Bezpečnostní přehled: Všechny browsery padly

Pavel Houser , 20. březen 2014 09:11 2 komentářů
Bezpečnostní přehled: Všechny browsery padly

Na Pwn2Own se podařilo kompromitovat veškeré testované webové prohlížeče. Rizika přehrávačů multimédií. Generování náhodných čísel v iOS 7. Co chystá Red Hat? V případě ztraceného malajského letadla pozor na přílišnou zvědavost. Následuje pravidelný bezpečnostní přehled vytvářený především podle webů ZDNet, CNet, The Register a HelpNet Security.

Na proběhlých soutěžích Pwn2Own a Pwnium si účastníci přišli na více než milion dolarů (nepočítaje v to notebooky, které se autorům úspěšného útoku dávají rovněž). Demonstrováno bylo 34 vážných zero day zranitelností. Všechny testované prohlížeče – Chrome, Firefox, Internet Explorer i Safari – se podařilo kompromitovat, stejně jako Flash. V případě Chrome, který historicky na těchto kláních vydržel nejvíc, tentokrát uspěl tým francouzské bezpečnostní společnosti Vupen, když byla prezentována chyba v jádru WebKit a současně se podařilo obejít ochrannou vrstvu sandboxu.

Kupodivu vydržela Java (přitom v posledních dvou letech uváděná jako hlavní vektor útoku, to ovšem do značné míry kvůli chaosu v aktualizacích). V rámci soutěže Pwnium sponzorované Googlem se podařilo kompromitovat Chrome OS. V kanadském Vancouveru byla navíc předvedena i zranitelnost v jádru systému iOS.

Podrobnosti o zranitelnostech dostávají k dispozici pouze dodavatelé příslušného softwaru.

Publikační systém Joomla obsahuje kritickou zranitelnost, umožňující útok pomocí SQL injection. Opravená verze má číslo 3.2.3, aktualizace navíc řeší i chyby zneužitelné k útokům XSS nebo k neoprávněnému přihlášení (ve spojení s účtem na GMailu).

Ve větší míře byly zaznamenány scamy (pshishing), které příjemce e-mailu informují o tom, že mu byla diagnostikována rakovina. Je potřeba stáhnout soubor s výsledky krevního testu, samozřejmě se instaluje malware (mj. i bankovní trojan Zeus). Stávající vlna útoků probíhá v tuto chvíli především ve Velké Británii.

Když podvodníci zneužívají všech aktuálních událostí, výjimkou nemůže být ani záhadně zmizelé letadlo malajských aerolinek.

Konspirační teorie, Bermundský trojúhelník (byť je na druhém konci světa), vše je pochopitelně pouze naznačeno, podrobnosti lze získat po provedení nějaké akce (instalace něčeho, kliknutí na reklamu...). Metody jsou různé, zaznamenány byly zatím e-mailové kampaně, weby, aktivity tohoto typu na Facebooku.

A nakonec, pozornosti podvodníků neunikl ani krach bitcoinové burzy MtGox. V oběhu je soubor, který má obsahovat podrobnosti o kauze, ve skutečnosti ovšem kromě veřejně známých informací obsahuje především malware, který sám krade bitcoiny (možná existují i jiné verze). Na útoky upozorňuje Kaspersky Lab.

Upgrade generátoru náhodných čísel mezi iOS 6 a 7 míru zabezpečení mohl ve skutečnosti snížit, alespoň to tvrdí výzkumník Tarjei Mandt. Způsob generování náhodných (pseudonáhodných) čísel lze prý předvídat a mechanismus je náchylný k prolomení hrubou silou.

Red Hat chce v linuxové distribuci Fedora 21 změnit bezpečnostní politiku. Operační systém by měl poskytovat konzistentní zabezpečení napříč všemi aplikacemi, které v něm běží, administrátoři dostanou předdefinované profily (které však bude možné dále editovat). Změny politik půjde aktualizovat napříč celým systémem (i automaticky prostřednictvím démona).

Analýza společnosti Trusteer upozorňuje, že cílem útoků jsou stále častěji přehrávače multimédií. Ve firemním prostředí nebývají tyto aplikace obvykle zakazovány, současně je ale IT oddělení nezahrnují do svých aktualizačních politik a kontrol. Pořadí jednotlivých přehrávačů podle počtu (nikoliv závažnosti) reportovaných bezpečnostních zranitelností má být: Apple Quicktime, iTunes, RealPlayer a Adobe Shockwave. Windows Media Player se alsepoň aktualizazuje spolu s jiným softwarem Microsoftu.

Zneužití lze provádět tak, že se uživateli podvrhne speciálně upravený soubor pro příslušný přehrávač, přehrávače mohou být také součástí scénářů při útocích drive-by download.

FireEye vydává studii Advanced Threat Report, která mapuje svět pokročilých hrozeb (APT a další) v roce 2013. Studie je založena na sledování více než než 22 milionů malwarových komunikací mezi klienty a řídicími servery (command and control). Řídicí servery jsou dnes hostovány až ve 206 zemích světa (184 v roce 2012). Většinu řídicích serverů hostovaly USA, Německo, Jižní Korea, Čína, Nizozemsko, Velká Británie a Rusko. Co se týče cílů útoků APT, pořadí zemí bylo následující: USA, Jižní Korea, Kanada, Japonsko, Velká Británie, Německo.

Zdroj: tisková zpráva společnosti FireEye

Cisco rozšiřuje své bezpečnostní portfolio o řešení Cognitive Threat Analytics vzniklé na základě vývoje české společnosti Cognitive Security. Tu Cisco koupilo v lednu loňského roku. Má jít o samoučící se řešení, které analyzuje chování sítě. Jako novou součást portfolia představilo Cisco také řešení Advanced Malware Protection (AMP), které bylo původně vyvinuto společností Sourcefire, kterou Cisco koupilo loni.

