margin-top: 125px; border: 1px solid gray; } -->

Bezpečnostní přehled: Jak rychle záplatuje své systémy tuzemská státní správa

Pavel Houser, 07. květen 2014 12:00 1 komentářů
Bezpečnostní přehled: Jak rychle záplatuje své systémy tuzemská státní správa

Byla poslední záplata pro Windows XP opravdu poslední? Další problémy kolem OpenID. Má cenu snažit se změnit způsob zobrazování adresy ve webovém prohlížeči? Proběhlo cvičení cvičení Cyber Europe 2014. Jak rychle záplatuje své systémy tuzemská státní správa? Následuje pravidelný bezpečnostní přehled vytvářený především podle webů ZDNet, CNet, The Register a HelpNet Security.

Microsoft vydal mimořádnou záplatu chyby v Internet Exploreru. Oproti očekávání byla záplata nakonec uvolněna i pro Windows XP, ačkoliv podpora tohoto systému již skončila (viz minulý bezpečnostní přehled). Uživatelům Windows XP se záplata nabízí i automaticky přes Windows Update. Adrienne Hall, ředitelka divize Microsoft Trustworthy Computing, ovšem dodala, že jde o výjimečný krok a uživatelé Windows XP nemohou počítat s tím, že podobný postup bude Microsoft opakovat, a proto nedoporučuje přechod na nový operační systém dále odkládat.

Bezpečnostní experti upozorňují na zranitelnost v protokolu OAuth/OpenID, respektive v konkrétních implementacích těchto standardů. OAuth 2.0 používají k přihlašování hlavní internetové služby, např. Google, Yahoo, Facebook a Microsoft. Na problém jako první upozornil postgraduální student Wang Jing z Nanyang Technological University v Singapuru. Útočníci jej mohou potenciálně zneužít k přesměrování oběti na podvodné stránky, kde v adresním řádku stále zůstane matoucím způsobem URL stránky legitimní. Taktéž lze při přesměrování sebrat přihlašovací údaje k původně zamýšlenému cílovému webu. Postup zneužití demonstruje následující video na YouTube:

Útoky zatím zaznamenány nebyly a v porovnání s HeartBleed se problém pokládá za méně závažný.

Google v experimentální verzi prohlížeče Chrome (Canary) zkouší nezobrazovat v adresním řádku údaje předcházející doméně, tj. www (http:// už nezobrazuje ani standardní Chrome) ale ani další řetězce kromě samotného názvu domény druhé úrovně. Cílem je, aby uživatel lépe viděl na konec adresy a nemohl být tak snadno oklamán (ve stylu legitimniweb-dlouha-adresa.podvodnyweb.tld). Viz také zranitelnost popsaná výše. Apple má podobnou funkci v Safari pro iOS 7, kde je problém ještě závažnější kvůli velikosti adresního řádku na displejích mobilních zařízeních.

I když mezi zobrazeními v Canary lze překlikávat, uživatele nový způsob zobrazování mátl, do hlavní verze Chrome pro jejich odpor nebyl zařazen a budoucnost tohoto přístupu je nejistá. Ani v Googlu nejsou v názoru na příslušnou funkci jednotní. Subjektivně: člověk chce mít možnost adresu z řádku jednoduše kopírovat, ale hlavně si už na určitou podobu zvykl, i smysluplné změny jsou rušivé.

Jak upozorňují bezpečnostní výzkumníci Facebooku, po nějaké době byl opět hromadně zaznamenán malware Sefnit. Vytváří botnet, který svým provozovatelům vydělává především těžbou bitcoinů a clickjackingem. Loni tento malware popsali především výzkumníci Microsoftu a upozorňovali, že používá službu Tor. To už nyní neplatí, nyní infikované počítače s řídicími servery komunikují přímo (přes zabezpečené spojení Plink).

Ve FreeBSD byla bjevena chyba připomínající problém Krvácejícího srdce (Heartbleed). Útočníci mohou v nezáplatovaných systémech získat oprávnění pomocí posílání speciálních paketů protokolu TCP. Systém FreeBSD se nachází v PlayStation, některých chytrých televizích, ale i přímo v bezpečnostních zařízeních (appliance). Ze známějších značek jde např. o CheckPoint, IronPort, Juniper, McAfee a Sophos.

Exploit by měl být obtížný, hlavní riziko ale zřejmě spočívá v tom, že FreeBSD se často nachází v zařízeních, kde o jeho existenci nikdo neví, nebo se tato zařízení alespoň nijak nezáplatují. To se týká hlavně domácích uživatelů, i když útok na zranitelnost ve většině případů způsobí spíše zhavarování jádra OS a nedostupnost služby než vlastní únik oprávnění.

AOL připustila možné narušení svých serverů. Útočníci se mohli dostat k e-mailovým adresám uživatelů včetně jejich dalších kontaktních údajů (fyzické adresy apod.). Hesla, odpovědi na bezpečnostní otázky nebo čísla platebních karet podle AOL nijak ohroženy nejsou. Obětem ovšem nyní hrozí personalizovanější spam...

Oracle uvádí novou službu pro zálohování databáze. Služba Oracle Database Backup Service je integrována s řešením Oracle Recovery Manager (RMAN), což zákazníkům umožňuje provádět zálohování i obnovu mezi cloudem a prostředím on-premise mj. pomocí příkazů, které znají z prostředí RMAN. Přenos dat při zálohování podporuje kompresi i paralelizaci. Součástí řešení je i šifrování na straně klienta, které umožňuje end-to-end zabezpečení dat.

Zdroj: tisková zpráva společnosti Oracle

Fortinet oznámil finanční výsledky za první čtvrtletí letošního roku. Celkový obrat firmy byl 187,6 milionů dolarů, což představuje meziroční nárůst 26 %.

