margin-top: 125px; border: 1px solid gray; } -->

Bezpečnostní přehled: Zaměstnanci často nehlásí ztrátu zařízení s citlivými daty

Pavel Houser , 15. březen 2012 09:30 0 komentářů
Bezpečnostní přehled: Zaměstnanci často nehlásí ztrátu zařízení s citlivými daty

Hlavní události uplynulého týdne: Hackerské klání Pwn2Own, Microsoft i další firmy záplatovaly své produkty. Zákulisí akcí proti členům skupin Anonymous a LulzSec. Následuje pravidelný čtvrteční bezpečnostní přehled.

Microsoft vydal v úterý svůj březnový balíček záplat. Opravených zranitelností je 7, aktualizací (a tedy i bulletinů zabezpečení) 6.

Za velmi významnou se považuje chyba v Remote Desktop Protocol, která umožňuje útočníkovi prakticky ve všech verzích Windows získat vzdáleně k počítači práva administrátora. Dle Microsoftu nebyly útoky proti této zranitelnosti zatím zaznamenány. Microsoft dává ovšem této zranitelnosti exploitability index 1, což znamená předpoklad, že funkční exploit se objeví do měsíce a lze doporučit urychlenou instalaci záplaty.

Viz také: Všechny verze Windows obsahují extrémně kritickou chybu ve vzdáleném přístupu

Je třeba dodat, že ve výchozím nastavení Windows není funkce RDP povolena. Problém se ve skutečnosti týká jen zlomku počítačů s Windows (nicméně nejspíš půjde hlavně o počítače ve velkých firmách, tedy jako pro útočníky jako cíl jistě lákavé).

Mezi dalšími záplatami Microsoftu již žádná není označena jako kritická. Výsledkem těchto chyb by nemělo být ovládnutí počítače, ale spíše útoky na dostupnost služby apod.

Zdroj: The Register, HelpNet Security a další

Společnost Apple vydala opravy celkem 83 zranitelností v prohlížeči Safari, kritických jich má být hned 72 (cross-site scripting, porušení paměti, krádež přístupových oprávnění...). Má jít vůbec o rekordní balíček záplat Applu.

Lehce paradoxní v této souvislosti je, že za opravy Safari de facto platí velký nepřítel Applu – Google. Google totiž vyplácí odměny za nalézání děr v prohlížeči Chrome. Chrome a Safari přitom sdílejí společné jádro, open source komponentu WebKit...

Jinak lze chyby v Safari pokládat za významné především kvůli tomu, že iPad a iPhone užívá mnoho lidí i pro pracovní účely, aniž jsou však tato jejich (soukromá) zařízení spravována pomocí firemních IT politik, tj. např. s definovaným procesem instalací záplat. Opravená verze prohlížeče má číslo Safari 5.1.4.

Zdroj: SecurityNewsDaily, HelpNet Security, The Register

Sony je, jak se zdá, od hacknutí sítě PlayStation Network stíhaná jednou ranou za druhou. Útočníkům se tentokrát prý podařilo stáhnout si dosud nepublikovanou tvorbu Michaela Jacksona. Působí to jako skoro bezvýznamná informace, ovšem Sony dědicům za tato práva vyplatila 250 milionů dolarů.

Zdroj: BetaNews

Google Chrome si na hackerské soutěži CanSecWest skupiny Pwn2Own nepodržel neprůstřelnost z minulých let. Hned první den akce se prohlížeč na Windows 7 podařilo kompromitovat týmu francouzské bezpečnostní firmy Vupen.

Viz také: Chrome první obětí Pwn2Own

Chrome prý zradil plug-in pro Adobe Flash

Následně podlehl také Internet Explorer 9, kdy úspěch opět slavila firma Vupen. Zde se podařilo ukázat na zranitelnosti v podobě přetečení haldy a porušení paměti, čímž se útočný kód dokázal dostat i ze sandboxu/obejít ASLR. Výzkumníci z Vupenu uvedli, že zneužití pomocí přetečení haldy je nicméně poměrně obtížné, pracovalo se na tom 7 týdnů (ale zase může být pro útočníky tento postup výhodný v tom, že se přitom obejde DEP a ASLR; jinak je třeba kombinovat tři zranitelnosti – v DEP, ASLR a sandboxu). K ovládnutí počítače a vzdálenému spuštění kódu pak stačí, aby uživatel navštívil podvodný web, nemusí dále už na nic klikat ani nic potvrzovat.

Zdroj: SecurityNewsDaily

Chrome jako reakci na kompromitaci svého prohlížeče již vydal několik oprav. Kromě Vupenu dokázal v Chrome najít bezpečnostní zranitelnosti i Sergej Glazunov (přesněji řečeno, k tomu došlo na Pwnium, což byla Googlem sponzorovaná akce víceméně konkurenční k Pwn2Own, byť se také uskutečnila v rámci CanSecWest). Glazunov získal 60 000 dolarů, Google celkem do cenového fondu vložil 1 milion dolarů.

