margin-top: 125px; border: 1px solid gray; } -->

Bezpečnostní přehled: díky Windows 8 se zrodil nový fenomén: Keyjacking

Pavel Houser , 04. červenec 2013 09:00 1 komentářů
Bezpečnostní přehled: díky Windows 8 se zrodil nový fenomén: Keyjacking

Clickjakingové triky mají sourozence. Bankovní malware je ještě chytřejší. Počítačová kriminalita jako služba. Bezpečnost Javy by se měla zvýšit. Následuje pravidelný bezpečnostní přehled vytvářený především podle webů ZDNet, CNet, The Register a HelpNet Security.

Italský bezpečnostní výzkumník Rosario Valotta tvrdí, že Windows 8 jsou potenciálně zranitelné pomocí tzv. keyjackingu. Metoda se podobná clickjackingu, podvodník v tomto případě uživatele přiměje, aby zdánlivě vyplnil test CAPTCHA. Ve skutečnosti ale stisk kláves spouští příkazy v operačním systému (typicky R – Run atd.). Okénko pro „Captcha“ přitom zakrývá dialog, v němž se Windows uživatele ptají, zda se má určitý soubor stahovat, spouštět apod. Zranitelný je tímto způsobem nejnovější Chrome i Internet Explorer 9 a 10. Po návštěvě škodlivého webu lze malware instalovat jen s minimální interakcí uživatele, i když samozřejmě zbývá ochrana SmartScreen Reputation, zobrazoval by se dialog, pokud by aplikace vyžadovala oprávnění správce, atd. Možná mají útočníci jednodušší prostředky...

Společnost HP poskytla vyjádření k reportovanému bezpečnostnímu problému v úložných zařízeních HP StoreOnce SAN. Novějších systémů se softwarem StoreOnce 3 by se podle vyjádření tento problém týkat neměl.

Bezpečnostní výzkumník Microsoftu Hyun Choi upozorňuje na tzv. symbiotický malware. Konkrétně vše demonstruje na příkladu škodlivých kódů Vobus a Beebone. Jde o downloadery, které se stahují navzájem, není proto lehké je odstranit ze systému.

Společnost Trusteer upozorňuje, že nová varianta bankovního trojana Citadel (de facto klon malwaru Zeus) dokáže falešné stránky lokalizovat – tj. generuje je v jazyce, který pravděpodobně používá oběť. Tímto způsobem jsou zobrazovány weby vydávající se za sociální sítě, banky i prodejní místa typu Amazonu.

Analýza Juniper Networks uvádí, že z tvorby malwaru pro Android se již stal výnosný byznys. V současnosti až 92 % známého mobilního malwaru cílí právě na Android. Samozřejmě to souvisí i s uzavřeností platformy iOS, nicméně současně je to i dokladem úspěchu Googlu. Dosud nicméně převládá poměrně jednoduchý malware, který se snaží přinést podvodníkům jednorázový zisk např. zasíláním SMS na speciálně zpoplatněná čísla. Juniper uvádí, že velkou většinu mobilního malwaru by šlo odstranit prostě tím, že by zařízení používala nejnovější verzi OS.

Christopher Budd na webu BetaNews.com uvádí, že Oracle začal konečně brát vážně bezpečnostní problémy spojené s Javou. Vývoj Javy 8 slibuje zlepšení situace. Samozřejmě – existuje zde určitá setrvačnost, takže Java nějaký čas ještě bude pokládána za významné bezpečnostní riziko. Historie bezpečnostní politiky Microsoftu navíc ukazuje, že nic není zadarmo, zvýšení zabezpečení zasáhne do komfortu uživatelů, naruší stávající aplikace atd. Každopádně může být zajímavé zkusit si tipnout, na jaké aplikace se útočníci zaměří příště (historie: Windows, Internet Explorer, formáty MS Office, aplikace Adobe, Java...?).

Společnost Cisco vydala opravu zabezpečení pro software systémů IronPort AsyncOS. Chyba umožňovala útoky na dostupnost služby, i možnost vsunutí příkazů/spuštění kódu. Problém se nicméně týká pouze eskalace oprávnění, tj. zneužití může provést pouze někdo, kdo má již k zařízení přístup. Zařízení Csico IronPort AsyncOS je určeno pro zabezpečení e-mailu.

Když se jako služba poskytuje software, zabezpečení, platforma, architektura či infrastruktura, není divu, že totéž platí i pro kybernetickou kriminalitu. Raj Samani, technologický ředitel společnosti McAfee, tvrdí, že právě tento model nyní jasně převládá. Lidem s technickými dovednostmi se více vyplatí neprovádět trestnou činnost přímo, ale dodávat své know-how (např. na černém trhu prodávat zranitelnosti zero day).

Narušen byl web herní společnosti Ubisoft. Útočníci se dostali ke jménům uživatelů, jejich e-mailovým adresám a heslům uložených v zašifrované formě. Kompromitovány by ale neměly být žádné vysoce citlivé informace typu čísel platebních karet.

Panasonic Security Viewer je nová aplikace, která umožňuje zobrazení snímků ze síťového diskového rekordéru WJ-NV200 řady i-PRO SmartHD prostřednictvím zařízení se systémem Android a na iPhonu či iPadu. Aplikaci je možné spustit po připojení mobilního telefonu nebo tabletu k mobilní síti 3G/4G nebo bezdrátové síti Wi-Fi a umožňuje uživateli zobrazit živé video z kamer zaregistrovaných v rekordéru i obrazové záznamy uložené v rekordérech. K živému přenosu z bezpečnostních kamer se nyní mohou rychleji připojit vedoucí pracovníci, majitelé firem i provozovatelé budov.

