Bezpečnostní přehled: šachy místo CAPTCHA a problémy SCADA záplat

Pavel Houser , 20. březen 2013 08:00 3 komentářů
Bezpečnostní přehled: šachy místo CAPTCHA a problémy SCADA záplat

Záplatování zřejmě není nejvhodnější způsob pro ochranu kritické infrastruktury. CAPTCHA jako šachová úloha. BlackBerry jako nejbezpečnější mobilní platforma. Následuje pravidelný bezpečnostní přehled vytvářený především podle webů ZDNet, CNet, The Register a HelpNet Security.

Německá vláda zakoupí až 4 000 zařízení se systémem BlackBerry 10. Ve srovnání s konkurencí se prý jedná o jedinou platformu, která vyhovuje bezpečnostním standardům NATO. Nejlepší zde má být podpora šifrování a možnost rozdělení systému na pracovní a soukromou část. Německá vláda hodlá systém doplnit o dodatečnou aplikací/kartou SecuSmart od stejnojmenné firmy.

Zdroj: eWeek.com

Výzkumníci z University of Michigan a jejich kolegové dospěli ve svém průzkumu k závěru, že přátelské vztahy či jiné vazby mezi generálním ředitelem a dalšími manažery firmy zvyšují riziko kybernetických i jiných podvodů (a navíc snižují pravděpodobnost, že tyto budou rychle odhaleny, bez ohledu na detekční systémy a audity). Závěr studie: představenstva, investoři a regulátoři by se měli snažit, aby výkonný ředitel své nejbližší spolupracovníky nejmenoval sám, ale co nejvíc do tohoto procesu zasahovat.

Zdroj: Phys.org

V několika modelech tiskáren HP Laser Jet byla objevena bezpečnostní zranitelnost, která vzdálenému útočníkovi umožňuje dostat se k datům protékajícím tiskárnou. Na vině je protokol telnet, respektive možnost takto k tiskárně přistupovat de facto bez znalosti hesla; při ladění kódu se na tento problém nejspíš prostě zapomnělo. HP již vydala opravu, doporučuje se proto aktualizaci firmwaru nainstalovat.

Útoky proti webům založených na Wordpressu jsou v současnosti velmi oblíbené. Společnost NorseCrop nabízí službu IPVenger, která je určena menším organizacím využívajícím WordPress jako webový publikační systém (chystá se i podpora pro Joomlu a Drupal). Nabídka má podobu plug-inu, který dokáže řešit známé útoky proti starším verzím systému a údajně i zero day zranitelnosti, usnadňuje filtrování spamu apod. Ceny služby začínají od 10 dolarů měsíčně.

Adobe vydala novou verzi přehrávače/plug-inu Flash Player, která řeší 4 kritické bezpečnostní zranitelnosti; problém se týká uživatelů na platformách Windows, Mac OS i Android. Objevují se doporučení Flash v prohlížeči prostě zakázat, to však není tak jednoduché – např. ve srovnání s podobně problematickou Javou se Flash v prostředí webu užívá více.

Analýza společnosti Tofino Security uvádí, že záplatování není vhodný způsob pro ochranu současných SCADA systémů. Pravidelně vydávané aktualizace (jednou za půl roku apod.) totiž nepřinášejí dostatečnou ochranu proti aktuálním útokům. Rychle vydávané opravy zase často není možné instalovat, systémy SCADA musejí obvykle běžet neustále, snad jen s výjimkou předem plánovaným odstávek.

Provozovatelé se bojí instalovat záplaty i proto, aby neohrozili funkčnost produkčního systému (zde je snad na místě srovnání s databázemi). Řešením pro provozovatele proto nejsou vlastní opravy zranitelností, ale spíše způsob, jak problém obejít a na jiné úrovni (= v jiné části IT infrastruktury – na úrovni firewallu, implementace certifikátů apod.: „compensating controls“) zabránit známým pokusům o zneužití. Tím není řešeno, že záplaty nemají smysl, ale samy o sobě nestačí.

