margin-top: 125px; border: 1px solid gray; } -->

Bezpečnostní přehled: Jak rychle záplatuje své systémy tuzemská státní správa

Pavel Houser, 07. květen 2014 12:00 1 komentářů
Bezpečnostní přehled: Jak rychle záplatuje své systémy tuzemská státní správa

Byla poslední záplata pro Windows XP opravdu poslední? Další problémy kolem OpenID. Má cenu snažit se změnit způsob zobrazování adresy ve webovém prohlížeči? Proběhlo cvičení cvičení Cyber Europe 2014. Jak rychle záplatuje své systémy tuzemská státní správa? Následuje pravidelný bezpečnostní přehled vytvářený především podle webů ZDNet, CNet, The Register a HelpNet Security.

Microsoft vydal mimořádnou záplatu chyby v Internet Exploreru. Oproti očekávání byla záplata nakonec uvolněna i pro Windows XP, ačkoliv podpora tohoto systému již skončila (viz minulý bezpečnostní přehled). Uživatelům Windows XP se záplata nabízí i automaticky přes Windows Update. Adrienne Hall, ředitelka divize Microsoft Trustworthy Computing, ovšem dodala, že jde o výjimečný krok a uživatelé Windows XP nemohou počítat s tím, že podobný postup bude Microsoft opakovat, a proto nedoporučuje přechod na nový operační systém dále odkládat.

Bezpečnostní experti upozorňují na zranitelnost v protokolu OAuth/OpenID, respektive v konkrétních implementacích těchto standardů. OAuth 2.0 používají k přihlašování hlavní internetové služby, např. Google, Yahoo, Facebook a Microsoft. Na problém jako první upozornil postgraduální student Wang Jing z Nanyang Technological University v Singapuru. Útočníci jej mohou potenciálně zneužít k přesměrování oběti na podvodné stránky, kde v adresním řádku stále zůstane matoucím způsobem URL stránky legitimní. Taktéž lze při přesměrování sebrat přihlašovací údaje k původně zamýšlenému cílovému webu. Postup zneužití demonstruje následující video na YouTube:

Útoky zatím zaznamenány nebyly a v porovnání s HeartBleed se problém pokládá za méně závažný.

Google v experimentální verzi prohlížeče Chrome (Canary) zkouší nezobrazovat v adresním řádku údaje předcházející doméně, tj. www (http:// už nezobrazuje ani standardní Chrome) ale ani další řetězce kromě samotného názvu domény druhé úrovně. Cílem je, aby uživatel lépe viděl na konec adresy a nemohl být tak snadno oklamán (ve stylu legitimniweb-dlouha-adresa.podvodnyweb.tld). Viz také zranitelnost popsaná výše. Apple má podobnou funkci v Safari pro iOS 7, kde je problém ještě závažnější kvůli velikosti adresního řádku na displejích mobilních zařízeních.

I když mezi zobrazeními v Canary lze překlikávat, uživatele nový způsob zobrazování mátl, do hlavní verze Chrome pro jejich odpor nebyl zařazen a budoucnost tohoto přístupu je nejistá. Ani v Googlu nejsou v názoru na příslušnou funkci jednotní. Subjektivně: člověk chce mít možnost adresu z řádku jednoduše kopírovat, ale hlavně si už na určitou podobu zvykl, i smysluplné změny jsou rušivé.

Jak upozorňují bezpečnostní výzkumníci Facebooku, po nějaké době byl opět hromadně zaznamenán malware Sefnit. Vytváří botnet, který svým provozovatelům vydělává především těžbou bitcoinů a clickjackingem. Loni tento malware popsali především výzkumníci Microsoftu a upozorňovali, že používá službu Tor. To už nyní neplatí, nyní infikované počítače s řídicími servery komunikují přímo (přes zabezpečené spojení Plink).

