Bezpečnostní přehled: Zaměstnanci často nehlásí ztrátu zařízení s citlivými daty

Pavel Houser , 15. březen 2012 09:30 0 komentářů
Bezpečnostní přehled: Zaměstnanci často nehlásí ztrátu zařízení s citlivými daty

Hlavní události uplynulého týdne: Hackerské klání Pwn2Own, Microsoft i další firmy záplatovaly své produkty. Zákulisí akcí proti členům skupin Anonymous a LulzSec. Následuje pravidelný čtvrteční bezpečnostní přehled.

Microsoft vydal v úterý svůj březnový balíček záplat. Opravených zranitelností je 7, aktualizací (a tedy i bulletinů zabezpečení) 6.

Za velmi významnou se považuje chyba v Remote Desktop Protocol, která umožňuje útočníkovi prakticky ve všech verzích Windows získat vzdáleně k počítači práva administrátora. Dle Microsoftu nebyly útoky proti této zranitelnosti zatím zaznamenány. Microsoft dává ovšem této zranitelnosti exploitability index 1, což znamená předpoklad, že funkční exploit se objeví do měsíce a lze doporučit urychlenou instalaci záplaty.

Viz také: Všechny verze Windows obsahují extrémně kritickou chybu ve vzdáleném přístupu

Je třeba dodat, že ve výchozím nastavení Windows není funkce RDP povolena. Problém se ve skutečnosti týká jen zlomku počítačů s Windows (nicméně nejspíš půjde hlavně o počítače ve velkých firmách, tedy jako pro útočníky jako cíl jistě lákavé).

Mezi dalšími záplatami Microsoftu již žádná není označena jako kritická. Výsledkem těchto chyb by nemělo být ovládnutí počítače, ale spíše útoky na dostupnost služby apod.

Zdroj: The Register, HelpNet Security a další

Společnost Apple vydala opravy celkem 83 zranitelností v prohlížeči Safari, kritických jich má být hned 72 (cross-site scripting, porušení paměti, krádež přístupových oprávnění...). Má jít vůbec o rekordní balíček záplat Applu.

Lehce paradoxní v této souvislosti je, že za opravy Safari de facto platí velký nepřítel Applu – Google. Google totiž vyplácí odměny za nalézání děr v prohlížeči Chrome. Chrome a Safari přitom sdílejí společné jádro, open source komponentu WebKit...

Jinak lze chyby v Safari pokládat za významné především kvůli tomu, že iPad a iPhone užívá mnoho lidí i pro pracovní účely, aniž jsou však tato jejich (soukromá) zařízení spravována pomocí firemních IT politik, tj. např. s definovaným procesem instalací záplat. Opravená verze prohlížeče má číslo Safari 5.1.4.

Zdroj: SecurityNewsDaily, HelpNet Security, The Register

Sony je, jak se zdá, od hacknutí sítě PlayStation Network stíhaná jednou ranou za druhou. Útočníkům se tentokrát prý podařilo stáhnout si dosud nepublikovanou tvorbu Michaela Jacksona. Působí to jako skoro bezvýznamná informace, ovšem Sony dědicům za tato práva vyplatila 250 milionů dolarů.

Zdroj: BetaNews

Google Chrome si na hackerské soutěži CanSecWest skupiny Pwn2Own nepodržel neprůstřelnost z minulých let. Hned první den akce se prohlížeč na Windows 7 podařilo kompromitovat týmu francouzské bezpečnostní firmy Vupen.

Viz také: Chrome první obětí Pwn2Own

Chrome prý zradil plug-in pro Adobe Flash

Následně podlehl také Internet Explorer 9, kdy úspěch opět slavila firma Vupen. Zde se podařilo ukázat na zranitelnosti v podobě přetečení haldy a porušení paměti, čímž se útočný kód dokázal dostat i ze sandboxu/obejít ASLR. Výzkumníci z Vupenu uvedli, že zneužití pomocí přetečení haldy je nicméně poměrně obtížné, pracovalo se na tom 7 týdnů (ale zase může být pro útočníky tento postup výhodný v tom, že se přitom obejde DEP a ASLR; jinak je třeba kombinovat tři zranitelnosti – v DEP, ASLR a sandboxu). K ovládnutí počítače a vzdálenému spuštění kódu pak stačí, aby uživatel navštívil podvodný web, nemusí dále už na nic klikat ani nic potvrzovat.

Zdroj: SecurityNewsDaily

Chrome jako reakci na kompromitaci svého prohlížeče již vydal několik oprav. Kromě Vupenu dokázal v Chrome najít bezpečnostní zranitelnosti i Sergej Glazunov (přesněji řečeno, k tomu došlo na Pwnium, což byla Googlem sponzorovaná akce víceméně konkurenční k Pwn2Own, byť se také uskutečnila v rámci CanSecWest). Glazunov získal 60 000 dolarů, Google celkem do cenového fondu vložil 1 milion dolarů.

