Bezpečnostní přehled: Hacknout lze prý i chytrý záchod

Pavel Houser , 15. srpen 2013 09:00 2 komentářů
Bezpečnostní přehled: Hacknout lze prý i chytrý záchod

Na toaletách opatrně. Srpnové záplaty Microsoftu. Matematika a reverzní inženýrství. Uživatelé nejsou ochotní platit za bezpečnostní software pro smartphony. Následuje pravidelný bezpečnostní přehled vytvářený především podle webů ZDNet, CNet, The Register a HelpNet Security.

Jako každé druhé úterý v měsíci, i nyní Microsoft vydal svůj pravidelný balíček bezpečnostních záplat. Celkem 8 bulletinů zabezpečení řeší 23 zranitelností. Postižen je operační systém, Internet Explorer a server Exchange.

Balíček MS13-059 je kumulativní aktualizací pro Internet Explorer, který opravuje 11 zranitelností – 9 z nich je v závislosti na verzi prohlížeče a OS podle Microsoftu kritických. Útočník může dosáhnout porušení paměti a vzdáleného spuštění kódu už při zobrazení podvodné stránky.

Záplata MS13-060 je určena pro Windows XP a Windows Server 2003. Vzdálené spuštění kódu lze v tomto případě realizovat přes písma OpenType, ať už jsou vložena do zaslaného dokumentu nebo do HTML kódu na webu. Balíček MS13-061 pak opravuje tři kritické chyby v serveru Exchange (souvisí především s přístupem přes webové rozhraní).

Lze matematicky znemožnit reverzní inženýrství? Amit Sahai a jeho kolegové z University of California v Los Angeles tvrdí, že přišli s konceptem kódu, který zpětné inženýrství vylučuje. Software lze pak použít pouze jediným, původně zamýšleným způsobem. Podobných pokusů dnes existuje celá řada, třeba umožnit práci s daty tak, aby měl uživatel/program přístup pouze k těm, které právě potřebuje, ale vše přitom bylo stále šifrováno, každý kousek dat souboru či databáze uvolňován jen přechodně a na vyžádání. Sahai tvrdí, že skutečně techniku software obfuscation dovedli do stavu, kdy je matematicky neprolomitelná (nebo by vyžadovala najít dosud neznámé matematické postupy).

Zdroj: Phys.org

Na konferenci Black Hat v Las Vegas byla demonstrována technika, která během okamžiku dokáže dešifrovat údaje přenášené přes zabezpečené protokoly https/tls/ssl. Ukázku předvedli Angelo Prado, Neal Harris a Yoel Gluck. Problém má být v algoritmu Deflate, který se používá pro kompresi dat přenášených mezi prohlížečem a serverem. Zneužití je založeno na exploitu Compression Ratio Info-leak Made Easy (CRIME).

Analýza Gartner Group uvádí, že uživatelé nemají zájem si na své smartphony instalovat antivirový apod. bezpečnostní software a už vůbec nejsou ochotni za něj platit. Lidé vesměs vnímají mobilní telefon jinak než počítač, je to přístroj/elektronika a odmítají placený software (asi jako by si člověk nechtěl koupit software do lednice, aby mrazila). Vzhledem k trendu BYOD (používání soukromých zařízení pro pracovní účely) je tedy vynucení alespoň základní bezpečnosti na správcích podnikového IT, na samotné uživatele spoléhat nelze.

Z pohledu dodavatelů zabezpečení – nabízejí se samozřejmě možnosti dodávat základní produkt zdarma nebo se soustředit na dohody s výrobci/operátory a dodávat bezpečnostní software spolu se zařízením.

Další analýza Gartner: Ředitelé IT by se měli oprostit od toho, že jejich hlavním úkolem je zajištění shody s předpisy a jinými regulačními požadavky (compliance). Ať tyto záležitosti primárně řeší oddělení pro řízení rizik, IT má spíše podporovat vlastní podnikání.

