margin-top: 125px; border: 1px solid gray; } -->

Bezpečnostní přehled: Jak rychle záplatuje své systémy tuzemská státní správa

Pavel Houser, 07. květen 2014 12:00 1 komentářů
Bezpečnostní přehled: Jak rychle záplatuje své systémy tuzemská státní správa

Byla poslední záplata pro Windows XP opravdu poslední? Další problémy kolem OpenID. Má cenu snažit se změnit způsob zobrazování adresy ve webovém prohlížeči? Proběhlo cvičení cvičení Cyber Europe 2014. Jak rychle záplatuje své systémy tuzemská státní správa? Následuje pravidelný bezpečnostní přehled vytvářený především podle webů ZDNet, CNet, The Register a HelpNet Security.

Microsoft vydal mimořádnou záplatu chyby v Internet Exploreru. Oproti očekávání byla záplata nakonec uvolněna i pro Windows XP, ačkoliv podpora tohoto systému již skončila (viz minulý bezpečnostní přehled). Uživatelům Windows XP se záplata nabízí i automaticky přes Windows Update. Adrienne Hall, ředitelka divize Microsoft Trustworthy Computing, ovšem dodala, že jde o výjimečný krok a uživatelé Windows XP nemohou počítat s tím, že podobný postup bude Microsoft opakovat, a proto nedoporučuje přechod na nový operační systém dále odkládat.

Bezpečnostní experti upozorňují na zranitelnost v protokolu OAuth/OpenID, respektive v konkrétních implementacích těchto standardů. OAuth 2.0 používají k přihlašování hlavní internetové služby, např. Google, Yahoo, Facebook a Microsoft. Na problém jako první upozornil postgraduální student Wang Jing z Nanyang Technological University v Singapuru. Útočníci jej mohou potenciálně zneužít k přesměrování oběti na podvodné stránky, kde v adresním řádku stále zůstane matoucím způsobem URL stránky legitimní. Taktéž lze při přesměrování sebrat přihlašovací údaje k původně zamýšlenému cílovému webu. Postup zneužití demonstruje následující video na YouTube:

Útoky zatím zaznamenány nebyly a v porovnání s HeartBleed se problém pokládá za méně závažný.

Google v experimentální verzi prohlížeče Chrome (Canary) zkouší nezobrazovat v adresním řádku údaje předcházející doméně, tj. www (http:// už nezobrazuje ani standardní Chrome) ale ani další řetězce kromě samotného názvu domény druhé úrovně. Cílem je, aby uživatel lépe viděl na konec adresy a nemohl být tak snadno oklamán (ve stylu legitimniweb-dlouha-adresa.podvodnyweb.tld). Viz také zranitelnost popsaná výše. Apple má podobnou funkci v Safari pro iOS 7, kde je problém ještě závažnější kvůli velikosti adresního řádku na displejích mobilních zařízeních.

I když mezi zobrazeními v Canary lze překlikávat, uživatele nový způsob zobrazování mátl, do hlavní verze Chrome pro jejich odpor nebyl zařazen a budoucnost tohoto přístupu je nejistá. Ani v Googlu nejsou v názoru na příslušnou funkci jednotní. Subjektivně: člověk chce mít možnost adresu z řádku jednoduše kopírovat, ale hlavně si už na určitou podobu zvykl, i smysluplné změny jsou rušivé.

Jak upozorňují bezpečnostní výzkumníci Facebooku, po nějaké době byl opět hromadně zaznamenán malware Sefnit. Vytváří botnet, který svým provozovatelům vydělává především těžbou bitcoinů a clickjackingem. Loni tento malware popsali především výzkumníci Microsoftu a upozorňovali, že používá službu Tor. To už nyní neplatí, nyní infikované počítače s řídicími servery komunikují přímo (přes zabezpečené spojení Plink).