Ve FreeBSD byla bjevena chyba připomínající problém Krvácejícího srdce (Heartbleed). Útočníci mohou v nezáplatovaných systémech získat oprávnění pomocí posílání speciálních paketů protokolu TCP. Systém FreeBSD se nachází v PlayStation, některých chytrých televizích, ale i přímo v bezpečnostních zařízeních (appliance). Ze známějších značek jde např. o CheckPoint, IronPort, Juniper, McAfee a Sophos.

Exploit by měl být obtížný, hlavní riziko ale zřejmě spočívá v tom, že FreeBSD se často nachází v zařízeních, kde o jeho existenci nikdo neví, nebo se tato zařízení alespoň nijak nezáplatují. To se týká hlavně domácích uživatelů, i když útok na zranitelnost ve většině případů způsobí spíše zhavarování jádra OS a nedostupnost služby než vlastní únik oprávnění.

AOL připustila možné narušení svých serverů. Útočníci se mohli dostat k e-mailovým adresám uživatelů včetně jejich dalších kontaktních údajů (fyzické adresy apod.). Hesla, odpovědi na bezpečnostní otázky nebo čísla platebních karet podle AOL nijak ohroženy nejsou. Obětem ovšem nyní hrozí personalizovanější spam...

Oracle uvádí novou službu pro zálohování databáze. Služba Oracle Database Backup Service je integrována s řešením Oracle Recovery Manager (RMAN), což zákazníkům umožňuje provádět zálohování i obnovu mezi cloudem a prostředím on-premise mj. pomocí příkazů, které znají z prostředí RMAN. Přenos dat při zálohování podporuje kompresi i paralelizaci. Součástí řešení je i šifrování na straně klienta, které umožňuje end-to-end zabezpečení dat.

Zdroj: tisková zpráva společnosti Oracle

Fortinet oznámil finanční výsledky za první čtvrtletí letošního roku. Celkový obrat firmy byl 187,6 milionů dolarů, což představuje meziroční nárůst 26 %.

Zdroj: tisková zpráva společnosti Fortinet

Společnost HP oznámila, že Evropská komise si zvolila řešení divize Enterprise Services pro koordinaci projektu tzv. CoCo (Confidential and Compliant) cloudu. CoCo Cloud má koncovým uživatelům poskytnout bezpečné prostředí, které nabídne datové úložiště a uživatelsky definovaná pravidla pro ukládání, sdílení a přístup k datům.

Zdroj: tisková zpráva společnosti HP

Nově zjištěný malware, útočící na zařízení s Androidem, využívá mechanismus pro řetězové šíření. Jde o techniku, která je u hrozeb pro PC běžná, ale na mobilních telefonech se jedná o novinku. Android/Samsapo.A. se šíří tak, že na všechny kontakty z napadeného zařízení rozešle SMS s textem typu „Je tohle Tvá fotka?” a odkazem, který však vede nikoli na fotografii uživatele, nýbrž na instalační balíček malwaru. Jedná se především o downloader stahující další programy, takže široké je i spektrum možných škodlivých aktivit.

Zdroj: tisková zpráva společnosti Eset

Na trh přichází nové bezpečnostní řešení pro virtualizaci – Kaspersky Security for Virtualization – Light Agent nabízející ochranu pro virtualizační platformy VMware, Citrix XenServer a Microsoft Hyper-V. Má jít o kompromis mezi bezpečnostními agenty a bezagentovým řešením, kdy oba tyto přístupy mají ve virtualizovaném prostředí své výhody i nevýhody. Kaspersky Lab bude nadále nabízet také řešení Kaspersky Security for Virtualization – Agentless, v současnosti dostupné pro VMware.

