Bezpečnostní přehled: pochybnosti o íránském hacku GPS a sedadlo, které pozná lidi podle zadku

Pavel Houser , 29. prosinec 2011 07:36 1 komentářů
Bezpečnostní přehled: pochybnosti o íránském hacku GPS a sedadlo, které pozná lidi podle zadku

Biometrické sedadlo prý rozliší lidi podle zadku. Kvantová kryptografie a kopírování kvantových objektů. Proč v prohlížeči vypínat Javu? Objeví se v příštím supervolebním roce v USA kybernetické útoky proti hlasovacím systémům? Následuje pravidelný čtvrteční bezpečnostní přehled.

Hackeři údajně pronikli do systému Americké obchodní komory. IP adresy ukazují, že minimálně přestupní stanicí zlodějů dat byla Čína. K útoku byly použité e-maily zaměstnancům, k infekci systému stačilo, aby jeden (nebo více) z nich klikl na připojený odkaz. Útočníci měli přístup do sítě minimálně od listopadu 2010. Podařilo se jim zcizit zřejmě část e-mailové komunikace (údajně 4 zaměstnanců specializujících se na východní Asii) a několik souborů s ekonomickými výkazy.

Zdroj: HelpNet Security, CNet

Vypnout Javu vůbec nemusí být špatný nápad, říká Mikko Hyponnen z finské bezpečnostní firmy F-Secure. Tvrdí, že mnoho exploitů opravdu zneužívá Javu (v současnosti např. tzv. Rhino). Přitom Java je dnes již potřeba jen pro málo bohatých internetových aplikací, ty vesměs zvládá JavaScript/Ajax. JavaScript je nutný, Java ne, ovšem lidé si prý obě technologie až příliš často pletou. Uživatelé si často ani nejsou vědomi, že Javu na svých počítačích mají; problémem byl podle Hyponnena také dřívější způsob aktualizací, kdy nová verze ne vždy odinstalovala tu starší – takže zranitelné kusy staršího softwaru v počítačích zůstaly.

Výše uvedené se týká spíše domácích uživatelů, firemní administrátoři si Javu s JavaScriptem nepletou. Zda ji mají zakázat, to ovšem závisí na tom, jaké konkrétní webové/intranetové aplikace firma používá. Hypponnen obecně doporučuje odstranit plug-in pro Javu hlavně z prohlížeče, v operačním systému může Java zůstat. Pokud jsou nějaké konkrétní aplikace s javovými applety potřeba, pak radí mít vedle sebe 2 prohlížeče. 1 používat jen pro tyto weby s Javou a v „běžném“ browseru ji zakázat. Hypponnen radí také přejít na Chrome, kde je řada exploitů Javy blokována, navíc se pro zpracování PDF nepoužívá často zranitelný plug-in od Adobe. Zdroj: HelpNet Security

Pouhý den po uvolnění Firefoxu 9 musela Mozilla uvolnit verzi 9.0.1. Některé uživatele tak rychlá záplata natolik překvapila, až se domnívali, že jde o podvod, respektive kompromitaci celého mechanismu aktualizací. Mozilla vydala opravu kvůli chybě, která způsobovala havarování Firefoxu na Windows, MacOS a Linuxu (byť Windows se problém příliš týkat neměl). Prohlížeč se nesnesl s některými panely, bezpečnostní důsledky snad chyba mít přímo neměla.

Zdroj: ZDNet

HP vydala opravdu firmwaru tiskáren HP Laser Jet, který by měl odstranit nedávno objevenou bezpečnostní zranitelnost, respektive problém obejít/zmírnit. HP uvádí, že nicméně nebyly zaznamenány žádné útoky; k ochraně by mělo stačit dodržovat běžné bezpečnostní zásady, mít tiskárnu za firewallem, u exponovaných tiskáren zakázat vzdálené načítání firmwaru apod. Společnost popírá, že by chyba mohla útočníkům umožnit vyvolat požár.

O problému se na ITBiz již psalo zde

Zdroj: CNet

O tom, že by se Íránu opravdu podařilo nějak „hacknout“ GPS a tímto způsobem se zmocnit amerického bezpilotního letounu RQ-170 Sentinel, panují velké pochybnosti. Akademici z USA a ze švýcarského ETH vydali hodnocení, že Írán by musel nejprve dokázat zaměřit letoun s přesností na několik metrů a pak k němu vyslat signál GPS, který by byl silnější než ten od satelitů. Signály v tuto chvíli nejsou šifrované, takže „zvítězí“ ten silnější, ale provést to není vůbec snadné; spíše než převzetí zařízení by výsledkem byly chyby. Scénář prezentovaný Íránem je krajně nepravděpodobný, Írán měl buď velké štěstí, mnohem spíše ale letoun prostě nějak zbloudil (byť by se čekalo, že pak se při přistání rozbije – nejspíš si na zem sedl na poušti).

Zdroj: The Register + viz. také minulý bezpečnostní přehled.

