Bezpečnostní přehled: Správci sítí nemají kontrolu nad aplikacemi

Pavel Houser , 13. září 2012 08:00 1 komentářů
Bezpečnostní přehled: Správci sítí nemají kontrolu nad aplikacemi

Fungování Flash ve Windows 8. Jak jsou kvalitní bezpečnostní aplikace pro Android? FBI nebyla hacknuta ani nesbírala údaje o uživatelích iPhonů. Uživatelé chtějí sami rozhodovat o tom, jaké aplikace spouštějí, správci podnikových sítí nad tím nemají kontrolu. Následuje pravidelný čtvrteční bezpečnostní přehled.

Lidé, kteří před 3 lety stáli za akcí Aurora, kdy byl hacknut Google a asi 30 dalších významných společností, jsou podle všeho pořád na svobodě a dále působí. Tato skupina se dále zaměřuje na krádeže informací ve velkém, má rozsáhlé zdroje a její hlavní metodou jsou útoky zero day (příslušné zranitelnosti buď sama vyvíjí, nebo získává na černém trhu). Aktuální akce údajně zneužívají např. neopravené chyby v přehrávači Adobe Flash Player, Internet Exploreru a službě Microsoft XML Core Services.

Zdroj: CNet, HelpNet Security

Microsoft slíbil, že uživatelé Windows 8 získají rychle kritickou aktualizaci pro přehrávač Flash Player ve Windows 8. Přesněji řečeno, situace se má tak, že Adobe již vydala příslušnou záplatu, kromě samotné aplikace je však přehrávač třeba zalátat také v podobě plug-inu pro webový prohlížeč – ve Windows 8 konkrétně pro Internet Explorer 10. A zde je právě potíž, zatímco pro jiné prohlížeče (starší verze Internet Exploreru, Firefox i Chrome) se prostě instaluje aktualizace od Adobe, v MSIE 10 je použita speciální podoba přehrávače Flash Player, jejíž změna vyžaduje záplatu od Microsoftu.

Microsoft původně tvrdil, že opravdu uvolní až spolu s všeobecnou dostupností Windows 8 v říjnu, firma však posléze ustoupila a slíbil záplatu distribuovat prostřednictvím služby Windows Update do konce příštího týdne.

Problém by se ale mohl opakovat. Microsoft vydává aktualizace 2. úterý v měsíci, Adobe nejčastěji 3. úterý. Pokud Adobe uvolní opravdu a Microsoft ji začlení až do pravidelné várky aktualizací, vznikne tak třítýdenní „okno“. Hlubší integrace Flash do systému Windows 8/IE 10 byla vedena především motivací zvýšit zabezpečení. Bylo by ironií, kdyby výsledkem byl opak.

Zdroj: ZDNet

Mozilla vydala Firefox 15.0.1. Opravena byla chyba, kdy se i v anonymním režimu navštívené stránky ukládaly do cache paměti prohlížeče. I po aktualizaci ale stránky při anonymním prohlížení již uložené v paměti zůstanou, takže kdo chce mít jistotu, nechť vymaže historii prohlížeče. Samotný Firefox 15 byl vydán teprve 28. srpna.

Zdroj: CNet

Společnost GrammaTech oznámila nástroj CodeSonar ve verzi 3.8. Jedná se o prostředek pro statickou analýzu kódu v jazyce C/C++. Tyto metody byly nedávno použity např. NASA pro kontrolu kódu marsovského vozítka Curiosity. K novinkám této verze má patřit omezení falešných poplachů a lepší podpora vícejádrových procesorů. Zdroj: HelpNet Security

Lidé odpovědní ve firmách za zabezpečení a správu sítí si jsou vědomi rizik, které s sebou nese spouštění neautorizovaných aplikací. 76 % respondentů však tvrdí, že o stahování a spouštění softwaru nemají přehled. Příslušný průzkum provedla společnost Avecto na severoamerickém TechEdu, dotazováno bylo asi 1 500 IT profesionálů. Jednou z příčin tohoto stavu jsou nadměrná uživatelská oprávnění (plná administrátorská práva apod.) běžných uživatelů, v době BYOD však stále více z nich chce mít i právo výběru aplikace, takže tyto protichůdné požadavky není jednoduché skloubit. Běžným bezpečnostním problémem je stahování falešných aplikací, kdy je k legitimnímu programu přidán malware. Kromě bezpečnostního rizika vedou prý vysoká uživatelská oprávnění také k růstu provozních nákladů (podpora/telefonní poplatky).

Zdroj: HelpNet Security

Útočníci zřejmě lhali, když tvrdili, že se z notebooku zaměstnance FBI dostali k jedinečným identifikátorům UDID zařízení iPhone (viz také předcházející bezpečnostní přehled). K úniku cca milionu UDID mělo dojít v malé floridské firmě BlueToad. FBI popřela nějakou kompromitaci svých dat, Apple zase, že by po něm FBI kdy tato data požadovala.

BlueToad přiznala, že data byla zřejmě ukradena z jejich serverů, ovšem podrobnosti známy nejsou. Riziko incidentu je ovšem relativně malé, protože příslušné údaje prý nejsou spárované s citlivými daty o konkrétních uživatelích, ale identifikátor je pouze přiřazen typu zařízení.

Zdroj: ZDNet, CNet

Další akce dávána do souvislosti s útoky Anonymous apod. skupin: Hackeři blízcí Annonymous včera sundali GoDaddyho.

