margin-top: 125px; border: 1px solid gray; } -->

Bezpečnostní přehled: pochybnosti o íránském hacku GPS a sedadlo, které pozná lidi podle zadku

Pavel Houser , 29. prosinec 2011 07:36 1 komentářů
Bezpečnostní přehled: pochybnosti o íránském hacku GPS a sedadlo, které pozná lidi podle zadku

Biometrické sedadlo prý rozliší lidi podle zadku. Kvantová kryptografie a kopírování kvantových objektů. Proč v prohlížeči vypínat Javu? Objeví se v příštím supervolebním roce v USA kybernetické útoky proti hlasovacím systémům? Následuje pravidelný čtvrteční bezpečnostní přehled.

Hackeři údajně pronikli do systému Americké obchodní komory. IP adresy ukazují, že minimálně přestupní stanicí zlodějů dat byla Čína. K útoku byly použité e-maily zaměstnancům, k infekci systému stačilo, aby jeden (nebo více) z nich klikl na připojený odkaz. Útočníci měli přístup do sítě minimálně od listopadu 2010. Podařilo se jim zcizit zřejmě část e-mailové komunikace (údajně 4 zaměstnanců specializujících se na východní Asii) a několik souborů s ekonomickými výkazy.

Zdroj: HelpNet Security, CNet

Vypnout Javu vůbec nemusí být špatný nápad, říká Mikko Hyponnen z finské bezpečnostní firmy F-Secure. Tvrdí, že mnoho exploitů opravdu zneužívá Javu (v současnosti např. tzv. Rhino). Přitom Java je dnes již potřeba jen pro málo bohatých internetových aplikací, ty vesměs zvládá JavaScript/Ajax. JavaScript je nutný, Java ne, ovšem lidé si prý obě technologie až příliš často pletou. Uživatelé si často ani nejsou vědomi, že Javu na svých počítačích mají; problémem byl podle Hyponnena také dřívější způsob aktualizací, kdy nová verze ne vždy odinstalovala tu starší – takže zranitelné kusy staršího softwaru v počítačích zůstaly.

Výše uvedené se týká spíše domácích uživatelů, firemní administrátoři si Javu s JavaScriptem nepletou. Zda ji mají zakázat, to ovšem závisí na tom, jaké konkrétní webové/intranetové aplikace firma používá. Hypponnen obecně doporučuje odstranit plug-in pro Javu hlavně z prohlížeče, v operačním systému může Java zůstat. Pokud jsou nějaké konkrétní aplikace s javovými applety potřeba, pak radí mít vedle sebe 2 prohlížeče. 1 používat jen pro tyto weby s Javou a v „běžném“ browseru ji zakázat. Hypponnen radí také přejít na Chrome, kde je řada exploitů Javy blokována, navíc se pro zpracování PDF nepoužívá často zranitelný plug-in od Adobe. Zdroj: HelpNet Security

Pouhý den po uvolnění Firefoxu 9 musela Mozilla uvolnit verzi 9.0.1. Některé uživatele tak rychlá záplata natolik překvapila, až se domnívali, že jde o podvod, respektive kompromitaci celého mechanismu aktualizací. Mozilla vydala opravu kvůli chybě, která způsobovala havarování Firefoxu na Windows, MacOS a Linuxu (byť Windows se problém příliš týkat neměl). Prohlížeč se nesnesl s některými panely, bezpečnostní důsledky snad chyba mít přímo neměla.

Zdroj: ZDNet

HP vydala opravdu firmwaru tiskáren HP Laser Jet, který by měl odstranit nedávno objevenou bezpečnostní zranitelnost, respektive problém obejít/zmírnit. HP uvádí, že nicméně nebyly zaznamenány žádné útoky; k ochraně by mělo stačit dodržovat běžné bezpečnostní zásady, mít tiskárnu za firewallem, u exponovaných tiskáren zakázat vzdálené načítání firmwaru apod. Společnost popírá, že by chyba mohla útočníkům umožnit vyvolat požár.

O problému se na ITBiz již psalo zde

Zdroj: CNet

O tom, že by se Íránu opravdu podařilo nějak „hacknout“ GPS a tímto způsobem se zmocnit amerického bezpilotního letounu RQ-170 Sentinel, panují velké pochybnosti. Akademici z USA a ze švýcarského ETH vydali hodnocení, že Írán by musel nejprve dokázat zaměřit letoun s přesností na několik metrů a pak k němu vyslat signál GPS, který by byl silnější než ten od satelitů. Signály v tuto chvíli nejsou šifrované, takže „zvítězí“ ten silnější, ale provést to není vůbec snadné; spíše než převzetí zařízení by výsledkem byly chyby. Scénář prezentovaný Íránem je krajně nepravděpodobný, Írán měl buď velké štěstí, mnohem spíše ale letoun prostě nějak zbloudil (byť by se čekalo, že pak se při přistání rozbije – nejspíš si na zem sedl na poušti).

Zdroj: The Register + viz. také minulý bezpečnostní přehled.