Aplikace v podobě proof-of-concept, kterou vyvinuli bezpečnostní specialisté z firmy ViaForensics, dokáže obejít systém oprávnění u zařízení Android. Kvůli eskalaci práv získá útočník nepozorovaně (to vzhledem k multitaskingu) vzdálený přístup přímo k systému. Tímto způsobem je možné např. získat a na vzdálený server odeslat data z SD karet. Útok funguje pro verze Androidu od 1.5 do nejnovější 4. Jedná se o ukázku, nikoliv podvodnou aplikaci šířenou přes Android App Market, nicméně něco podobného se i zde dříve či později nejspíš objeví.

Zdroj: SecurityNewsDaily

Video s ukázkou

Android No-Permissions Reverse Shell from Thomas Cannon on Vimeo.

Elinor Mills zmiňuje ve své prognóze na CNet ještě jeden z bezpečnostních aspektů příštího roku. V USA půjde o rok volební, takže by se mohly objevit pokusy nějak manipulovat elektronické hlasovací stroje nebo e-volby. Problémy tohoto typu byly zaznamenány již v roce 2008 a těžko říct, zda se od té doby látání bezpečnostních nedostatků někdo věnoval...

Zdroj: CNet

Zpráva ze ScienceDaily: Bezpečnost kvantové kryptografie stojí na tom, že nelze udělat kopii kvantového objektu bez toho, abychom jeho stav současně nezměnili – což má být základní záruka proti odposlechu. Čínští vědci nyní údajně ukázali, že jakousi kopii je možné vytvářet procesem tzv. asymetrického klonování. Počet kopií pak odpovídá změně původního objektu (čím méně klonů, tím větší zůstane podobnost; např. při vytvoření 4 kopií některé implementace ještě vyhodnotily kopie jako totožné s originálem). Využití by tato technika mohla najít jak při útoku proti kryptografii, tak i při její ochraně proti náhodným chybám (porovnávání kopií tajných klíčů apod.). Tak jako většina novinek z kvantového světa, i tato působí při pohledu z běžné perspektivy značně „esotericky“...

Perlička na závěr: Physorg.com uvádí (pokud to není kachna/předsilvestrovský vtip, ale podle všeho ne), že biometrie by se mohla rozšířit i o hýždě/záda. Sedadlo s čidly (celkem 360 senzorů) prý dokáže identifikovat konkrétní tělo dle váhy a jejího rozložení údajně až s přesností 98 %. Uplatnění by tato technologie mohla najít v automobilech, ale třeba i jako způsob přihlašování k počítači v kancelářských prostorách. Na rozdíl např. od snímání duhovky by se uživatelé mohli údajně chovat zcela normálně, jako by žádné autentizace nebylo. Projekt je dílem japonským vědců, vedoucím týmu byl Shigeomi Koshimizu.


Komentáře

Tom #1
Tom 04. leden 2012 11:37

Military-band GPS (M-code) is protected against spoofing by the RSA cipher.

RSS 

Komentujeme

Deset minut s Einsteinem

Richard Jan Voigts , 18. listopad 2017 10:45
Richard Jan Voigts

Při návštěvě Švýcarska jsme strávili den na Eidgenoessiche Technische Hochschule Zurich – Swiss Fede...

Více







RSS 

Zprávičky

V zóně u Žatce by mohlo stát datové centrum za 15 miliard

ČTK , 23. listopad 2017 12:26

V průmyslové zóně Triangle u Žatce může vzniknout datové centrum pro společnosti a instituce z celé ...

Více 0 komentářů

ÚOHS schválil změnu vlastníka většiny v AutoContu

ČTK , 23. listopad 2017 09:00

Spojení AutoContu a KKCG nemá mít za následek podstatné narušení hospodářské soutěže...

Více 0 komentářů

Česká hra o atentátu na Heydricha se dostala do světové distribuce Steam

ČTK , 23. listopad 2017 08:30

Do distribuce českou hru dostali hlasováním sami hráči....

Více 0 komentářů

Starší zprávičky

Čína vyvíjí vlastní digitální měnu

ČTK , 23. listopad 2017 08:00

Čínské vedení vyvíjí vlastní kryptoměnu. Chce tak oslabit vliv bitcoinu a dalších virtuálních měn, n...

Více 0 komentářů

Hackeři ukradli Uberu data 57 milionů zákazníků a řidičů

ČTK , 22. listopad 2017 09:15

Incident společnost rok tajila a hackerům zaplatila....

Více 0 komentářů

Tuzemské banky útok trojského koně nezaznamenaly

ČTK , 22. listopad 2017 09:00

Banky ČSOB, Sberbank a Air Bank nezaznamenaly útok trojského koně BankBot na své aplikace mobilního ...

Více 0 komentářů

ODS chce otevřít diskusi o zavedení elektronických voleb

ČTK , 22. listopad 2017 08:00

Komisaři by také např. už při vkládání výsledků měli kontrolovat, zda na lístcích není nějaký abnorm...

Více 0 komentářů