Vězni v New Hampshire hacknuli vězeňský systém a získali přístup k osobním informacím. Potenciálně tímto způsobem šlo do systému údajně i zasahovat a nastavit zde např. podmíněné propuštění. Na problém se přišlo, když dozorce objevil vězňův počítač propojený kabelem s (minimálně zabezpečeným) počítačem personálu. Podrobnosti o incidentu správa vězení neuvedla.

Zdroj: SecurityNewsDaily

Jak snadno lze provádět phishingové útoky proti prohlížečům pomocí URI (Uniform Resource Identifier)? Norský výzkumník Henning Klevjer provedl test. Google Chrome přesměrování URI rovnou zablokoval, do Internet Exploreru se útočná stránka načíst nepodařila, zato Firefox a Opera se ukázaly být zranitelné (i když mají také nastaveny limity pro objem dat, který lze zabalit do URI).

Zdroj: The Register

Společnost AV Comparatives testovala 13 bezpečnostních programů pro smartphony se systémem Android. Míra detekce byla u všech programů asi 93 %, proti 200 nejpoužívanějším neškodným aplikacím nebyly zaznamenány žádné falešné poplachy. Testované programy jen minimálně ovlivňovaly životnost baterie (o méně než 2 %). Rozdíly mezi nabízenými programy byly ovšem v ceně (řada zadarmo, nejdražší naopak McAfee Mobile Security s roční licencí za 30 euro) a míře detekce adwaru (dobře v tomto případě vyšly produkty BitDefender, Eset, F-Secure, Qihoo 360, Trend Micro, TrustGo a Webroot, hůře Avast, Ikarus, Kaspersky, McAfee a Sophos). Liší se také funkčnost produktů, standardně nabízejí dálkové zamykání/mazání, antivirus a GPS lokalizaci zařízení, některé mají navíc firewall, skener SMS/MMS a on-line zálohování. Liší se také kvalita vzdáleného mazání obsahu, který jde někdy opět získat pomocí nástrojů pro obnovu dat.

Zdroj: H-Online

AVG představuje novou produktovou řadu 2013. Aktualizace obsahuje nové verze neplacených i placených produktů, které podle dodavatele obsahují mj. zdokonalené uživatelské rozhraní s technologií, která je kompatibilní i se zařízeními s dotykovým displejem. Kromě vylepšení samotných technologií ochrany byl optimalizován také výkon Zdroj: tisková zpráva společnosti AVG

Bezpečnost bezdrátových sítí v Praze se meziročně opět zhoršila. Podíl zabezpečených bodů se v roce 2011 snížil na 52 % (oproti 63 % v roce 2010 a 84 % v roce 2009). Praha se tak vzdaluje úrovni světových velkoměst, kde je běžně šifrováno více než 90 % přístupových bodů. V tomto ohledu zaostává i za Bratislavou, kde je odpovídající číslo 61 %. Příčiny tohoto jevu? Změna může být způsobena nárůstem počtu přístupových bodů a hlavně relativně snadnou instalací zařízení pro technicky méně zdatné uživatele, kteří již ale neumí nastavit vyšší stupeň zabezpečení. Navíc - nejrozšířenějším druhem šifrování zůstává zastaralé WEP, a to u 58 % zabezpečených přístupových bodů.

Zdroj: tisková zpráva společnosti Ernst & Young


Komentáře

Petr #1
Petr 19. září 2012 23:27

To by mě zajímalo, co má správce sítě společného s firemními aplikacemi. To snad může v normálně velké firmě řešit někdo, kdo má na starosti desktopy, aplikace ..., ale rozhodně ne počítačovou síť.


RSS 

Komentujeme

Chatbot mluví za mrtvého – od nápadu k realizaci

Pavel Houser , 30. listopad 2016 13:00
Pavel Houser

Na webu The Verge popsala Casey Newton příběh dvou přátel (Eugenia Kuyda a Roman Mazurenko). Peripet...

Více





Kalendář


RSS 

Zprávičky

CETIN vydal dluhopisy za 25 miliard Kč

ČTK , 05. prosinec 2016 18:00

Česká telekomunikační infrastruktura (CETIN) upsala dluhopisy v eurech a korunách v celkovém objemu ...

Více 0 komentářů

Nahradí otisky prstů přístupová hesla?

ČTK , 05. prosinec 2016 14:30

Zní to jako skvělý nápad: zapomeňte na hesla a zamykejte telefon místo nich otiskem svého prstu. Je ...

Více 1 komentářů

Počítač a internet má na jižní Moravě více než 75 pct domácností

ČTK , 05. prosinec 2016 10:30

Počet jihomoravských domácností, které mají počítač a přístup k internetu, se loni přehoupl na jižní...

Více 0 komentářů

Starší zprávičky

Vodafone zvýšil do září počet zákazníků na 3,54 milionu

ČTK , 04. prosinec 2016 18:00

Mobilní operátor Vodafone zvýšil do konce září počet zákazníků na českém trhu meziročně o 146.000 na...

Více 0 komentářů

Nový škodlivý program ukradl údaje k milionu účtů Google

ČTK , 02. prosinec 2016 14:00

Nový škodlivý program Goolian narušil bezpečnost více než jednoho milionu účtů Google. Šíří se na za...

Více 1 komentářů

Telefony Nokia se příští rok vrátí na trh

ČTK , 02. prosinec 2016 10:30

Chytré telefony se značkou Nokia se objeví zpátky na trhu v příštím roce. Finská společnost Nokia dn...

Více 2 komentářů

CETIN nabídne příští rok operátorům připojení až 250 Mbit/s

ČTK , 01. prosinec 2016 17:00

Společnost Česká telekomunikační infrastruktura (CETIN) zvýší od května příštího roku rychlost inter...

Více 0 komentářů