Bezpečnostní přehled: šachy místo CAPTCHA a problémy SCADA záplat

Pavel Houser , 20. březen 2013 08:00 3 komentářů
Bezpečnostní přehled: šachy místo CAPTCHA a problémy SCADA záplat

Záplatování zřejmě není nejvhodnější způsob pro ochranu kritické infrastruktury. CAPTCHA jako šachová úloha. BlackBerry jako nejbezpečnější mobilní platforma. Následuje pravidelný bezpečnostní přehled vytvářený především podle webů ZDNet, CNet, The Register a HelpNet Security.

Německá vláda zakoupí až 4 000 zařízení se systémem BlackBerry 10. Ve srovnání s konkurencí se prý jedná o jedinou platformu, která vyhovuje bezpečnostním standardům NATO. Nejlepší zde má být podpora šifrování a možnost rozdělení systému na pracovní a soukromou část. Německá vláda hodlá systém doplnit o dodatečnou aplikací/kartou SecuSmart od stejnojmenné firmy.

Zdroj: eWeek.com

Výzkumníci z University of Michigan a jejich kolegové dospěli ve svém průzkumu k závěru, že přátelské vztahy či jiné vazby mezi generálním ředitelem a dalšími manažery firmy zvyšují riziko kybernetických i jiných podvodů (a navíc snižují pravděpodobnost, že tyto budou rychle odhaleny, bez ohledu na detekční systémy a audity). Závěr studie: představenstva, investoři a regulátoři by se měli snažit, aby výkonný ředitel své nejbližší spolupracovníky nejmenoval sám, ale co nejvíc do tohoto procesu zasahovat.

Zdroj: Phys.org

V několika modelech tiskáren HP Laser Jet byla objevena bezpečnostní zranitelnost, která vzdálenému útočníkovi umožňuje dostat se k datům protékajícím tiskárnou. Na vině je protokol telnet, respektive možnost takto k tiskárně přistupovat de facto bez znalosti hesla; při ladění kódu se na tento problém nejspíš prostě zapomnělo. HP již vydala opravu, doporučuje se proto aktualizaci firmwaru nainstalovat.

Útoky proti webům založených na Wordpressu jsou v současnosti velmi oblíbené. Společnost NorseCrop nabízí službu IPVenger, která je určena menším organizacím využívajícím WordPress jako webový publikační systém (chystá se i podpora pro Joomlu a Drupal). Nabídka má podobu plug-inu, který dokáže řešit známé útoky proti starším verzím systému a údajně i zero day zranitelnosti, usnadňuje filtrování spamu apod. Ceny služby začínají od 10 dolarů měsíčně.

Adobe vydala novou verzi přehrávače/plug-inu Flash Player, která řeší 4 kritické bezpečnostní zranitelnosti; problém se týká uživatelů na platformách Windows, Mac OS i Android. Objevují se doporučení Flash v prohlížeči prostě zakázat, to však není tak jednoduché – např. ve srovnání s podobně problematickou Javou se Flash v prostředí webu užívá více.

Analýza společnosti Tofino Security uvádí, že záplatování není vhodný způsob pro ochranu současných SCADA systémů. Pravidelně vydávané aktualizace (jednou za půl roku apod.) totiž nepřinášejí dostatečnou ochranu proti aktuálním útokům. Rychle vydávané opravy zase často není možné instalovat, systémy SCADA musejí obvykle běžet neustále, snad jen s výjimkou předem plánovaným odstávek.

Provozovatelé se bojí instalovat záplaty i proto, aby neohrozili funkčnost produkčního systému (zde je snad na místě srovnání s databázemi). Řešením pro provozovatele proto nejsou vlastní opravy zranitelností, ale spíše způsob, jak problém obejít a na jiné úrovni (= v jiné části IT infrastruktury – na úrovni firewallu, implementace certifikátů apod.: „compensating controls“) zabránit známým pokusům o zneužití. Tím není řešeno, že záplaty nemají smysl, ale samy o sobě nestačí.

