Bezpečnostní přehled: Phishing zažívá renesanci

Pavel Houser , 27. červen 2013 08:00 0 komentářů
Rubriky: Security, Internet
Bezpečnostní přehled: Phishing zažívá renesanci

Microsoft udělá výjimku a bude platit za objevy bezpečnostních chyb. Zranitelnosti v sociálních sítích. Jak často administrátoři aktualizují SAP? Následuje pravidelný bezpečnostní přehled vytvářený především podle webů ZDNet, CNet, The Register a HelpNet Security.

V přehrávači Flash Player byla objevena bezpečnostní díra, která útočníkovi umožňuje ovládnout kameru u PC. Na problém upozornil Egor Homakov.

Zranitelnost je prý podobná problému, který Adobe opravila již v roce 2011. Zatím je znám útok v podobě proof-of-concept, aktivní pokusy o zneužití neprobíhají. Uživateli stačí na podvodný flashový objekt kliknout, žádné další dialogy s varováním se již nezobrazí. Adobe tvrdí, že riziko ale hrozí pouze v kombinaci plug-inu Flash a prohlížeče Chrome.

Alexander Polyakov ze společnosti ERPScan hovořil na konferenci RSA o hledání zranitelnosti v prostředí SAP. Implementace jsou podle něj často plné chyb umožňujících cross-site scripting, SQL injection, další obvyklou chybou jsou selhání při kontrole oprávnění.

Administrátoři SAPu by podle něj každopádně měli být opatrní, když po nich lidé pracující doma nebo na cestách chtějí vzdálený přístup do systému přes Internet. Systémy kritických podnikových aplikací ohrožuje i povolená vzdálená správa nebo jejich otevření dalším pobočkám či partnerům. Útočníci navíc mohou otevřená prostředí SAP vyhledávat pomocí Googlu a dalších nástrojů a následně i (polo)automaticky vybírat aplikace obsahující bezpečnostní zranitelnost.

Problém je podle Polyakova ne v samotném prostředí, ale na straně administrátorů. Vázne aktualizace a nasazování oprav, což ovšem také pochopitelné – do tak složitého systému nechce raději nikdo moc vrtat a riskovat nekompatibility. 35 % testovaných systémů SAP nebylo aktualizováno od roku 2005, dalších 19 % od roku 2009 a 23 % od roku 2010.

Big data mohou být pomůckou pro tvůrce bezpečnostních řešení. Eddie Schwartz z RSA/EMC uvedl, že v současnosti je třeba používat v boji s malwarem heterogenních informací z různých systémů.

Microsoft porušil svou letitou tradici neplatit za bezpečnostní zranitelnosti. Společnost nabízí penetračním testerům za objevení zneužitelné chyby ve Windows 8.1 až 150 tisíc dolarů. Další odměny se nabízejí i za prolomení zabezpečení preview verze Internet Exploreru 11. Mezi významnými IT firmami, které za objevy bezpečnostních zranitelností neplatí, zůstává např. Apple a Oracle. Podrobnosti viz: Microsoft vyplatí za nalezenou díru ve Windows 8.1 až 3 miliony korun

Cílem phishingu bylo v loňském roce celosvětově prý přes 33 milionů uživatelů. Opět je důležitější relativní srovnání (do samotné kolonky lze zařadit leccos) – odpovídá to nárůstu o 87 %. Průzkum Kaspersky Lab navíc obsahuje regionální srovnání. Útočníci cílí prý především na Rusko, USA, Indii, Německo, Vietnam, Velkou Británii, Francii, Itálii, Čínu a Ukrajinu. Phishingový e-mail nebo zpráva v sociální síti apod. nejčastěji předstírá, že jej odeslala banka nebo jiná finanční instituce, dále se podvodníci nejčastěji vydávají za Yahoo, Facebook, Google a Amazon (v uvedeném pořadí).

Objevily se další bezpečnostní problémy sociálních sítí Facebook a LinkedIn. U LinkdeIn došlo k únosu DNS a přesměrovávání návštěvníků. Ti mohli podezřelé chování poznat např. z toho, že nová stránka nepoužívala SSL.

V případě Facebooku se chyba týkala nástroje Download Your Information. K e-mailovým adresám a telefonním číslům uživatelů se mohli dostat i nepovolaní (kontakty/přátelé – nikoliv ale např. inzerenti a každý údaj šlo údajně stáhnout jen 1-2krát).

Problém byl již opraven, mezitím již stihly odhadem takto uniknout údaje asi 6 milionů lidí.

V úložném systému HP StoreOnce SAN byla objevena bezpečnostní zranitelnost. Zadní vrátka mají podobu „univerzálního“ administrátorského hesla, které se na konci vývoje softwaru nikdo neobtěžoval odstranit. Toto heslo bylo sice publikováno v podobě hashe, má ale jen 7 znaků a zřejmě půjde zjistit hrubou silou. V roce 2010 se podobný problém objevil u zařízení HP StorageWorks P2000 G3 MSA, administrátoři ho však mohli vyřešit z příkazového řádku.

Podle lokální průzkumu GFI se více než 90 % českých podnikových zákazníků již setkalo s problémy v souvislosti s hledáním či ztrátou důležitých podnikových e-mailů. Přitom pouze necelých 40 % společností používá nějaké specializované archivační řešení, které tyto problémy eliminuje.

