Bezpečnostní přehled: Hacknout lze prý i chytrý záchod

Pavel Houser , 15. srpen 2013 09:00 2 komentářů
Bezpečnostní přehled: Hacknout lze prý i chytrý záchod

Na toaletách opatrně. Srpnové záplaty Microsoftu. Matematika a reverzní inženýrství. Uživatelé nejsou ochotní platit za bezpečnostní software pro smartphony. Následuje pravidelný bezpečnostní přehled vytvářený především podle webů ZDNet, CNet, The Register a HelpNet Security.

Jako každé druhé úterý v měsíci, i nyní Microsoft vydal svůj pravidelný balíček bezpečnostních záplat. Celkem 8 bulletinů zabezpečení řeší 23 zranitelností. Postižen je operační systém, Internet Explorer a server Exchange.

Balíček MS13-059 je kumulativní aktualizací pro Internet Explorer, který opravuje 11 zranitelností – 9 z nich je v závislosti na verzi prohlížeče a OS podle Microsoftu kritických. Útočník může dosáhnout porušení paměti a vzdáleného spuštění kódu už při zobrazení podvodné stránky.

Záplata MS13-060 je určena pro Windows XP a Windows Server 2003. Vzdálené spuštění kódu lze v tomto případě realizovat přes písma OpenType, ať už jsou vložena do zaslaného dokumentu nebo do HTML kódu na webu. Balíček MS13-061 pak opravuje tři kritické chyby v serveru Exchange (souvisí především s přístupem přes webové rozhraní).

Lze matematicky znemožnit reverzní inženýrství? Amit Sahai a jeho kolegové z University of California v Los Angeles tvrdí, že přišli s konceptem kódu, který zpětné inženýrství vylučuje. Software lze pak použít pouze jediným, původně zamýšleným způsobem. Podobných pokusů dnes existuje celá řada, třeba umožnit práci s daty tak, aby měl uživatel/program přístup pouze k těm, které právě potřebuje, ale vše přitom bylo stále šifrováno, každý kousek dat souboru či databáze uvolňován jen přechodně a na vyžádání. Sahai tvrdí, že skutečně techniku software obfuscation dovedli do stavu, kdy je matematicky neprolomitelná (nebo by vyžadovala najít dosud neznámé matematické postupy).

Zdroj: Phys.org

Na konferenci Black Hat v Las Vegas byla demonstrována technika, která během okamžiku dokáže dešifrovat údaje přenášené přes zabezpečené protokoly https/tls/ssl. Ukázku předvedli Angelo Prado, Neal Harris a Yoel Gluck. Problém má být v algoritmu Deflate, který se používá pro kompresi dat přenášených mezi prohlížečem a serverem. Zneužití je založeno na exploitu Compression Ratio Info-leak Made Easy (CRIME).

Analýza Gartner Group uvádí, že uživatelé nemají zájem si na své smartphony instalovat antivirový apod. bezpečnostní software a už vůbec nejsou ochotni za něj platit. Lidé vesměs vnímají mobilní telefon jinak než počítač, je to přístroj/elektronika a odmítají placený software (asi jako by si člověk nechtěl koupit software do lednice, aby mrazila). Vzhledem k trendu BYOD (používání soukromých zařízení pro pracovní účely) je tedy vynucení alespoň základní bezpečnosti na správcích podnikového IT, na samotné uživatele spoléhat nelze.

Z pohledu dodavatelů zabezpečení – nabízejí se samozřejmě možnosti dodávat základní produkt zdarma nebo se soustředit na dohody s výrobci/operátory a dodávat bezpečnostní software spolu se zařízením.

Další analýza Gartner: Ředitelé IT by se měli oprostit od toho, že jejich hlavním úkolem je zajištění shody s předpisy a jinými regulačními požadavky (compliance). Ať tyto záležitosti primárně řeší oddělení pro řízení rizik, IT má spíše podporovat vlastní podnikání.

