Bezpečnostní přehled: Jedinečná hesla jsou iluzí

Pavel Houser , 24. červenec 2014 09:30 2 komentářů
Bezpečnostní přehled: Jedinečná hesla jsou iluzí

Vymazat citlivá data z mobilního telefonu není tak jednoduché, jdou obnovit. Nikdo si nedokáže zapamatovat pro každou webovou službu jedinečné heslo. Rizika aut připojených k internetu. Malware proniká do firemních sítí přes Dropbox a další cloudová úložiště. Biometrie pro prostředí SAP. Jak převést bezpečnostní politiky databáze Oracle do prostředí NoSQL a Hadoop. Následuje pravidelný bezpečnostní přehled vytvářený především podle webů ZDNet, CNet, The Register a HelpNet Security.

Bezpečnostní firma TrapX obvinila nejmenovaného čínského dodavatele skenerů, že jeho produkty jsou dodávány s malwarem a následně z firemních sítí zákazníků kradou informace (finanční data, obecně obsah ERP systémů a data o dodavatelských řetězcích). Malware může souviset s několik let starým útokem proti Googlu (operace Aurora), spekuluje se též o vazbě na čínskou vládu/armádu.

FireEye vydala opravu svého operačního systému FeOS. Chyba umožňovala mj. útoky typu man-in-the-middle a SQL injection. Závažnost zranitelnosti se liší podle verze systému, dodavatel nicméně zákazníkům doporučuje nasadit záplatu co nejrychleji.

Cisco vydalo opravy kritické zranitelnosti v řadě svých produktů, především kabelových modemech a branám pro bezdrátový přístup. Chyba umožňuje útočníkovi ovládnout příslušné zařízení. Nejde řešit úpravou konfigurace, nutné je nasadit aktualizaci.

Hned několik studií upozorňuje, že provozovatelé internetové kriminality stále častěji hostují své aktivity na Amazonu. Před půl rokem prý na Amazonu bylo hostováno 16 % malwaru (ve smyslu podílu mezi top ISP apod. služeb), nyní je to již 41 %. Příčinou je zřejmě jak samotná popularita cloudových služeb Amazonu, tak i politika nízkých cen. Další v pořadí jsou OVH (13 %), Akamai (12 %) a Google (9 %). Všechny tyto podíly rostly, ve sledovaném období naopak výrazně pokleslo množství malwaru hostovaného na GoDaddy.

Ve všech případech využívají těchto služeb spíše script kiddies, kteří si podvodný nástroj kupují jako službu od technicky zručnějších podvodníků.

Výzkumníci Microsoftu a kanadské Carleton University navrhují nový přístup ke správě webových hesel. I když se všude doporučuje, že pro každou službu má být heslo jedinečné, není to prý v silách uživatelů. Masově se neužívají ani nástroje pro správu hesel. Navrhovaným řešením ve smyslu rozumného kompromisu je proto roztřídit si účty podle jejich „ceny“. Pro ty opravdu klíčové používat jedinečná hesla, pro méně důležité služby klidně stejné neslo. Jednou z možností je třeba i mít speciální hesla pro veškeré služby spojené s finančními transakcemi, a poté jedno heslo pro všechny e-maily, jedno pro všechny sociální sítě apod.

Zdroj: Phys.org

Avast dokázal snadno obnovit osobní data z použitých chytrých telefonů zakoupených přes internet, a to navzdory tomu, že lidé svá data vymazali. Z dvaceti chytrých telefonů zakoupených on-line se specialistům Avastu podařilo získat až 40 000 osobních fotografií, e-mailů, SMS a v některých případech i totožnost samotných prodávajících. Obnovení továrního nastavení nebo funkce Smazat vše na telefonech se systémem Android nestačí. Pokud se data na použitém telefonu důkladně nepřepíšou, dají se velmi jednoduše obnovit.

Zdroj: tisková zpráva společnosti Avast

V ČR se objevila nová hrozba cílená na klienty čtyř bank: Česká spořitelna, ČSOB, Era a Fio banka. Klientům těchto bank je zasílán podvodný e-mail informující o exekučním řízení. Přílohou zprávy je dokument, který začne do počítače instalovat škodlivý soubor, přičemž tento proces je maskován zobrazením textové zprávy, která odvede pozornost uživatele.

Zdroj: tisková zpráva společnosti Avast

Společnost Kaspersky Lab a španělská marketingová agentura IAB zveřejnily analýzu First Annual Connected Cars Study, pojednávajících o bezpečnostních rizicích aut připojených k internetu a mobilním sítím. Kaspersky Lab demonstrovala svá zjištění analýzou systému BMW ConnectedDrive.

