Bezpečnostní přehled: Přítelkyně na Facebooku za 5 dolarů

Pavel Houser , 19. leden 2012 09:40 0 komentářů
Bezpečnostní přehled: Přítelkyně na Facebooku za 5 dolarů

Vývojáři Chrome se budou snažit, aby prohlížeč zabezpečením uživatele co nejméně obtěžovala zpomaloval. Snort bude kontrolovat také průniky do systémů SCADA. Skupina Lords of Dharmaraja tvrdí, že na hacknutých indických vládních webech objevila důkazy špionáže Indie proti USA. Před 10 lety prohlásil Bill Gates zabezpečení za nutnou prioritu Microsoftu. Následuje pravidelný čtvrteční bezpečnostní přehled.

Tým společnosti Google odpovědný za zabezpečení prohlížeče Chrome publikoval několik zásad, z nichž má vycházet další vývoj browseru. Mj. se zde uvádí, že prohlížeč Chrome si uživatele získal rychlostí. Z tohoto důvodu by zabezpečení nemělo uživatele zpomalovat při práci – maximum funkcí by se z téhož důvodu mělo realizovat automaticky, bez nutnosti potvrzovacích dialogů. Příkladem tohoto přístupu jsou tiché aktualizace. Pokud hrome nebude pracovat dostatečně rychle/komfortně, uživatelé přejdou na jiný prohlížeč.

Google se snaží pro zabezpečení využívat jak své technologie (sandbox), tak i technologie třetích stran, které jsou k dispozici – např. ASLR v novějších verzích Windows, DEP, práce s Javou (JIT hardening)...

V oblasti ochrany osobních údajů se vychází z toho, že uživatelé Googlu důvěřují – jinak by jeho produkty nepoužívali. Google přirozeně potřebuje mít nějaký přístup k datům uživatele, protože na tom prostě stojí obchodní model společnosti.

Za objevy bezpečnostních chyb v Chrome Google zaplatil nálezcům již více než 200 000 dolarů.

Zdroj: CNet, ZDNet

Následující kauza je docela zajímavá, protože po pravdě řečeno v tuto chvíli není jasné, do jaké míry se jedná o podvod. Reklama služby Fiverr tvrdí, že kdo chce, může na Facebooku získat atraktivní přítelkyni. Stojí to pouze 5 dolarů. Služby jsou inzerovány různě, nabízí se přidávání příspěvků do profilu zájemce i aktualizace vlastního profilu (tj. jakoby „důkaz“, že je skutečný).

K čemu taková věc? Konzument služby s atraktivní přítelkyní si získá možná větší renomé. Speciálně se pak služba inzeruje jako vhodná k tomu, aby naopak vzbudila žárlivost/zájem jinde. První otázka je, zda na druhé straně fungují reálné uživatelky („virtuální společnice“) nebo roboti, to ovšem může z pohledu objednatele být skoro jedno. Druhá otázka: Samozřejmě to velmi zavání nějakým podvodem. Stane se po zaplacení 5 dolarů vůbec něco? Nedojde k pokusům o nějaké zneužití údajů o platební kartě, osobních údajů apod.?

Zdroj: ZDNet

Rok 2012 nemá být v první řadě rokem kybernetické války, ale pokračující e-špionáže. Pokročilé útoky označované jako APT budou ještě častější. Po červu DuQu se objeví další nástroje zaměřené na krádeže dat. Dočkáme se dalších názvů shrnujících určité specializované akce (Aurora, Shady RAT, GhostNet, Night Dragon, Nitro...).

Zdroj: TechRepublic.com

Indická hackerská skupina Lords of Dharmaraja, která publikovala části zdrojové kódu produktů Symantecu (Viz. také minulý bezpečnostní přehled), nyní přišla s tvrzením, že má důkazy, podle nichž indické tajné služby provádějí špionáž proti USA. Na hacknutých indických vládních serverech byly údajně nalezeny přístupové údaje do amerických vládních sítí.

Skupina také publikovala (údajné) informace z indických tajných služeb, které tvrdí, že Apple, RIM i Nokia daly indické vládě k dispozici zadní vrátka do svých systémů, které umožňují sledovat šifrovanou komunikaci (asi podobně, jako indická vláda mohla eventuálně požadovat zdrojové kódy po Symantecu). Naopak se objevují názory, že jde o záměrně šířené dezinformace, za nimiž by mohla stát Čína nebo Pákistán. Lords of Dharmaraja tvrdí, že hlavní motivací pro jejich akce je místní korupční prostředí a vydírání zahraničních firem...

Zdroj: SecurityNewsDaily

Symantec kupuje za 115 milionů dolarů společnost LiveOffice. Firma nabízí archivační systém fungující na bázi cloudu. Transakce se dává do souvislosti s trendem, kdy tradiční dodavatelé podnikového softwaru rozšiřují své portfolio právě o různá řešení typu software-as-a-servie apod. (Jde tedy přirovnat k tomu, když Oracle koupil RightNow nebo SAP získal SuccessFactor.)

