Bezpečnostní přehled: šachy místo CAPTCHA a problémy SCADA záplat

Pavel Houser , 20. březen 2013 08:00 3 komentářů
Bezpečnostní přehled: šachy místo CAPTCHA a problémy SCADA záplat

Záplatování zřejmě není nejvhodnější způsob pro ochranu kritické infrastruktury. CAPTCHA jako šachová úloha. BlackBerry jako nejbezpečnější mobilní platforma. Následuje pravidelný bezpečnostní přehled vytvářený především podle webů ZDNet, CNet, The Register a HelpNet Security.

Německá vláda zakoupí až 4 000 zařízení se systémem BlackBerry 10. Ve srovnání s konkurencí se prý jedná o jedinou platformu, která vyhovuje bezpečnostním standardům NATO. Nejlepší zde má být podpora šifrování a možnost rozdělení systému na pracovní a soukromou část. Německá vláda hodlá systém doplnit o dodatečnou aplikací/kartou SecuSmart od stejnojmenné firmy.

Zdroj: eWeek.com

Výzkumníci z University of Michigan a jejich kolegové dospěli ve svém průzkumu k závěru, že přátelské vztahy či jiné vazby mezi generálním ředitelem a dalšími manažery firmy zvyšují riziko kybernetických i jiných podvodů (a navíc snižují pravděpodobnost, že tyto budou rychle odhaleny, bez ohledu na detekční systémy a audity). Závěr studie: představenstva, investoři a regulátoři by se měli snažit, aby výkonný ředitel své nejbližší spolupracovníky nejmenoval sám, ale co nejvíc do tohoto procesu zasahovat.

Zdroj: Phys.org

V několika modelech tiskáren HP Laser Jet byla objevena bezpečnostní zranitelnost, která vzdálenému útočníkovi umožňuje dostat se k datům protékajícím tiskárnou. Na vině je protokol telnet, respektive možnost takto k tiskárně přistupovat de facto bez znalosti hesla; při ladění kódu se na tento problém nejspíš prostě zapomnělo. HP již vydala opravu, doporučuje se proto aktualizaci firmwaru nainstalovat.

Útoky proti webům založených na Wordpressu jsou v současnosti velmi oblíbené. Společnost NorseCrop nabízí službu IPVenger, která je určena menším organizacím využívajícím WordPress jako webový publikační systém (chystá se i podpora pro Joomlu a Drupal). Nabídka má podobu plug-inu, který dokáže řešit známé útoky proti starším verzím systému a údajně i zero day zranitelnosti, usnadňuje filtrování spamu apod. Ceny služby začínají od 10 dolarů měsíčně.

Adobe vydala novou verzi přehrávače/plug-inu Flash Player, která řeší 4 kritické bezpečnostní zranitelnosti; problém se týká uživatelů na platformách Windows, Mac OS i Android. Objevují se doporučení Flash v prohlížeči prostě zakázat, to však není tak jednoduché – např. ve srovnání s podobně problematickou Javou se Flash v prostředí webu užívá více.

Analýza společnosti Tofino Security uvádí, že záplatování není vhodný způsob pro ochranu současných SCADA systémů. Pravidelně vydávané aktualizace (jednou za půl roku apod.) totiž nepřinášejí dostatečnou ochranu proti aktuálním útokům. Rychle vydávané opravy zase často není možné instalovat, systémy SCADA musejí obvykle běžet neustále, snad jen s výjimkou předem plánovaným odstávek.

Provozovatelé se bojí instalovat záplaty i proto, aby neohrozili funkčnost produkčního systému (zde je snad na místě srovnání s databázemi). Řešením pro provozovatele proto nejsou vlastní opravy zranitelností, ale spíše způsob, jak problém obejít a na jiné úrovni (= v jiné části IT infrastruktury – na úrovni firewallu, implementace certifikátů apod.: „compensating controls“) zabránit známým pokusům o zneužití. Tím není řešeno, že záplaty nemají smysl, ale samy o sobě nestačí.