Odcizení informací sloužících k přístupu na web BMW pomocí známých metod jako je phishing, odezírání klávesnice nebo sociální inženýrství může vést k neoprávněnému přístupu třetích stran k uživatelským datům a k vozidlu samotnému. Odsud je možné nainstalovat mobilní aplikace se stejnými informacemi a umožnit vzdálené ovládání ještě před otevřením auta a odjezdem. Pokud uživatel aktivuje mobilní službu otevření auta, lze bez problémů vytvořit novou sadu klíčů k vozidlu. Pokud tato aplikace není zabezpečená, kdokoli, kdo ukradne telefon, získá přístup k autu. S odcizeným mobilem je možné změnit databázi aplikací a obejít jakékoli ověření pomocí PINu, což zločincům usnadňuje vzdálený přístup.

Ovladače Bluetooth jsou aktualizovány stažením souboru z webu BMW a nainstalováním na USB. Tento soubor není ani šifrován, ani podepsán a obsahuje mnoho informací o vnitřním systému, který v autě běží. To může potenciálnímu útočníkovi poskytnout přístup do prostředí, na nějž cílí, a může být změněno tak, aby spustilo škodlivý kód.

Některé funkce komunikují se SIM kartou v autě pomocí SMS. Prolomení tohoto kanálu umožní poslat falešné instrukce. Záleží přitom na úrovni šifrování operátora. V tom nejhorším scénáři může útočník vyměnit komunikační systém BMW za vlastní instrukce a služby.

Zdroj: tisková zpráva společnosti Kaspersky Lab

Analytici Kaspersky Lab varují, že přes populární cloudové služby lze infikovat podnikové sítě. V jednom z možných scénářů se kybernetičtí zločinci zmocní laptopu zaměstnance a používají nainstalovaného dropboxového klienta. Pokud se infikované dokumenty umístí do cloudových složek, Dropbox je automaticky zkopíruje na všechna zařízení připojená do podnikové sítě, která stejnou službu využívají. Dropbox přitom není jediný – všechna rozšířená cloudová úložiště, včetně Microsoft Onedrive (Skydrive) a Google Drive nabízejí funkce automatické synchronizace.

Podle dat od uživatelů produktů Kaspersky Lab analytici odhadují, že 30 % malwaru v cloudových složkách proniklo do domácích počítačů pomocí synchronizačních mechanismů. U podnikových uživatelů je to až 50 %.

Zdroj: tisková zpráva společnosti Kaspersky Lab

Bezpečnostní úřady začaly narušovat systém, na němž závisí provoz botnetu Shylock. Akce zahrnovala zabavení serverů tvořících řídicí systém trojského koně a také převzetí kontroly nad doménou, již Shylock používá ke komunikaci mezi napadenými počítači.

Operace koordinovaná britskou National Crime Agency spojila v boji proti hrozbě partnery z bezpečnostních úřadů a soukromého sektoru, např. Europol, FBI, BAE Systems Applied Intelligence, Dell SecureWorks, Kaspersky Lab a britskou GCHQ (Government Communications Headquarters). Vyšetřování bylo řízeno z operačního centra Europolu (EC3) v nizozemském Haagu. Malware Shylock se snaží získat přístup k bankovnímu účtu a provádět převody.

Zdroj: tisková zpráva společnosti Kaspersky Lab

Průzkum Kaspersky Lab a B2B International odhalil, že 52 % finančních institucí kompenzuje ztráty klientů způsobené internetovými podvody bez hlubšího vyšetřování okolností. Téměř třetina oslovených firem si myslí, že ztráty z kybernetických hrozeb jsou menší než cena zabezpečení.

Zdroj: tisková zpráva společnosti Kaspersky Lab

84 % organizací umožňuje nějakou formu přístupu pro sdílení souborů, jako je například Dropbox. Současně ale 65 % respondentů data přenášená mezi cloudem a mobilním zařízením nijak nešifruje. Za bezpečné považuje sdílení firemních souborů nebo spolupráci nad sdílenými daty při současném využití cloudů a mobilních zařízení pouze 38 % dotázaných. Výsledky jsou založeny na průzkumu mezi IT profesionály.

