Bezpečnostní přehled: Rizika programovacích jazyků

Pavel Houser , 24. duben 2014 09:00 0 komentářů
Bezpečnostní přehled: Rizika programovacích jazyků

Záplaty Oracle, uživatelé i správci MS SharePoint zdrojem problémů, útoky SQL injcetion čekají na odhalení velmi dlouho, počet bankovních trojanů rychle roste. Následuje pravidelný bezpečnostní přehled vytvářený především podle webů ZDNet, CNet, The Register a HelpNet Security.

Balíček bezpečnostních záplat vydal Oracle. Celkem řeší 104 zranitelností napříč jednotlivými produktovými řadami. Kritické opravy jsou určeny pro middleware (Fusion, 20 zranitelností, z toho 13 kritických/vzdáleně zneužitelných), databázi i informační systémy Siebel a PeopleSoft. Pro platformu Java jsou k dispozici opravy 37 zranitelností, které jinak útočníkovi umožňovaly vzdálené ovládnutí počítače už při spuštění podvodného appletu. Opraven byl i OS Solaris, sada Supply Chain Products Suite a MySQL Server (14 chyb, z toho 2 vzdáleně zneužitelné).

Studie provedená na konferenci uživatelů MS SharePoint ukázala, že 36 % z nich porušuje zásady zabezpečení, a získávají tak přístup k informacím, na něž nemají nárok. Mnozí správci jsou přesvědčeni, že mají nárok na neomezená práva a přístup k veškerému obsahu na serverech; sami tak představují bezpečnostní riziko. 19 % firem pro jistotu citlivé informace vůbec neumožňuje ukládat do systému SharePoint. Velká většina firem řeší zabezpečení spíše vydáním nějakých zásad/vyhlášek, které ale zaměstnanci mohou nedodržovat, pouze menšina firem dosahuje zabezpečení primárně technickými prostředky. Zatímco v minulosti se prý v SharePointu slídilo hlavně po platech kolegů, nyní převládá snaha dostat se k cennému duševnímu vlastnictví firmy.

Ponemon Institute a DB Networks vydaly analýzu současné situace v oblasti útoků SQL injection. 65 % respondentů zaznamenalo v posledním roce útoky SQL injection, které dokázaly obejít ochranné systémy firmy. Příslušné porušení bezpečnosti bylo v průměru zjištěno až 140 dní od incidentu a zalátání chyby trvalo v průměru dalších 68 dní; pouze 34 % respondentů je přesvědčeno, že mají k dispozici efektivní nástroje pro rychlé odhalování těchto průniků. 52 % respondentů uvedlo, že nemají k dispozici žádné nástroje, jimiž by mohli testovat, zda je tímto způsobem zranitelný nasazovaný software třetích stran. 56 % dotazovaných soudí, že situace v oblasti SQL injection se stále zhoršuje v důsledku trendu BYOD. 88 % se domnívá, že jedním z řešení problému by bylo používat k detekci útoků behaviorální techniky.

Analýza společnosti WhiteHat Security se pokusila porovnat programovací jazyky/vývojová prostředí z hlediska bezpečnosti aplikací, které jsou v nich vytvářeny. Závěr: pro útočníky je nejvýhodnější zaměřovat se na aplikace vytvořené v v .NET, ASP a Javě, následuje PHP, relativně nejméně zranitelné bývají aplikace vyvinutí v ColdFusion nebo Perlu. Problémem .NET, ASP a Javy má být hlavně jejich komplexnost/složitost. Současně jde ovšem o nejpoužívanější prostředí, zjištěné zranitelnosti jsou tedy také prostě důsledkem toho, že je v nich vytvářen velký počet aplikací. Zajímavé je, jak se liší popularita jednotlivých prostředí podle oboru, když finanční služby spoléhají převážně na ASP, herní průmysl zase na PHP. Bankovní aplikace využívají zhruba ve stejné míře platformy Java a .NET.