Zdroj: The Register

Za nedávnými zatčeními členů skupiny Anonymous stál údajně SABU (přezdívka), dříve snad šéf skupiny LulzSec, který sám by odhalen loni v létě. Sabu je prý vlastním jménem Hector Xavier Monsegur, je mu 28 let, žije v New Yorku (nezaměstnaný, přistěhovalec z Portorika) a vystopovat se ho podařilo po školácké chybě, když se přihlásil k chatu bez použití anonymizační služby – mimochodem i v tomto případě ale ještě bylo prý potřeba nějakých dalších informátorů. Než by Monsegur šel do vězení, raději se stal informátorem FBI. Brzy se v tomto smyslu objevila podezření, ale většina příznivců LulzSec i Anonymous dotyčnému nadále důvěřovala. Monsegur, vyžívající se v antikapitalistické rétorice a marxistických citátech, se ovšem nevyhýbal ani běžné nepolitické internetové kriminalitě, když nakupoval pomocí kradených kreditních karet nebo prodával kompromitované bankovní účty. Otázkou samozřejmě je, jak pravdivý je výše uvedený scénář, to však těžko zjistíme...

Zdroj: The Register

Za většinu úniků dat mohou vlastní zaměstnanci, a to jak jejich chyby, tak i úmyslné jednání. Hlavním rizikem je v současnosti ztráta mobilních zařízení (notebooky, klíčenky...). Velký problém je, že firmy na narušení nedokáží včas reagovat, protože zaměstnanci jim příslušné incidenty neohlašují. Většinou se na ně přijde náhodně.

Zdroj: Ponemon Institute

Intel představil novou rodinu procesorů Xeon E5–2600. Jako jedna z předností je prezentována bezpečnost na úrovni hardwaru: „Intel Advanced Encryption Standard New Intstruction pomáhá systémům rychle šifrovat a dešifrovat data provozovaná na široké škále aplikací a transakcí.“

Zdroj: Tisková zpráva společnosti Intel

Pravidelným měsíčním statistikám malwaru, které připravuje výzkumný tým společnosti Eset, i nadále vládne škodlivý kód HTML/ScrInject.B. Jde o webové stránky obsahující poškozený skript nebo IFrame, který automaticky stahuje škodlivý kód. Do první desítky nejrozšířenějšího malwaru se dostala i zcela nová hrozba – HTML/Fraud.BG. Zdroj: Tisková zpráva společnosti Eset

Kaspersky Lab opakuje tvrzení, že DuQu pochází od stejných autorů jako červ Stuxnet. V jeho kódu byl podle firmy nyní objeven i neznámý programovací jazyk. Většina kódu byla zkompilována v Microsoft Visual C++ 2008. Součástí trojského koně je ale také komponenta Payload.dll, v níž je obsažen kód neznámého původu. Payload.dll slouží ke komunikaci DuQu s jeho řídicími (C&C) servery.

Zdroj: Tisková zpráva společnosti Kaspersky Lab

Trend Micro nabízí Deep Discovery, třetí generaci řešení pro správu hrozeb. Je prezentováno jako nástroj, který by měl firmám pomoci před pokročilými hrozbami (APT) a cílenými útoky. Sleduje fungování celé sítě, nikoliv pouze události na perimetru. Deep Discovery je tedy určen především pro velké firmy a vládní organizace. Zdroj: Tisková zpráva společnosti Trend Micro

GFI uvádí Web Monitor 2012. Jedná se o webový štít, jehož uživateli mají podle dodavatele být malé a střední firmy. Kromě zabezpečení funguje i jako nástroj, který umožňuje řídit používání Internetu ve firmě, např. sledovat jeho vliv na produktivitu práce. Zdroj: Tisková zpráva společnosti GFI


Komentáře

RSS 

Komentujeme

Bezpečnost IT a tygří logika

Pavel Houser , 14. únor 2017 11:00
Pavel Houser

Jak praví známý vtip, běží-li za vámi tygr, netřeba se pohybovat rychleji než šelma – stačí předběhn...

Více






Kalendář

22. 02. IT mezi paragrafy
20. 03.

24. 03.
CeBIT 2017
25. 03. INSPO 2017
RSS 

Zprávičky

OBSE nezjistila, kdo loni napadl její servery

ČTK , 20. únor 2017 07:00

Organizace pro bezpečnost a spolupráci v Evropě (OBSE) nedokáže identifikovat strůjce loňských hacke...

Více 0 komentářů

Majitel Snapchatu jde na burzu s nižší hodnotou, než se čekalo

ČTK , 18. únor 2017 09:00

Americká společnost Snap, která provozuje populární mobilní aplikaci Snapchat pro sdílení fotografií...

Více 0 komentářů

Rozšířená realita pro marketing a výdaje na bezpečnost IT kvůli požadavkům EU

Pavel Houser , 18. únor 2017 08:35

Co vlastně obnáší pojem "digitální transformace podniků"? A co z toho vyplývá dle prognóz IDC?...

Více 0 komentářů

Starší zprávičky

Do roku 2020 vznikne v ČR 1200 stanic pro elektromobily

ČTK , 17. únor 2017 09:00

Do roku 2020 by mělo v Česku vzniknout celkem 1200 napájecích stanic pro elektromobily. Po setkání s...

Více 1 komentářů

ČTÚ: Zákaz individuálních cen volání zakonzervuje odvětví

ČTK , 17. únor 2017 07:00

Zákaz individuálních cen volání pro spotřebitele, který obsahuje návrh novely telekomunikačního záko...

Více 0 komentářů

Ústečan platil falešnými eury, objednal si je na internetu

ČTK , 16. únor 2017 16:30

Případ padělaných bankovek nakoupených přes internet objasnili kriminalisté v Ústeckém kraji. Falešn...

Více 3 komentářů

Buffetova investiční firma prudce zvýšila svůj podíl v Applu

ČTK , 16. únor 2017 14:00

Investiční společnost Berkshire Hathaway amerického miliardáře Warrena Buffetta v posledním čtvrtlet...

Více 0 komentářů