Jinak by transakce žádné radikální změny přinést asi neměla. Symantec a LiveOffice již totiž spolupracovaly a Symantec nabízí vlastní řešení pro archivaci, čili nejde o nějaké radikální rozšíření portfolia.

Zdroj: The Register

Ministerstvo obrany USA a National Security Agency vyvinuly a vydaly speciálně zabezpečenou verzi systému Android použitelnou mj. pro komunikaci policie a armády. Tzv. Security Enhanced (SE) Android je založen na SELinuxu, také vytvořeného v NSA. Upravený operační systém by měl minimalizovat prostor pro nebezpečné aplikace. NSA se rozhodla pro Android namísto iOS právě kvůli možnosti upravit zdrojový kód. Americká policie má postupně omezit komunikaci klasickými vysílačkami (zvýšené riziko odposlechu) a přejít na Android. Zdroj: The Register

Je tomu 10 let, co Bill Gates označil bezpečnost za nutnou prioritu a v Microsoftu se rozběhla iniciativa Trustworthy Computing. Stalo se tak mj. poté, co v roce 2001 zažil Internet epidemii červů CodeRed a Nimda. Michael Howard a Doug Bayer z Microsoftu v té době publikovali také první vydání vlivné knihy Writing Secure Code. Zdroj: ZDNet

Útočníci deklarující příslušnost ke skupině Anonymous napadli jeden z webových serverů společnosti T-Mobile. Podle všeho se jim podařilo získat některé údaje zaměstnanců včetně používaných hesel. Hesla údajně dokládají špatnou bezpečností politiku (šlo o hesla přidělovaná/generovaná, nikoliv o vlastní invenci zaměstnanců).

Zdroj: HelpNet Security

Snort, open source (licence GPLv2) nástroj pro detekci síťových průniků, se dočkal verze 2.9.2. Zajímavé na novince by mělo být, že přidává kontrolu protokolů používaných v řídicích průmyslových systémech typu SCADA (standardy DNP3 a Modbus). Kontrola exploitů systémů SCADA byla loni přidána i do nástroje pro penetrační testování Metasploit. Po kauze červa Stuxnet se řídicí systémy dostávají do centra zájmu bezpečnostních firem.

Zdroj: The H Security

Statistikám malwaru za celý rok 2011 kralovala podle společnosti Eset rodina škodlivých kódů zneužívajících funkci automatického spuštění ve Windows - INF/Autorun s podílem 5,84 %. Číslem dva se loni stal Win32/Conficker (3,69 %). První trojku celosvětových hrozeb za rok 2011 uzavírá Win32/Sality, který dosáhl podílu 1,88 %.

Zdroj: Tisková zpráva společnosti Eset


Komentáře

RSS 

Komentujeme

Intel Inside aneb všichni jsme načipováni

Petr Zavoral , 10. prosinec 2017 18:20
Petr Zavoral

V Havlově hře Audience přesvědčuje Sládek Ferdinanda Vaňka, aby donášel sám na sebe. Z pohledu letoš...

Více







Kalendář

09. 01.

13. 01.
CES 2018
18. 01.

19. 01.
itSMF 2018
29. 01.

30. 01.
G2BTechEd
RSS 

Zprávičky

EP zamítl možnost přeshraničního vysílání on-line televizí

ČTK , 13. prosinec 2017 10:00

Komise navrhovala, aby u on-line televizního vysílání musel provozovatel řešit autorská práva pouze ...

Více 1 komentářů

Dvě americké firmy usilují o povolení bitcoinových ETF fondů

ČTK , 13. prosinec 2017 09:00

Fondy ETF se kupují a prodávají na klasické burze stejně jako akcie....

Více 0 komentářů

Firmy v Česku přišly kvůli podvodným e-mailům o miliony

ČTK , 13. prosinec 2017 08:00

Firmy v Česku čelí novému typu podvodu, účetní dostávají falešné e-maily od ředitelů s požadavkem na...

Více 4 komentářů

Starší zprávičky

Atos chce koupit konkurenta Gemalto za 4,3 mld. eur

ČTK , 12. prosinec 2017 14:00

Gemalto patří mezi největší světové výrobce SIM karet a čipů do platebních karet...

Více 0 komentářů

T-Mobile testuje NB-IoT, chystá novou síť pro Internet věcí

Pavel Houser , 12. prosinec 2017 13:30

Testování technologie NB-IoT začalo v Praze na Roztylech, v lednu přibude Mladá Boleslav. Operátor z...

Více 0 komentářů

ISP DNS Stack chrání doménu .CZ v případě útoku proti DNS serverům

Pavel Houser , 12. prosinec 2017 12:53

Sdružení CZ.NIC zvyšuje bezpečnost Internetu v ČR, na nové službě se zatím podílí Seznam.cz a Vodafo...

Více 0 komentářů

Apple kupuje aplikaci pro rozpoznávání hudby Shazam

ČTK , 12. prosinec 2017 08:00

Shazam umožňuje uživatelům prostřednictvím mikrofonu chytrého telefonu identifikovat hudbu hrající v...

Více 1 komentářů