Dropbox nabízí své úložiště také pro firemní sektor. Služba Dropbox for Business je přirozeně placená, v řádu 15 dolarů za uživatele/měsíc. Podnikovým zákazníkům je třeba přirozeně nabídnout vyšší spolehlivost a zabezpečení, administrátoři zde mohou např. vzdáleně mazat soubory v zařízeních zaměstnanců (včetně tabletů a smartphonů) a nastavovat a kontrolovat, jak probíhá sdílení obsahu.

Eset uvolněním vývojářské sady rozšířil použitelnost autentizačního řešení Eset Secure Authentication. Nyní nabízí systémovým architektům a vývojářům možnost integrovat toto zabezpečení také do prostředí, v němž není k dispozici MS Active Directory. Tuto funkčnost dává vývojářská sada (SDK) pro programovací jazyky .NET, PHP a Java; ve všech případech Eset nabízí také návody pro vývoj a nasazování a příklady použitelného kódu. Eset Secure Authentication je řešením pro dvoufaktorovou autentizaci, které funguje na bázi jednorázového hesla.

Zdroj: tisková zpráva společnosti Eset

EMC představila nové produkty pro ochranu dat. Reagují na skutečnost, že v softwarově definovaných datových centrech je infrastruktura virtualizovaná a je poskytována jako služba. Vylepšena byla sada EMC Data Protection Suite. K novinkám zde patří např. správa snímků pro pole EMC Isilon, EMC VNX a NetApp pro zlepšení ochrany dat v úložištích NAS. Představen byl také nový OS EMC Data Domain Operating System, který v prostředích Data Domain umožňuje zajišťovat bezpečnou izolaci. Tato funkce je určena pro velké podniky a poskytovatele služeb.

Zdroj: tisková zpráva společnosti EMC

Představeno bylo řešení Dell Fluid Cache pro SAN a obslužný software Dell Compellent Storage Center 6.5. V oblasti bezpečnosti dodavatel deklaruje zavedení samošifrovacích disků (SED), které nabízejí vysoce zabezpečené řešení pro organizace působící v právních, finančních nebo zdravotnických odvětvích.

Zdroj: tisková zpráva společnosti Dell

Jak jsou organizace z různých sektorů postiženy úniky dat? Nejčastěji se týkají finančních institucí (37 %), následuje maloobchod a restaurace (24 %). Zbývající procenta si rovným dílem rozdělily výroba, doprava a veřejné služby a informatika spolu profesionálními poskytovateli služeb.

Zdroj: tisková zpráva společnosti Safetica

První čtvrtletí 2014 v číslech, včetně dat pro ČR: Počet bankovních trojských koní se v prvním čtvrtletí 2014 téměř zdvojnásobil z 1 321 na 2 503. 33,2 % počítačů po celém světě bylo cílem nejméně jednoho z webu pocházejícího útoku, což znamená pokles o 5,9 % oproti stejnému období v roce 2013. V Česku to bylo 20,7 %. V ČR bylo odhaleno 209 049 místních malwarových incidentů, což znamená, že 19,6 % uživatelů bylo napadeno místními hrozbami, v žebříčku zemí patří ČR 187. místo.

Zdroj: tisková zpráva společnosti Kaspersky Lab

Kaspersky Lab v oblasti podnikových bezpečnostních řešení v roce 2013 zaznamenala růst 9 % (dle porovnání neauditovaného zisku 2012/2013). Základna podnikových klientů Kaspersky Lab překročila hranici 250 000 firem, od malých a středních podniků po velké vládní organizace a soukromé společnosti. Na bezpečnostním summitu CyberSecurity Summit v San Francisku Kaspersky Lab oznámila, že v příštích týdnech představí nové rozšíření řešení Kaspersky Security for Virtualization.

Zdroj: tisková zpráva společnosti Kaspersky Lab

Tým laboratoří FortiGuard Labs v roce 2013 objevil 18 kritických zranitelností typu zero day. Od roku 2006 našli odborníci z laboratoří FortiGuard Labs více než 140 zranitelností zero day, 128 z nich bylo opraveno dodavateli příslušného softwaru. Fortinet ve svých IPS systémech před zranitelnostmi chrání ještě předtím, než opravu vydá samotný dodavatel.