Zdroj: tisková zpráva společnosti Panasonic

Většina firem považuje neopatrné zaměstnance za hlavní příčinu úniku klíčových dat. Podle celosvětového průzkumu Worldwide Security Products to za hlavní ohrožení citlivých informací považuje 52 % firem.

Zdroj: tisková zpráva společnosti Kaspersky Lab/IDC

Nová verze databáze Oracle 12c podle dodavatele posiluje také zabezpečení. Citlivá data typu čísel platebních karet lze nyní snadno zakázat zobrazovat, a to bez nutnosti zásahu do většiny stávajících aplikací. K dispozici je rovněž analýza uživatelských oprávnění a rolí, která umožňuje zjistit, jaká oprávnění se aktuálně používají, a zrušit ta, která nejsou nutná. Podpora pro řízení oprávnění přitom zajišťuje, že jejich změna/zvýšení zabezpečení nenaruší podnikové procesy.

Zdroj: tisková zpráva společnosti Oracle

Společnost Kerio vydala Kerio Control 8.1, novou verzi svého UTM zařízení pro zabezpečení sítě, které správcům mj. nabízí nový způsob zálohy konfigurace. K dalším novým funkcím patří řešení pro zachování připojení přes VPN tunel v případě výpadku spojení. Zdroj: tisková zpráva společnosti Kerio Technologies

Bezpečnost je tak slabá, jako její nejslabší místo. „U větších firem bývá běžné, že si top management objedná prohlídku klíčových prostor, zda se zde nevyskytují odposlouchávací, či jiná zařízení, zabezpečí všechny hard disky služebních počítačů, dávají si pozor na emaily, ale krátké textové zprávy často jako hrozbu úniku informací nevidí,“ uvádí Jiří Pudich ze společnosti Premium Systems.

Zdroj: tisková zpráva společnosti Premium Systems


Komentáře

Franta #1
Franta 05. červenec 2013 10:35

Ad „Historie bezpečnostní politiky Microsoftu navíc ukazuje, že nic není zadarmo, zvýšení zabezpečení zasáhne do komfortu uživatelů, naruší stávající aplikace atd.“

Bezpečnostní problémy, které byly v Javě, spočívaly v tom, že něco nefungovalo, jak mělo – drobné chybky (i když s nepříjemnými dopady) v implementaci, nikoli chyby v návrhu (chybějící bezpečnostní opatření, principiální díry). Takže opravy chyb mají pozitivní vliv na bezpečnost, nikoli negativní vliv na pohodlí uživatelů.

To není, jako když MS navrhne záměrně děravý software tak, aby uživatelé měli pocit, jak to krásně funguje a snadno se to používá… a časem se ukáže, že to nebyl tak úplně dobrý nápad a je potřeba překopat návrh a rozbít spoustu věcí a přidat nové nepohodlí a omezení.


RSS 

Komentujeme

Chatbot mluví za mrtvého – od nápadu k realizaci

Pavel Houser , 30. listopad 2016 13:00
Pavel Houser

Na webu The Verge popsala Casey Newton příběh dvou přátel (Eugenia Kuyda a Roman Mazurenko). Peripet...

Více





Kalendář

20. 03.

24. 03.
CeBIT 2017
RSS 

Zprávičky

Nový zákon o výzkumu chystá "blacklist" příjemců i ministerstvo

ČTK , 09. prosinec 2016 16:31

Velké změny ve fungování Grantové a Technologické agentury, novou vědeckou radu ČR i takzvaný "black...

Více 0 komentářů

Fitbit koupil průkopníka chytrých hodinek Pebble

ČTK , 09. prosinec 2016 15:00

Americký výrobce chytrých náramků a hodinek Fitbit koupil software, patenty a další aktiva duševního...

Více 0 komentářů

Američané možná umožní v letadlech telefonování přes wi-fi

ČTK , 09. prosinec 2016 13:00

Aerolinky ve Spojených státech by v budoucnu mohly umožňovat telefonování v letadle s použitím wi-fi...

Více 2 komentářů

Starší zprávičky

Česká pošta od ledna zdraží posílání do zahraničí o pět až 20 Kč

ČTK , 09. prosinec 2016 11:39

Česká pošta od ledna zvýší ceny za posílání listovních zásilek do zahraničí o pět korun, balíky podr...

Více 0 komentářů

Za vzněcováním smartphonu iPhone 6 jsou vnější vlivy, tvrdí Apple

ČTK , 08. prosinec 2016 11:30

Firma Apple odmítla podezření čínských uživatelů svého chytrého telefonu iPhone 6, že za problémy s ...

Více 0 komentářů

Verizon prodá firmě Equinix datová centra za 3,6 miliardy USD

ČTK , 08. prosinec 2016 10:00

Největší americký mobilní operátor Verizon Communications prodá specializované společnosti Equinix 2...

Více 0 komentářů

Tchajwanský Foxconn jedná o rozšíření svých aktivit v USA

ČTK , 07. prosinec 2016 15:00

Tchajwanská společnost Foxconn jedná o rozšíření svých aktivit ve Spojených státech. Oznámila to dne...

Více 0 komentářů