Bezpečnostní přehled: Zaměstnanci často nehlásí ztrátu zařízení s citlivými daty

Pavel Houser , 15. březen 2012 09:30 0 komentářů
Bezpečnostní přehled: Zaměstnanci často nehlásí ztrátu zařízení s citlivými daty

Hlavní události uplynulého týdne: Hackerské klání Pwn2Own, Microsoft i další firmy záplatovaly své produkty. Zákulisí akcí proti členům skupin Anonymous a LulzSec. Následuje pravidelný čtvrteční bezpečnostní přehled.

Microsoft vydal v úterý svůj březnový balíček záplat. Opravených zranitelností je 7, aktualizací (a tedy i bulletinů zabezpečení) 6.

Za velmi významnou se považuje chyba v Remote Desktop Protocol, která umožňuje útočníkovi prakticky ve všech verzích Windows získat vzdáleně k počítači práva administrátora. Dle Microsoftu nebyly útoky proti této zranitelnosti zatím zaznamenány. Microsoft dává ovšem této zranitelnosti exploitability index 1, což znamená předpoklad, že funkční exploit se objeví do měsíce a lze doporučit urychlenou instalaci záplaty.

Viz také: Všechny verze Windows obsahují extrémně kritickou chybu ve vzdáleném přístupu

Je třeba dodat, že ve výchozím nastavení Windows není funkce RDP povolena. Problém se ve skutečnosti týká jen zlomku počítačů s Windows (nicméně nejspíš půjde hlavně o počítače ve velkých firmách, tedy jako pro útočníky jako cíl jistě lákavé).

Mezi dalšími záplatami Microsoftu již žádná není označena jako kritická. Výsledkem těchto chyb by nemělo být ovládnutí počítače, ale spíše útoky na dostupnost služby apod.

Zdroj: The Register, HelpNet Security a další

Společnost Apple vydala opravy celkem 83 zranitelností v prohlížeči Safari, kritických jich má být hned 72 (cross-site scripting, porušení paměti, krádež přístupových oprávnění...). Má jít vůbec o rekordní balíček záplat Applu.

Lehce paradoxní v této souvislosti je, že za opravy Safari de facto platí velký nepřítel Applu – Google. Google totiž vyplácí odměny za nalézání děr v prohlížeči Chrome. Chrome a Safari přitom sdílejí společné jádro, open source komponentu WebKit...

Jinak lze chyby v Safari pokládat za významné především kvůli tomu, že iPad a iPhone užívá mnoho lidí i pro pracovní účely, aniž jsou však tato jejich (soukromá) zařízení spravována pomocí firemních IT politik, tj. např. s definovaným procesem instalací záplat. Opravená verze prohlížeče má číslo Safari 5.1.4.

Zdroj: SecurityNewsDaily, HelpNet Security, The Register

Sony je, jak se zdá, od hacknutí sítě PlayStation Network stíhaná jednou ranou za druhou. Útočníkům se tentokrát prý podařilo stáhnout si dosud nepublikovanou tvorbu Michaela Jacksona. Působí to jako skoro bezvýznamná informace, ovšem Sony dědicům za tato práva vyplatila 250 milionů dolarů.

Zdroj: BetaNews

Google Chrome si na hackerské soutěži CanSecWest skupiny Pwn2Own nepodržel neprůstřelnost z minulých let. Hned první den akce se prohlížeč na Windows 7 podařilo kompromitovat týmu francouzské bezpečnostní firmy Vupen.

Viz také: Chrome první obětí Pwn2Own

Chrome prý zradil plug-in pro Adobe Flash

Následně podlehl také Internet Explorer 9, kdy úspěch opět slavila firma Vupen. Zde se podařilo ukázat na zranitelnosti v podobě přetečení haldy a porušení paměti, čímž se útočný kód dokázal dostat i ze sandboxu/obejít ASLR. Výzkumníci z Vupenu uvedli, že zneužití pomocí přetečení haldy je nicméně poměrně obtížné, pracovalo se na tom 7 týdnů (ale zase může být pro útočníky tento postup výhodný v tom, že se přitom obejde DEP a ASLR; jinak je třeba kombinovat tři zranitelnosti – v DEP, ASLR a sandboxu). K ovládnutí počítače a vzdálenému spuštění kódu pak stačí, aby uživatel navštívil podvodný web, nemusí dále už na nic klikat ani nic potvrzovat.

Zdroj: SecurityNewsDaily

Chrome jako reakci na kompromitaci svého prohlížeče již vydal několik oprav. Kromě Vupenu dokázal v Chrome najít bezpečnostní zranitelnosti i Sergej Glazunov (přesněji řečeno, k tomu došlo na Pwnium, což byla Googlem sponzorovaná akce víceméně konkurenční k Pwn2Own, byť se také uskutečnila v rámci CanSecWest). Glazunov získal 60 000 dolarů, Google celkem do cenového fondu vložil 1 milion dolarů.