Zdroj: tisková zpráva společnosti Sophos

Fujitsu přichází s biometrickým řešením pro zabezpečený přístup k citlivým datům ve výpočetních prostředích s technologií SAP. Fujitsu PalmSecure je biometrický autentizační systém, založený na technologii rozeznávání struktury žil v dlani. Nasazován je ve spojení s technologií bioLock od společnosti Realtime AG.

Systém je mj. zaměřen proti interním podvodům. Podle dodavatele nabízí zvýšenou kontrolu nad tím, co se děje v aplikaci SAP v přihlašovacím bodě, i když je uživatel již v systému. Systém žádá uživatele o autentizaci v určitých, předem zvolených okamžicích nebo pro určité typy důvěrných souborů či finančních transakcí na vysoké úrovni.

Biometrická autorizace má znamenat nezpochybnitelný záznam, nespornou identitu a přesné stanovené odpovědnosti. Všichni uživatelé jsou zodpovědní za veškeré faktury, které upravují, nebo za finanční transakce, které provádějí – nelze se vymlouvat, že někdo v průběhu dne přišel k nezamčenému zařízení.

Zdroj: tisková zpráva společnosti Fujitsu

AirLive představuje nové kamery s funkcí počítání osob. Modely MD-3025-IVS, BU-3026-IVS, BC-5010-IVS obsahují tzv. IVS (Intelligent Video Surveillance), tedy systém inteligentní analýzy videa. Funkce počítání osob lze různě nastavovat, aby například spustila alarm nebo různá upozornění po překročení stanoveného počtu osob atd. Data jsou navíc uložena do databáze pro další vyhledávání nebo analýzy.

Zdroj: tisková zpráva společnosti AirLive

Oracle Big Data SQL je řešení, které umožňuje z jediné platformy přistupovat k datům napříč různými typy databází (SQL – databáze Oracle, NoSQL, Hadoop). Pomocí SQL lze nyní provádět dotazy a analyzovat data nejen v relačních databázích, ale i nestrukturovaná data. Co se týče bezpečnosti, řešení Oracle Big Data SQL umožňuje rozšířit zabezpečení databáze Oracle včetně stávajících firemních bezpečnostních politik také do prostředí Hadoop a NoSQL.

Řešení podle Oraclu umožňuje podnikům využívat přínos trendu big data bez rizika kompromitace dat. Zákazníci mohou v rámci řešení Oracle Big Data SQL používat v prostředí Hadoop a NoSQL bezpečnostní technologie databáze Oracle včetně redakce dat, analýzy oprávnění a nástrojů omezujících přístup k datům s vysokými uživatelskými oprávněními.

Zdroj: tisková zpráva společnosti Oracle

Router Turris vyvíjený sdružením CZ:NIC nabízí jako speciální vychytávku zvyšující zabezpečení čip ATSHA204 sloužící k autentizaci. Při výrobě routeru jsou do něj nahrány klíče, kterými router umí podepsat (pomocí HMAC-SHA-256) předloženou výzvu a tím se prokázat. Tento čip se používá k ověřování přihlášení a dat zaslaných routerem. Taktéž se pomocí něj generují registrační klíče, které slouží k ověření, že uživatel dostal správný router. Na rozdíl od softwarového řešení čip samotné klíče nikdy nevydá, takže nejdou zkopírovat. Je tak zaručeno, že se žádný útočník nemůže vydávat za některého z uživatelů.

Zdroj: blog sdružení CZ.NIC

Comguard distribuuje na českém a slovenském trhu nový virtuální router Brocade Vyatta vRouter. Brocade Vyatta vRouter podle dodavatele přináší pokročilé bezpečnostní a síťové funkce v podobě cloud-ready virtuální appliance. Toto řešení nabízí např. stavový firewall, IPSec VPN, OpenVPN založenou na SSL, filtrování webu a dynamické směrování.

Zdroj: tisková zpráva společnosti Comguard

Podle výzkumu agentury GfK, který si nechal zpracovat T-Mobile, české malé a střední firmy nedůvěřují profesionálním cloudovým řešením, přestože jsou většinou lépe zabezpečena než jejich firemní sítě.

Zdroj: tisková zpráva společnosti T-Mobile

Globální analytická síť Eset Threat Sense zaznamenala v červnu v České republice další vlny útoků šířících trojského koně typu downloader. Trojan Win32/TrojanDownloader.Elenoocka se pokouší především o krádeže přístupových údajů k internetovému bankovnictví.

