Bezpečnostní přehled: Jak si stojí redakční systémy

Pavel Houser , 30. květen 2016 16:30 0 komentářů
Bezpečnostní přehled: Jak si stojí redakční systémy

WordPress, Joomla, Magento a Drupal – jak je porovnávat z hlediska bezpečnosti? Ochrana průmyslových systémů. Řeší firmy častěji kybernetickou kriminalitu nebo zpronevěru? Mohla by se hesla nahrazovat „zprůměrováním“ více faktorů, které by nijak nezatěžovaly uživatele?

Následuje pravidelný bezpečnostní přehled vytvářený především podle webů ZDNet, CNet, The Register a HelpNet Security.

Problém otevřených systémů

Průzkum Soha Systems: 63 % narušení dat ve firmách souvisí s tím, že do systémů mají přístup třetí strany, dodavatelé a jiní partneři. Přitom pouze 2 % IT oddělení a vedení firem vnímá tuto záležitost jako nejvyšší prioritu. Většina respondentů připouští, že míra přístupu třetích stran do jejich systémů se v posledních letech zvýšila a tento trend bude dále pokračovat. Po technické stránce je taková otevřenost stále snazší, protože podnikové aplikace se provozují v cloudech. A mimochodem, ze stejného průzkumu vyplývá, že pouze 8 % dotazovaných IT specialistů si myslí, že by v důsledku bezpečnostního incidentu mohli přijít o práci.

Australský bezpečnostní tester Jamieson O'Reilly z firmy Content Protection oznámil objev zranitelnosti ve videokonferenční platformě Vidyo, kterou využívá např. americká armáda, NASA nebo CERN. Útočník se může dostat nejen k samotným videopřenosům, ale i k dalšímu obsahu na zranitelném serveru; takto zranitelné koncové body lze navíc dohledávat Googlem. Dodavatel již vydal záplatu, opravená verze má číslo 3.0.1.20.

Celkové skóre namísto hesel

Google na své vývojářské konferenci I/O přišel s projektem náhrady hesel smartphonů. V rámci Project Abacus se navrhuje, že by autorizace probíhala kombinací různých informací včetně biometrie. Například by se kombinovala lokalita, blízkost dalších známých zařízení, rozpoznání obličeje a způsob psaní. Toto „ověření“ by proběhlo třeba vždy při pokusu spustit novou aplikaci. Podle povahy aplikace by se vyžadovalo různé „skóre spolehlivosti rozpoznání“, třeba bankovní aplikace by logicky vyžadovala větší jistotu (poznámka: jak se zdá, používání hesel by se tímto omezilo, ale k nahrazení celého systému by nedošlo, bude-li skóre vyhodnoceno jako nedostatečné, stejně dojde k výzvě zadat heslo; čili když Google argumentuje tím, že uživatelé notoricky nastavují slabá hesla, popsaný přístup s tím sám o sobě neudělá nic...?).

Zranitelnosti redakčních systémů

Více než třetina všech webů využívá 1 ze 4 následujících redakčních (CMS, správa obsahu) systémů: WordPress, Joomla, Drupal a Magento. Studie firmy Sucuri uvádí, že úspěšné ovládnutí webů útočníky (letošní data) se v 78 % týkalo systémů na WordPressu, další podíly: Joomla 14 %, Magento 5 %. Drupal 2 %. Nicméně podle analýzy toho, jak se o systémy starají správci, to vypadá jinak: WordPress je zastaralý „jen“ v 56 % instalací. Ostatní CMS jsou na tom hůře, aktualizace Drupalu chybí v 81 % případů, Joomly v 85 % a Magenta dokonce v 97 %. Přitom na Magentu se nejčastěji provozují aplikace spadající do kategorie e-commerce, takže při průniku se do rukou útočníků dostávají i údaje typu platebních karet zákazníků. Zbývá dodat, že se zkoumala nejen aktuálnost samotných systémů, ale i plug-inů – a právě tam byl hlavní problém a příčina toho, proč jsou uvedená čísla tak vysoká.

Google vydal verzi 4 svého Safe Browsing API. Hlavní vylepšení podle dodavatele – při začlenění do dalších aplikací lze lépe využívat zdroje (šířka pásma, výkon zařízení, geografie...). Předcházející verze bude podporována do příštího roku. Cca jde o databázi škodlivých URL, kdy kontrolu proti aktuální podobě blacklistu lze začlenit do dalších aplikací.

Výzkumníci firmy Incapsula objevili inzeráty, které nabízely provádění hodinových útoků DDoS za pouhých 5 dolarů (deklarováno bylo pouze, že cílem nesmí být úřady, vlády apod. instituce). V loňském roce prý cena příslušné služby na „trhu“ spadla z 38 na 19 dolarů, tím se to však nezastavilo.

Ze světa firem

S hospodářskou kriminalitou se loni setkalo 35 % firem z České republiky, z toho 36 % podvodů byla počítačová kriminalita (2. nejčastější typ kriminality po zpronevěře majetku; ve srovnatelném průzkumu v roce 2011 byl tento podíl 11 %). Výskyt počítačové kriminality v ČR mírně převyšuje ostatní středo/východoevropské země i celosvětový průměr. Respondenti v ČR právě tento typ hospodářské kriminality dnes považují největší hrozbu; firmy jako výrazně větší riziko vnímají externí útoky než činnost insiderů. (Zdroj: Celosvětový průzkum hospodářské kriminality, PwC (6 337 respondentů ze 115 zemí, včetně 79 společností z ČR))

Ukrajinští separatisté, ale i vládní úředníci nebo novináři jsou terčem špionáže pomocí kampaně Win32/Prikormka. V malé míře byl výskyt tohoto malwaru zaznamenán také v Rusku. (Zdroj: tisková zpráva společnosti Eset)

