Bezpečnostní přehled: Jak je na tom se zabezpečením nový Firefox OS

Pavel Houser , 25. září 2013 09:00 1 komentářů
Bezpečnostní přehled: Jak je na tom se zabezpečením nový Firefox OS

Zero day útoky proti Internet Exploreru. Přihlašování ve Windows 8 terčem kritiky. Zadní vrátka úpravou na úrovni polovodiče vzdorují detekci. Následuje pravidelný bezpečnostní přehled vytvářený především podle webů ZDNet, CNet, The Register a HelpNet Security.

Nové metody Microsoftu při přihlašování k systému Windows 8 a Windows RT, kombinace obrázků a gest, jsou možná přínosem pro pohodlí uživatelů, oproti textovým heslům však z hlediska zabezpečení představují krok zpět. Dokonce mají být ještě méně bezpečné než čtyřmístný PIN. K takovému závěru alespoň dospěla analýza výzkumníků z Arizona State University a Delaware State University, která byla prezentována na konferenci Usenix Security Symposium. Tři gesta podle Microsoftu odpovídají 1,155 miliardy možnostem, jenže to řádově odpovídá 6 znakům kombinovaných z písmen od A do Z, což by dnes nebylo považováno za bezpečné ani proti lámání hrubou silou. Navíc gesta typicky nebudou náhodná, tj. lze používat různé obdoby slovníkových útoků – např. tzv. body zájmu v obrázku (Points of Interest, PoIs). Z toho se pak odvozuje finální srovnání s 4místným PINem.

Průřez podmořským optickým kabelem (zdroj: Wikimédia))
Průřez podmořským optickým kabelem (zdroj: Wikimédia))
Belgická společnost Belgacom, provozující mj. kritickou infrastrukturu podmořských kabelů, uvádí, že došlo k ohrožení vlastní firemní sítě, pravděpodobně v důsledku útoku ze zahraničí. Malware se pokoušel o kybernetickou špionáž. Případ se dává do souvislosti s „kauzou NSA/GCHQ“, také ale s tím, že Belgacom zajišťuje zahraniční internetovou konektivitu a telefonní hovory třeba pro Sýrii či Jemen. Aby to bylo ještě zamotanější, bezpečnostní experti navíc upozorňují na údajnou podobnost mezi útokem na Belgacom a norský Telenor, kde podle firmy Norman vedly stopy do Indie.

V případě Belgacomu útočníci údajně neuspěli (případ se ovšem šetří...), nebyla dotčena žádná data zákazníků ani ohroženo poskytování služeb.

Jak bezpečný je mobilní operační systém Firefox OS, kombinující jádro Linuxu a runtime Gecko? Peter Pi, analytik společnosti Trend Micro, uvádí, že výhodou je omezení aplikací na ty webové (HTML, JavaScript, CSS, obrázky, streamovaná média...). Aplikace spouštěné v systému se dělí na skupiny hosted (lze instalovat z jakéhokoliv webu, nemají žádná dodatečná oprávnění), privileged (mohou požadovat dodatečná oprávnění, musí však být ověřena a podepsána v app store MarketPalce) a certified (mají nejvyšší oprávnění a na telefon je smí předinstalovat pouze výrobce/operátor).

Řízení oprávnění na úrovni běžných aplikací je uspokojivé, zdrojem zranitelností se ale mohou stát procesy blíže jádru systému, které mají vyšší oprávnění. Potenciální bezpečností ohrožení mohou představovat také samotné vlastnosti HTML 5.

Výzkumníci z USA, Nizozemí, Švýcarsko a Německo navrhli zadní vrátka vytvořená přímo na úrovni hardwarového návrhu čipů. Změna byla provedena na úrovni dopantů (tj. látek přidávaných do polovodiče pro zvýšení vodivosti, u křemíku jsou to hlavně prvky ze 3. nebo 5. skupiny periodické tabulky – podle toho, zda chceme vodivost elektronovou nebo děrovou) použitých v polovodičích/tranzistorech. Příslušný trik nejde údajně odhalit pomocí prohlídky integrovaných obvodů mikroskopem ani jinými detekčními nástroji. Trik by navíc mohl fungovat tak, že behaviorální analýza by nic nezjistila: procesor by se choval normálně, trojský kůň či jiný malware by se aktivoval až např. po zaslání speciálního paketu. Postup byl testován pomocí úpravy generátoru náhodných čísel v procesoru Intel Ivy Bridge. Náhodná čísla se přitom používají ke tvorbě šifrovacích klíčů, takže pokud ve skutečnosti nejsou náhodná... Zdroj: Phys.org

Firma FireEye upozorňuje na probíhající zero day útoky proti zranitelnosti v Internet Exploreru (CVE-2013-3893). Kampaň nazvaná DeputyDog cílí prý zatím především na organizace v Japonsku, přičemž útočníci byli vystopováni do Číny.