Zdroj: tisková zpráva společnosti Kaspersky Lab

Přes 200 organizací a více než 400 odborníků na ICT bezpečnost z 29 zemí včetně ČR se zúčastnilo cvičení Cyber Europe 2014. Cvičení Cyber Europe 2014 má tři fáze – technickou, operativní a politickou. Právě proběhlá fáze byla technická. Účastníci řešili reálné bezpečnostní problémy a analyzovali několik scénářů, které mohou mít vliv na důvěrnost, integritu a dostupnost citlivých informací nebo kritických infrastruktur. Cvičení organizovala Evropská agentura pro síťovou a informační bezpečnost (ENISA), ČR v něm zastupovaly týmy z CZ.NIC, Národního bezpečnostního úřadu, NIX.CZ, CESNET, CSIRT-MU, Policejní akademie ČR a společností Unicorn a Active24.

Zdroj: tisková zpráva sdružení Cesnet

Představena byla nová služba s Barracuda Threatglass. Jedná se o bezplatný on-line nástroj, díky němuž je možné prohlížet, sdílet a analyzovat informace o webových serverech obsahujících škodlivé kódy. Distributorem zařízení Barracuda Networks pro ČR a Slovensko je společnost Gesto Communications.

Zdroj: tisková zpráva společnosti Gesto Communications

CSIRT a CZ.NIC provedly test webů české státní správy na zranitelnost Heartbleed. Test se uskutečnil ve 2 vlnách, o zjištěné zranitelnosti byli provozovatelé vždy informováni. Posléze „...byla opravena většina ze sedmi zranitelných webů státní správy, takže nyní již touto zranitelností trpí pouze 2 z 369 webů státní správy, které máme v našem seznamu.“ CSIRT/CZ.NIC se hodlá nadále zaměřit i na testování webů státní správy z hlediska bezpečnosti publikačních (CMS) systémů.

Zdroj: blog sdružení CZ:NIC


Komentáře

Kolemjdouci #1
Kolemjdouci 07. květen 2014 16:29

RSS 

Komentujeme

Zákaznické karty čekají změny

Pavel Houser , 17. leden 2017 13:00
Pavel Houser

Jedna z technologií, která se už po léta prakticky nezměnila, i když by mohla? Prý karty zákazníků d...

Více





Kalendář

06. 02.

07. 02.
konference G2B TechEd
15. 02. IDC Predictions 2017
18. 02. WordCamp Praha 2017
RSS 

Zprávičky

Rockaway získala minoritní podíl v Techloop.io

ČTK , 23. leden 2017 16:30

Investiční firma Rockaway Ventures získala minoritní podíl ve firmě Techloop.io, která zprostředkov...

Více 0 komentářů

Za vznícení mobilů Samsungu mohly baterie, firma odloží Galaxy S8

ČTK , 23. leden 2017 12:00

Za případy vznícení chytrých telefonů Galaxy Note 7 jihokorejské společnosti Samsung Electronics stá...

Více 0 komentářů

Foxconn zvažuje velkou investici do továrny v USA

ČTK , 23. leden 2017 08:29

Tchajwanská společnost Foxconn zvažuje, že investuje přes sedm miliard dolarů (zhruba 177 miliard Kč...

Více 0 komentářů

Starší zprávičky

ČTÚ pohrozil O2 a Vodafonu odebráním licencí na LTE kvůli cenám

ČTK , 22. leden 2017 14:00

Český telekomunikační úřad (ČTÚ) znovu vyzval operátory O2 a Vodafone, aby do měsíce snížili velkoob...

Více 1 komentářů

Menší e-shopy kvůli EET zruší platbu kartou

ČTK , 22. leden 2017 07:00

Řada menších tuzemských e-shopů od března, kdy pro ně začne platit elektronická evidence tržeb (EET...

Více 2 komentářů

Na další rozvoj ekonomického systému bude Praha vypisovat tendry

ČTK , 21. leden 2017 14:00

Na další rozvoj ekonomického systému Ginis bude Praha vypisovat jednotlivé veřejné zakázky. Pražští ...

Více 0 komentářů

Tržby IBM klesaly i ve 4.čtvrtletí loňského roku, akciím se daří

ČTK , 21. leden 2017 07:00

Americká počítačová společnost International Business Machines (IBM) zaznamenala další, již devatená...

Více 0 komentářů