Bezpečnostní přehled: Neobstál Internet Explorer, Firefox ani Flash Player

Pavel Houser , 23. březen 2015 07:00 0 komentářů
Bezpečnostní přehled: Neobstál Internet Explorer, Firefox ani Flash Player

Každoroční soutěž Pwn2Own, jak bezpečně rekonstruovat dokument, účinnější komprese pro streamy z dohledových kamer, end-to-end šifrování webových e-mailů, podvodné čtečky karet ve dveřích před bankomaty, mobilní aplikace a chyba Freak. Následuje pravidelný bezpečnostní přehled vytvářený především podle webů ZDNet, CNet, The Register a HelpNet Security.

Začala Pwn2Own

Hned první den na hackerském klání Pwn2Own ve Vancouveru prolomili účastníci prakticky všechny testované platformy: Adobe Flash i Acrobat/Reader, Internet Explorer i Firefox. Pořadateli soutěže v rámci akce CanSecWest jsou HP (respektive TippingPoint/Zero Day Initiative) a Google (Projet Zero). Pro úspěšné účastníky jsou připraveny slušné odměny, např. bezpečnostní výzkumník Nicolas Joly si již přišel na 90 000 dolarů. Podrobnosti o demonstrovaných chybách smějí účastníci zveřejnit až poté, co bude k dispozici oprava. Ve většině případů úspěšný útok vyžadoval kombinaci více chyb, např. chyba v aplikaci a současně překonání sandboxu nebo mechanismu znáhodnění paměti v OS, v jiných případech bylo přetečení zásobníku/haldy ještě potřeba doplnit o povýšení uživatelských práv na úrovni Windows apod.

Nová verze MS EMET

Microsoft aktualizoval svůj nástroj Enhanced Experience Toolkit (EMET). Verze 5.2 by měla mj. vylepšit ochranu proti útokům pomocí VBScriptu v Internet Exploreru (především tzv. útoky VBScript God Mode). Je-li v Internet Exploreru zapnut Enhanced Protected Mode (sandbox), nový EMET podporuje zobrazování varování, čímž by se mělo omezit množství útoků drive-by download, které lze provést bez další akce uživatele. EMET má smysl zejména při používání starších aplikací, kde nejsou k dispozici záplaty, řadu bezpečnostních problémů totiž umožňuje obejít nebo alespoň zmírnit jejich závažnost.

Mobilní aplikace zranitelné

Řada aplikací pro iOS i Android je stále zranitelná chybou Freak. FireEye uvádí, že 10 985 populárních aplikací na Google Play je zranitelných 1 228 (11 %). Tyto aplikace byly staženy více než 6,3 miliardy krát. Z 14 079 populárních aplikací na Apple App Store je zranitelných 771 (5,5 %). Viz také: Všichni opravují chybu Freak Poslední analýzy a rozbory ovšem zmiňují, že závažnost zranitelnosti Freak se nejspíš přeceňuje.

Opravy se vlečou

Pravidelná studie IBM X-Force Threat Intelligence Quarterly uvádí výrazný meziroční nárůst počtu kompromitovaných osobních údajů stejně jako reportovaných bezpečnostních zranitelností (o 25 a 10 %). Hlavní příčinou bezpečnostních incidentů má být apatie vývojářů – zájem o objevování zranitelností roste, rychlost oprav nikoliv. V říjnu loňského roku byly známy zranitelnosti v 17 bankovních aplikacích, 10 je stále neopravených.

Šifrování e-mailů podle Googlu a Yahoo

Yahoo nabízí nově šifrování e-mailů jediným tlačítkem. End-to-end šifrování mezi Yahoo a Googlem/GMailem by mělo být kompatibilní, tj. fungovat při posílání e-mailů mezi oběma službami. Zdrojové kódy obou rozšíření jsou k dispozici, Yahoo hodlá za nalézání zranitelností i platit v rámci svého programu odměn pro bezpečnostní výzkumníky. Plug-in Yahoo přímo vychází z loni uvedeného rozšíření Googlu po Chrome s použitím OpenPGP. Šifruje se pouze obsah e-mailu, adresa příjemce či předmět nikoliv. Použití Yahoo Mail End-to-End vs. GPGTools

Yahoo navíc láká uživatele na on-demand hesla namísto těch klasických, kdy se při přihlášení bude jednorázové heslo vždy posílat pomocí SMS. Tato služba je zatím k dispozici jen v USA.

