Bezpečnostní přehled: Hacknout lze prý i chytrý záchod

Pavel Houser , 15. srpen 2013 09:00 2 komentářů
Bezpečnostní přehled: Hacknout lze prý i chytrý záchod

Na toaletách opatrně. Srpnové záplaty Microsoftu. Matematika a reverzní inženýrství. Uživatelé nejsou ochotní platit za bezpečnostní software pro smartphony. Následuje pravidelný bezpečnostní přehled vytvářený především podle webů ZDNet, CNet, The Register a HelpNet Security.

Jako každé druhé úterý v měsíci, i nyní Microsoft vydal svůj pravidelný balíček bezpečnostních záplat. Celkem 8 bulletinů zabezpečení řeší 23 zranitelností. Postižen je operační systém, Internet Explorer a server Exchange.

Balíček MS13-059 je kumulativní aktualizací pro Internet Explorer, který opravuje 11 zranitelností – 9 z nich je v závislosti na verzi prohlížeče a OS podle Microsoftu kritických. Útočník může dosáhnout porušení paměti a vzdáleného spuštění kódu už při zobrazení podvodné stránky.

Záplata MS13-060 je určena pro Windows XP a Windows Server 2003. Vzdálené spuštění kódu lze v tomto případě realizovat přes písma OpenType, ať už jsou vložena do zaslaného dokumentu nebo do HTML kódu na webu. Balíček MS13-061 pak opravuje tři kritické chyby v serveru Exchange (souvisí především s přístupem přes webové rozhraní).

Lze matematicky znemožnit reverzní inženýrství? Amit Sahai a jeho kolegové z University of California v Los Angeles tvrdí, že přišli s konceptem kódu, který zpětné inženýrství vylučuje. Software lze pak použít pouze jediným, původně zamýšleným způsobem. Podobných pokusů dnes existuje celá řada, třeba umožnit práci s daty tak, aby měl uživatel/program přístup pouze k těm, které právě potřebuje, ale vše přitom bylo stále šifrováno, každý kousek dat souboru či databáze uvolňován jen přechodně a na vyžádání. Sahai tvrdí, že skutečně techniku software obfuscation dovedli do stavu, kdy je matematicky neprolomitelná (nebo by vyžadovala najít dosud neznámé matematické postupy).

Zdroj: Phys.org

Na konferenci Black Hat v Las Vegas byla demonstrována technika, která během okamžiku dokáže dešifrovat údaje přenášené přes zabezpečené protokoly https/tls/ssl. Ukázku předvedli Angelo Prado, Neal Harris a Yoel Gluck. Problém má být v algoritmu Deflate, který se používá pro kompresi dat přenášených mezi prohlížečem a serverem. Zneužití je založeno na exploitu Compression Ratio Info-leak Made Easy (CRIME).

Analýza Gartner Group uvádí, že uživatelé nemají zájem si na své smartphony instalovat antivirový apod. bezpečnostní software a už vůbec nejsou ochotni za něj platit. Lidé vesměs vnímají mobilní telefon jinak než počítač, je to přístroj/elektronika a odmítají placený software (asi jako by si člověk nechtěl koupit software do lednice, aby mrazila). Vzhledem k trendu BYOD (používání soukromých zařízení pro pracovní účely) je tedy vynucení alespoň základní bezpečnosti na správcích podnikového IT, na samotné uživatele spoléhat nelze.

Z pohledu dodavatelů zabezpečení – nabízejí se samozřejmě možnosti dodávat základní produkt zdarma nebo se soustředit na dohody s výrobci/operátory a dodávat bezpečnostní software spolu se zařízením.

Další analýza Gartner: Ředitelé IT by se měli oprostit od toho, že jejich hlavním úkolem je zajištění shody s předpisy a jinými regulačními požadavky (compliance). Ať tyto záležitosti primárně řeší oddělení pro řízení rizik, IT má spíše podporovat vlastní podnikání.