Microsoft prozatím vydal pro příslušnou zranitelnost opravný nástroj Fix It, datum vydání plnohodnotné záplaty zatím není známo (příští datum pravidelných oprav bude v úterý 8. října). Chyba se týká všech aktuálně podporovaných verzí MS Internet Exploreru.

Na první místo žebříčku nejrozšířenějších počítačových hrozeb se po dlouhé době dostal malware, který se nepřenáší prostřednictvím přenosných médií. Globální statistiky Eset Live Grid ukazují, že v srpnu byl celosvětově nejrozšířenějším škodlivým kódem HTML/IFrame s podílem 4,26 %. V České republice dosáhla tato hrozba podílu 6,05 %, což i zde stačilo na první příčku. Tento malware přesměrovává uživatele na webové stránky se škodlivým softwarem.

V červenci nejrozšířenější malware, červ Win32/Bundpil, má aktuální globální podíl 3,45 % a je na 2. místě. HTML/ScrInject v srpnu celosvětově obsadil třetí pozici s podílem 2,59 %. V ČR byl druhým nejrozšířenějším škodlivým kódem HTML/Fraud, třetí VBS/TrojanDownloader.Age.

Zdroj: tisková zpráva společnosti Eset

Nový výzkumný projekt sdružení CZ.NIC s názvem Turris počítá s vývojem domácího routeru, který by kromě samotného směrování měl také identifikovat podezřelé datové toky a porovnávat je s daty z ostatních routerů. Po identifikaci útoku budou vytvořeny aktualizace a distribuují se do celé sítě. Pro tento rok počítá CZ.NIC s výrobou a nasazením tisíce routerů Turris v testovacím provozu, zájemci o testování zařízení získají formou pronájmu za 1 Kč.

Zdroj: CZ.NIC

AirWatch uvádí AirWatch Workspace, řešení pro bezpečnou kontejnerizaci podnikových dat na mobilních zařízeních (tj. zabezpečení podnikových aplikací i bez komplexní správy zařízení, zajišťuje jednotné přihlašování k podnikovým aplikacím). Řešení je k dispozici pro iOS a Android.

Zdroj: tisková zpráva společnosti AirWatch

AirWatch ve svých produktech oznamuje podporu pro nové funkce v iOS 7, včetně správy otevírání dokumentů, nastavení VPN podle aplikace, jednotného přihlášení do podnikových aplikací a ochrany dat v aplikacích třetích stran.

Zdroj: tisková zpráva společnosti AirWatch

41 % obětí kybernetických finančních podvodů nedostane ztracené peníze již nikdy zpět. Vyplývá to z průzkumu společnosti Kaspersky Lab a B2B International Kaspersky Consumer Security Risks. Toho se letos v létě zúčastnilo přes 8 600 respondentů v 19 zemích světa, 400 z nich pocházelo z ČR. Ke krádežím docházelo nejčastěji při platbě on-line, na 2. místě byla práce s internetovým bankovnictvím.

Zdroj: tisková zpráva společnosti společnosti Kaspersky Lab

Zyxel uvádí hardwarové firewally ZyWall 110, 310 a 1100. Zařízení (nejvýkonnější model) mají propustnost 3,6 Gb/s a umožňují VPN připojení o rychlosti 800 Mb/s. Připojení IPsec VPN se zajišťuje šifrovacím algoritmem SHA (Secure Hash Algorithm) 2. Podle dodavatele jsou tyto produkty určeny především pro menší firmy a pobočky.

Zdroj: tisková zpráva společnosti ZyXel

CheckPoint uvádí službu R77. Jedná se o nejnovější verzi řešení řešení Software Blade Architecture. K novinkám má patřit např. funkce ThreatCloud Emulation určená pro ochranu před útoky zero day. Unifikovaný operační systém GAiA pro bezpečnostní zařízení má zajistit rychlejší aktualizace i upgrady a vylepšené rozhraní pro správce zabezpečení.