CSIRT.CZ varuje

Útočníci využívají k šíření bankovního trojského koně Dridex makra, která jsou ukryta uvnitř XML souborů. Útočnou přílohu je dokument MS Wordu, uložený jako XML soubor.

Přibývá skimmovacích zařízení (zařízení pro kopírování platebních karet), která jsou místo na samotném bankomatu instalována na dveřích umožňujících přístup do bankovní pobočky s bankomatem.

Bezpečná rekonstrukce dokumentů

Představena byla technologie Check Point Threat Extraction, která dle dodavatele proaktivně a v reálném čase vyčistí dokumenty od škodlivého kódu a má zaručit jejich bezpečnost. Fungování má být následující: z dokumentu se extrahuje aktivní obsah, vložené objekty a další zneužitelné prvky. Dokument je následně zrekonstruován bez potenciálních hrozeb, jen se známými bezpečnými prvky. Druhou verzí je převod původního dokumentu do formátu PDF. Technologie má být k dispozici jako součást nového balíčku Next Generation Threat Prevention a bude dostupná od druhého čtvrtletí 2015. Zdroj: tisková zpráva společnosti Check Point Poznámka: Rekonstruovaný dokument nemusí být plně funkční, riziko mohou představovat i obyčejné odkazy, které jsou z bezpečnostních důvodů neaktivní. Originální dokument může uživatel získat od administrátora systému.

Ze světa firem

Organizace ICANN jmenovala tým, který připraví plán na změnu kořenového klíče používaného pro zabezpečení internetových domén pomocí technologie DNSSEC. Jedním z členů týmu je i Ondřej Surý, vedoucí výzkumného a vývojového oddělení sdružení CZ.NIC. Hlavní odpovědností expertní skupiny je nalézt optimální způsob změny hlavního klíče, aniž by došlo k narušení bezproblémového chodu Internetu. Zdroj: tisková zpráva sdružení CZ.NIC

Uvedena byla beta verze DiskStation Manager (DSM) 5.2. K bezpečnostním novinkám patří dle dodavatele např. rychlejší a lépe nastavitelná cloudová synchronizace s možností šifrování. Komponenta AppArmor, bránící škodlivému softwaru v přístupu k systémovým zdrojům, rozšiřuje svůj dosah na profily jednotlivých balíčků. Přidána byla podpora šifrování SMB 3. Zdroj: tisková zpráva společnosti Synology

Téměř tři čtvrtiny respondentů (73 %) z řad tuzemských firem, které se aktuálně rozhodují pro cloud, uvedly, že vnímají jako riziko ukládání svých dat mimo území ČR. Z dotázaných 130 firem jich zatím cloudová řešení využívá 41 %. Zhruba 50 % respondentů uvedlo, že by jejich důvěru v cloud zvýšila možnost šifrování či osobní prohlídka technického zázemí datového centra poskytovatele. Zdroj: průzkum agentury Perfect Crowd pro České radiokomunikace

Kaspersky Lab představila novou bezplatnou aplikaci pro Android s názvem „Phound!“. Umožňuje majitelům ovládat svá mobilní zařízení a data na nich vzdáleně – pomocí portálu My Kaspersky. Dle průzkumu mezi uživateli internetu během roku ztratil svůj chytrý telefon nebo tablet každý 20. český respondent. Zdroj: tisková zpráva společnosti Kaspersky Lab

