margin-top: 125px; border: 1px solid gray; } -->

Bezpečnostní přehled: Přihlášení gesty ve Windows 8

Pavel Houser , 22. prosinec 2011 08:43 1 komentářů
Bezpečnostní přehled: Přihlášení gesty ve Windows 8

Dokázal Írán opravdu podstrčit americkému letounu falešné souřadnice GPS? Byl malware DuQu zacílen primárně proti Íránu? Nahradí ve Windows 8 gesta klasické alfanumerické přihlašovací heslo? A pak je tu další záplava prognóz pro rok 2012. Následuje pravidelný čtvrteční bezpečnostní přehled.

Írán se dokázal zmocnit bezpilotního amerického letounu Lockheed Martin RQ-170 Sentinel. Publikovány byly názory, podle nichž byla nejprve přerušena komunikace letounu s operátory a poté, po přechodu na automatický režim, hacknut systém pro příjem signálu GPS a letadlu podstrčeny falešné souřadnice. Oslepený/popletený stroj pak poslušně přistál v Íránu. Jak to ale bylo ve skutečnosti se těžko dozvíme, tvrzení jednotlivých stran se přirozeně liší, jde o informace tak cenné, že z logiky věci jsou zveřejňovány spíše záměrné dezinformace. „Hacknutí“ příjmu GPS je zřejmě primárně informace z íránské strany, kterou jako první publikoval Christian Science Monitor s odvoláním na tvrzení anonymního inženýra z Íránu – a dotazovaní analytici o tomto scénáři vesměs pochybují. Každopádně, ať už to bylo jakkoliv (např. náhoda/technická závada stroje), Írán může deklarovat úspěch, „odvetu za Stuxnet“ apod.

The Register a další

Windows 8 umožní jako přístupové heslo používat obrázek/fotografii spolu s gesty. Možností bude celá řada, ale uživatel si v zásadě bude moci navolit, jaký obrázek se objeví při přihlášení a co s tím bude třeba provést (klepnout na nos fotografie a pak kolem ní prstem nakreslit kruh apod.). Panuje zde ale určitá nejistota. Gesto musí být dostatečně specifické, pak ale není záruka, že ho člověk vždy provede správně. Nejspíš půjde jen o alternativní ověření přístupu, když se po určitém počtu chyb zobrazí výzva k zadání klasického textového hesla.

Nová metoda je primárně určena pro dotykové obrazovky, gesta bude ale možné realizovat i myší (no, kdo si tedy troufne opsat myší dostatečně přesnou kružnici?).

Zdroj: CNet

Poznámka: Působí to spíše jako zábava pro uživatele než funkce, která by usnadnila život. Stejně totiž bude třeba pamatovat si klasické heslo.

Společnost Adobe opravila na konci minulého týdne kritické bezpečnostní zranitelnosti v Readeru 9. Protože stejná chyba byla i u Readeru X, kde ale zneužití údajně nehrozilo díky sandboxu, zbývá zopakovat doporučení přejít na nejnovější verzi.

Zdroj: The Register

Viz. také minulý bezpečnostní přehled.

Další novinka od Adobe: K dispozici je přehrávač Flash Player 11.1 pro systém Android. Podpora pro Android 4.0 Ice Cream Sandwitch by měla vylepšit funkčnost i zabezpečení. Jde nicméně o poslední významnější upgrafe Flash pro Android. Z pohledu Adobe má podobnou funkčnost na mobilních zařízeních převzít AIR. Vývojáře aplikací Flash Adobe uklidňuje, že je pro ně stále k dispozici celý ekosystém PC...

Zdroj: ZDNet

Podvodníci začínají rychle zneužívat nově objevenou bezpečnostní zranitelnost v implementaci Javy: CVE-2011-3544. Nicméně to neznamená, že by hrozby typu zero day byly převládajícím rizikem. Drtivá většina exploitů bude i nadále zneužívat dávno opravených chyb. Důsledná a včasná aktualizace systémů a aplikací není sice zárukou 100% bezpečnosti, ale velké většině problémů předejde. Zdroj: ZDNet

Kaspersky Lab soudí, že podobnost mezi malwarem Stuxnet a novým DuQu může být mnohem hlubší: „Odborníci dospěli k závěru, že hlavním cílem červa Duqu je shromažďovat data o činnostech řady íránských společností a vládních organizací.“ Podle měsíčního bezpečnostního přehledu PCS má být další významnou událostí v listopadu útok na holandskou certifikační autoritu KPN, která byla v důsledku toho nucena pozastavit vydávání certifikátů. Za pozornost v této souvislosti stojí, že ke KPN přešla řada místních zákazníků poté, co v důsledku kompromitace systému přímo zkrachovala jiná holandská firma vydávající certifikáty, DigiNotar.

Zdroj: Shrnutí listopadového dění ve světě IT bezpečnosti, PCS - DataGuard

Předpovědi na rok 2012

Objeví se ve větší míře exploity proti virtualizační vrstvě nebo specifickým vlastnostem architektury cloudu? TrendMicro se domnívá, že nikoliv: Útoky zaměřené specificky na virtuální počítače a služby cloud computingu sice nadále představují zajímavou možnost, ale útočníci nebudou mít bezprostřední potřebu je využívat, protože v těchto nových prostředích budou účinné i tradiční útoky.