Botnety se dnes používají stále především k rozesílání spamu. A ačkoliv objem spamu globálně už delší dobu klesá, podle studie společnosti McAfee zde nastávají i výkyvy směrem vzhůru. Co se týče samotných botnetů vývoj má být následující. Víceméně odepsané se zdají být botnety Bobax (Kraken), Donbot, Grum, Fivetoone, Rustock a Bagle. Festi, Cutwail, Lethic, a Maazben dále fungují, ale jsou v úpadku. Naopak oživení zažívají Darkmailer, Waledac, Slenfbot a Kelihos. Waledac a Kelihos přitom byly už pokládány za zlikvidované, nicméně provozovatelům (nebo jedinému člověku; podle některých bezpečnostní výzkumníků mají oba stejného autora) se je podařilo opět zprovoznit.

Na webu Lichess.org se objevil nový způsob obrany CAPTCHA: uživatel musel vyřešit jednoduchou šachovou úlohu. Samozřejmě, že současné šachové programy by něco takového zvládly velmi snadno, bude se ale nějaký spammer (např.) obtěžovat zahrnovat takovou funkčnost do svého robota? Jinak řečeno, mohly by specializované servery při CAPTCHA testech požadovat právě znalosti z příslušného oboru? Samozřejmě, že tato metoda všech není použitelná pro univerzální služby, sociální sítě, webové e-maily, zpravodajské servery...

V koedici nakladatelství Argo a Dokořán vyšla kniha Temný trh (originál Dark Market), která mapuje vývoj počítačové kriminality v posledních letech, především s ohledem na obchod s čísly kreditních karet a jejich klonování (skimming). Mj. se zde seznámíte s tím, jak zřejmě největší „kartářské“ fórum bylo založeno policejními agenty, jak podvodníci trpí rivalitou jiných podvodníků, ale současně si v akcích překážejí i různé tajné služby a další bezpečnostní složky. Příběh také ukazuje, jak se internetová kriminalita postupně přesouvala od technologických nadšenců, pro něž finanční zisk z podvodu byl jen jednou z motivací, do světa organizovaného zločinu. Takový je Temný trh...

Zdroj: Nakladatelství Argo, Dokořán

Eset uvádí řešení Secure Autentication – systém dvoufaktorové autentizace (2FA OTP) pomocí jednorázových, serverem generovaných hesel, který umožní koncovému uživateli ověření přístupu k firemní síti prostřednictvím mobilního telefonu. Podporuje moderní mobilní platformy (iPhone, Android, BlackBerry, Windows Phone 7 a 8, Windows Mobile a J2ME), pro starší telefony je umožněna i dodatečná autentifikace přes SMS. Aplikace je určena speciálně pro malé a střední firmy a pro přístup k Outlook Web Access/App a infrastruktuře VPN (podpora pro Radius).

Zdroj: tisková zpráva společnosti Eset

Eset varuje slovenské firmy i uživatele před podvodným e-mailem, pod kterým je podepsán Daňový úřad. Ve skutečnosti jde o phishing, který se oběť pokouší navést k tomu, aby si stáhla jistý dokument („výklad“: daňové subjekty musí daň uhradit na číslo účtu, které je jedinečné pro každého plátce daně, toto číslo najdete v přípojeném souboru). Kdo se nechá oklamat, nainstaluje si do systému trojského koně Win32/Sazoora.A, který sbírá hesla zadávaná v prohlížečích, včetně přístupových údajů k internetovému bankovnictví.

Zdroj: tisková zpráva společnosti Eset

Axis uvádí síťovou kameru M2014-E, která je jen o málo větší než rtěnka. Díky bullet-style designu s malými rozměry a důrazem na funkčnost je tato kamera podle dodavatele vhodná pro instalace například v maloobchodních prodejnách, buticích, hotelích nebo malých kancelářích.

Zdroj: tisková zpráva společnosti Axis Communications

Ještě k nedávným útokům DDoS. Jaká jsou doporučení pro prevenci těchto událostí?