Dell představil novou sadu softwarového zabezpečení pro koncová zařízení. Dell Data Protection / Endpoint Security Suite (DDP/ESS) nabízí podnikům ochranu před hrozbami, ověřování a šifrování dat spravované jedinou konzolí. DDP/ESS je kompatibilní i se zařízeními jiných výrobců. Součástí řešení je např. reporting dodržování bezpečnostních zásad, přednastavená politika zabezpečení a předpřipravené šablony reportů pro IT týmy s omezenými zdroji, podporováno je šifrování na hardwarovém i softwarovém základě. Zdroj: tisková zpráva společnosti Dell

Bezpečnost aplikace je jedním z nejdůležitějších faktorů jejich úspěšnosti: 22 % zákazníků opouští aplikaci v momentě, kdy se projeví její slabiny v zabezpečení. Více než polovina spotřebitelů uvádí, že by používala aplikace také k dalším činnostem, jako je placení daní, zajišťování zdravotní péče či účasti u voleb. Průzkum byl proveden v Evropě mezi dodavateli softwaru i jejich zákazníky/koncovými uživateli. Zdroj: tisková zpráva společnosti CA Technologies

Axis uvádí kompresní technologii Zipstream, která snižuje nároky na úložnou kapacitu dat aplikací videodohledu dle dodavatele v průměru o 50 % i více. Jedná se o účinnější implementací protokolu H.264. Technologie provádí analýzu a optimalizuje obrazový stream dat ze síťové kamery v reálném čase. Např. detaily důležité pro forenzní účely, jako tváře nebo registrační značky automobilů, jsou separovány a zachovány, přičemž irelevantní oblasti záběru jsou naopak „obětovány“ za účelem zvýšení komprese. Zdroj: tisková zpráva společnosti Axis Communications

Psali jsme na ITBiz

Na téma bezpečnosti na ITBiz viz také:


Komentáře


RSS 

Komentujeme

Zákaznické karty čekají změny

Pavel Houser , 17. leden 2017 13:00
Pavel Houser

Jedna z technologií, která se už po léta prakticky nezměnila, i když by mohla? Prý karty zákazníků d...

Více





Kalendář

06. 02.

07. 02.
konference G2B TechEd
15. 02. IDC Predictions 2017
22. 02. IT mezi paragrafy
RSS 

Zprávičky

Tržby IBM klesaly i ve 4.čtvrtletí loňského roku, akciím se daří

ČTK , 21. leden 2017 07:00

Americká počítačová společnost International Business Machines (IBM) zaznamenala další, již devatená...

Více 0 komentářů

Facebook postaví v Dánsku datové centrum

ČTK , 20. leden 2017 14:00

Americký provozovatel sociální sítě Facebook postaví v dánském městě Odense nové datové centrum, kte...

Více 0 komentářů

Americký Oracle převezme českou programátorskou firmu Apiary

ČTK , 20. leden 2017 12:00

Americký výrobce podnikového softwaru Oracle podepsal dohodu o převzetí české programátorské firmy A...

Více 0 komentářů

Starší zprávičky

Internetová ekonomika za pět let posílila o 15 procent na 188 miliard

ČTK , 20. leden 2017 07:00

Objem internetové ekonomiky se předloni proti roku 2011 zvýšil o 15 procent na 188 miliard korun. Na...

Více 0 komentářů

Facebook zřídí v Paříži svůj první inkubátor pro začínající firmy

ČTK , 19. leden 2017 14:00

Americká sociální síť Facebook zřídí v Paříži svůj první inkubátor pro začínající firmy, tzv. startu...

Více 0 komentářů

Toshiba prý zvažuje o osamostatnění své polovodičové divize

ČTK , 19. leden 2017 11:00

Japonská společnost Toshiba Corp. zvažuje oddělení svých aktivit v oblasti výroby polovodičů do samo...

Více 0 komentářů

Sněmovna uzákoní pravidla pro informační systémy veřejné správy

ČTK , 19. leden 2017 07:00

Sněmovna zřejmě uzákoní pravidla pro to, jaké funkční vlastnosti mají mít informační systémy ve veře...

Více 0 komentářů