Bezpečnostní přehled: Neobstál Internet Explorer, Firefox ani Flash Player

Pavel Houser , 23. březen 2015 07:00 0 komentářů
Bezpečnostní přehled: Neobstál Internet Explorer, Firefox ani Flash Player

Každoroční soutěž Pwn2Own, jak bezpečně rekonstruovat dokument, účinnější komprese pro streamy z dohledových kamer, end-to-end šifrování webových e-mailů, podvodné čtečky karet ve dveřích před bankomaty, mobilní aplikace a chyba Freak. Následuje pravidelný bezpečnostní přehled vytvářený především podle webů ZDNet, CNet, The Register a HelpNet Security.

Začala Pwn2Own

Hned první den na hackerském klání Pwn2Own ve Vancouveru prolomili účastníci prakticky všechny testované platformy: Adobe Flash i Acrobat/Reader, Internet Explorer i Firefox. Pořadateli soutěže v rámci akce CanSecWest jsou HP (respektive TippingPoint/Zero Day Initiative) a Google (Projet Zero). Pro úspěšné účastníky jsou připraveny slušné odměny, např. bezpečnostní výzkumník Nicolas Joly si již přišel na 90 000 dolarů. Podrobnosti o demonstrovaných chybách smějí účastníci zveřejnit až poté, co bude k dispozici oprava. Ve většině případů úspěšný útok vyžadoval kombinaci více chyb, např. chyba v aplikaci a současně překonání sandboxu nebo mechanismu znáhodnění paměti v OS, v jiných případech bylo přetečení zásobníku/haldy ještě potřeba doplnit o povýšení uživatelských práv na úrovni Windows apod.

Nová verze MS EMET

Microsoft aktualizoval svůj nástroj Enhanced Experience Toolkit (EMET). Verze 5.2 by měla mj. vylepšit ochranu proti útokům pomocí VBScriptu v Internet Exploreru (především tzv. útoky VBScript God Mode). Je-li v Internet Exploreru zapnut Enhanced Protected Mode (sandbox), nový EMET podporuje zobrazování varování, čímž by se mělo omezit množství útoků drive-by download, které lze provést bez další akce uživatele. EMET má smysl zejména při používání starších aplikací, kde nejsou k dispozici záplaty, řadu bezpečnostních problémů totiž umožňuje obejít nebo alespoň zmírnit jejich závažnost.

Mobilní aplikace zranitelné

Řada aplikací pro iOS i Android je stále zranitelná chybou Freak. FireEye uvádí, že 10 985 populárních aplikací na Google Play je zranitelných 1 228 (11 %). Tyto aplikace byly staženy více než 6,3 miliardy krát. Z 14 079 populárních aplikací na Apple App Store je zranitelných 771 (5,5 %). Viz také: Všichni opravují chybu Freak Poslední analýzy a rozbory ovšem zmiňují, že závažnost zranitelnosti Freak se nejspíš přeceňuje.

Opravy se vlečou

Pravidelná studie IBM X-Force Threat Intelligence Quarterly uvádí výrazný meziroční nárůst počtu kompromitovaných osobních údajů stejně jako reportovaných bezpečnostních zranitelností (o 25 a 10 %). Hlavní příčinou bezpečnostních incidentů má být apatie vývojářů – zájem o objevování zranitelností roste, rychlost oprav nikoliv. V říjnu loňského roku byly známy zranitelnosti v 17 bankovních aplikacích, 10 je stále neopravených.

Šifrování e-mailů podle Googlu a Yahoo

Yahoo nabízí nově šifrování e-mailů jediným tlačítkem. End-to-end šifrování mezi Yahoo a Googlem/GMailem by mělo být kompatibilní, tj. fungovat při posílání e-mailů mezi oběma službami. Zdrojové kódy obou rozšíření jsou k dispozici, Yahoo hodlá za nalézání zranitelností i platit v rámci svého programu odměn pro bezpečnostní výzkumníky. Plug-in Yahoo přímo vychází z loni uvedeného rozšíření Googlu po Chrome s použitím OpenPGP. Šifruje se pouze obsah e-mailu, adresa příjemce či předmět nikoliv. Použití Yahoo Mail End-to-End vs. GPGTools

Yahoo navíc láká uživatele na on-demand hesla namísto těch klasických, kdy se při přihlášení bude jednorázové heslo vždy posílat pomocí SMS. Tato služba je zatím k dispozici jen v USA.

