Bezpečnostní přehled: Jak si stojí redakční systémy

Pavel Houser , 30. květen 2016 16:30 0 komentářů
Bezpečnostní přehled: Jak si stojí redakční systémy

WordPress, Joomla, Magento a Drupal – jak je porovnávat z hlediska bezpečnosti? Ochrana průmyslových systémů. Řeší firmy častěji kybernetickou kriminalitu nebo zpronevěru? Mohla by se hesla nahrazovat „zprůměrováním“ více faktorů, které by nijak nezatěžovaly uživatele?

Následuje pravidelný bezpečnostní přehled vytvářený především podle webů ZDNet, CNet, The Register a HelpNet Security.

Problém otevřených systémů

Průzkum Soha Systems: 63 % narušení dat ve firmách souvisí s tím, že do systémů mají přístup třetí strany, dodavatelé a jiní partneři. Přitom pouze 2 % IT oddělení a vedení firem vnímá tuto záležitost jako nejvyšší prioritu. Většina respondentů připouští, že míra přístupu třetích stran do jejich systémů se v posledních letech zvýšila a tento trend bude dále pokračovat. Po technické stránce je taková otevřenost stále snazší, protože podnikové aplikace se provozují v cloudech. A mimochodem, ze stejného průzkumu vyplývá, že pouze 8 % dotazovaných IT specialistů si myslí, že by v důsledku bezpečnostního incidentu mohli přijít o práci.

Australský bezpečnostní tester Jamieson O'Reilly z firmy Content Protection oznámil objev zranitelnosti ve videokonferenční platformě Vidyo, kterou využívá např. americká armáda, NASA nebo CERN. Útočník se může dostat nejen k samotným videopřenosům, ale i k dalšímu obsahu na zranitelném serveru; takto zranitelné koncové body lze navíc dohledávat Googlem. Dodavatel již vydal záplatu, opravená verze má číslo 3.0.1.20.

Celkové skóre namísto hesel

Google na své vývojářské konferenci I/O přišel s projektem náhrady hesel smartphonů. V rámci Project Abacus se navrhuje, že by autorizace probíhala kombinací různých informací včetně biometrie. Například by se kombinovala lokalita, blízkost dalších známých zařízení, rozpoznání obličeje a způsob psaní. Toto „ověření“ by proběhlo třeba vždy při pokusu spustit novou aplikaci. Podle povahy aplikace by se vyžadovalo různé „skóre spolehlivosti rozpoznání“, třeba bankovní aplikace by logicky vyžadovala větší jistotu (poznámka: jak se zdá, používání hesel by se tímto omezilo, ale k nahrazení celého systému by nedošlo, bude-li skóre vyhodnoceno jako nedostatečné, stejně dojde k výzvě zadat heslo; čili když Google argumentuje tím, že uživatelé notoricky nastavují slabá hesla, popsaný přístup s tím sám o sobě neudělá nic...?).

Zranitelnosti redakčních systémů

Více než třetina všech webů využívá 1 ze 4 následujících redakčních (CMS, správa obsahu) systémů: WordPress, Joomla, Drupal a Magento. Studie firmy Sucuri uvádí, že úspěšné ovládnutí webů útočníky (letošní data) se v 78 % týkalo systémů na WordPressu, další podíly: Joomla 14 %, Magento 5 %. Drupal 2 %. Nicméně podle analýzy toho, jak se o systémy starají správci, to vypadá jinak: WordPress je zastaralý „jen“ v 56 % instalací. Ostatní CMS jsou na tom hůře, aktualizace Drupalu chybí v 81 % případů, Joomly v 85 % a Magenta dokonce v 97 %. Přitom na Magentu se nejčastěji provozují aplikace spadající do kategorie e-commerce, takže při průniku se do rukou útočníků dostávají i údaje typu platebních karet zákazníků. Zbývá dodat, že se zkoumala nejen aktuálnost samotných systémů, ale i plug-inů – a právě tam byl hlavní problém a příčina toho, proč jsou uvedená čísla tak vysoká.