Zdroj: tisková zpráva společnosti GFI Software

Průzkum zjistil, že 62 % českých matek svým dětem půjčuje mobilní zařízení, aby je zaměstnalo a zabavilo. 35 % dotázaných matek nemá nastavené bezpečnostní heslo, které by jejich dětem zabránilo před nekontrolovaným použitím mobilního zařízení a 32 % matek nemá nastavené heslo vůbec žádné.

Zdroj: tisková zpráva společnosti AVG

Eset uvolnil beta verze svých produktů pro domácnosti - Eset Smart Security 7 a Eset NOD32 Antivirus 7, které přinášejí vylepšenou antimalwarovou ochranu a inovované čištění systému.

Nová technologie Advanced Memory Scanner dokáže zastavit složitě šifrované hrozby, které byly vytvořeny tak, aby se vyhnuly detekci. Zvládá analyzovat rozšifrované soubory přímo v paměti. Vylepšené čištění pomáhá uživatelům odstranit komplexní rootkity. Vulnerability Shield (Štít zranitelností) v Eset Smart Security, nabízí ochranu při pokusech o zneužití zranitelnosti sítě. Zdroj: tisková zpráva společnosti Eset

Novou verzi řešení SecurAccess od firmy SecurEnvoy pro dvoufaktorovou autentizaci uvedl na náš trh Comguard. Verze 7 umožňuje uživatelům vybrat si z řady možností pro příjem jednorázových hesel.

Nová verze umožňuje využívat více SMS bran s inteligentním směrováním, například dle konkrétní domény nebo předvolby čísla. Hesla je možno přijímat i přes VoIP a e-mail. Uživatelé bez internetového připojení či bez mobilního signálu mohou využít pevnou linku, kdy se zadává zobrazené jednorázové heslo pomocí číselných tlačítek na telefonu.

Řešení spolupracuje s Microsoft Active Directory, Novell eDirectory, Sun Directory Server a OpenLDAP.

Zdroj: tisková zpráva společnosti Comguard

Avast Software uvedl na trh SecureLine, virtuální privátní síť (VPN). Jde o službu, která umožňuje zákazníkům šifrovat jejich komunikaci, zatímco jsou připojeni do nezabezpečených Wi-Fi sítí. V celosvětovém průzkumu mezi více než 340 000 respondentů Avast zjistil, že používání nezabezpečených Wi-Fi sítí je obvyklý problém na celém světě. V USA i celosvětově se kolem 50 % lidí připojuje k veřejným Wi-Fi sítím, více jak dvě třetiny celosvětově používají na cestách nezabezpečené internetové připojení na denní bázi.

Avast SecureLine používá zabezpečený protokol (SSL), šifrování a bezpečnostní klíče/certifikáty. Služba je integrována do bezplatných i placených produktů Avast, k dispozici je na bázi předplatného.

Zdroj: tisková zpráva společnosti Avast

Sophos Complete MSP Security nabízí zabezpečení jako službu. Je určena poskytovatelům řízených služeb (MSP). Řešení poskytuje ochranu sítí, koncových bodů a mobilních zařízení.

Zdroj: tisková zpráva společnosti Sophos


Komentáře


RSS 

Komentujeme

Chatbot mluví za mrtvého – od nápadu k realizaci

Pavel Houser , 30. listopad 2016 13:00
Pavel Houser

Na webu The Verge popsala Casey Newton příběh dvou přátel (Eugenia Kuyda a Roman Mazurenko). Peripet...

Více





Kalendář

20. 03.

24. 03.
CeBIT 2017
RSS 

Zprávičky

Nový zákon o výzkumu chystá "blacklist" příjemců i ministerstvo

ČTK , 09. prosinec 2016 16:31

Velké změny ve fungování Grantové a Technologické agentury, novou vědeckou radu ČR i takzvaný "black...

Více 0 komentářů

Fitbit koupil průkopníka chytrých hodinek Pebble

ČTK , 09. prosinec 2016 15:00

Americký výrobce chytrých náramků a hodinek Fitbit koupil software, patenty a další aktiva duševního...

Více 0 komentářů

Američané možná umožní v letadlech telefonování přes wi-fi

ČTK , 09. prosinec 2016 13:00

Aerolinky ve Spojených státech by v budoucnu mohly umožňovat telefonování v letadle s použitím wi-fi...

Více 2 komentářů

Starší zprávičky

Česká pošta od ledna zdraží posílání do zahraničí o pět až 20 Kč

ČTK , 09. prosinec 2016 11:39

Česká pošta od ledna zvýší ceny za posílání listovních zásilek do zahraničí o pět korun, balíky podr...

Více 0 komentářů

Za vzněcováním smartphonu iPhone 6 jsou vnější vlivy, tvrdí Apple

ČTK , 08. prosinec 2016 11:30

Firma Apple odmítla podezření čínských uživatelů svého chytrého telefonu iPhone 6, že za problémy s ...

Více 0 komentářů

Verizon prodá firmě Equinix datová centra za 3,6 miliardy USD

ČTK , 08. prosinec 2016 10:00

Největší americký mobilní operátor Verizon Communications prodá specializované společnosti Equinix 2...

Více 0 komentářů

Tchajwanský Foxconn jedná o rozšíření svých aktivit v USA

ČTK , 07. prosinec 2016 15:00

Tchajwanská společnost Foxconn jedná o rozšíření svých aktivit ve Spojených státech. Oznámila to dne...

Více 0 komentářů