Toto je ovšem skutečná lahůdka. Veškeré spotřebiče kolem nás jsou dnes (potenciálně) chytré, takže máme i smart toalety. Daniel Crowley z bezpečnostní firmy Trustwave SpiderLabs uvádí, že tudíž i chytré hajzlíky lze hacknout. Co to může reálně znamenat? Například lze prý vzdáleně vyvolat splachování a tudíž i účet za vodu. Nebo klapání prkýnka, šok a hrůzu, že v domě straší. Tak alespoň praví společnost Trustwave, zranitelné mají být chytré záchodky Lixil prodávané pod značkou Satis. (Detaily: toalety komunikují přes Bluetooth, od výrobce je zadáno výchozí heslo etc. Příslušná chytrá toaleta dokáže řadu dalších věcí, zapíná větrání či doprovodnou hudbu, aplikuje deodoranty, snad i nějak monitoruje zdravotní stav uživatele. Útočník se tedy asi může celkem vyřádit.) Zdroj: Phys.org

V první polovině letošního roku došlo ke třicetiprocentnímu nárůstu škodlivých kódů pro mobilní zařízení. Už v roce 2012 experti z FortiGuard předpovídali, že finančně atraktivní vydírající malware najde svoji cestu do mobilních zařízení. Situaci značně napomáha současný stav dominantního operačního systému OS Android.

Ačkoliv pro platformy Ruby on Rails, Java, Adobe Acrobat či Apache přichází čím dál více aktualizací, specialisté z FortiGuard Labs konstatují, že útočníci se stále zaměřují na staré zranitelnosti.

Zdroj: tisková zpráva společnosti Fortinet

Společnost AVG Technologies oznámila finanční výsledky za druhé čtvrtletí 2013. Příjmy dosáhly 100,4 milionů dolarů. V porovnání se stejným obdobím loňského roku jde o 22% nárůst. Zisk má hodnotu 21,7 milionů dolarů. K 30. 6. 2013 měla AVG Technologies 155 milionů aktivních uživatelů.

Zdroj: tisková zpráva společnosti AVG

Gary Kovacs jmenován do pozice Chief Executive Officer a Managing Director společnosti AVG. Kovacs přešel z Mozilla Corporation, kde působil jako CEO. AVG současně jmenovala Franka Essera do pozice Independent Supervisory Director v dozorčí radě společnosti. Zdroj: tisková zpráva společnosti AVG

Eset představil kompletně přepracovanou aplikaci Eset Mobile Security pro Android. Nová generace mobilního produktu nabízí vylepšené skenování, antiphishingový modul a nové uživatelské rozhraní. Aplikace dokáže řešit i nedávno objevenou zranitelnost Android Master Key. Funkce bezpečnostního auditu monitoruje povolení nainstalovaných aplikací, jako lokalizace polohy, přístup ke kontaktům nebo nákupy v rámci aplikace.

Zdroj: tisková zpráva společnosti Eset

Na internetové stránky hudebního festivalu BeeFree 2013 byl neznámým autorem přidán škodlivý kód. Tento malware kód Eset detekuje pod názvem JS/Kryptik.ANM.

Zdroj: tisková zpráva společnosti Eset

Výzkumníci společnosti Eset provedli analýzu zajímavé formy bankovního trojského koně, která se šířila v Brazílii. Hrozba mj. zneužívala ke shromažďování informací o obětech brazilský vládní server.

Zdroj: tisková zpráva společnosti Eset

Ve druhé čtvrtině roku 2013 se podíl spamu na celkové e-mailové komunikaci zvýšil v porovnání s předchozím čtvrtletím o 4,2 % na 70,7 %. Phishing přitom představoval 0,0024 %. Zdroj: tisková zpráva společnosti Kaspersky Lab

Sdružení CZ.NIC spouští dvojici projektů zaměřených na zkvalitnění prostředí českého Internetu. Provozovatelům a správcům webů je určen projekt Skener webu pomáhající odhalit nejčastější zranitelná místa webových aplikací. Služba CAPTCHA Help navazující na projekt Dobrý kód podporuje hendikepované uživatele při autorizaci prostřednictvím obrázkových kódů. Obě služby jsou pro uživatele zdarma. Zdroj: tisková zpráva sdružení CZ.NIC