Zdroj: The Register

Za nedávnými zatčeními členů skupiny Anonymous stál údajně SABU (přezdívka), dříve snad šéf skupiny LulzSec, který sám by odhalen loni v létě. Sabu je prý vlastním jménem Hector Xavier Monsegur, je mu 28 let, žije v New Yorku (nezaměstnaný, přistěhovalec z Portorika) a vystopovat se ho podařilo po školácké chybě, když se přihlásil k chatu bez použití anonymizační služby – mimochodem i v tomto případě ale ještě bylo prý potřeba nějakých dalších informátorů. Než by Monsegur šel do vězení, raději se stal informátorem FBI. Brzy se v tomto smyslu objevila podezření, ale většina příznivců LulzSec i Anonymous dotyčnému nadále důvěřovala. Monsegur, vyžívající se v antikapitalistické rétorice a marxistických citátech, se ovšem nevyhýbal ani běžné nepolitické internetové kriminalitě, když nakupoval pomocí kradených kreditních karet nebo prodával kompromitované bankovní účty. Otázkou samozřejmě je, jak pravdivý je výše uvedený scénář, to však těžko zjistíme...

Zdroj: The Register

Za většinu úniků dat mohou vlastní zaměstnanci, a to jak jejich chyby, tak i úmyslné jednání. Hlavním rizikem je v současnosti ztráta mobilních zařízení (notebooky, klíčenky...). Velký problém je, že firmy na narušení nedokáží včas reagovat, protože zaměstnanci jim příslušné incidenty neohlašují. Většinou se na ně přijde náhodně.

Zdroj: Ponemon Institute

Intel představil novou rodinu procesorů Xeon E5–2600. Jako jedna z předností je prezentována bezpečnost na úrovni hardwaru: „Intel Advanced Encryption Standard New Intstruction pomáhá systémům rychle šifrovat a dešifrovat data provozovaná na široké škále aplikací a transakcí.“

Zdroj: Tisková zpráva společnosti Intel

Pravidelným měsíčním statistikám malwaru, které připravuje výzkumný tým společnosti Eset, i nadále vládne škodlivý kód HTML/ScrInject.B. Jde o webové stránky obsahující poškozený skript nebo IFrame, který automaticky stahuje škodlivý kód. Do první desítky nejrozšířenějšího malwaru se dostala i zcela nová hrozba – HTML/Fraud.BG. Zdroj: Tisková zpráva společnosti Eset

Kaspersky Lab opakuje tvrzení, že DuQu pochází od stejných autorů jako červ Stuxnet. V jeho kódu byl podle firmy nyní objeven i neznámý programovací jazyk. Většina kódu byla zkompilována v Microsoft Visual C++ 2008. Součástí trojského koně je ale také komponenta Payload.dll, v níž je obsažen kód neznámého původu. Payload.dll slouží ke komunikaci DuQu s jeho řídicími (C&C) servery.

Zdroj: Tisková zpráva společnosti Kaspersky Lab

Trend Micro nabízí Deep Discovery, třetí generaci řešení pro správu hrozeb. Je prezentováno jako nástroj, který by měl firmám pomoci před pokročilými hrozbami (APT) a cílenými útoky. Sleduje fungování celé sítě, nikoliv pouze události na perimetru. Deep Discovery je tedy určen především pro velké firmy a vládní organizace. Zdroj: Tisková zpráva společnosti Trend Micro

GFI uvádí Web Monitor 2012. Jedná se o webový štít, jehož uživateli mají podle dodavatele být malé a střední firmy. Kromě zabezpečení funguje i jako nástroj, který umožňuje řídit používání Internetu ve firmě, např. sledovat jeho vliv na produktivitu práce. Zdroj: Tisková zpráva společnosti GFI


Komentáře

RSS 

Komentujeme

Jak probíhá adopce cloudu

Pavel Houser , 16. únor 2018 09:45
Pavel Houser

Cloud už neznamená jen SaaS, jenže… K dispozici je řada analýz i prognóz, které dokládají, jak se po...

Více








RSS 

Zprávičky

Piezoelektrický jev u jednotlivých molekul umožní nanogenerátory elektrické energie

Pavel Houser , 18. únor 2018 08:00

Piezoelektrický jev odpovídá za vznik elektrického napětí v závislosti na vnějším mechanickém namáhá...

Více 0 komentářů

Také USA obvinily Rusko, že má na svědomí velký loňský kyberútok

ČTK , 17. únor 2018 08:00

Po Británii i Spojené státy obvinily ruskou vládu, že stojí za vlnou kybernetických útoků, která lon...

Více 2 komentářů

Lékařům nebudou letos hrozit pokuty za předpis papírového receptu

ČTK , 16. únor 2018 10:00

"Chceme mít rok na odladění systému a jeho vylepšení," řekl ministr zdravotnictví Adam Vojtěch....

Více 0 komentářů

Starší zprávičky

Jourová: Facebook a Twitter musejí v ochraně spotřebitelů přidat

ČTK , 16. únor 2018 09:00

Nedostatky prý neodstranil zejména Twitter, naopak změny Google+ se zdají být v souladu s unijními p...

Více 0 komentářů

Senátoři se postavili proti nadměrným sankcím kvůli GDPR

ČTK , 16. únor 2018 08:00

Pokuty musí být vždy přiměřené s tím, že dolní sazba pokuty přitom zcela jistě bude nulová," uvedl m...

Více 0 komentářů

Uber v uplynulém roce prohloubil ztrátu na 4,5 miliardy dolarů

ČTK , 15. únor 2018 11:02

Podnik současně získal více než 14 miliard dolarů z nových investic. ...

Více 0 komentářů

Vláda bude u Ústavního soudu hájit zákony o sběru dat na sítích

ČTK , 15. únor 2018 09:00

Má sběr dat o tom, komu lidé volají a kdy se připojují na internet, výrazný vliv na objasňování krim...

Více 2 komentářů