Acronis oznamuje strategickou iniciativu pro vývoj aplikací využívajících technologii Blockchain pro ochranu dat. Představeno bylo prototypové řešení, které poskytovatelům služeb a koncovým zákazníkům demonstruje možnosti technologie Blockchain v oblasti ochrany dat. Prototyp např. ukazuje, jak může být technologie Blockchain využita k ověření a ochraně dat s časovými razítky a certifikáty pravosti. (Zdroj: tisková zpráva společnosti Acronis)

Každoroční výzkum mezi českými IT profesionály během technologických konferencí Cisco sleduje hlavní trendy, které ovlivňují fungování IT oddělení ve firmách. Obrana proti kybernetickým hrozbám a řízení rizik jsou považovány za stále významnější. Ve srovnání s loňským výzkumem se význam bezpečnosti zvýšil o 10 % (z 54 % vloni na letošních 64 %). (Zdroj: tisková zpráva společnosti Cisco)

Zabezpečení dat bude letos patřit ke klíčovým investicím firemních IT oddělení. 62 % zaměstnanců v západní Evropě dnes používá k práci pomocí vzdáleného přístupu svá osobní zařízení. Z interních zaměstnanců se neautorizovaného použití IT infrastruktury logicky dopouštějí především zaměstnanci IT oddělení (41 % incidentů). (Zdroj: průzkum společnosti společnost Toshiba Europe)

Internetoví podvodníci slaví úspěch s obsahem typu diet a fitness programů. 61 % respondentů průzkumu v USA kliklo na reklamní odkaz, který nabízí dietní program. 30 % respondentů průzkumu si pak zakoupilo i produkt, aniž by věděli, zda jde o bezpečný web. (Zdroj: průzkum společnosti společnost Intel)

Většina Čechů je při prodávání mobilů neopatrná. Tři čtvrtiny použitých mobilů na prodej v sobě mají nesmazané fotky, kontakty, SMSky nebo e-maily. Na některých telefonech zůstanou uložené dokonce i výpisy z účtů, certifikáty pro banku nebo přístupové údaje k e-mailu. (Zdroj: průzkum společnosti společnosti Aukrobot)

Podvodné weby ve velkém cílí na zranitelná místa v Androidu ve verzi 4.1 a starší pomocí exploitů CVE-2012-6636, CVE-2013-4710 a CVE-2014-1939. Tyto tři bezpečnostní problémy opravil Google v letech 2012–2014, mnoho zařízení s Androidem ale používá zranitelné verze. (Zdroj: tisková zpráva společnosti Kaspersky Lab)

V prvním čtvrtletí 2016 odhalili experti společnosti Kaspersky Lab 2 900 nových modifikací ransomwaru (nárůst 14 % oproti konci roku 2015). Celkový počet napadených uživatelů vzrostl oproti posledním třem měsícům 2015 o 30 %. Top 3 skupiny ransomwaru v Q1/2016: Teslacrypt, CTB Locker, Cryptowall. (Zdroj: tisková zpráva společnosti Kaspersky Lab)

Až 60 % průmyslových objektů v Česku nemá dostatečnou ochranu před hrozbou kybernetických útoků. Jedná se zejména o energetiku, telekomunikace, dopravu, chemický, vodní nebo potravinářský průmysl. Stávající ochrana se většinou týká pouze řídicího systému (ICS), nikoliv průmyslových procesů jako celku. (Zdroj: tisková zpráva společnosti Auris)

Psali jsme na ITBiz.cz

Na téma zabezpečení na ITBiz viz také:

Cisco zveřejnilo finanční výsledky, tahounem je bezpečnost: Rostou prodeje firewallů a řešení IDS (detekce průniku).


Komentáře

RSS 

Komentujeme

V datových centrech už nejde o Windows?

Pavel Houser , 22. březen 2017 12:47
Pavel Houser

Trevor Pott si na The Register pokládá otázku o budoucnosti serverových Windows na platformě ARM. ...

Více






RSS 

Zprávičky

Vloni bylo pravidelně na internetu 77 % Čechů

ITBiz.cz , 28. březen 2017 17:00

V roce 2016 používalo internet 6,7 miliónu obyvatel České republiky starších 16 let, tj. 76,5 %. Ve ...

Více 0 komentářů

Microsoft v Evropě investoval do datových center tři miliardy USD

ČTK , 28. březen 2017 15:30

Americká softwarová firma Microsoft investovala v Evropě do datových center a další infrastruktury, ...

Více 0 komentářů

T-Mobile od dubna nabídne nové neomezené tarify s více daty

ČTK , 28. březen 2017 13:24

Mobilní operátor T-Mobile od 2. dubna nabídne novou řadu neomezených tarifů se zvýšeným objemem dat....

Více 0 komentářů

Starší zprávičky

XS3200: nové úložné systémy SAN pro firmy

Pavel Houser , 28. březen 2017 13:00

Nová řada společnosti QSAN nabízí až 26 hotswap pozic SFF 2,5“ v 2U rack skříni....

Více 0 komentářů

Co Češi objednávají nejčastěji online

ITBiz.cz , 28. březen 2017 11:00

Oblečení, kosmetika a knihy. To jsou tři nejpopulárnější druhy zboží, jak je na internetu nakupují ž...

Více 0 komentářů

Brněnští vývojáři Konica Minolta testují metodiku scrum

Pavel Houser , 28. březen 2017 08:00

Moderní metodiky očekávají vysokou míru automatizace, která začíná už při psaní kódu....

Více 0 komentářů

Do Prahy dnes poprvé přijede šéf Microsoftu Satya Nadella

ČTK , 28. březen 2017 07:00

Nadella do české metropole přijede poprvé v roli výkonného ředitele firmy. ...

Více 0 komentářů