CSIRT.CZ varuje

Útočníci využívají k šíření bankovního trojského koně Dridex makra, která jsou ukryta uvnitř XML souborů. Útočnou přílohu je dokument MS Wordu, uložený jako XML soubor.

Přibývá skimmovacích zařízení (zařízení pro kopírování platebních karet), která jsou místo na samotném bankomatu instalována na dveřích umožňujících přístup do bankovní pobočky s bankomatem.

Bezpečná rekonstrukce dokumentů

Představena byla technologie Check Point Threat Extraction, která dle dodavatele proaktivně a v reálném čase vyčistí dokumenty od škodlivého kódu a má zaručit jejich bezpečnost. Fungování má být následující: z dokumentu se extrahuje aktivní obsah, vložené objekty a další zneužitelné prvky. Dokument je následně zrekonstruován bez potenciálních hrozeb, jen se známými bezpečnými prvky. Druhou verzí je převod původního dokumentu do formátu PDF. Technologie má být k dispozici jako součást nového balíčku Next Generation Threat Prevention a bude dostupná od druhého čtvrtletí 2015. Zdroj: tisková zpráva společnosti Check Point Poznámka: Rekonstruovaný dokument nemusí být plně funkční, riziko mohou představovat i obyčejné odkazy, které jsou z bezpečnostních důvodů neaktivní. Originální dokument může uživatel získat od administrátora systému.

Ze světa firem

Organizace ICANN jmenovala tým, který připraví plán na změnu kořenového klíče používaného pro zabezpečení internetových domén pomocí technologie DNSSEC. Jedním z členů týmu je i Ondřej Surý, vedoucí výzkumného a vývojového oddělení sdružení CZ.NIC. Hlavní odpovědností expertní skupiny je nalézt optimální způsob změny hlavního klíče, aniž by došlo k narušení bezproblémového chodu Internetu. Zdroj: tisková zpráva sdružení CZ.NIC

Uvedena byla beta verze DiskStation Manager (DSM) 5.2. K bezpečnostním novinkám patří dle dodavatele např. rychlejší a lépe nastavitelná cloudová synchronizace s možností šifrování. Komponenta AppArmor, bránící škodlivému softwaru v přístupu k systémovým zdrojům, rozšiřuje svůj dosah na profily jednotlivých balíčků. Přidána byla podpora šifrování SMB 3. Zdroj: tisková zpráva společnosti Synology

Téměř tři čtvrtiny respondentů (73 %) z řad tuzemských firem, které se aktuálně rozhodují pro cloud, uvedly, že vnímají jako riziko ukládání svých dat mimo území ČR. Z dotázaných 130 firem jich zatím cloudová řešení využívá 41 %. Zhruba 50 % respondentů uvedlo, že by jejich důvěru v cloud zvýšila možnost šifrování či osobní prohlídka technického zázemí datového centra poskytovatele. Zdroj: průzkum agentury Perfect Crowd pro České radiokomunikace

Kaspersky Lab představila novou bezplatnou aplikaci pro Android s názvem „Phound!“. Umožňuje majitelům ovládat svá mobilní zařízení a data na nich vzdáleně – pomocí portálu My Kaspersky. Dle průzkumu mezi uživateli internetu během roku ztratil svůj chytrý telefon nebo tablet každý 20. český respondent. Zdroj: tisková zpráva společnosti Kaspersky Lab