Spamové kampaně šířící tohoto trojana začaly již v dubnu 2014. Kampaně mají stále stejnou podobu, ale obětí přesto přibývá. Objevily se první případy, kdy trojan Elenoocka úspěšně nainstaloval do počítače malware, který dokáže krást hesla, předstírat prostředí internetového bankovnictví a přimět uživatele, aby si na mobil nainstaloval údajnou bezpečnostní aplikaci. Výsledkem je příkaz k převodu – typicky jde o částku těsně pod hranicí 200 tisíc korun - který za uživatele zadal a zaslaným kódem potvrdil operátor, najatý zločineckým gangem kdesi na Východě.

Nejfrekventovanější červnovou hrozbou byl v Česku trojan HTML/Fraud. Podobně jako Elenoocka je to hrozba, která je specifická pro Českou republiku.

Globálním statistikám počítačových hrozeb kraluje po měsíční přestávce opět červ Win32/Bundpil. Šíří se prostřednictvím přenosných médií a snaží se stahovat ze zadaných adres další malware. JS/Kryptik.I, který je v globálním žebříčku na druhém místě, je generický název pro rodinu šifrovaných skriptů, vložených do HTML stránek. Tyto skripty typicky přesměrovávají prohlížeč na stránky obsahující škodlivý kód.

Zdroj: tisková zpráva společnosti Eset

Na téma zabezpečení na ITBiz viz také: Luuuk ukradl za týden 14 milionů korun

Aplikace dokáže ze 3 metrů analyzovat heslo psané na dotykovém displeji

Na MITu vyvinuli program, který je schopný analýzou videa i v relativně nízké kvalitě rozpoznat heslo psané na virtuální klávesnici dotykového displeje.


Komentáře

green lantern #1
green lantern 24. červenec 2014 17:36

K tomu ty "vyzkumniky z M$" prinutila NSA, aby tenhle blabol rekli, ne?

Jediny spravny reseni je pouzivat password manager. Ja tam treba momentalne mam kolem 60 hesel. Zapamatovat si je vsechny by byl problem a pouzivat 3 hesla, kazdy na 20 mistech, to je teda.. radsi se nebudu vyjadrovat.

Náhodný kolemjdoucí #2
Náhodný kolemjdoucí 24. červenec 2014 20:58

No, tři hesla jsou pořád lepší, než jedno. A password manager je zase jeden centrální slabý bod - dostaň se tam a máš všechno.


RSS 

Komentujeme

Chatbot mluví za mrtvého – od nápadu k realizaci

Pavel Houser , 30. listopad 2016 13:00
Pavel Houser

Na webu The Verge popsala Casey Newton příběh dvou přátel (Eugenia Kuyda a Roman Mazurenko). Peripet...

Více





Kalendář

RSS 

Zprávičky

Za vzněcováním smartphonu iPhone 6 jsou vnější vlivy, tvrdí Apple

ČTK , 08. prosinec 2016 11:30

Firma Apple odmítla podezření čínských uživatelů svého chytrého telefonu iPhone 6, že za problémy s ...

Více 0 komentářů

Verizon prodá firmě Equinix datová centra za 3,6 miliardy USD

ČTK , 08. prosinec 2016 10:00

Největší americký mobilní operátor Verizon Communications prodá specializované společnosti Equinix 2...

Více 0 komentářů

Tchajwanský Foxconn jedná o rozšíření svých aktivit v USA

ČTK , 07. prosinec 2016 15:00

Tchajwanská společnost Foxconn jedná o rozšíření svých aktivit ve Spojených státech. Oznámila to dne...

Více 0 komentářů

Starší zprávičky

Nejvyšší soud USA se postavil na stranu Samsungu proti Applu

ČTK , 07. prosinec 2016 12:30

Americký nejvyšší soud se v mnohaletém patentovém sporu mezi výrobci chytrých telefonů Apple a Samsu...

Více 0 komentářů

Evropská komise Microsoftu schválila převzetí sítě LinkedIn

ČTK , 07. prosinec 2016 10:30

Evropská komise schválila americké softwarové společnosti Microsoft záměr koupit za 26 miliard dolar...

Více 0 komentářů

Porozumění větám, konkurence pro Turingův test

Pavel Houser , 06. prosinec 2016 18:00

Konverzační roboti mají stále problémy pochopit věty, kde smysl nelze vyvodit ze samotné gramatické ...

Více 0 komentářů

Americká GoDaddy koupí evropský webhosting Host Europe

ČTK , 06. prosinec 2016 16:00

Americký registrátor internetových domén GoDaddy, který je ve svém oboru největší na světě, se dohod...

Více 0 komentářů