Ve FreeBSD byla bjevena chyba připomínající problém Krvácejícího srdce (Heartbleed). Útočníci mohou v nezáplatovaných systémech získat oprávnění pomocí posílání speciálních paketů protokolu TCP. Systém FreeBSD se nachází v PlayStation, některých chytrých televizích, ale i přímo v bezpečnostních zařízeních (appliance). Ze známějších značek jde např. o CheckPoint, IronPort, Juniper, McAfee a Sophos.

Exploit by měl být obtížný, hlavní riziko ale zřejmě spočívá v tom, že FreeBSD se často nachází v zařízeních, kde o jeho existenci nikdo neví, nebo se tato zařízení alespoň nijak nezáplatují. To se týká hlavně domácích uživatelů, i když útok na zranitelnost ve většině případů způsobí spíše zhavarování jádra OS a nedostupnost služby než vlastní únik oprávnění.

AOL připustila možné narušení svých serverů. Útočníci se mohli dostat k e-mailovým adresám uživatelů včetně jejich dalších kontaktních údajů (fyzické adresy apod.). Hesla, odpovědi na bezpečnostní otázky nebo čísla platebních karet podle AOL nijak ohroženy nejsou. Obětem ovšem nyní hrozí personalizovanější spam...

Oracle uvádí novou službu pro zálohování databáze. Služba Oracle Database Backup Service je integrována s řešením Oracle Recovery Manager (RMAN), což zákazníkům umožňuje provádět zálohování i obnovu mezi cloudem a prostředím on-premise mj. pomocí příkazů, které znají z prostředí RMAN. Přenos dat při zálohování podporuje kompresi i paralelizaci. Součástí řešení je i šifrování na straně klienta, které umožňuje end-to-end zabezpečení dat.

Zdroj: tisková zpráva společnosti Oracle

Fortinet oznámil finanční výsledky za první čtvrtletí letošního roku. Celkový obrat firmy byl 187,6 milionů dolarů, což představuje meziroční nárůst 26 %.

Zdroj: tisková zpráva společnosti Fortinet

Společnost HP oznámila, že Evropská komise si zvolila řešení divize Enterprise Services pro koordinaci projektu tzv. CoCo (Confidential and Compliant) cloudu. CoCo Cloud má koncovým uživatelům poskytnout bezpečné prostředí, které nabídne datové úložiště a uživatelsky definovaná pravidla pro ukládání, sdílení a přístup k datům.

Zdroj: tisková zpráva společnosti HP

Nově zjištěný malware, útočící na zařízení s Androidem, využívá mechanismus pro řetězové šíření. Jde o techniku, která je u hrozeb pro PC běžná, ale na mobilních telefonech se jedná o novinku. Android/Samsapo.A. se šíří tak, že na všechny kontakty z napadeného zařízení rozešle SMS s textem typu „Je tohle Tvá fotka?” a odkazem, který však vede nikoli na fotografii uživatele, nýbrž na instalační balíček malwaru. Jedná se především o downloader stahující další programy, takže široké je i spektrum možných škodlivých aktivit.

Zdroj: tisková zpráva společnosti Eset

Na trh přichází nové bezpečnostní řešení pro virtualizaci – Kaspersky Security for Virtualization – Light Agent nabízející ochranu pro virtualizační platformy VMware, Citrix XenServer a Microsoft Hyper-V. Má jít o kompromis mezi bezpečnostními agenty a bezagentovým řešením, kdy oba tyto přístupy mají ve virtualizovaném prostředí své výhody i nevýhody. Kaspersky Lab bude nadále nabízet také řešení Kaspersky Security for Virtualization – Agentless, v současnosti dostupné pro VMware.

