margin-top: 125px; border: 1px solid gray; } -->

Bezpečnostní přehled: Přítelkyně na Facebooku za 5 dolarů

Pavel Houser , 19. leden 2012 09:40 0 komentářů
Bezpečnostní přehled: Přítelkyně na Facebooku za 5 dolarů

Vývojáři Chrome se budou snažit, aby prohlížeč zabezpečením uživatele co nejméně obtěžovala zpomaloval. Snort bude kontrolovat také průniky do systémů SCADA. Skupina Lords of Dharmaraja tvrdí, že na hacknutých indických vládních webech objevila důkazy špionáže Indie proti USA. Před 10 lety prohlásil Bill Gates zabezpečení za nutnou prioritu Microsoftu. Následuje pravidelný čtvrteční bezpečnostní přehled.

Tým společnosti Google odpovědný za zabezpečení prohlížeče Chrome publikoval několik zásad, z nichž má vycházet další vývoj browseru. Mj. se zde uvádí, že prohlížeč Chrome si uživatele získal rychlostí. Z tohoto důvodu by zabezpečení nemělo uživatele zpomalovat při práci – maximum funkcí by se z téhož důvodu mělo realizovat automaticky, bez nutnosti potvrzovacích dialogů. Příkladem tohoto přístupu jsou tiché aktualizace. Pokud hrome nebude pracovat dostatečně rychle/komfortně, uživatelé přejdou na jiný prohlížeč.

Google se snaží pro zabezpečení využívat jak své technologie (sandbox), tak i technologie třetích stran, které jsou k dispozici – např. ASLR v novějších verzích Windows, DEP, práce s Javou (JIT hardening)...

V oblasti ochrany osobních údajů se vychází z toho, že uživatelé Googlu důvěřují – jinak by jeho produkty nepoužívali. Google přirozeně potřebuje mít nějaký přístup k datům uživatele, protože na tom prostě stojí obchodní model společnosti.

Za objevy bezpečnostních chyb v Chrome Google zaplatil nálezcům již více než 200 000 dolarů.

Zdroj: CNet, ZDNet

Následující kauza je docela zajímavá, protože po pravdě řečeno v tuto chvíli není jasné, do jaké míry se jedná o podvod. Reklama služby Fiverr tvrdí, že kdo chce, může na Facebooku získat atraktivní přítelkyni. Stojí to pouze 5 dolarů. Služby jsou inzerovány různě, nabízí se přidávání příspěvků do profilu zájemce i aktualizace vlastního profilu (tj. jakoby „důkaz“, že je skutečný).

K čemu taková věc? Konzument služby s atraktivní přítelkyní si získá možná větší renomé. Speciálně se pak služba inzeruje jako vhodná k tomu, aby naopak vzbudila žárlivost/zájem jinde. První otázka je, zda na druhé straně fungují reálné uživatelky („virtuální společnice“) nebo roboti, to ovšem může z pohledu objednatele být skoro jedno. Druhá otázka: Samozřejmě to velmi zavání nějakým podvodem. Stane se po zaplacení 5 dolarů vůbec něco? Nedojde k pokusům o nějaké zneužití údajů o platební kartě, osobních údajů apod.?

Zdroj: ZDNet

Rok 2012 nemá být v první řadě rokem kybernetické války, ale pokračující e-špionáže. Pokročilé útoky označované jako APT budou ještě častější. Po červu DuQu se objeví další nástroje zaměřené na krádeže dat. Dočkáme se dalších názvů shrnujících určité specializované akce (Aurora, Shady RAT, GhostNet, Night Dragon, Nitro...).

Zdroj: TechRepublic.com

Indická hackerská skupina Lords of Dharmaraja, která publikovala části zdrojové kódu produktů Symantecu (Viz. také minulý bezpečnostní přehled), nyní přišla s tvrzením, že má důkazy, podle nichž indické tajné služby provádějí špionáž proti USA. Na hacknutých indických vládních serverech byly údajně nalezeny přístupové údaje do amerických vládních sítí.

Skupina také publikovala (údajné) informace z indických tajných služeb, které tvrdí, že Apple, RIM i Nokia daly indické vládě k dispozici zadní vrátka do svých systémů, které umožňují sledovat šifrovanou komunikaci (asi podobně, jako indická vláda mohla eventuálně požadovat zdrojové kódy po Symantecu). Naopak se objevují názory, že jde o záměrně šířené dezinformace, za nimiž by mohla stát Čína nebo Pákistán. Lords of Dharmaraja tvrdí, že hlavní motivací pro jejich akce je místní korupční prostředí a vydírání zahraničních firem...

Zdroj: SecurityNewsDaily

Symantec kupuje za 115 milionů dolarů společnost LiveOffice. Firma nabízí archivační systém fungující na bázi cloudu. Transakce se dává do souvislosti s trendem, kdy tradiční dodavatelé podnikového softwaru rozšiřují své portfolio právě o různá řešení typu software-as-a-servie apod. (Jde tedy přirovnat k tomu, když Oracle koupil RightNow nebo SAP získal SuccessFactor.)