Botnety se dnes používají stále především k rozesílání spamu. A ačkoliv objem spamu globálně už delší dobu klesá, podle studie společnosti McAfee zde nastávají i výkyvy směrem vzhůru. Co se týče samotných botnetů vývoj má být následující. Víceméně odepsané se zdají být botnety Bobax (Kraken), Donbot, Grum, Fivetoone, Rustock a Bagle. Festi, Cutwail, Lethic, a Maazben dále fungují, ale jsou v úpadku. Naopak oživení zažívají Darkmailer, Waledac, Slenfbot a Kelihos. Waledac a Kelihos přitom byly už pokládány za zlikvidované, nicméně provozovatelům (nebo jedinému člověku; podle některých bezpečnostní výzkumníků mají oba stejného autora) se je podařilo opět zprovoznit.

Na webu Lichess.org se objevil nový způsob obrany CAPTCHA: uživatel musel vyřešit jednoduchou šachovou úlohu. Samozřejmě, že současné šachové programy by něco takového zvládly velmi snadno, bude se ale nějaký spammer (např.) obtěžovat zahrnovat takovou funkčnost do svého robota? Jinak řečeno, mohly by specializované servery při CAPTCHA testech požadovat právě znalosti z příslušného oboru? Samozřejmě, že tato metoda všech není použitelná pro univerzální služby, sociální sítě, webové e-maily, zpravodajské servery...

V koedici nakladatelství Argo a Dokořán vyšla kniha Temný trh (originál Dark Market), která mapuje vývoj počítačové kriminality v posledních letech, především s ohledem na obchod s čísly kreditních karet a jejich klonování (skimming). Mj. se zde seznámíte s tím, jak zřejmě největší „kartářské“ fórum bylo založeno policejními agenty, jak podvodníci trpí rivalitou jiných podvodníků, ale současně si v akcích překážejí i různé tajné služby a další bezpečnostní složky. Příběh také ukazuje, jak se internetová kriminalita postupně přesouvala od technologických nadšenců, pro něž finanční zisk z podvodu byl jen jednou z motivací, do světa organizovaného zločinu. Takový je Temný trh...

Zdroj: Nakladatelství Argo, Dokořán

Eset uvádí řešení Secure Autentication – systém dvoufaktorové autentizace (2FA OTP) pomocí jednorázových, serverem generovaných hesel, který umožní koncovému uživateli ověření přístupu k firemní síti prostřednictvím mobilního telefonu. Podporuje moderní mobilní platformy (iPhone, Android, BlackBerry, Windows Phone 7 a 8, Windows Mobile a J2ME), pro starší telefony je umožněna i dodatečná autentifikace přes SMS. Aplikace je určena speciálně pro malé a střední firmy a pro přístup k Outlook Web Access/App a infrastruktuře VPN (podpora pro Radius).

Zdroj: tisková zpráva společnosti Eset

Eset varuje slovenské firmy i uživatele před podvodným e-mailem, pod kterým je podepsán Daňový úřad. Ve skutečnosti jde o phishing, který se oběť pokouší navést k tomu, aby si stáhla jistý dokument („výklad“: daňové subjekty musí daň uhradit na číslo účtu, které je jedinečné pro každého plátce daně, toto číslo najdete v přípojeném souboru). Kdo se nechá oklamat, nainstaluje si do systému trojského koně Win32/Sazoora.A, který sbírá hesla zadávaná v prohlížečích, včetně přístupových údajů k internetovému bankovnictví.

Zdroj: tisková zpráva společnosti Eset

Axis uvádí síťovou kameru M2014-E, která je jen o málo větší než rtěnka. Díky bullet-style designu s malými rozměry a důrazem na funkčnost je tato kamera podle dodavatele vhodná pro instalace například v maloobchodních prodejnách, buticích, hotelích nebo malých kancelářích.

Zdroj: tisková zpráva společnosti Axis Communications

Ještě k nedávným útokům DDoS. Jaká jsou doporučení pro prevenci těchto událostí?

