margin-top: 125px; border: 1px solid gray; } -->

Bezpečnostní přehled: pochybnosti o íránském hacku GPS a sedadlo, které pozná lidi podle zadku

Pavel Houser , 29. prosinec 2011 07:36 1 komentářů
Bezpečnostní přehled: pochybnosti o íránském hacku GPS a sedadlo, které pozná lidi podle zadku

Biometrické sedadlo prý rozliší lidi podle zadku. Kvantová kryptografie a kopírování kvantových objektů. Proč v prohlížeči vypínat Javu? Objeví se v příštím supervolebním roce v USA kybernetické útoky proti hlasovacím systémům? Následuje pravidelný čtvrteční bezpečnostní přehled.

Hackeři údajně pronikli do systému Americké obchodní komory. IP adresy ukazují, že minimálně přestupní stanicí zlodějů dat byla Čína. K útoku byly použité e-maily zaměstnancům, k infekci systému stačilo, aby jeden (nebo více) z nich klikl na připojený odkaz. Útočníci měli přístup do sítě minimálně od listopadu 2010. Podařilo se jim zcizit zřejmě část e-mailové komunikace (údajně 4 zaměstnanců specializujících se na východní Asii) a několik souborů s ekonomickými výkazy.

Zdroj: HelpNet Security, CNet

Vypnout Javu vůbec nemusí být špatný nápad, říká Mikko Hyponnen z finské bezpečnostní firmy F-Secure. Tvrdí, že mnoho exploitů opravdu zneužívá Javu (v současnosti např. tzv. Rhino). Přitom Java je dnes již potřeba jen pro málo bohatých internetových aplikací, ty vesměs zvládá JavaScript/Ajax. JavaScript je nutný, Java ne, ovšem lidé si prý obě technologie až příliš často pletou. Uživatelé si často ani nejsou vědomi, že Javu na svých počítačích mají; problémem byl podle Hyponnena také dřívější způsob aktualizací, kdy nová verze ne vždy odinstalovala tu starší – takže zranitelné kusy staršího softwaru v počítačích zůstaly.

Výše uvedené se týká spíše domácích uživatelů, firemní administrátoři si Javu s JavaScriptem nepletou. Zda ji mají zakázat, to ovšem závisí na tom, jaké konkrétní webové/intranetové aplikace firma používá. Hypponnen obecně doporučuje odstranit plug-in pro Javu hlavně z prohlížeče, v operačním systému může Java zůstat. Pokud jsou nějaké konkrétní aplikace s javovými applety potřeba, pak radí mít vedle sebe 2 prohlížeče. 1 používat jen pro tyto weby s Javou a v „běžném“ browseru ji zakázat. Hypponnen radí také přejít na Chrome, kde je řada exploitů Javy blokována, navíc se pro zpracování PDF nepoužívá často zranitelný plug-in od Adobe. Zdroj: HelpNet Security

Pouhý den po uvolnění Firefoxu 9 musela Mozilla uvolnit verzi 9.0.1. Některé uživatele tak rychlá záplata natolik překvapila, až se domnívali, že jde o podvod, respektive kompromitaci celého mechanismu aktualizací. Mozilla vydala opravu kvůli chybě, která způsobovala havarování Firefoxu na Windows, MacOS a Linuxu (byť Windows se problém příliš týkat neměl). Prohlížeč se nesnesl s některými panely, bezpečnostní důsledky snad chyba mít přímo neměla.

Zdroj: ZDNet

HP vydala opravdu firmwaru tiskáren HP Laser Jet, který by měl odstranit nedávno objevenou bezpečnostní zranitelnost, respektive problém obejít/zmírnit. HP uvádí, že nicméně nebyly zaznamenány žádné útoky; k ochraně by mělo stačit dodržovat běžné bezpečnostní zásady, mít tiskárnu za firewallem, u exponovaných tiskáren zakázat vzdálené načítání firmwaru apod. Společnost popírá, že by chyba mohla útočníkům umožnit vyvolat požár.

O problému se na ITBiz již psalo zde

Zdroj: CNet

O tom, že by se Íránu opravdu podařilo nějak „hacknout“ GPS a tímto způsobem se zmocnit amerického bezpilotního letounu RQ-170 Sentinel, panují velké pochybnosti. Akademici z USA a ze švýcarského ETH vydali hodnocení, že Írán by musel nejprve dokázat zaměřit letoun s přesností na několik metrů a pak k němu vyslat signál GPS, který by byl silnější než ten od satelitů. Signály v tuto chvíli nejsou šifrované, takže „zvítězí“ ten silnější, ale provést to není vůbec snadné; spíše než převzetí zařízení by výsledkem byly chyby. Scénář prezentovaný Íránem je krajně nepravděpodobný, Írán měl buď velké štěstí, mnohem spíše ale letoun prostě nějak zbloudil (byť by se čekalo, že pak se při přistání rozbije – nejspíš si na zem sedl na poušti).

Zdroj: The Register + viz. také minulý bezpečnostní přehled.