Toto je ovšem skutečná lahůdka. Veškeré spotřebiče kolem nás jsou dnes (potenciálně) chytré, takže máme i smart toalety. Daniel Crowley z bezpečnostní firmy Trustwave SpiderLabs uvádí, že tudíž i chytré hajzlíky lze hacknout. Co to může reálně znamenat? Například lze prý vzdáleně vyvolat splachování a tudíž i účet za vodu. Nebo klapání prkýnka, šok a hrůzu, že v domě straší. Tak alespoň praví společnost Trustwave, zranitelné mají být chytré záchodky Lixil prodávané pod značkou Satis. (Detaily: toalety komunikují přes Bluetooth, od výrobce je zadáno výchozí heslo etc. Příslušná chytrá toaleta dokáže řadu dalších věcí, zapíná větrání či doprovodnou hudbu, aplikuje deodoranty, snad i nějak monitoruje zdravotní stav uživatele. Útočník se tedy asi může celkem vyřádit.) Zdroj: Phys.org

V první polovině letošního roku došlo ke třicetiprocentnímu nárůstu škodlivých kódů pro mobilní zařízení. Už v roce 2012 experti z FortiGuard předpovídali, že finančně atraktivní vydírající malware najde svoji cestu do mobilních zařízení. Situaci značně napomáha současný stav dominantního operačního systému OS Android.

Ačkoliv pro platformy Ruby on Rails, Java, Adobe Acrobat či Apache přichází čím dál více aktualizací, specialisté z FortiGuard Labs konstatují, že útočníci se stále zaměřují na staré zranitelnosti.

Zdroj: tisková zpráva společnosti Fortinet

Společnost AVG Technologies oznámila finanční výsledky za druhé čtvrtletí 2013. Příjmy dosáhly 100,4 milionů dolarů. V porovnání se stejným obdobím loňského roku jde o 22% nárůst. Zisk má hodnotu 21,7 milionů dolarů. K 30. 6. 2013 měla AVG Technologies 155 milionů aktivních uživatelů.

Zdroj: tisková zpráva společnosti AVG

Gary Kovacs jmenován do pozice Chief Executive Officer a Managing Director společnosti AVG. Kovacs přešel z Mozilla Corporation, kde působil jako CEO. AVG současně jmenovala Franka Essera do pozice Independent Supervisory Director v dozorčí radě společnosti. Zdroj: tisková zpráva společnosti AVG

Eset představil kompletně přepracovanou aplikaci Eset Mobile Security pro Android. Nová generace mobilního produktu nabízí vylepšené skenování, antiphishingový modul a nové uživatelské rozhraní. Aplikace dokáže řešit i nedávno objevenou zranitelnost Android Master Key. Funkce bezpečnostního auditu monitoruje povolení nainstalovaných aplikací, jako lokalizace polohy, přístup ke kontaktům nebo nákupy v rámci aplikace.

Zdroj: tisková zpráva společnosti Eset

Na internetové stránky hudebního festivalu BeeFree 2013 byl neznámým autorem přidán škodlivý kód. Tento malware kód Eset detekuje pod názvem JS/Kryptik.ANM.

Zdroj: tisková zpráva společnosti Eset

Výzkumníci společnosti Eset provedli analýzu zajímavé formy bankovního trojského koně, která se šířila v Brazílii. Hrozba mj. zneužívala ke shromažďování informací o obětech brazilský vládní server.

Zdroj: tisková zpráva společnosti Eset

Ve druhé čtvrtině roku 2013 se podíl spamu na celkové e-mailové komunikaci zvýšil v porovnání s předchozím čtvrtletím o 4,2 % na 70,7 %. Phishing přitom představoval 0,0024 %. Zdroj: tisková zpráva společnosti Kaspersky Lab