Google vydal verzi 4 svého Safe Browsing API. Hlavní vylepšení podle dodavatele – při začlenění do dalších aplikací lze lépe využívat zdroje (šířka pásma, výkon zařízení, geografie...). Předcházející verze bude podporována do příštího roku. Cca jde o databázi škodlivých URL, kdy kontrolu proti aktuální podobě blacklistu lze začlenit do dalších aplikací.

Výzkumníci firmy Incapsula objevili inzeráty, které nabízely provádění hodinových útoků DDoS za pouhých 5 dolarů (deklarováno bylo pouze, že cílem nesmí být úřady, vlády apod. instituce). V loňském roce prý cena příslušné služby na „trhu“ spadla z 38 na 19 dolarů, tím se to však nezastavilo.

Ze světa firem

S hospodářskou kriminalitou se loni setkalo 35 % firem z České republiky, z toho 36 % podvodů byla počítačová kriminalita (2. nejčastější typ kriminality po zpronevěře majetku; ve srovnatelném průzkumu v roce 2011 byl tento podíl 11 %). Výskyt počítačové kriminality v ČR mírně převyšuje ostatní středo/východoevropské země i celosvětový průměr. Respondenti v ČR právě tento typ hospodářské kriminality dnes považují největší hrozbu; firmy jako výrazně větší riziko vnímají externí útoky než činnost insiderů. (Zdroj: Celosvětový průzkum hospodářské kriminality, PwC (6 337 respondentů ze 115 zemí, včetně 79 společností z ČR))

Ukrajinští separatisté, ale i vládní úředníci nebo novináři jsou terčem špionáže pomocí kampaně Win32/Prikormka. V malé míře byl výskyt tohoto malwaru zaznamenán také v Rusku. (Zdroj: tisková zpráva společnosti Eset)

Acronis oznamuje strategickou iniciativu pro vývoj aplikací využívajících technologii Blockchain pro ochranu dat. Představeno bylo prototypové řešení, které poskytovatelům služeb a koncovým zákazníkům demonstruje možnosti technologie Blockchain v oblasti ochrany dat. Prototyp např. ukazuje, jak může být technologie Blockchain využita k ověření a ochraně dat s časovými razítky a certifikáty pravosti. (Zdroj: tisková zpráva společnosti Acronis)

Každoroční výzkum mezi českými IT profesionály během technologických konferencí Cisco sleduje hlavní trendy, které ovlivňují fungování IT oddělení ve firmách. Obrana proti kybernetickým hrozbám a řízení rizik jsou považovány za stále významnější. Ve srovnání s loňským výzkumem se význam bezpečnosti zvýšil o 10 % (z 54 % vloni na letošních 64 %). (Zdroj: tisková zpráva společnosti Cisco)

Zabezpečení dat bude letos patřit ke klíčovým investicím firemních IT oddělení. 62 % zaměstnanců v západní Evropě dnes používá k práci pomocí vzdáleného přístupu svá osobní zařízení. Z interních zaměstnanců se neautorizovaného použití IT infrastruktury logicky dopouštějí především zaměstnanci IT oddělení (41 % incidentů). (Zdroj: průzkum společnosti společnost Toshiba Europe)

Internetoví podvodníci slaví úspěch s obsahem typu diet a fitness programů. 61 % respondentů průzkumu v USA kliklo na reklamní odkaz, který nabízí dietní program. 30 % respondentů průzkumu si pak zakoupilo i produkt, aniž by věděli, zda jde o bezpečný web. (Zdroj: průzkum společnosti společnost Intel)

Většina Čechů je při prodávání mobilů neopatrná. Tři čtvrtiny použitých mobilů na prodej v sobě mají nesmazané fotky, kontakty, SMSky nebo e-maily. Na některých telefonech zůstanou uložené dokonce i výpisy z účtů, certifikáty pro banku nebo přístupové údaje k e-mailu. (Zdroj: průzkum společnosti společnosti Aukrobot)