Zdroj: tisková zpráva společnosti CheckPoint

Na trh přichází síťová bezpečnostní kamera SD-2020 (Speed Dome). Zařízení spadá do modelové řady PTZ a nabízí např. motorické polohování objektivu. Kamera se dodává s dohledovým softwarem CamPro 64 Express.

Zdroj: Tisková zpráva společnosti AirLive

GFI oznámila dostupnost GFI LanGuard 2014, nové verze řešení pro SMB sektor. Umožňuje automatizovat patch management (nabízí zde jednotné rozhraní pro firemní administrátory), hodnotit zranitelnost sítě a auditovat síťovou infrastrukturu. Nová verze obsahuje hodnocení zranitelnosti pro mobilní zařízení, včetně tabletů a chytrých telefonů s operačními systémy iOS, Android a Windows Mobile, podporu pro Linux a aktualizace více než 20 nových aplikací třetích stran (LibreOffice, InfranView, Google Drive, Adobe Photoshop, Illustrator, InDesign...). Skenuje také zranitelnosti speciálních zařízení (směrovače, přepínače, tiskárny...). Zdroj: tisková zpráva společnosti společnosti GFI Software

Na téma podnikového zabezpečení na ITBiz viz také: iPhone 5S jako bezpečnostní hrozba?

Shrnutí: Nejde ani o invazi do soukromí, ani o zvláštní bezpečnostní výhodu.

Jonathan French, analytik AppRiver, na HelpNet Security naopak pokládá autorizaci uživatele pomocí otisku prvku za dobrý nápad. Velká část uživatelů si totiž telefony ani jejich obsah nijak nezamyká heslem. Teď bude alespoň nějaké zabezpečení vynuceno. French chválí také technické vlastnosti čtečky, kdy např. dokáže otisk odečítat z prstu v řadě poloh.

Naopak skupina Chaos Computer Club uvádí, že čtečku otisků od Applu se jim již podařilo kompromitovat. Podrobnosti v příštím bezpečnostním přehledu.


Komentáře

ET #1
ET 25. září 2013 17:16

to je porad dokola - zajišťuje !!!šifrovacím!!! algoritmem SHA (Secure !!!Hash!!! Algorithm) 2


RSS 

Komentujeme

Chatbot mluví za mrtvého – od nápadu k realizaci

Pavel Houser , 30. listopad 2016 13:00
Pavel Houser

Na webu The Verge popsala Casey Newton příběh dvou přátel (Eugenia Kuyda a Roman Mazurenko). Peripet...

Více





Kalendář


RSS 

Zprávičky

Ruská Centrální banka oznámila masivní útok hackerů

ČTK , 06. prosinec 2016 11:00

Do systému ruské Centrální banky se letos dostali hackeři a s pomocí zfalšovaných hesel se pokusili ...

Více 0 komentářů

CETIN vydal dluhopisy za 25 miliard Kč

ČTK , 05. prosinec 2016 18:00

Česká telekomunikační infrastruktura (CETIN) upsala dluhopisy v eurech a korunách v celkovém objemu ...

Více 1 komentářů

Nahradí otisky prstů přístupová hesla?

ČTK , 05. prosinec 2016 14:30

Zní to jako skvělý nápad: zapomeňte na hesla a zamykejte telefon místo nich otiskem svého prstu. Je ...

Více 1 komentářů

Starší zprávičky

Počítač a internet má na jižní Moravě více než 75 pct domácností

ČTK , 05. prosinec 2016 10:30

Počet jihomoravských domácností, které mají počítač a přístup k internetu, se loni přehoupl na jižní...

Více 0 komentářů

Vodafone zvýšil do září počet zákazníků na 3,54 milionu

ČTK , 04. prosinec 2016 18:00

Mobilní operátor Vodafone zvýšil do konce září počet zákazníků na českém trhu meziročně o 146.000 na...

Více 0 komentářů

Nový škodlivý program ukradl údaje k milionu účtů Google

ČTK , 02. prosinec 2016 14:00

Nový škodlivý program Goolian narušil bezpečnost více než jednoho milionu účtů Google. Šíří se na za...

Více 1 komentářů

Telefony Nokia se příští rok vrátí na trh

ČTK , 02. prosinec 2016 10:30

Chytré telefony se značkou Nokia se objeví zpátky na trhu v příštím roce. Finská společnost Nokia dn...

Více 2 komentářů