Sdružení CZ.NIC spouští dvojici projektů zaměřených na zkvalitnění prostředí českého Internetu. Provozovatelům a správcům webů je určen projekt Skener webu pomáhající odhalit nejčastější zranitelná místa webových aplikací. Služba CAPTCHA Help navazující na projekt Dobrý kód podporuje hendikepované uživatele při autorizaci prostřednictvím obrázkových kódů. Obě služby jsou pro uživatele zdarma. Zdroj: tisková zpráva sdružení CZ.NIC

GFI nabízí na českém trhu GFI Cloud, nabídku cloudových služeb pro malé a středně velké společnosti. Nabídka je určena pro skupinu podniků, které mají zájem o cloudové služby v oblasti zabezpečení podnikových sítí, ale které nechtějí svěřit svou IT infrastrukturu do rukou poskytovatelů řízených služeb (MSP). Zdroj: tisková zpráva společnosti GFI Software

Bankovní institut vysoká škola (BIVŠ) v Praze otevírá studentům a pedagogům specializované IT pracoviště umožňující simulaci nestandardních stavů systémů používaných v bankovních a finančních institucích.

Zdroj: tisková zpráva BIVŠ

Jason Fossen ze SANS Intitute uvádí, že zločinci si dnes zero day zranitelnosti objevené ve Windows XP zřejmě šetří. Pokud by je začali zneužívat dnes, Microsoft by brzy vydal záplatu. Od dubna 2014 však tento systém přestane být podporován a žádné bezpečnostní aktualizace už nebudou (s výjimkou zákazníků, kteří mají s Microsoftem speciální smlouvy).


Komentáře

Pavel Šimerda #1
Pavel Šimerda 15. srpen 2013 12:23

„Sahai tvrdí, že skutečně techniku software obfuscation dovedli do stavu, kdy je matematicky neprolomitelná (nebo by vyžadovala najít dosud neznámé matematické postupy).“

Sračky.

xurfa #2
xurfa 15. srpen 2013 13:42

Záleží na tom, jak vypadá hardware :-)

RSS 

Komentujeme

Bezpečnost IT a tygří logika

Pavel Houser , 14. únor 2017 11:00
Pavel Houser

Jak praví známý vtip, běží-li za vámi tygr, netřeba se pohybovat rychleji než šelma – stačí předběhn...

Více






Kalendář

20. 03.

24. 03.
CeBIT 2017
25. 03. INSPO 2017
28. 04. Oracle Code 2017
RSS 

Zprávičky

110 grafických karet vytvořilo kolizi pro SHA-1 - za rok

ITBiz.cz , 25. únor 2017 19:50

Za projektem stojí Google a získal už velký mediální ohlas, i když technické podrobnosti zatím zveře...

Více 0 komentářů

Prodej chytrých telefonů v Německu loni poprvé klesl

ČTK , 25. únor 2017 14:35

Tržby poklesly i přes rostoucí průměrnou cenu smartphonu....

Více 0 komentářů

Japonská Softbank zakládá s Foxconnem společný investiční podnik

ČTK , 24. únor 2017 18:03

Japonská skupina Softbank, která investuje převážně v sektoru vyspělých technologií, a tchajwanský s...

Více 0 komentářů

Starší zprávičky

3D tisk ocelových konstrukcí

Pavel Houser , 24. únor 2017 17:37

Podařilo se "vytisknout" jeřábový hák....

Více 1 komentářů

Třetina operátora mobilní sítě Sigfox je na prodej

Pavel Houser , 24. únor 2017 17:17

Zájemci o investici v oblasti internetu věcí mohou získat až 34% podíl společnosti SimpleCell Networ...

Více 1 komentářů

Hodnota kybernetické měny bitcoin vystoupila na nový rekord

ČTK , 24. únor 2017 15:30

Hodnota kybernetické měny bitcoin se dnes zvýšila o 4,7 procenta a vystoupila na nový rekord 1218,85...

Více 0 komentářů

Apple v dubnu otevře v Kalifornii novou centrálu

ČTK , 24. únor 2017 11:30

Americká společnost Apple v dubnu otevře v kalifornském Cupertinu svou novou centrálu. Stěhování 12....

Více 0 komentářů