Další z prognóz TrendMicro zmiňuje pokračující (a v příštím roce i nadále rostoucí) problém vyplývající z toho, že zaměstnanci používají pro práci s firemními daty svá soukromá mobilní zařízení. V této souvislosti se možná budeme častěji setkávat i se zkratkou BYOD (Bring Your Own Device). Zdroj: TrendMicro

Fortinet předpovídá velkou budoucnost ransomwaru pro mobilní zařízení, zejména pro Android. Podobně jako u PC se podvodníci budou snažit uživateli zablokovat zařízení, zašifrovat mu data a vyžadovat zaplacení výpalného. Android bude zasažen také červy schopnými šířit se z jednoho zařízení do druhého, otázkou je pouze převládající technika (Bluetooth nebo automatické rozesílání otrávených SMS nebo ještě něco jiného?). Malware pro mobilní zařízení bude ve větší míře využívat technik polymorfismu.

V boji proti kybernetickému zločinu bude více spolupracovat soukromý a státní sektor. Stále výraznější bude zájem útočníků o systémy SCADA.

Zdroj: MaximumPC

Prognóza Tufin Technologies (výlučně pro podnikové prostředí): malé a střední organizace budou přecházet na novou generaci firewallů. Firewally se stanou podmínkou pro zajištění auditu/shody s předpisy/regulační legislativou. Naopak výrobci firewallů budou nuceni získat patřičné certifikace, že jejich produkt zajišťuje to a to. Stále více firem bude nuceno implementovat standardy typu PCI (práce s informacemi o platebních kartách).

Zdroj: HelpNet

Zde souhlasí i Gartner, podle něj bude významným trendem příštího roku implementace standardů PCI napříč firmami, regiony i odvětvími. 18 % respondentů v průzkumu údajně přiznává, že ve skutečnosti kompatibilitu se standardy PCI v tuto chvíli potvrdit nemohou (byť jim třeba legislativa ukládá opak).

Zdroj: HelpNet

Společnost PandaLabs praví: Hlavními trendy příštího roku bude kybernetická špionáž a zneužívání sociálních sítí. Možná, že kybernetická špionáž časem i prakticky vyřadí ze hry tu „klasickou“, kdy je potřeba někoho (fyzicky) sledovat, někam se (fyzicky) vloupat apod.

Cílem útočníků se také mají stát tablety. Běží na nich stejné systémy jako na smartphonech, ale lidé na nich přece jen pracují víc a tudíž je na nich uloženo také více citlivých dat. Útočníkům se vyplatí začít provádět cílené útoky i proti malým a středním firmám, které nejsou zdaleka tak dobře chráněné. Velkou příležitostí pro podvodníky se časem stanou Windows 8, protože půjde o systém pokrývající celý „ekosystém“ (PC, smartphony, tablety...). Nicméně tento OS se objeví až koncem roku, a proto bude hlavním bezpečnostním trendem až v roce 2013.

Zdroj: HelpNet Security


Komentáře

Bystroushaak #1
Bystroushaak 24. prosinec 2011 10:57

Zajímavé čtení k tomu GPS spoofingu; http://cryptome.org/0005/iran-rsa-cipher.htm


RSS 

Komentujeme

Zákaznické karty čekají změny

Pavel Houser , 17. leden 2017 13:00
Pavel Houser

Jedna z technologií, která se už po léta prakticky nezměnila, i když by mohla? Prý karty zákazníků d...

Více





Kalendář

06. 02.

07. 02.
konference G2B TechEd
15. 02. IDC Predictions 2017
22. 02. IT mezi paragrafy
RSS 

Zprávičky

ČTÚ pohrozil O2 a Vodafonu odebráním licencí na LTE kvůli cenám

ČTK , 22. leden 2017 14:00

Český telekomunikační úřad (ČTÚ) znovu vyzval operátory O2 a Vodafone, aby do měsíce snížili velkoob...

Více 0 komentářů

Menší e-shopy kvůli EET zruší platbu kartou

ČTK , 22. leden 2017 07:00

Řada menších tuzemských e-shopů od března, kdy pro ně začne platit elektronická evidence tržeb (EET...

Více 1 komentářů

Na další rozvoj ekonomického systému bude Praha vypisovat tendry

ČTK , 21. leden 2017 14:00

Na další rozvoj ekonomického systému Ginis bude Praha vypisovat jednotlivé veřejné zakázky. Pražští ...

Více 0 komentářů

Starší zprávičky

Tržby IBM klesaly i ve 4.čtvrtletí loňského roku, akciím se daří

ČTK , 21. leden 2017 07:00

Americká počítačová společnost International Business Machines (IBM) zaznamenala další, již devatená...

Více 0 komentářů

Facebook postaví v Dánsku datové centrum

ČTK , 20. leden 2017 14:00

Americký provozovatel sociální sítě Facebook postaví v dánském městě Odense nové datové centrum, kte...

Více 0 komentářů

Americký Oracle převezme českou programátorskou firmu Apiary

ČTK , 20. leden 2017 12:00

Americký výrobce podnikového softwaru Oracle podepsal dohodu o převzetí české programátorské firmy A...

Více 0 komentářů

Internetová ekonomika za pět let posílila o 15 procent na 188 miliard

ČTK , 20. leden 2017 07:00

Objem internetové ekonomiky se předloni proti roku 2011 zvýšil o 15 procent na 188 miliard korun. Na...

Více 0 komentářů