„Jedním způsobem, jak zabránit následkům útoku SYN DoS, je používání SYN cookies namísto udržování polootevřených spojení v rámci systémového paměťového zásobníku. Například jakékoliv ze zařízení NetScaler se systémovým softwarem verze 8.1 nebo novějším to dělá zcela automaticky,“ uvádí Vladimír Špička, regionální Sales Manager Citrix Systems.

Zdroj: tisková zpráva společnosti Citrix Systems.

NetGear nabízí 90% slevu na řešení ProSecure STM150EW3 – hardwarové zařízení pro ochranu firemní sítě (hardware STM150, software Kaspersky a CommTouch)

Zdroj: tisková zpráva společnosti NetGear


Komentáře

Zdenek 'Mst. Spider' Sedlak 20. březen 2013 13:36

Na reseni sachu si najmou Indy :-D

xixo #2
xixo 25. březen 2013 12:13

Vzhledem k tomu, že pozici mají uvedenou přímo ve zdrojáku ve standardním formátu FEN, je úprava robota záležitostí pár minut. Jednotažku zvládne jakýkoli opensource šachový stroj :)

xixo #3
xixo 25. březen 2013 12:27

(třeba takhle)

<div class="checkmateFen">
<div
class="mini_board parse_fen with_keys"
data-color="white"
data-fen="Q7/8/8/1K6/8/2Q5/8/1k6"></div>
</div>

=>

$ stockfish
Stockfish 111108 64bit by Tord Romstad, Marco Costalba and Joona Kiiski
position fen Q7/8/8/1K6/8/2Q5/8/1k6 w - - 0 1
go
info depth 1 seldepth 2 score mate 1 nodes 165 nps 2012 time 82 multipv 1 pv a8a1
bestmove a8a1


RSS 

Komentujeme

Chatbot mluví za mrtvého – od nápadu k realizaci

Pavel Houser , 30. listopad 2016 13:00
Pavel Houser

Na webu The Verge popsala Casey Newton příběh dvou přátel (Eugenia Kuyda a Roman Mazurenko). Peripet...

Více





Kalendář

RSS 

Zprávičky

Verizon prodá firmě Equinix datová centra za 3,6 miliardy USD

ČTK , 08. prosinec 2016 10:00

Největší americký mobilní operátor Verizon Communications prodá specializované společnosti Equinix 2...

Více 0 komentářů

Tchajwanský Foxconn jedná o rozšíření svých aktivit v USA

ČTK , 07. prosinec 2016 15:00

Tchajwanská společnost Foxconn jedná o rozšíření svých aktivit ve Spojených státech. Oznámila to dne...

Více 0 komentářů

Nejvyšší soud USA se postavil na stranu Samsungu proti Applu

ČTK , 07. prosinec 2016 12:30

Americký nejvyšší soud se v mnohaletém patentovém sporu mezi výrobci chytrých telefonů Apple a Samsu...

Více 0 komentářů

Starší zprávičky

Evropská komise Microsoftu schválila převzetí sítě LinkedIn

ČTK , 07. prosinec 2016 10:30

Evropská komise schválila americké softwarové společnosti Microsoft záměr koupit za 26 miliard dolar...

Více 0 komentářů

Porozumění větám, konkurence pro Turingův test

Pavel Houser , 06. prosinec 2016 18:00

Konverzační roboti mají stále problémy pochopit věty, kde smysl nelze vyvodit ze samotné gramatické ...

Více 0 komentářů

Americká GoDaddy koupí evropský webhosting Host Europe

ČTK , 06. prosinec 2016 16:00

Americký registrátor internetových domén GoDaddy, který je ve svém oboru největší na světě, se dohod...

Více 0 komentářů

Ruská Centrální banka oznámila masivní útok hackerů

ČTK , 06. prosinec 2016 11:00

Do systému ruské Centrální banky se letos dostali hackeři a s pomocí zfalšovaných hesel se pokusili ...

Více 0 komentářů