Dell představil novou sadu softwarového zabezpečení pro koncová zařízení. Dell Data Protection / Endpoint Security Suite (DDP/ESS) nabízí podnikům ochranu před hrozbami, ověřování a šifrování dat spravované jedinou konzolí. DDP/ESS je kompatibilní i se zařízeními jiných výrobců. Součástí řešení je např. reporting dodržování bezpečnostních zásad, přednastavená politika zabezpečení a předpřipravené šablony reportů pro IT týmy s omezenými zdroji, podporováno je šifrování na hardwarovém i softwarovém základě. Zdroj: tisková zpráva společnosti Dell

Bezpečnost aplikace je jedním z nejdůležitějších faktorů jejich úspěšnosti: 22 % zákazníků opouští aplikaci v momentě, kdy se projeví její slabiny v zabezpečení. Více než polovina spotřebitelů uvádí, že by používala aplikace také k dalším činnostem, jako je placení daní, zajišťování zdravotní péče či účasti u voleb. Průzkum byl proveden v Evropě mezi dodavateli softwaru i jejich zákazníky/koncovými uživateli. Zdroj: tisková zpráva společnosti CA Technologies

Axis uvádí kompresní technologii Zipstream, která snižuje nároky na úložnou kapacitu dat aplikací videodohledu dle dodavatele v průměru o 50 % i více. Jedná se o účinnější implementací protokolu H.264. Technologie provádí analýzu a optimalizuje obrazový stream dat ze síťové kamery v reálném čase. Např. detaily důležité pro forenzní účely, jako tváře nebo registrační značky automobilů, jsou separovány a zachovány, přičemž irelevantní oblasti záběru jsou naopak „obětovány“ za účelem zvýšení komprese. Zdroj: tisková zpráva společnosti Axis Communications

Psali jsme na ITBiz

Na téma bezpečnosti na ITBiz viz také:


Komentáře


RSS 

Komentujeme

Chatbot mluví za mrtvého – od nápadu k realizaci

Pavel Houser , 30. listopad 2016 13:00
Pavel Houser

Na webu The Verge popsala Casey Newton příběh dvou přátel (Eugenia Kuyda a Roman Mazurenko). Peripet...

Více





Kalendář

RSS 

Zprávičky

Tchajwanský Foxconn jedná o rozšíření svých aktivit v USA

ČTK , 07. prosinec 2016 15:00

Tchajwanská společnost Foxconn jedná o rozšíření svých aktivit ve Spojených státech. Oznámila to dne...

Více 0 komentářů

Nejvyšší soud USA se postavil na stranu Samsungu proti Applu

ČTK , 07. prosinec 2016 12:30

Americký nejvyšší soud se v mnohaletém patentovém sporu mezi výrobci chytrých telefonů Apple a Samsu...

Více 0 komentářů

Evropská komise Microsoftu schválila převzetí sítě LinkedIn

ČTK , 07. prosinec 2016 10:30

Evropská komise schválila americké softwarové společnosti Microsoft záměr koupit za 26 miliard dolar...

Více 0 komentářů

Starší zprávičky

Porozumění větám, konkurence pro Turingův test

Pavel Houser , 06. prosinec 2016 18:00

Konverzační roboti mají stále problémy pochopit věty, kde smysl nelze vyvodit ze samotné gramatické ...

Více 0 komentářů

Americká GoDaddy koupí evropský webhosting Host Europe

ČTK , 06. prosinec 2016 16:00

Americký registrátor internetových domén GoDaddy, který je ve svém oboru největší na světě, se dohod...

Více 0 komentářů

Ruská Centrální banka oznámila masivní útok hackerů

ČTK , 06. prosinec 2016 11:00

Do systému ruské Centrální banky se letos dostali hackeři a s pomocí zfalšovaných hesel se pokusili ...

Více 0 komentářů

CETIN vydal dluhopisy za 25 miliard Kč

ČTK , 05. prosinec 2016 18:00

Česká telekomunikační infrastruktura (CETIN) upsala dluhopisy v eurech a korunách v celkovém objemu ...

Více 1 komentářů