GFI nabízí na českém trhu GFI Cloud, nabídku cloudových služeb pro malé a středně velké společnosti. Nabídka je určena pro skupinu podniků, které mají zájem o cloudové služby v oblasti zabezpečení podnikových sítí, ale které nechtějí svěřit svou IT infrastrukturu do rukou poskytovatelů řízených služeb (MSP). Zdroj: tisková zpráva společnosti GFI Software

Bankovní institut vysoká škola (BIVŠ) v Praze otevírá studentům a pedagogům specializované IT pracoviště umožňující simulaci nestandardních stavů systémů používaných v bankovních a finančních institucích.

Zdroj: tisková zpráva BIVŠ

Jason Fossen ze SANS Intitute uvádí, že zločinci si dnes zero day zranitelnosti objevené ve Windows XP zřejmě šetří. Pokud by je začali zneužívat dnes, Microsoft by brzy vydal záplatu. Od dubna 2014 však tento systém přestane být podporován a žádné bezpečnostní aktualizace už nebudou (s výjimkou zákazníků, kteří mají s Microsoftem speciální smlouvy).


Komentáře

Pavel Šimerda #1
Pavel Šimerda 15. srpen 2013 12:23

„Sahai tvrdí, že skutečně techniku software obfuscation dovedli do stavu, kdy je matematicky neprolomitelná (nebo by vyžadovala najít dosud neznámé matematické postupy).“

Sračky.

xurfa #2
xurfa 15. srpen 2013 13:42

Záleží na tom, jak vypadá hardware :-)

RSS 

Komentujeme

Sociální sítě pro B2B? Bláznovství!

Richard Jan Voigts , 17. květen 2017 07:00
Richard Jan Voigts

Agentura Ami Digital provedla průzkum ohledně využívání sociálních sítí v České republice. Ami Digit...

Více





RSS 

Zprávičky

Sněmovna schválila novelu upravující přechod na vysílání DVB-T2

ČTK , 24. květen 2017 13:05

"Já jsem tam postrádal něco ve prospěch virtuálních mobilních operátorů," uvedl budoucí ministr fina...

Více 0 komentářů

Google chce propojit data z webové reklamy s nákupy v kamenných obchodech

ČTK , 24. květen 2017 10:46

Technologie dokáže propojit informace o tom, na co lidé na webu klikají a za co pak platí kartou v k...

Více 0 komentářů

Apple a Nokia urovnaly patentový spor, podepsaly novou dohodu

ČTK , 24. květen 2017 10:00

Analytiky překvapilo relativně rychlé vyřešení sporu....

Více 0 komentářů

Starší zprávičky

ČTÚ: Aukce kmitočtů v pásmu 3,7 GHz se zúčastní 6 subjektů

Pavel Houser , 24. květen 2017 09:00

Podle harmonogramu by ostrá aukce na celkem 5 kmitočtových bloků, každý o velikosti 40 MHz, měla zač...

Více 0 komentářů

Čínská firma chce vyvinout dron, který unese přes tunu nákladu

ČTK , 24. květen 2017 08:00

Jeden z největších čínských internetových prodejců JD.com oznámil, že se chystá vyvinout bezpilotní ...

Více 0 komentářů

it-sa 2017 poprvé ve dvou halách

ITBiz.cz , 23. květen 2017 17:00

Veletrh zabezpečení IT s největším počtem vystavovatelů v Evropě dál roste. Pět měsíců před konáním ...

Více 0 komentářů

Gartner: Prodej chytrých telefonů ve čtvrtletí stoupl o 9,1 %

ČTK , 23. květen 2017 12:00

Vede Samsung a Apple, ale jejich podíl klesá, roste Huawei na třetím místě....

Více 0 komentářů