Botnety se dnes používají stále především k rozesílání spamu. A ačkoliv objem spamu globálně už delší dobu klesá, podle studie společnosti McAfee zde nastávají i výkyvy směrem vzhůru. Co se týče samotných botnetů vývoj má být následující. Víceméně odepsané se zdají být botnety Bobax (Kraken), Donbot, Grum, Fivetoone, Rustock a Bagle. Festi, Cutwail, Lethic, a Maazben dále fungují, ale jsou v úpadku. Naopak oživení zažívají Darkmailer, Waledac, Slenfbot a Kelihos. Waledac a Kelihos přitom byly už pokládány za zlikvidované, nicméně provozovatelům (nebo jedinému člověku; podle některých bezpečnostní výzkumníků mají oba stejného autora) se je podařilo opět zprovoznit.

Na webu Lichess.org se objevil nový způsob obrany CAPTCHA: uživatel musel vyřešit jednoduchou šachovou úlohu. Samozřejmě, že současné šachové programy by něco takového zvládly velmi snadno, bude se ale nějaký spammer (např.) obtěžovat zahrnovat takovou funkčnost do svého robota? Jinak řečeno, mohly by specializované servery při CAPTCHA testech požadovat právě znalosti z příslušného oboru? Samozřejmě, že tato metoda všech není použitelná pro univerzální služby, sociální sítě, webové e-maily, zpravodajské servery...

V koedici nakladatelství Argo a Dokořán vyšla kniha Temný trh (originál Dark Market), která mapuje vývoj počítačové kriminality v posledních letech, především s ohledem na obchod s čísly kreditních karet a jejich klonování (skimming). Mj. se zde seznámíte s tím, jak zřejmě největší „kartářské“ fórum bylo založeno policejními agenty, jak podvodníci trpí rivalitou jiných podvodníků, ale současně si v akcích překážejí i různé tajné služby a další bezpečnostní složky. Příběh také ukazuje, jak se internetová kriminalita postupně přesouvala od technologických nadšenců, pro něž finanční zisk z podvodu byl jen jednou z motivací, do světa organizovaného zločinu. Takový je Temný trh...

Zdroj: Nakladatelství Argo, Dokořán

Eset uvádí řešení Secure Autentication – systém dvoufaktorové autentizace (2FA OTP) pomocí jednorázových, serverem generovaných hesel, který umožní koncovému uživateli ověření přístupu k firemní síti prostřednictvím mobilního telefonu. Podporuje moderní mobilní platformy (iPhone, Android, BlackBerry, Windows Phone 7 a 8, Windows Mobile a J2ME), pro starší telefony je umožněna i dodatečná autentifikace přes SMS. Aplikace je určena speciálně pro malé a střední firmy a pro přístup k Outlook Web Access/App a infrastruktuře VPN (podpora pro Radius).

Zdroj: tisková zpráva společnosti Eset

Eset varuje slovenské firmy i uživatele před podvodným e-mailem, pod kterým je podepsán Daňový úřad. Ve skutečnosti jde o phishing, který se oběť pokouší navést k tomu, aby si stáhla jistý dokument („výklad“: daňové subjekty musí daň uhradit na číslo účtu, které je jedinečné pro každého plátce daně, toto číslo najdete v přípojeném souboru). Kdo se nechá oklamat, nainstaluje si do systému trojského koně Win32/Sazoora.A, který sbírá hesla zadávaná v prohlížečích, včetně přístupových údajů k internetovému bankovnictví.

Zdroj: tisková zpráva společnosti Eset

Axis uvádí síťovou kameru M2014-E, která je jen o málo větší než rtěnka. Díky bullet-style designu s malými rozměry a důrazem na funkčnost je tato kamera podle dodavatele vhodná pro instalace například v maloobchodních prodejnách, buticích, hotelích nebo malých kancelářích.

Zdroj: tisková zpráva společnosti Axis Communications

Ještě k nedávným útokům DDoS. Jaká jsou doporučení pro prevenci těchto událostí?