Zdroj: tisková zpráva společnosti Cisco

Podle IDC významně roste vliv obchodních manažerů na rozhodování o investicích do IT. Začíná se projevovat trend, kdy řada nových technologických řešení je ve firmě zajišťována, aniž by o tom byli CIO informováni. „Stínové IT“ může sice fungovat jako významný zdroj pro přísun inovativních a efektivních řešení, nicméně na druhou stranu je tím oslabena rozhodující pravomoc IT ředitelů a současně může docházet k porušování bezpečnostních požadavků (regulační rámce, ochrana osobních údajů...). Ředitelé IT zde stojí před trochu podobným problémem jako v případě BYOD. Nový trend na jedné straně má své výhody, současně by se ale IT oddělení měla snažit ho dostat pod kontrolu.

Zdroj: tisková zpráva společnosti IDC

Oracle představil sadu Oracle Mobile Security Suite. Jedná se o reakci na trend BYOD. Platforma umožňuje rozdělit mobilní zařízení na soukromou a firemní část, na rozdíl od konkurence ovšem podle Oraclu primárně nezabezpečuje samotné mobilní zařízení, ale firemní data/aplikace. Řešení nabízí např. omezení přístupu k datům a aplikacím na základě zeměpisné polohy zařízení, umožňuje zakázat kopírování nebo tištění dat, implementovat lze rovněž automatické vzdálené odstraňování citlivých dat či aplikací po dokončení práce s nimi. Podporovány jsou MS Active Directory, jednotné přihlašování (SSO), systémy veřejných klíčů (PKI) a protokol Kerberos.

Zdroj: tisková zpráva Oracle.sk

GFI inovovala svoji službu GFI Cloud, což je administrační nástroj pro správu a zabezpečení klientských zařízení. Řešení nyní nabízí automatizované řízené záplat (patch managementu), které dokáže aktualizovat software Microsoftu a více než 20 výrobců třetích stran včetně Adobe. GFI Cloud podporuje aktualizace 12 loni nejzranitelnějších aplikací, nyní navíc dává správcům k dispozici nové reportovací nástroje.

Zdroj: tisková zpráva společnosti GFI Software

V následujících třech letech očekávají odborníci masivní nástup používání technologie biometrických podpisů, a to nejen v komerčním sektoru, ale i ve státní správě a samosprávě. Unicorn využívá ve svých systémech technologii SignoSoft, kterou vyvinula společnost Pražská softwarová. Toto řešení biometrických podpisů na českém trhu používá např. operátor O2. Řešení SignoSoft má v jádru softwarové komponenty od německé společnosti Softpro a hardware (podepisovací tablety) od japonského Wacomu.

Zdroj: tisková zpráva Unicorn System, Pražská softwarová

Na téma zabezpečení na ITBiz viz také: IBM: americké vládě jsme nepředávali žádná data


Komentáře

Bohumil Kříž #1
Bohumil Kříž 20. březen 2014 14:10

"Red Hat chce v linuxové distribuci Fedora 14 změnit bezpečnostní politiku."
Fedora 14 ???
Vždyť to už je asi 4 roky stará verze, nyní máme Fedoru 20!

pavelhouser #2
pavelhouser 20. březen 2014 22:57

pardon, "fedora 21 planovana jeste ted na rok 2014..."

RSS 

Komentujeme

Skutečně software pohltí svět?

Pavel Houser , 22. duben 2017 14:00
Pavel Houser

Výrok, podle něhož má software pojídat svět, jako první použil (zřejmě) Marc Andreessen v roce 2011 ...

Více





RSS 

Zprávičky

Turecko na internetu zablokovalo přístupu k Wikipedii

ČTK , 29. duben 2017 13:49

Turecko zablokovalo přístup k Wikipedii - volně přístupné encyklopedii na internetu. Podle zahraničn...

Více 0 komentářů

Čtvrtletní zisk Microsoftu dík cloudovým službám vzrostl o 28 pct

ČTK , 29. duben 2017 10:00

Čistý zisk amerického softwarového gigantu Microsoft ve třetím čtvrtletí finančního roku meziročně s...

Více 0 komentářů

Čtvrtletní zisk a tržby majitele Googlu výrazně vzrostly

ČTK , 28. duben 2017 15:00

Čistý zisk americké společnosti Alphabet, která je majitelem internetového gigantu Google, v prvním ...

Více 0 komentářů

Starší zprávičky

Bývalí manažeři Olympusu mají zaplatit miliardy za účetní podvod

ČTK , 28. duben 2017 14:00

Skupina bývalých vedoucích pracovníků japonské společnosti Olympus musí firmě zaplatit odškodné 58,8...

Více 0 komentářů

Soud v Ostravě poslal počítačového hackera na 6,5 roku do vězení

ČTK , 28. duben 2017 10:30

Na 6,5 let poslal dnes Krajský soud v Ostravě do vězení počítačového hackera Lumíra Heriče. Podle ro...

Více 0 komentářů

Digitální transformace a IoT mění české výrobní společnosti

Pavel Houser , 28. duben 2017 09:00

Často více než 10 let staré ERP systémy nebývají s novými technologiemi kompatibilní....

Více 0 komentářů

Jihokorejští výrobci elektroniky Samsung a LG prudce zvýšili zisk

ČTK , 28. duben 2017 07:00

Jihokorejští výrobci elektroniky Samsung Electronics a LG Electronics v letošním prvním čtvrtletí vý...

Více 0 komentářů