Zdroj: tisková zpráva společnosti Kaspersky Lab

Přes 200 organizací a více než 400 odborníků na ICT bezpečnost z 29 zemí včetně ČR se zúčastnilo cvičení Cyber Europe 2014. Cvičení Cyber Europe 2014 má tři fáze – technickou, operativní a politickou. Právě proběhlá fáze byla technická. Účastníci řešili reálné bezpečnostní problémy a analyzovali několik scénářů, které mohou mít vliv na důvěrnost, integritu a dostupnost citlivých informací nebo kritických infrastruktur. Cvičení organizovala Evropská agentura pro síťovou a informační bezpečnost (ENISA), ČR v něm zastupovaly týmy z CZ.NIC, Národního bezpečnostního úřadu, NIX.CZ, CESNET, CSIRT-MU, Policejní akademie ČR a společností Unicorn a Active24.

Zdroj: tisková zpráva sdružení Cesnet

Představena byla nová služba s Barracuda Threatglass. Jedná se o bezplatný on-line nástroj, díky němuž je možné prohlížet, sdílet a analyzovat informace o webových serverech obsahujících škodlivé kódy. Distributorem zařízení Barracuda Networks pro ČR a Slovensko je společnost Gesto Communications.

Zdroj: tisková zpráva společnosti Gesto Communications

CSIRT a CZ.NIC provedly test webů české státní správy na zranitelnost Heartbleed. Test se uskutečnil ve 2 vlnách, o zjištěné zranitelnosti byli provozovatelé vždy informováni. Posléze „...byla opravena většina ze sedmi zranitelných webů státní správy, takže nyní již touto zranitelností trpí pouze 2 z 369 webů státní správy, které máme v našem seznamu.“ CSIRT/CZ.NIC se hodlá nadále zaměřit i na testování webů státní správy z hlediska bezpečnosti publikačních (CMS) systémů.

Zdroj: blog sdružení CZ:NIC


Komentáře

Kolemjdouci #1
Kolemjdouci 07. květen 2014 16:29

RSS 

Komentujeme

Chatbot mluví za mrtvého – od nápadu k realizaci

Pavel Houser , 30. listopad 2016 13:00
Pavel Houser

Na webu The Verge popsala Casey Newton příběh dvou přátel (Eugenia Kuyda a Roman Mazurenko). Peripet...

Více





Kalendář

20. 03.

24. 03.
CeBIT 2017
RSS 

Zprávičky

Nový zákon o výzkumu chystá "blacklist" příjemců i ministerstvo

ČTK , 09. prosinec 2016 16:31

Velké změny ve fungování Grantové a Technologické agentury, novou vědeckou radu ČR i takzvaný "black...

Více 0 komentářů

Fitbit koupil průkopníka chytrých hodinek Pebble

ČTK , 09. prosinec 2016 15:00

Americký výrobce chytrých náramků a hodinek Fitbit koupil software, patenty a další aktiva duševního...

Více 0 komentářů

Američané možná umožní v letadlech telefonování přes wi-fi

ČTK , 09. prosinec 2016 13:00

Aerolinky ve Spojených státech by v budoucnu mohly umožňovat telefonování v letadle s použitím wi-fi...

Více 2 komentářů

Starší zprávičky

Česká pošta od ledna zdraží posílání do zahraničí o pět až 20 Kč

ČTK , 09. prosinec 2016 11:39

Česká pošta od ledna zvýší ceny za posílání listovních zásilek do zahraničí o pět korun, balíky podr...

Více 0 komentářů

Za vzněcováním smartphonu iPhone 6 jsou vnější vlivy, tvrdí Apple

ČTK , 08. prosinec 2016 11:30

Firma Apple odmítla podezření čínských uživatelů svého chytrého telefonu iPhone 6, že za problémy s ...

Více 0 komentářů

Verizon prodá firmě Equinix datová centra za 3,6 miliardy USD

ČTK , 08. prosinec 2016 10:00

Největší americký mobilní operátor Verizon Communications prodá specializované společnosti Equinix 2...

Více 0 komentářů

Tchajwanský Foxconn jedná o rozšíření svých aktivit v USA

ČTK , 07. prosinec 2016 15:00

Tchajwanská společnost Foxconn jedná o rozšíření svých aktivit ve Spojených státech. Oznámila to dne...

Více 0 komentářů