„Jedním způsobem, jak zabránit následkům útoku SYN DoS, je používání SYN cookies namísto udržování polootevřených spojení v rámci systémového paměťového zásobníku. Například jakékoliv ze zařízení NetScaler se systémovým softwarem verze 8.1 nebo novějším to dělá zcela automaticky,“ uvádí Vladimír Špička, regionální Sales Manager Citrix Systems.

Zdroj: tisková zpráva společnosti Citrix Systems.

NetGear nabízí 90% slevu na řešení ProSecure STM150EW3 – hardwarové zařízení pro ochranu firemní sítě (hardware STM150, software Kaspersky a CommTouch)

Zdroj: tisková zpráva společnosti NetGear


Komentáře

Zdenek 'Mst. Spider' Sedlak 20. březen 2013 13:36

Na reseni sachu si najmou Indy :-D

xixo #2
xixo 25. březen 2013 12:13

Vzhledem k tomu, že pozici mají uvedenou přímo ve zdrojáku ve standardním formátu FEN, je úprava robota záležitostí pár minut. Jednotažku zvládne jakýkoli opensource šachový stroj :)

xixo #3
xixo 25. březen 2013 12:27

(třeba takhle)

<div class="checkmateFen">
<div
class="mini_board parse_fen with_keys"
data-color="white"
data-fen="Q7/8/8/1K6/8/2Q5/8/1k6"></div>
</div>

=>

$ stockfish
Stockfish 111108 64bit by Tord Romstad, Marco Costalba and Joona Kiiski
position fen Q7/8/8/1K6/8/2Q5/8/1k6 w - - 0 1
go
info depth 1 seldepth 2 score mate 1 nodes 165 nps 2012 time 82 multipv 1 pv a8a1
bestmove a8a1

RSS 

Komentujeme

Telefony vodní i podvodní

Pavel Houser , 16. červen 2017 13:00
Pavel Houser

Jako zajímavou technickou kuriozitu lze uvést, že všech 28 států NATO schválilo protokol Janus, kter...

Více






Kalendář

25. 06.

29. 06.
Cisco Live 2017
22. 07.

27. 07.
Black Hat 2017
27. 07.

30. 07.
Defcon 2017
RSS 

Zprávičky

Konica Minolta umožňuje skenovat dokumenty mobilním telefonem

Pavel Houser , 26. červen 2017 16:04

Nová aplikace podle dodavatele zrychlí ve firmách zpracování dokumentů. Uživatelé mohou s každým dok...

Více 0 komentářů

Toshiba vypadne z hlavního indexu tokijské burzy Nikkei 225

ČTK , 26. červen 2017 10:00

Společnost dosud nezveřejnila auditované výsledky za uplynulý finanční rok, protože auditoři jí výsl...

Více 0 komentářů

Britský parlament se stal terčem kybernetického útoku

ČTK , 25. červen 2017 09:00

Mluvčí Dolní sněmovny potvrdila, že parlament odhalil neoprávněné pokusy o přístup....

Více 0 komentářů

Starší zprávičky

VZLUSAT-1, první česká nanodružice

ČTK , 24. červen 2017 18:13

V pátek indická raketa PSLV-C38 vynesla na oběžnou dráhu českou technologickou nanodružici VZLUSAT-1...

Více 0 komentářů

BlackBerry se vrací k zisku, tržby však zaostaly za očekáváním

ČTK , 24. červen 2017 09:46

Kanadský výrobce chytrých telefonů BlackBerry v prvním finančním čtvrtletí vydělal 671 milionů dolar...

Více 0 komentářů

Operátoři díky výměně kmitočtů zrychlí mobilní internet

ČTK , 23. červen 2017 12:36

Mobilní operátoři O2, T-Mobile a Vodafone si vyměnili kmitočty v pásmu 1800 MHz pro provoz rychlých ...

Více 0 komentářů

Toshiba a Western Digital stále ve sporu

ČTK , 23. červen 2017 08:39

Toshiba chce prodat čipovou divizi skupině, za kterou stojí vláda. ...

Více 0 komentářů