„Jedním způsobem, jak zabránit následkům útoku SYN DoS, je používání SYN cookies namísto udržování polootevřených spojení v rámci systémového paměťového zásobníku. Například jakékoliv ze zařízení NetScaler se systémovým softwarem verze 8.1 nebo novějším to dělá zcela automaticky,“ uvádí Vladimír Špička, regionální Sales Manager Citrix Systems.

Zdroj: tisková zpráva společnosti Citrix Systems.

NetGear nabízí 90% slevu na řešení ProSecure STM150EW3 – hardwarové zařízení pro ochranu firemní sítě (hardware STM150, software Kaspersky a CommTouch)

Zdroj: tisková zpráva společnosti NetGear


Komentáře

Zdenek 'Mst. Spider' Sedlak 20. březen 2013 13:36

Na reseni sachu si najmou Indy :-D

xixo #2
xixo 25. březen 2013 12:13

Vzhledem k tomu, že pozici mají uvedenou přímo ve zdrojáku ve standardním formátu FEN, je úprava robota záležitostí pár minut. Jednotažku zvládne jakýkoli opensource šachový stroj :)

xixo #3
xixo 25. březen 2013 12:27

(třeba takhle)

<div class="checkmateFen">
<div
class="mini_board parse_fen with_keys"
data-color="white"
data-fen="Q7/8/8/1K6/8/2Q5/8/1k6"></div>
</div>

=>

$ stockfish
Stockfish 111108 64bit by Tord Romstad, Marco Costalba and Joona Kiiski
position fen Q7/8/8/1K6/8/2Q5/8/1k6 w - - 0 1
go
info depth 1 seldepth 2 score mate 1 nodes 165 nps 2012 time 82 multipv 1 pv a8a1
bestmove a8a1

RSS 

Komentujeme

Kradená auta: Další úkol pro bezpečnostní kamery

Pavel Houser , 16. srpen 2017 06:30
Pavel Houser

Bezpečnostní kamery, které hledají ukradená vozidla nebo mají za úkol vozidlo jednoznačně identifiko...

Více






Kalendář

24. 08. Webinář Synology - DSM 6.1 - Virtual Machine Manager
27. 08.

31. 08.
VMworld 2017
01. 09.

06. 09.
IFA 2017
RSS 

Zprávičky

Irsko odmítá požadavek EU, aby od Applu zpětně vybralo daně

ČTK , 18. srpen 2017 13:00

Jednání Applu údajně nebylo v rozporu s legislativou Irska ani Evropské unie....

Více 5 komentářů

Ericsson zvažuje, že propustí až 25 000 zaměstnanců

ČTK , 18. srpen 2017 09:00

Švédská firma se v poslední době potýká se slábnoucí poptávkou ze strany telekomunikačních operátorů...

Více 0 komentářů

Alibaba téměř zdvojnásobila zisk, růst tržeb překonal odhady

ČTK , 18. srpen 2017 08:00

Alibaba, která patří k nejhodnotnějším firmám v Asii, profituje z rostoucích on-line nákupů čínských...

Více 0 komentářů

Starší zprávičky

Telekomunikační úřad se chystá regulovat mobilní trh

ČTK , 17. srpen 2017 14:34

Přetrvává velký rozdíl mezi vyššími cenami pro domácnosti a nižšími cenami pro firmy, který dosahuje...

Více 0 komentářů

ShadowPad: malware v produktech NetSarang pro správu serverů

Pavel Houser , 17. srpen 2017 13:43

Útočníci schovali backdoor ShadowPad v softwaru využívaném stovkami světových společností včetně ban...

Více 0 komentářů

Rozšířená realita bude za pár let běžnou záležitostí

ČTK , 17. srpen 2017 12:58

Za pět, šest let bude běžné, že si turisté při návštěvě zahraničních metropolí nasadí speciální brýl...

Více 0 komentářů

Podíl internetových kurzových sázek v ČR loni vzrostl na 88 %

ČTK , 17. srpen 2017 10:00

Velký podíl na internetových sázkách tvoří live sázky, které lze uzavírat opakovaně v průběhu zápasu...

Více 0 komentářů