Bezpečnostní přehled: pochybnosti o íránském hacku GPS a sedadlo, které pozná lidi podle zadku

Pavel Houser , 29. prosinec 2011 07:36 1 komentářů
Bezpečnostní přehled: pochybnosti o íránském hacku GPS a sedadlo, které pozná lidi podle zadku

Biometrické sedadlo prý rozliší lidi podle zadku. Kvantová kryptografie a kopírování kvantových objektů. Proč v prohlížeči vypínat Javu? Objeví se v příštím supervolebním roce v USA kybernetické útoky proti hlasovacím systémům? Následuje pravidelný čtvrteční bezpečnostní přehled.

Hackeři údajně pronikli do systému Americké obchodní komory. IP adresy ukazují, že minimálně přestupní stanicí zlodějů dat byla Čína. K útoku byly použité e-maily zaměstnancům, k infekci systému stačilo, aby jeden (nebo více) z nich klikl na připojený odkaz. Útočníci měli přístup do sítě minimálně od listopadu 2010. Podařilo se jim zcizit zřejmě část e-mailové komunikace (údajně 4 zaměstnanců specializujících se na východní Asii) a několik souborů s ekonomickými výkazy.

Zdroj: HelpNet Security, CNet

Vypnout Javu vůbec nemusí být špatný nápad, říká Mikko Hyponnen z finské bezpečnostní firmy F-Secure. Tvrdí, že mnoho exploitů opravdu zneužívá Javu (v současnosti např. tzv. Rhino). Přitom Java je dnes již potřeba jen pro málo bohatých internetových aplikací, ty vesměs zvládá JavaScript/Ajax. JavaScript je nutný, Java ne, ovšem lidé si prý obě technologie až příliš často pletou. Uživatelé si často ani nejsou vědomi, že Javu na svých počítačích mají; problémem byl podle Hyponnena také dřívější způsob aktualizací, kdy nová verze ne vždy odinstalovala tu starší – takže zranitelné kusy staršího softwaru v počítačích zůstaly.

Výše uvedené se týká spíše domácích uživatelů, firemní administrátoři si Javu s JavaScriptem nepletou. Zda ji mají zakázat, to ovšem závisí na tom, jaké konkrétní webové/intranetové aplikace firma používá. Hypponnen obecně doporučuje odstranit plug-in pro Javu hlavně z prohlížeče, v operačním systému může Java zůstat. Pokud jsou nějaké konkrétní aplikace s javovými applety potřeba, pak radí mít vedle sebe 2 prohlížeče. 1 používat jen pro tyto weby s Javou a v „běžném“ browseru ji zakázat. Hypponnen radí také přejít na Chrome, kde je řada exploitů Javy blokována, navíc se pro zpracování PDF nepoužívá často zranitelný plug-in od Adobe. Zdroj: HelpNet Security

Pouhý den po uvolnění Firefoxu 9 musela Mozilla uvolnit verzi 9.0.1. Některé uživatele tak rychlá záplata natolik překvapila, až se domnívali, že jde o podvod, respektive kompromitaci celého mechanismu aktualizací. Mozilla vydala opravu kvůli chybě, která způsobovala havarování Firefoxu na Windows, MacOS a Linuxu (byť Windows se problém příliš týkat neměl). Prohlížeč se nesnesl s některými panely, bezpečnostní důsledky snad chyba mít přímo neměla.

Zdroj: ZDNet

HP vydala opravdu firmwaru tiskáren HP Laser Jet, který by měl odstranit nedávno objevenou bezpečnostní zranitelnost, respektive problém obejít/zmírnit. HP uvádí, že nicméně nebyly zaznamenány žádné útoky; k ochraně by mělo stačit dodržovat běžné bezpečnostní zásady, mít tiskárnu za firewallem, u exponovaných tiskáren zakázat vzdálené načítání firmwaru apod. Společnost popírá, že by chyba mohla útočníkům umožnit vyvolat požár.

O problému se na ITBiz již psalo zde

Zdroj: CNet

O tom, že by se Íránu opravdu podařilo nějak „hacknout“ GPS a tímto způsobem se zmocnit amerického bezpilotního letounu RQ-170 Sentinel, panují velké pochybnosti. Akademici z USA a ze švýcarského ETH vydali hodnocení, že Írán by musel nejprve dokázat zaměřit letoun s přesností na několik metrů a pak k němu vyslat signál GPS, který by byl silnější než ten od satelitů. Signály v tuto chvíli nejsou šifrované, takže „zvítězí“ ten silnější, ale provést to není vůbec snadné; spíše než převzetí zařízení by výsledkem byly chyby. Scénář prezentovaný Íránem je krajně nepravděpodobný, Írán měl buď velké štěstí, mnohem spíše ale letoun prostě nějak zbloudil (byť by se čekalo, že pak se při přistání rozbije – nejspíš si na zem sedl na poušti).

Zdroj: The Register + viz. také minulý bezpečnostní přehled.