Zdroj: tisková zpráva společnosti Fortinet

Společnost HP oznámila, že Evropská komise si zvolila řešení divize Enterprise Services pro koordinaci projektu tzv. CoCo (Confidential and Compliant) cloudu. CoCo Cloud má koncovým uživatelům poskytnout bezpečné prostředí, které nabídne datové úložiště a uživatelsky definovaná pravidla pro ukládání, sdílení a přístup k datům.

Zdroj: tisková zpráva společnosti HP

Nově zjištěný malware, útočící na zařízení s Androidem, využívá mechanismus pro řetězové šíření. Jde o techniku, která je u hrozeb pro PC běžná, ale na mobilních telefonech se jedná o novinku. Android/Samsapo.A. se šíří tak, že na všechny kontakty z napadeného zařízení rozešle SMS s textem typu „Je tohle Tvá fotka?” a odkazem, který však vede nikoli na fotografii uživatele, nýbrž na instalační balíček malwaru. Jedná se především o downloader stahující další programy, takže široké je i spektrum možných škodlivých aktivit.

Zdroj: tisková zpráva společnosti Eset

Na trh přichází nové bezpečnostní řešení pro virtualizaci – Kaspersky Security for Virtualization – Light Agent nabízející ochranu pro virtualizační platformy VMware, Citrix XenServer a Microsoft Hyper-V. Má jít o kompromis mezi bezpečnostními agenty a bezagentovým řešením, kdy oba tyto přístupy mají ve virtualizovaném prostředí své výhody i nevýhody. Kaspersky Lab bude nadále nabízet také řešení Kaspersky Security for Virtualization – Agentless, v současnosti dostupné pro VMware.

Zdroj: tisková zpráva společnosti Kaspersky Lab

Přes 200 organizací a více než 400 odborníků na ICT bezpečnost z 29 zemí včetně ČR se zúčastnilo cvičení Cyber Europe 2014. Cvičení Cyber Europe 2014 má tři fáze – technickou, operativní a politickou. Právě proběhlá fáze byla technická. Účastníci řešili reálné bezpečnostní problémy a analyzovali několik scénářů, které mohou mít vliv na důvěrnost, integritu a dostupnost citlivých informací nebo kritických infrastruktur. Cvičení organizovala Evropská agentura pro síťovou a informační bezpečnost (ENISA), ČR v něm zastupovaly týmy z CZ.NIC, Národního bezpečnostního úřadu, NIX.CZ, CESNET, CSIRT-MU, Policejní akademie ČR a společností Unicorn a Active24.

Zdroj: tisková zpráva sdružení Cesnet

Představena byla nová služba s Barracuda Threatglass. Jedná se o bezplatný on-line nástroj, díky němuž je možné prohlížet, sdílet a analyzovat informace o webových serverech obsahujících škodlivé kódy. Distributorem zařízení Barracuda Networks pro ČR a Slovensko je společnost Gesto Communications.

Zdroj: tisková zpráva společnosti Gesto Communications

CSIRT a CZ.NIC provedly test webů české státní správy na zranitelnost Heartbleed. Test se uskutečnil ve 2 vlnách, o zjištěné zranitelnosti byli provozovatelé vždy informováni. Posléze „...byla opravena většina ze sedmi zranitelných webů státní správy, takže nyní již touto zranitelností trpí pouze 2 z 369 webů státní správy, které máme v našem seznamu.“ CSIRT/CZ.NIC se hodlá nadále zaměřit i na testování webů státní správy z hlediska bezpečnosti publikačních (CMS) systémů.

Zdroj: blog sdružení CZ:NIC


Komentáře

Kolemjdouci #1
Kolemjdouci 07. květen 2014 16:29
RSS 

Komentujeme

Sociální sítě pro B2B? Bláznovství!

Richard Jan Voigts , 17. květen 2017 07:00
Richard Jan Voigts

Agentura Ami Digital provedla průzkum ohledně využívání sociálních sítí v České republice. Ami Digit...

Více





RSS 

Zprávičky

Ruská policie zadržela podezřelé z útoku na Sberbank

Pavel Houser , 23. květen 2017 08:00

Ruští hackeři s využitím viru nasazeného do mobilů se systémem Android ukradli asi milion dolarů (24...

Více 0 komentářů

Hodnota bitcoinu stoupla na nový rekord přes 2100 dolarů

ČTK , 22. květen 2017 18:49

Posilování napomáhají mj. spekulace, že americká Komise pro cenné papíry a burzy (SEC) by mohla změn...

Více 0 komentářů

Firewall pro koncentraci VPN

Pavel Houser , 22. květen 2017 17:29

Zyxel Communications představil hardwarový VPN firewall USG2200-VPN. Zákazníkům má toto řešení přiné...

Více 1 komentářů

Starší zprávičky

ČTU hájí novelu zákona o přechodu na DVB-T2

Pavel Houser , 22. květen 2017 14:47

Přechod na nový standard bude spojen s náklady na straně spotřebitele....

Více 0 komentářů

V Česku využívají satelitní pirátský příjem desítky tisíc lidí

ČTK , 22. květen 2017 10:53

Evropský soudní dvůr ale nedávno rozhodl, že prodávat multimediální přehrávače umožňující pirátský s...

Více 2 komentářů

Fond získal téměř 100 miliard dolarů pro technologické investice

ČTK , 22. květen 2017 08:00

Softbank Vision Fund chce investovat do oborů, jako je umělá inteligence nebo robotika. Peníze získa...

Více 0 komentářů

Apple I v Kolíně nad Rýnem vydražili za 110 000 eur

ČTK , 21. květen 2017 09:38

V podobně dobrém stavu se ve světě vyskytuje jen osm těchto přístrojů....

Více 0 komentářů