Zdroj: tisková zpráva společnosti Fortinet

SSLmarket.cz nabízí svým zákazníkům přegenerování certifikátu zdarma. Zákazníci SSLmarketu tak nemusejí platit poplatek za tzv. reissue, který vyžadují některé certifikační autority. Zákazníci si mohou certifikát znovu vystavit při potížích (např. při ztrátě privátního klíče) nebo při řešení zranitelnosti Heartbleed.

Zdroj: tisková zpráva společnosti Zoner software

Společnost Axis, dodavatel bezpečnostních IP kamerových systémů, oznámila, že na novou pozici Sales Engineer pro ČR a Slovensko nastupuje Richard Malíř.

Zdroj: tisková zpráva společnosti Axis Communications

KGuard přichází na český a slovenský trh s novým setem sledovacího systému Aurora. Součástí sady je kamera 800TVL, která umožňuje sledování a automatické zaostření na pohybující se objekt.

Zdroj: tisková zpráva společnosti KGuard

Na téma zabezpečení na ITBiz viz také: Bude Nokia vyrábět telefony s kvantovým šifrováním?

Pravděpodobně to sice v nejbližší budoucnosti příliš nevypadá, ale patent si firma již podala.

Gmail možná přinese podporu PGP

Konkrétní podoba implementace PGP a otázka, kde se budou nalézat privátní klíče (na serverech Google, u třetí strany nebo u uživatelů) zůstává ovšem záhadou.


Komentáře


RSS 

Komentujeme

Chatbot mluví za mrtvého – od nápadu k realizaci

Pavel Houser , 30. listopad 2016 13:00
Pavel Houser

Na webu The Verge popsala Casey Newton příběh dvou přátel (Eugenia Kuyda a Roman Mazurenko). Peripet...

Více





Kalendář

20. 03.

24. 03.
CeBIT 2017
RSS 

Zprávičky

Nový zákon o výzkumu chystá "blacklist" příjemců i ministerstvo

ČTK , 09. prosinec 2016 16:31

Velké změny ve fungování Grantové a Technologické agentury, novou vědeckou radu ČR i takzvaný "black...

Více 0 komentářů

Fitbit koupil průkopníka chytrých hodinek Pebble

ČTK , 09. prosinec 2016 15:00

Americký výrobce chytrých náramků a hodinek Fitbit koupil software, patenty a další aktiva duševního...

Více 0 komentářů

Američané možná umožní v letadlech telefonování přes wi-fi

ČTK , 09. prosinec 2016 13:00

Aerolinky ve Spojených státech by v budoucnu mohly umožňovat telefonování v letadle s použitím wi-fi...

Více 2 komentářů

Starší zprávičky

Česká pošta od ledna zdraží posílání do zahraničí o pět až 20 Kč

ČTK , 09. prosinec 2016 11:39

Česká pošta od ledna zvýší ceny za posílání listovních zásilek do zahraničí o pět korun, balíky podr...

Více 0 komentářů

Za vzněcováním smartphonu iPhone 6 jsou vnější vlivy, tvrdí Apple

ČTK , 08. prosinec 2016 11:30

Firma Apple odmítla podezření čínských uživatelů svého chytrého telefonu iPhone 6, že za problémy s ...

Více 0 komentářů

Verizon prodá firmě Equinix datová centra za 3,6 miliardy USD

ČTK , 08. prosinec 2016 10:00

Největší americký mobilní operátor Verizon Communications prodá specializované společnosti Equinix 2...

Více 0 komentářů

Tchajwanský Foxconn jedná o rozšíření svých aktivit v USA

ČTK , 07. prosinec 2016 15:00

Tchajwanská společnost Foxconn jedná o rozšíření svých aktivit ve Spojených státech. Oznámila to dne...

Více 0 komentářů