnosti Oracle

Společnost Kerio vydala Kerio Control 8.1, novou verzi svého UTM zařízení pro zabezpečení sítě, které správcům mj. nabízí nový způsob zálohy konfigurace. K dalším novým funkcím patří řešení pro zachování připojení přes VPN tunel v případě výpadku spojení. Zdroj: tisková zpráva společnosti Kerio Technologies

Bezpečnost je tak slabá, jako její nejslabší místo. „U větších firem bývá běžné, že si top management objedná prohlídku klíčových prostor, zda se zde nevyskytují odposlouchávací, či jiná zařízení, zabezpečí všechny hard disky služebních počítačů, dávají si pozor na emaily, ale krátké textové zprávy často jako hrozbu úniku informací nevidí,“ uvádí Jiří Pudich ze společnosti Premium Systems.

Zdroj: tisková zpráva společnosti Premium Systems


Komentáře

Franta #1
Franta 05. červenec 2013 10:35

Ad „Historie bezpečnostní politiky Microsoftu navíc ukazuje, že nic není zadarmo, zvýšení zabezpečení zasáhne do komfortu uživatelů, naruší stávající aplikace atd.“

Bezpečnostní problémy, které byly v Javě, spočívaly v tom, že něco nefungovalo, jak mělo – drobné chybky (i když s nepříjemnými dopady) v implementaci, nikoli chyby v návrhu (chybějící bezpečnostní opatření, principiální díry). Takže opravy chyb mají pozitivní vliv na bezpečnost, nikoli negativní vliv na pohodlí uživatelů.

To není, jako když MS navrhne záměrně děravý software tak, aby uživatelé měli pocit, jak to krásně funguje a snadno se to používá… a časem se ukáže, že to nebyl tak úplně dobrý nápad a je potřeba překopat návrh a rozbít spoustu věcí a přidat nové nepohodlí a omezení.

RSS 

Komentujeme

Automatizace bezpečnosti – problémem nejsou technologie

Pavel Houser , 03. září 2017 09:00
Pavel Houser

Umělá inteligence, strojové učení, behaviorální analýza, model SecOps (analogie DevOps pro zabezpeče...

Více






Kalendář

21. 09. Mobilní řešení pro business
25. 09.

29. 09.
Susecon 17
25. 09.

29. 09.
Microsoft Ignite 2017
RSS 

Zprávičky

Oblíbený nástroj CCleaner obsahoval malware

Pavel Houser , 19. září 2017 17:17

Ohroženy mohou být miliony uživatelů. Zranitelné jsou verze CCleaner 5.33 a CCleaner Cloud 1.07.3191...

Více 0 komentářů

EK navrhuje nová pravidla pro pohyb dat neosobního charakteru

ČTK , 19. září 2017 15:26

Členské státy EU by už podle návrhu neměly nutit organizace, aby uchovávaly či zpracovávaly data na ...

Více 0 komentářů

Na trh přichází Synology C2 Backup

Pavel Houser , 19. září 2017 11:34

Synology strávila více než rok budováním vlastního datového centra....

Více 0 komentářů

Starší zprávičky

Hackathon veřejné správy přilákal na 6 desítek vývojářů

Pavel Houser , 19. září 2017 08:00

Propojit otevřená data veřejné správy v užitečné aplikace bylo cílem šesti desítek programátorů, kte...

Více 0 komentářů

Úřad pro ochranu hospodářské soutěže zkoumá zakázky na IT systémy

Pavel Houser , 18. září 2017 12:50

Úřad aktuálně se zaměřil na smlouvy na IT systémy uzavřené v jednacím řízení bez uveřejnění. ...

Více 0 komentářů

Alphabet zvažuje investici do alternativní taxislužby Lyft

ČTK , 18. září 2017 08:34

Podnik Waymo ze skupiny Alphabet už v květnu oznámil partnerství s Lyftem na vývoji technologie auto...

Více 0 komentářů

Plán zdanění internetových firem v EU má první trhliny

ČTK , 18. září 2017 08:00

Dánský ministr financí Kristian Jensen varoval před rizikem přijetí zákonů, které by mohly inovativn...

Více 0 komentářů