Jinak by transakce žádné radikální změny přinést asi neměla. Symantec a LiveOffice již totiž spolupracovaly a Symantec nabízí vlastní řešení pro archivaci, čili nejde o nějaké radikální rozšíření portfolia.

Zdroj: The Register

Ministerstvo obrany USA a National Security Agency vyvinuly a vydaly speciálně zabezpečenou verzi systému Android použitelnou mj. pro komunikaci policie a armády. Tzv. Security Enhanced (SE) Android je založen na SELinuxu, také vytvořeného v NSA. Upravený operační systém by měl minimalizovat prostor pro nebezpečné aplikace. NSA se rozhodla pro Android namísto iOS právě kvůli možnosti upravit zdrojový kód. Americká policie má postupně omezit komunikaci klasickými vysílačkami (zvýšené riziko odposlechu) a přejít na Android. Zdroj: The Register

Je tomu 10 let, co Bill Gates označil bezpečnost za nutnou prioritu a v Microsoftu se rozběhla iniciativa Trustworthy Computing. Stalo se tak mj. poté, co v roce 2001 zažil Internet epidemii červů CodeRed a Nimda. Michael Howard a Doug Bayer z Microsoftu v té době publikovali také první vydání vlivné knihy Writing Secure Code. Zdroj: ZDNet

Útočníci deklarující příslušnost ke skupině Anonymous napadli jeden z webových serverů společnosti T-Mobile. Podle všeho se jim podařilo získat některé údaje zaměstnanců včetně používaných hesel. Hesla údajně dokládají špatnou bezpečností politiku (šlo o hesla přidělovaná/generovaná, nikoliv o vlastní invenci zaměstnanců).

Zdroj: HelpNet Security

Snort, open source (licence GPLv2) nástroj pro detekci síťových průniků, se dočkal verze 2.9.2. Zajímavé na novince by mělo být, že přidává kontrolu protokolů používaných v řídicích průmyslových systémech typu SCADA (standardy DNP3 a Modbus). Kontrola exploitů systémů SCADA byla loni přidána i do nástroje pro penetrační testování Metasploit. Po kauze červa Stuxnet se řídicí systémy dostávají do centra zájmu bezpečnostních firem.

Zdroj: The H Security

Statistikám malwaru za celý rok 2011 kralovala podle společnosti Eset rodina škodlivých kódů zneužívajících funkci automatického spuštění ve Windows - INF/Autorun s podílem 5,84 %. Číslem dva se loni stal Win32/Conficker (3,69 %). První trojku celosvětových hrozeb za rok 2011 uzavírá Win32/Sality, který dosáhl podílu 1,88 %.

Zdroj: Tisková zpráva společnosti Eset


Komentáře


RSS 

Komentujeme

Chatbot mluví za mrtvého – od nápadu k realizaci

Pavel Houser , 30. listopad 2016 13:00
Pavel Houser

Na webu The Verge popsala Casey Newton příběh dvou přátel (Eugenia Kuyda a Roman Mazurenko). Peripet...

Více





Kalendář


RSS 

Zprávičky

Telefony Nokia se příští rok vrátí na trh

ČTK , 02. prosinec 2016 10:30

Chytré telefony se značkou Nokia se objeví zpátky na trhu v příštím roce. Finská společnost Nokia dn...

Více 2 komentářů

CETIN nabídne příští rok operátorům připojení až 250 Mbit/s

ČTK , 01. prosinec 2016 17:00

Společnost Česká telekomunikační infrastruktura (CETIN) zvýší od května příštího roku rychlost inter...

Více 0 komentářů

Akcie Samsungu stouply na nový rekord

ČTK , 01. prosinec 2016 12:00

Akcie jihokorejské společnosti Samsung Electronics dnes stouply o více než čtyři procenta na nový re...

Více 0 komentářů

Starší zprávičky

FBI bude moci s povolením soudu pronikat do jakýchkoli počítačů

ČTK , 01. prosinec 2016 10:30

V americkém Senátu dnes selhal poslední pokus o zablokování rozšířených policejních pravomocí, které...

Více 2 komentářů

Gartner:Prodej tabletů v ČR letos klesne o osm procent na 1,1 mil

ČTK , 30. listopad 2016 14:00

Zájem o tablety letos dále klesá. Prodej tabletů a hybridních notebooků na českém trhu se letos sníž...

Více 0 komentářů

Grafen opracovaný laserem

Pavel Houser , 30. listopad 2016 11:00

Na Iowa State University přišli s další metodou pro tištění grafenových součástek. V tomto případě j...

Více 0 komentářů

GFI Software přichází s beta verzí pokročilé cloudové ochrany e-mailu

Petr Velecký , 29. listopad 2016 18:00

Beta verzi své nejnovější cloudové platformy pro zajištění bezpečnosti a kontinuity provozu podnikov...

Více 0 komentářů