Toto je ovšem skutečná lahůdka. Veškeré spotřebiče kolem nás jsou dnes (potenciálně) chytré, takže máme i smart toalety. Daniel Crowley z bezpečnostní firmy Trustwave SpiderLabs uvádí, že tudíž i chytré hajzlíky lze hacknout. Co to může reálně znamenat? Například lze prý vzdáleně vyvolat splachování a tudíž i účet za vodu. Nebo klapání prkýnka, šok a hrůzu, že v domě straší. Tak alespoň praví společnost Trustwave, zranitelné mají být chytré záchodky Lixil prodávané pod značkou Satis. (Detaily: toalety komunikují přes Bluetooth, od výrobce je zadáno výchozí heslo etc. Příslušná chytrá toaleta dokáže řadu dalších věcí, zapíná větrání či doprovodnou hudbu, aplikuje deodoranty, snad i nějak monitoruje zdravotní stav uživatele. Útočník se tedy asi může celkem vyřádit.) Zdroj: Phys.org

V první polovině letošního roku došlo ke třicetiprocentnímu nárůstu škodlivých kódů pro mobilní zařízení. Už v roce 2012 experti z FortiGuard předpovídali, že finančně atraktivní vydírající malware najde svoji cestu do mobilních zařízení. Situaci značně napomáha současný stav dominantního operačního systému OS Android.

Ačkoliv pro platformy Ruby on Rails, Java, Adobe Acrobat či Apache přichází čím dál více aktualizací, specialisté z FortiGuard Labs konstatují, že útočníci se stále zaměřují na staré zranitelnosti.

Zdroj: tisková zpráva společnosti Fortinet

Společnost AVG Technologies oznámila finanční výsledky za druhé čtvrtletí 2013. Příjmy dosáhly 100,4 milionů dolarů. V porovnání se stejným obdobím loňského roku jde o 22% nárůst. Zisk má hodnotu 21,7 milionů dolarů. K 30. 6. 2013 měla AVG Technologies 155 milionů aktivních uživatelů.

Zdroj: tisková zpráva společnosti AVG

Gary Kovacs jmenován do pozice Chief Executive Officer a Managing Director společnosti AVG. Kovacs přešel z Mozilla Corporation, kde působil jako CEO. AVG současně jmenovala Franka Essera do pozice Independent Supervisory Director v dozorčí radě společnosti. Zdroj: tisková zpráva společnosti AVG

Eset představil kompletně přepracovanou aplikaci Eset Mobile Security pro Android. Nová generace mobilního produktu nabízí vylepšené skenování, antiphishingový modul a nové uživatelské rozhraní. Aplikace dokáže řešit i nedávno objevenou zranitelnost Android Master Key. Funkce bezpečnostního auditu monitoruje povolení nainstalovaných aplikací, jako lokalizace polohy, přístup ke kontaktům nebo nákupy v rámci aplikace.

Zdroj: tisková zpráva společnosti Eset

Na internetové stránky hudebního festivalu BeeFree 2013 byl neznámým autorem přidán škodlivý kód. Tento malware kód Eset detekuje pod názvem JS/Kryptik.ANM.

Zdroj: tisková zpráva společnosti Eset

Výzkumníci společnosti Eset provedli analýzu zajímavé formy bankovního trojského koně, která se šířila v Brazílii. Hrozba mj. zneužívala ke shromažďování informací o obětech brazilský vládní server.

Zdroj: tisková zpráva společnosti Eset

Ve druhé čtvrtině roku 2013 se podíl spamu na celkové e-mailové komunikaci zvýšil v porovnání s předchozím čtvrtletím o 4,2 % na 70,7 %. Phishing přitom představoval 0,0024 %. Zdroj: tisková zpráva společnosti Kaspersky Lab

Sdružení CZ.NIC spouští dvojici projektů zaměřených na zkvalitnění prostředí českého Internetu. Provozovatelům a správcům webů je určen projekt Skener webu pomáhající odhalit nejčastější zranitelná místa webových aplikací. Služba CAPTCHA Help navazující na projekt Dobrý kód podporuje hendikepované uživatele při autorizaci prostřednictvím obrázkových kódů. Obě služby jsou pro uživatele zdarma. Zdroj: tisková zpráva sdružení CZ.NIC