Aplikace v podobě proof-of-concept, kterou vyvinuli bezpečnostní specialisté z firmy ViaForensics, dokáže obejít systém oprávnění u zařízení Android. Kvůli eskalaci práv získá útočník nepozorovaně (to vzhledem k multitaskingu) vzdálený přístup přímo k systému. Tímto způsobem je možné např. získat a na vzdálený server odeslat data z SD karet. Útok funguje pro verze Androidu od 1.5 do nejnovější 4. Jedná se o ukázku, nikoliv podvodnou aplikaci šířenou přes Android App Market, nicméně něco podobného se i zde dříve či později nejspíš objeví.

Zdroj: SecurityNewsDaily

Video s ukázkou

Android No-Permissions Reverse Shell from Thomas Cannon on Vimeo.

Elinor Mills zmiňuje ve své prognóze na CNet ještě jeden z bezpečnostních aspektů příštího roku. V USA půjde o rok volební, takže by se mohly objevit pokusy nějak manipulovat elektronické hlasovací stroje nebo e-volby. Problémy tohoto typu byly zaznamenány již v roce 2008 a těžko říct, zda se od té doby látání bezpečnostních nedostatků někdo věnoval...

Zdroj: CNet

Zpráva ze ScienceDaily: Bezpečnost kvantové kryptografie stojí na tom, že nelze udělat kopii kvantového objektu bez toho, abychom jeho stav současně nezměnili – což má být základní záruka proti odposlechu. Čínští vědci nyní údajně ukázali, že jakousi kopii je možné vytvářet procesem tzv. asymetrického klonování. Počet kopií pak odpovídá změně původního objektu (čím méně klonů, tím větší zůstane podobnost; např. při vytvoření 4 kopií některé implementace ještě vyhodnotily kopie jako totožné s originálem). Využití by tato technika mohla najít jak při útoku proti kryptografii, tak i při její ochraně proti náhodným chybám (porovnávání kopií tajných klíčů apod.). Tak jako většina novinek z kvantového světa, i tato působí při pohledu z běžné perspektivy značně „esotericky“...

Perlička na závěr: Physorg.com uvádí (pokud to není kachna/předsilvestrovský vtip, ale podle všeho ne), že biometrie by se mohla rozšířit i o hýždě/záda. Sedadlo s čidly (celkem 360 senzorů) prý dokáže identifikovat konkrétní tělo dle váhy a jejího rozložení údajně až s přesností 98 %. Uplatnění by tato technologie mohla najít v automobilech, ale třeba i jako způsob přihlašování k počítači v kancelářských prostorách. Na rozdíl např. od snímání duhovky by se uživatelé mohli údajně chovat zcela normálně, jako by žádné autentizace nebylo. Projekt je dílem japonským vědců, vedoucím týmu byl Shigeomi Koshimizu.


Komentáře

Tom #1
Tom 04. leden 2012 11:37

Military-band GPS (M-code) is protected against spoofing by the RSA cipher.

RSS 

Komentujeme

Jak probíhá adopce cloudu

Pavel Houser , 16. únor 2018 09:45
Pavel Houser

Cloud už neznamená jen SaaS, jenže… K dispozici je řada analýz i prognóz, které dokládají, jak se po...

Více








RSS 

Zprávičky

V ČR rostl prodej elektroniky i kancelářské techniky

Pavel Houser , 25. únor 2018 09:00

Nejvíc průměrná cena rostla u tabletů a notebooků. Prodalo se víc inkoustových tiskáren, méně lasero...

Více 0 komentářů

Pokles prodeje smartphonů potvrzuje i Gartner

ČTK , 24. únor 2018 12:04

Meziroční nárůst čtvrtletního prodeje zaznamenaly v rámci první pětky pouze Huawei a Xiaomi....

Více 0 komentářů

Broadcom snížil nabídku na rivala Qualcomm na 117 miliard dolarů

ČTK , 23. únor 2018 10:00

Převzetí Qualcommu by bylo největší akvizicí v historii technologického sektoru....

Více 0 komentářů

Starší zprávičky

T-Mobile měl úspěšný rok

Pavel Houser , 23. únor 2018 09:00

T-Mobile oznámil finanční výsledky za rok 2017. Celkové tržby z mobilních a pevných služeb včetně pr...

Více 0 komentářů

NÚKIB loni řešil méně hlášení o kybernetických incidentech

ČTK , 23. únor 2018 08:00

Na podzim NÚKIB musel řešit i útok na weby, na kterých se zobrazovaly aktuální volební výsledky....

Více 0 komentářů

Hackeři zneužili cloudový systém Tesly k těžbě kryptoměn

ČTK , 22. únor 2018 10:00

Průnik se odehrál přes konzoli systému Kubernetes pro optimalizaci cloudových aplikací. ...

Více 0 komentářů

Dvakrát ze světa open source CRM: Sugar a SuiteCRM

Pavel Houser , 22. únor 2018 09:00

CRM systém Sugar je nabízen v několika edicích. Placené edice lze standardně provozovat formou služb...

Více 0 komentářů