Aplikace v podobě proof-of-concept, kterou vyvinuli bezpečnostní specialisté z firmy ViaForensics, dokáže obejít systém oprávnění u zařízení Android. Kvůli eskalaci práv získá útočník nepozorovaně (to vzhledem k multitaskingu) vzdálený přístup přímo k systému. Tímto způsobem je možné např. získat a na vzdálený server odeslat data z SD karet. Útok funguje pro verze Androidu od 1.5 do nejnovější 4. Jedná se o ukázku, nikoliv podvodnou aplikaci šířenou přes Android App Market, nicméně něco podobného se i zde dříve či později nejspíš objeví.

Zdroj: SecurityNewsDaily

Video s ukázkou

Android No-Permissions Reverse Shell from Thomas Cannon on Vimeo.

Elinor Mills zmiňuje ve své prognóze na CNet ještě jeden z bezpečnostních aspektů příštího roku. V USA půjde o rok volební, takže by se mohly objevit pokusy nějak manipulovat elektronické hlasovací stroje nebo e-volby. Problémy tohoto typu byly zaznamenány již v roce 2008 a těžko říct, zda se od té doby látání bezpečnostních nedostatků někdo věnoval...

Zdroj: CNet

Zpráva ze ScienceDaily: Bezpečnost kvantové kryptografie stojí na tom, že nelze udělat kopii kvantového objektu bez toho, abychom jeho stav současně nezměnili – což má být základní záruka proti odposlechu. Čínští vědci nyní údajně ukázali, že jakousi kopii je možné vytvářet procesem tzv. asymetrického klonování. Počet kopií pak odpovídá změně původního objektu (čím méně klonů, tím větší zůstane podobnost; např. při vytvoření 4 kopií některé implementace ještě vyhodnotily kopie jako totožné s originálem). Využití by tato technika mohla najít jak při útoku proti kryptografii, tak i při její ochraně proti náhodným chybám (porovnávání kopií tajných klíčů apod.). Tak jako většina novinek z kvantového světa, i tato působí při pohledu z běžné perspektivy značně „esotericky“...

Perlička na závěr: Physorg.com uvádí (pokud to není kachna/předsilvestrovský vtip, ale podle všeho ne), že biometrie by se mohla rozšířit i o hýždě/záda. Sedadlo s čidly (celkem 360 senzorů) prý dokáže identifikovat konkrétní tělo dle váhy a jejího rozložení údajně až s přesností 98 %. Uplatnění by tato technologie mohla najít v automobilech, ale třeba i jako způsob přihlašování k počítači v kancelářských prostorách. Na rozdíl např. od snímání duhovky by se uživatelé mohli údajně chovat zcela normálně, jako by žádné autentizace nebylo. Projekt je dílem japonským vědců, vedoucím týmu byl Shigeomi Koshimizu.


Komentáře

Tom #1
Tom 04. leden 2012 11:37

Military-band GPS (M-code) is protected against spoofing by the RSA cipher.

RSS 

Komentujeme

Bezpečnost IT a tygří logika

Pavel Houser , 14. únor 2017 11:00
Pavel Houser

Jak praví známý vtip, běží-li za vámi tygr, netřeba se pohybovat rychleji než šelma – stačí předběhn...

Více






Kalendář

22. 02. IT mezi paragrafy
20. 03.

24. 03.
CeBIT 2017
25. 03. INSPO 2017
RSS 

Zprávičky

Verizon koupí aktivity Yahoo za sníženou cenu 4,48 miliardy USD

ČTK , 21. únor 2017 16:05

Americký telekomunikační operátor Verizon Communications se dohodl na nových podmínkách převzetí zák...

Více 0 komentářů

Jen desetina SMB firem těží z digitální transformace

ITBiz.cz , 21. únor 2017 09:00

Studie IDC a SAP ukázala, že čtyři z pěti SMB firem vidí v digitální transformaci značné výhody včet...

Více 0 komentářů

Trump si nechal registrovat tisíce internetových domén

ČTK , 21. únor 2017 08:30

Málokterá veřejná osoba je tak aktivní ve skupování internetových domén jako americký prezident Dona...

Více 3 komentářů

Starší zprávičky

Mall Group ovládla internetový obchod s elektrem CZC.cz

ČTK , 20. únor 2017 16:39

Skupina Mall Group se stala jediným vlastníkem e-shopu CZC.cz. Od zakladatele obchodu Josefa Matějky...

Více 2 komentářů

Eurowag dokončil akvizici firmy Princip

Pavel Houser , 20. únor 2017 16:12

W.A.G. payment solutions proniká na trh telematických služeb....

Více 0 komentářů

Samsung zpřístupňuje nové čipy 5G RFIC

Pavel Houser , 20. únor 2017 16:01

Čip dokáže poskytnout větší pokrytí v pásmu milimetrových vln (mmWave)....

Více 0 komentářů

Soud povolil vydání Dotcoma do USA, ten se znovu odvolá

ČTK , 20. únor 2017 12:00

Novozélandský soud zamítl odvolání internetového magnáta německého původu Kima Dotcoma proti jeho vy...

Více 0 komentářů

AbcPráce