Zdroj: The Register

Za nedávnými zatčeními členů skupiny Anonymous stál údajně SABU (přezdívka), dříve snad šéf skupiny LulzSec, který sám by odhalen loni v létě. Sabu je prý vlastním jménem Hector Xavier Monsegur, je mu 28 let, žije v New Yorku (nezaměstnaný, přistěhovalec z Portorika) a vystopovat se ho podařilo po školácké chybě, když se přihlásil k chatu bez použití anonymizační služby – mimochodem i v tomto případě ale ještě bylo prý potřeba nějakých dalších informátorů. Než by Monsegur šel do vězení, raději se stal informátorem FBI. Brzy se v tomto smyslu objevila podezření, ale většina příznivců LulzSec i Anonymous dotyčnému nadále důvěřovala. Monsegur, vyžívající se v antikapitalistické rétorice a marxistických citátech, se ovšem nevyhýbal ani běžné nepolitické internetové kriminalitě, když nakupoval pomocí kradených kreditních karet nebo prodával kompromitované bankovní účty. Otázkou samozřejmě je, jak pravdivý je výše uvedený scénář, to však těžko zjistíme...

Zdroj: The Register

Za většinu úniků dat mohou vlastní zaměstnanci, a to jak jejich chyby, tak i úmyslné jednání. Hlavním rizikem je v současnosti ztráta mobilních zařízení (notebooky, klíčenky...). Velký problém je, že firmy na narušení nedokáží včas reagovat, protože zaměstnanci jim příslušné incidenty neohlašují. Většinou se na ně přijde náhodně.

Zdroj: Ponemon Institute

Intel představil novou rodinu procesorů Xeon E5–2600. Jako jedna z předností je prezentována bezpečnost na úrovni hardwaru: „Intel Advanced Encryption Standard New Intstruction pomáhá systémům rychle šifrovat a dešifrovat data provozovaná na široké škále aplikací a transakcí.“

Zdroj: Tisková zpráva společnosti Intel

Pravidelným měsíčním statistikám malwaru, které připravuje výzkumný tým společnosti Eset, i nadále vládne škodlivý kód HTML/ScrInject.B. Jde o webové stránky obsahující poškozený skript nebo IFrame, který automaticky stahuje škodlivý kód. Do první desítky nejrozšířenějšího malwaru se dostala i zcela nová hrozba – HTML/Fraud.BG. Zdroj: Tisková zpráva společnosti Eset

Kaspersky Lab opakuje tvrzení, že DuQu pochází od stejných autorů jako červ Stuxnet. V jeho kódu byl podle firmy nyní objeven i neznámý programovací jazyk. Většina kódu byla zkompilována v Microsoft Visual C++ 2008. Součástí trojského koně je ale také komponenta Payload.dll, v níž je obsažen kód neznámého původu. Payload.dll slouží ke komunikaci DuQu s jeho řídicími (C&C) servery.

Zdroj: Tisková zpráva společnosti Kaspersky Lab

Trend Micro nabízí Deep Discovery, třetí generaci řešení pro správu hrozeb. Je prezentováno jako nástroj, který by měl firmám pomoci před pokročilými hrozbami (APT) a cílenými útoky. Sleduje fungování celé sítě, nikoliv pouze události na perimetru. Deep Discovery je tedy určen především pro velké firmy a vládní organizace. Zdroj: Tisková zpráva společnosti Trend Micro

GFI uvádí Web Monitor 2012. Jedná se o webový štít, jehož uživateli mají podle dodavatele být malé a střední firmy. Kromě zabezpečení funguje i jako nástroj, který umožňuje řídit používání Internetu ve firmě, např. sledovat jeho vliv na produktivitu práce. Zdroj: Tisková zpráva společnosti GFI


Komentáře

RSS 

Komentujeme

AI i její tvůrci před soudem

Pavel Houser , 22. duben 2018 09:30
Pavel Houser

John Kingston z anglické University of Brighton poskytl pro The Register svůj pohled na právní odpov...

Více







RSS 

Zprávičky

Čínská služba pro streamování hudby Tencent míří na burzu

ČTK , 23. duben 2018 11:19

Spotify byla nedávno ohodnocena na 30 miliard dolarů. 25 miliard očekávaných u Tencentu je také obro...

Více 0 komentářů

Obchod s kryptoměnami se stěhuje mimo burzy

ČTK , 23. duben 2018 09:00

Objem obchodování s kryptoměnami je oproti konci roku poloviční....

Více 0 komentářů

Čtvrtina Čechů vyzkoušela služby sdílené ekonomiky

ČTK , 23. duben 2018 08:00

Více než polovina lidí zná služby Zonky (74 procent) a Uber (62 procent)....

Více 0 komentářů

Starší zprávičky

Před 25 lety byl zpřístupněn webový prohlížeč Mosaic

ČTK , 21. duben 2018 15:22

Mosaic se zrodil v průběhu roku 1992 v hlavě Marca Andreessena a jeho kolegy Erica Biny....

Více 0 komentářů

Těžba bitcoinů při kurzu pod 8 600 dolarů je ztrátová

ČTK , 20. duben 2018 11:21

Analytici se domnívají, že poptávka po hardwaru pro těžbu bitcoinů dál klesne, stejně jako cena kryp...

Více 1 komentářů

Netflixu prudce stoupají příjmy i počet odběratelů

ČTK , 20. duben 2018 09:36

Čistý zisk ve čtvrtletí stoupl na 290,1 milionu dolarů, neboli 64 centů na akcii....

Více 0 komentářů

Zájem o přijímače s digitálním rádiem je minimální

ČTK , 20. duben 2018 08:00

Český rozhlas na konci loňského roku rozšířil pokrytí digitálním signálem na 40 % populace....

Více 3 komentářů