GFI nabízí na českém trhu GFI Cloud, nabídku cloudových služeb pro malé a středně velké společnosti. Nabídka je určena pro skupinu podniků, které mají zájem o cloudové služby v oblasti zabezpečení podnikových sítí, ale které nechtějí svěřit svou IT infrastrukturu do rukou poskytovatelů řízených služeb (MSP). Zdroj: tisková zpráva společnosti GFI Software

Bankovní institut vysoká škola (BIVŠ) v Praze otevírá studentům a pedagogům specializované IT pracoviště umožňující simulaci nestandardních stavů systémů používaných v bankovních a finančních institucích.

Zdroj: tisková zpráva BIVŠ

Jason Fossen ze SANS Intitute uvádí, že zločinci si dnes zero day zranitelnosti objevené ve Windows XP zřejmě šetří. Pokud by je začali zneužívat dnes, Microsoft by brzy vydal záplatu. Od dubna 2014 však tento systém přestane být podporován a žádné bezpečnostní aktualizace už nebudou (s výjimkou zákazníků, kteří mají s Microsoftem speciální smlouvy).


Komentáře

Pavel Šimerda #1
Pavel Šimerda 15. srpen 2013 12:23

„Sahai tvrdí, že skutečně techniku software obfuscation dovedli do stavu, kdy je matematicky neprolomitelná (nebo by vyžadovala najít dosud neznámé matematické postupy).“

Sračky.

xurfa #2
xurfa 15. srpen 2013 13:42

Záleží na tom, jak vypadá hardware :-)


RSS 

Komentujeme

Chatbot mluví za mrtvého – od nápadu k realizaci

Pavel Houser , 30. listopad 2016 13:00
Pavel Houser

Na webu The Verge popsala Casey Newton příběh dvou přátel (Eugenia Kuyda a Roman Mazurenko). Peripet...

Více





Kalendář

20. 03.

24. 03.
CeBIT 2017
RSS 

Zprávičky

Nový zákon o výzkumu chystá "blacklist" příjemců i ministerstvo

ČTK , 09. prosinec 2016 16:31

Velké změny ve fungování Grantové a Technologické agentury, novou vědeckou radu ČR i takzvaný "black...

Více 0 komentářů

Fitbit koupil průkopníka chytrých hodinek Pebble

ČTK , 09. prosinec 2016 15:00

Americký výrobce chytrých náramků a hodinek Fitbit koupil software, patenty a další aktiva duševního...

Více 0 komentářů

Američané možná umožní v letadlech telefonování přes wi-fi

ČTK , 09. prosinec 2016 13:00

Aerolinky ve Spojených státech by v budoucnu mohly umožňovat telefonování v letadle s použitím wi-fi...

Více 2 komentářů

Starší zprávičky

Česká pošta od ledna zdraží posílání do zahraničí o pět až 20 Kč

ČTK , 09. prosinec 2016 11:39

Česká pošta od ledna zvýší ceny za posílání listovních zásilek do zahraničí o pět korun, balíky podr...

Více 0 komentářů

Za vzněcováním smartphonu iPhone 6 jsou vnější vlivy, tvrdí Apple

ČTK , 08. prosinec 2016 11:30

Firma Apple odmítla podezření čínských uživatelů svého chytrého telefonu iPhone 6, že za problémy s ...

Více 0 komentářů

Verizon prodá firmě Equinix datová centra za 3,6 miliardy USD

ČTK , 08. prosinec 2016 10:00

Největší americký mobilní operátor Verizon Communications prodá specializované společnosti Equinix 2...

Více 0 komentářů

Tchajwanský Foxconn jedná o rozšíření svých aktivit v USA

ČTK , 07. prosinec 2016 15:00

Tchajwanská společnost Foxconn jedná o rozšíření svých aktivit ve Spojených státech. Oznámila to dne...

Více 0 komentářů