Biometrické sedadlo prý rozliší lidi podle zadku. Kvantová kryptografie a kopírování kvantových objektů. Proč v prohlížeči vypínat Javu? Objeví se v příštím supervolebním roce v USA kybernetické útoky proti hlasovacím systémům? Následuje pravidelný čtvrteční bezpečnostní přehled.
Hackeři údajně pronikli do systému Americké obchodní komory. IP adresy ukazují, že minimálně přestupní stanicí zlodějů dat byla Čína. K útoku byly použité e-maily zaměstnancům, k infekci systému stačilo, aby jeden (nebo více) z nich klikl na připojený odkaz. Útočníci měli přístup do sítě minimálně od listopadu 2010. Podařilo se jim zcizit zřejmě část e-mailové komunikace (údajně 4 zaměstnanců specializujících se na východní Asii) a několik souborů s ekonomickými výkazy.
Zdroj: HelpNet Security, CNet
Vypnout Javu vůbec nemusí být špatný nápad, říká Mikko Hyponnen z finské bezpečnostní firmy F-Secure. Tvrdí, že mnoho exploitů opravdu zneužívá Javu (v současnosti např. tzv. Rhino). Přitom Java je dnes již potřeba jen pro málo bohatých internetových aplikací, ty vesměs zvládá JavaScript/Ajax. JavaScript je nutný, Java ne, ovšem lidé si prý obě technologie až příliš často pletou. Uživatelé si často ani nejsou vědomi, že Javu na svých počítačích mají; problémem byl podle Hyponnena také dřívější způsob aktualizací, kdy nová verze ne vždy odinstalovala tu starší – takže zranitelné kusy staršího softwaru v počítačích zůstaly.
Výše uvedené se týká spíše domácích uživatelů, firemní administrátoři si Javu s JavaScriptem nepletou. Zda ji mají zakázat, to ovšem závisí na tom, jaké konkrétní webové/intranetové aplikace firma používá. Hypponnen obecně doporučuje odstranit plug-in pro Javu hlavně z prohlížeče, v operačním systému může Java zůstat. Pokud jsou nějaké konkrétní aplikace s javovými applety potřeba, pak radí mít vedle sebe 2 prohlížeče. 1 používat jen pro tyto weby s Javou a v „běžném“ browseru ji zakázat. Hypponnen radí také přejít na Chrome, kde je řada exploitů Javy blokována, navíc se pro zpracování PDF nepoužívá často zranitelný plug-in od Adobe.
Zdroj: HelpNet Security
Pouhý den po uvolnění Firefoxu 9 musela Mozilla uvolnit verzi 9.0.1. Některé uživatele tak rychlá záplata natolik překvapila, až se domnívali, že jde o podvod, respektive kompromitaci celého mechanismu aktualizací. Mozilla vydala opravu kvůli chybě, která způsobovala havarování Firefoxu na Windows, MacOS a Linuxu (byť Windows se problém příliš týkat neměl). Prohlížeč se nesnesl s některými panely, bezpečnostní důsledky snad chyba mít přímo neměla.
Zdroj: ZDNet
HP vydala opravdu firmwaru tiskáren HP Laser Jet, který by měl odstranit nedávno objevenou bezpečnostní zranitelnost, respektive problém obejít/zmírnit. HP uvádí, že nicméně nebyly zaznamenány žádné útoky; k ochraně by mělo stačit dodržovat běžné bezpečnostní zásady, mít tiskárnu za firewallem, u exponovaných tiskáren zakázat vzdálené načítání firmwaru apod. Společnost popírá, že by chyba mohla útočníkům umožnit vyvolat požár.
O problému se na ITBiz již psalo zde
Zdroj: CNet
O tom, že by se Íránu opravdu podařilo nějak „hacknout“ GPS a tímto způsobem se zmocnit amerického bezpilotního letounu RQ-170 Sentinel, panují velké pochybnosti. Akademici z USA a ze švýcarského ETH vydali hodnocení, že Írán by musel nejprve dokázat zaměřit letoun s přesností na několik metrů a pak k němu vyslat signál GPS, který by byl silnější než ten od satelitů. Signály v tuto chvíli nejsou šifrované, takže „zvítězí“ ten silnější, ale provést to není vůbec snadné; spíše než převzetí zařízení by výsledkem byly chyby. Scénář prezentovaný Íránem je krajně nepravděpodobný, Írán měl buď velké štěstí, mnohem spíše ale letoun prostě nějak zbloudil (byť by se čekalo, že pak se při přistání rozbije – nejspíš si na zem sedl na poušti).
Zdroj: The Register + viz. také minulý bezpečnostní přehled.
Aplikace v podobě proof-of-concept, kterou vyvinuli bezpečnostní specialisté z firmy ViaForensics, dokáže obejít systém oprávnění u zařízení Android. Kvůli eskalaci práv získá útočník nepozorovaně (to vzhledem k multitaskingu) vzdálený přístup přímo k systému. Tímto způsobem je možné např. získat a na vzdálený server odeslat data z SD karet. Útok funguje pro verze Androidu od 1.5 do nejnovější 4. Jedná se o ukázku, nikoliv podvodnou aplikaci šířenou přes Android App Market, nicméně něco podobného se i zde dříve či později nejspíš objeví.
Zdroj: SecurityNewsDaily
Video s ukázkou
Android No-Permissions Reverse Shell from Thomas Cannon on Vimeo.
Elinor Mills zmiňuje ve své prognóze na CNet ještě jeden z bezpečnostních aspektů příštího roku. V USA půjde o rok volební, takže by se mohly objevit pokusy nějak manipulovat elektronické hlasovací stroje nebo e-volby. Problémy tohoto typu byly zaznamenány již v roce 2008 a těžko říct, zda se od té doby látání bezpečnostních nedostatků někdo věnoval…
Zdroj: CNet
Zpráva ze ScienceDaily: Bezpečnost kvantové kryptografie stojí na tom, že nelze udělat kopii kvantového objektu bez toho, abychom jeho stav současně nezměnili – což má být základní záruka proti odposlechu. Čínští vědci nyní údajně ukázali, že jakousi kopii je možné vytvářet procesem tzv. asymetrického klonování. Počet kopií pak odpovídá změně původního objektu (čím méně klonů, tím větší zůstane podobnost; např. při vytvoření 4 kopií některé implementace ještě vyhodnotily kopie jako totožné s originálem). Využití by tato technika mohla najít jak při útoku proti kryptografii, tak i při její ochraně proti náhodným chybám (porovnávání kopií tajných klíčů apod.). Tak jako většina novinek z kvantového světa, i tato působí při pohledu z běžné perspektivy značně „esotericky“…
Perlička na závěr: Physorg.com uvádí (pokud to není kachna/předsilvestrovský vtip, ale podle všeho ne), že biometrie by se mohla rozšířit i o hýždě/záda. Sedadlo s čidly (celkem 360 senzorů) prý dokáže identifikovat konkrétní tělo dle váhy a jejího rozložení údajně až s přesností 98 %. Uplatnění by tato technologie mohla najít v automobilech, ale třeba i jako způsob přihlašování k počítači v kancelářských prostorách. Na rozdíl např. od snímání duhovky by se uživatelé mohli údajně chovat zcela normálně, jako by žádné autentizace nebylo. Projekt je dílem japonským vědců, vedoucím týmu byl Shigeomi Koshimizu.