Aplikace v podobě proof-of-concept, kterou vyvinuli bezpečnostní specialisté z firmy ViaForensics, dokáže obejít systém oprávnění u zařízení Android. Kvůli eskalaci práv získá útočník nepozorovaně (to vzhledem k multitaskingu) vzdálený přístup přímo k systému. Tímto způsobem je možné např. získat a na vzdálený server odeslat data z SD karet. Útok funguje pro verze Androidu od 1.5 do nejnovější 4. Jedná se o ukázku, nikoliv podvodnou aplikaci šířenou přes Android App Market, nicméně něco podobného se i zde dříve či později nejspíš objeví.

Zdroj: SecurityNewsDaily

Video s ukázkou

Android No-Permissions Reverse Shell from Thomas Cannon on Vimeo.

Elinor Mills zmiňuje ve své prognóze na CNet ještě jeden z bezpečnostních aspektů příštího roku. V USA půjde o rok volební, takže by se mohly objevit pokusy nějak manipulovat elektronické hlasovací stroje nebo e-volby. Problémy tohoto typu byly zaznamenány již v roce 2008 a těžko říct, zda se od té doby látání bezpečnostních nedostatků někdo věnoval...

Zdroj: CNet

Zpráva ze ScienceDaily: Bezpečnost kvantové kryptografie stojí na tom, že nelze udělat kopii kvantového objektu bez toho, abychom jeho stav současně nezměnili – což má být základní záruka proti odposlechu. Čínští vědci nyní údajně ukázali, že jakousi kopii je možné vytvářet procesem tzv. asymetrického klonování. Počet kopií pak odpovídá změně původního objektu (čím méně klonů, tím větší zůstane podobnost; např. při vytvoření 4 kopií některé implementace ještě vyhodnotily kopie jako totožné s originálem). Využití by tato technika mohla najít jak při útoku proti kryptografii, tak i při její ochraně proti náhodným chybám (porovnávání kopií tajných klíčů apod.). Tak jako většina novinek z kvantového světa, i tato působí při pohledu z běžné perspektivy značně „esotericky“...

Perlička na závěr: Physorg.com uvádí (pokud to není kachna/předsilvestrovský vtip, ale podle všeho ne), že biometrie by se mohla rozšířit i o hýždě/záda. Sedadlo s čidly (celkem 360 senzorů) prý dokáže identifikovat konkrétní tělo dle váhy a jejího rozložení údajně až s přesností 98 %. Uplatnění by tato technologie mohla najít v automobilech, ale třeba i jako způsob přihlašování k počítači v kancelářských prostorách. Na rozdíl např. od snímání duhovky by se uživatelé mohli údajně chovat zcela normálně, jako by žádné autentizace nebylo. Projekt je dílem japonským vědců, vedoucím týmu byl Shigeomi Koshimizu.


Komentáře

Tom #1
Tom 04. leden 2012 11:37

Military-band GPS (M-code) is protected against spoofing by the RSA cipher.


RSS 

Komentujeme

Chatbot mluví za mrtvého – od nápadu k realizaci

Pavel Houser , 30. listopad 2016 13:00
Pavel Houser

Na webu The Verge popsala Casey Newton příběh dvou přátel (Eugenia Kuyda a Roman Mazurenko). Peripet...

Více





Kalendář


RSS 

Zprávičky

Telefony Nokia se příští rok vrátí na trh

ČTK , 02. prosinec 2016 10:30

Chytré telefony se značkou Nokia se objeví zpátky na trhu v příštím roce. Finská společnost Nokia dn...

Více 2 komentářů

CETIN nabídne příští rok operátorům připojení až 250 Mbit/s

ČTK , 01. prosinec 2016 17:00

Společnost Česká telekomunikační infrastruktura (CETIN) zvýší od května příštího roku rychlost inter...

Více 0 komentářů

Akcie Samsungu stouply na nový rekord

ČTK , 01. prosinec 2016 12:00

Akcie jihokorejské společnosti Samsung Electronics dnes stouply o více než čtyři procenta na nový re...

Více 0 komentářů

Starší zprávičky

FBI bude moci s povolením soudu pronikat do jakýchkoli počítačů

ČTK , 01. prosinec 2016 10:30

V americkém Senátu dnes selhal poslední pokus o zablokování rozšířených policejních pravomocí, které...

Více 2 komentářů

Gartner:Prodej tabletů v ČR letos klesne o osm procent na 1,1 mil

ČTK , 30. listopad 2016 14:00

Zájem o tablety letos dále klesá. Prodej tabletů a hybridních notebooků na českém trhu se letos sníž...

Více 0 komentářů

Grafen opracovaný laserem

Pavel Houser , 30. listopad 2016 11:00

Na Iowa State University přišli s další metodou pro tištění grafenových součástek. V tomto případě j...

Více 0 komentářů

GFI Software přichází s beta verzí pokročilé cloudové ochrany e-mailu

Petr Velecký , 29. listopad 2016 18:00

Beta verzi své nejnovější cloudové platformy pro zajištění bezpečnosti a kontinuity provozu podnikov...

Více 0 komentářů