Podvodné weby ve velkém cílí na zranitelná místa v Androidu ve verzi 4.1 a starší pomocí exploitů CVE-2012-6636, CVE-2013-4710 a CVE-2014-1939. Tyto tři bezpečnostní problémy opravil Google v letech 2012–2014, mnoho zařízení s Androidem ale používá zranitelné verze. (Zdroj: tisková zpráva společnosti Kaspersky Lab)

V prvním čtvrtletí 2016 odhalili experti společnosti Kaspersky Lab 2 900 nových modifikací ransomwaru (nárůst 14 % oproti konci roku 2015). Celkový počet napadených uživatelů vzrostl oproti posledním třem měsícům 2015 o 30 %. Top 3 skupiny ransomwaru v Q1/2016: Teslacrypt, CTB Locker, Cryptowall. (Zdroj: tisková zpráva společnosti Kaspersky Lab)

Až 60 % průmyslových objektů v Česku nemá dostatečnou ochranu před hrozbou kybernetických útoků. Jedná se zejména o energetiku, telekomunikace, dopravu, chemický, vodní nebo potravinářský průmysl. Stávající ochrana se většinou týká pouze řídicího systému (ICS), nikoliv průmyslových procesů jako celku. (Zdroj: tisková zpráva společnosti Auris)

Psali jsme na ITBiz.cz

Na téma zabezpečení na ITBiz viz také:

Cisco zveřejnilo finanční výsledky, tahounem je bezpečnost: Rostou prodeje firewallů a řešení IDS (detekce průniku).


Komentáře

RSS 

Komentujeme

Kradená auta: Další úkol pro bezpečnostní kamery

Pavel Houser , 16. srpen 2017 06:30
Pavel Houser

Bezpečnostní kamery, které hledají ukradená vozidla nebo mají za úkol vozidlo jednoznačně identifiko...

Více






Kalendář

24. 08. Webinář Synology - DSM 6.1 - Virtual Machine Manager
27. 08.

31. 08.
VMworld 2017
01. 09.

06. 09.
IFA 2017
RSS 

Zprávičky

9 z 10 e-shopů nesplnilo zákonné povinnosti

ITBiz.cz , 20. srpen 2017 14:00

Česká obchodní inspekce pravidelně monitoruje dodržování zákonů v oblasti prodeje zboží v e-shopech....

Více 0 komentářů

Lenovo ve ztrátě, k zisku se má vrátit do 2 let

ČTK , 19. srpen 2017 10:12

Firma nevylučuje zdražení svých výrobků, aby udržela ziskové marže....

Více 0 komentářů

Generální ředitel Infosysu nečekaně rezignoval

ČTK , 19. srpen 2017 09:30

Od doby, co Sikka nastoupil do čela firmy, akcie stouply o více než pětinu....

Více 0 komentářů

Starší zprávičky

Irsko odmítá požadavek EU, aby od Applu zpětně vybralo daně

ČTK , 18. srpen 2017 13:00

Jednání Applu údajně nebylo v rozporu s legislativou Irska ani Evropské unie....

Více 5 komentářů

Ericsson zvažuje, že propustí až 25 000 zaměstnanců

ČTK , 18. srpen 2017 09:00

Švédská firma se v poslední době potýká se slábnoucí poptávkou ze strany telekomunikačních operátorů...

Více 0 komentářů

Alibaba téměř zdvojnásobila zisk, růst tržeb překonal odhady

ČTK , 18. srpen 2017 08:00

Alibaba, která patří k nejhodnotnějším firmám v Asii, profituje z rostoucích on-line nákupů čínských...

Více 0 komentářů

Telekomunikační úřad se chystá regulovat mobilní trh

ČTK , 17. srpen 2017 14:34

Přetrvává velký rozdíl mezi vyššími cenami pro domácnosti a nižšími cenami pro firmy, který dosahuje...

Více 0 komentářů