Bezpečnostní přehled: Zaostřeno na Čínu

Pavel Houser , 25. říjen 2012 08:00 0 komentářů
Rubriky: Security, Internet
Bezpečnostní přehled: Zaostřeno na Čínu

Trochu podrobněji o kybernetické kriminalitě v Číně a jednom gigantickém zásahu. Lze někoho zabít hacknutím kardiostimulátoru? Velkým nepřítelem bezpečnosti ve firmách je přílišná složitost jejich IT prostředí. Následuje pravidelný čtvrteční bezpečnostní přehled.

Střední a velké firmy bývají hacknuty nejčastěji kvůli přílišné složitosti jejich sítě, alespoň to tvrdí průzkum společnosti AlgoSec. Podniková IT infrastruktura má obvykle podobu prostředí od mnoha dodavatelů, automatizace řízení je pouze částečná. Respondenti uvádějí, že za potřebnou pokládají především konsolidaci systémů. S každou další přidanou vrstvou má složitost řešení jako celku růst exponenciálně. Více než polovina z firem zúčastněných v průzkumu má síť postavenou na řešeních minimálně 4 různých dodavatelů. To pak mj. klade i velké nároky na odborné znalosti správců.

Zdroj: HelpNet Security

8 % z asi 13 500 testovaných legitimních aplikací pro Android dostupných na Google Play má údajně špatně implementováno SSL/TLS. K tomuto závěru došli výzkumníci z německých univerzit pomocí svého nástroje MalloDroid, který analyzuje kód z hlediska náchylnosti k útokům man-in-the-middle. V důsledku pak lze u řady aplikací odchytávat cestou hesla a další citlivé údaje.

Zdroj: HelpNet Security

Čínská policie údajně rozbila asi 700 gangů internetových zločinců a zatkla až 9 000 viníků (či podezřelých). Buď jak buď, rozsah podvodů tohoto typu v Číně je značný a čínská vláda čelí kritice, že tuto činnost, pokud míří proti zahraničním subjektům, toleruje (ne-li místy přímo podporuje). Zajímavé je, že mezi službami, které obvinění poskytovali, figuruje i jakýsi PR servis. V tomto případě se firmám nabízí, že se různými metodami odstraní jakákoliv negativní publicita, včetně komentářů uživatelů apod. Nabídka firmám byla ovšem rovnou spojená i s vydíráním – kdo nechtěl zaplatit, hrozilo se mu, že naopak se o něm negativně bude psát všude. (V této souvislosti stojí za pozornost, že v největším čínském vyhledávači Baidu nedávno propustil 4 zaměstnance, kteří právě přijímali úplatky za úpravy databáze vyhledávače i obsahu dalších webů spadajících pod Baidu práěv s ohledem na reputaci firem.)

Faktem je, že šlo nejspíš o akci proti zločincům působícím uvnitř Číny, zčásti i akci propagandistickou. Čína si podobné události také bere za záminku pro odstraňování obsahu souvisejícího s kriminalitou, což je však částečně eufemismus pro zpřísnění cenzury. Avenku do toho těžko vidět.

Jiné zdroje interpretují zásah zase především jako akci proti nelegálnímu obchodování se zbraněmi na fóru Beifanglianmeng, které mělo až 80 000 registrovaných uživatelů.

Zdroj: The Register, ZDNet a další

Výzkumník Barnaby Jack, který již demonstroval několik zranitelností tělních implantátů (zejména inzulínové pumpy) i bankomatů, nyní přichází s dalším tvrzením tohoto druhu. Zranitelné bezdrátovými útoky jsou podle něj také „srdeční strojky“ – kardiostimulátory a defibrilátory. Podle Barnabyho by škodlivé kódy mohly dnes už dokázat přeskakovat od zařízení k zařízení, zabít pacienta vyvoláním elektrického impulzu (830 voltů), a dokonce toto provést v předdefinovaný okamžik (třeba u všech lidí s infikovaným implantátem najednou apod.). Hack nebyl prý ovšem rozhodně nijak snadný. Výrobci by podle Barnabyho měli komunikaci mezi zařízením a vysílačem lépe šifrovat a nastavit lepší autorizaci, aby implantát nemohl reagovat na pokyny vysílané útočníkem.

Zdroj: The Register

Společnost Kaspersky Lab začala vyvíjet vlastní operační systém, který má být navržen právě se zřetelem boje proti malwaru. Nový OS bude určen nikoliv pro klasické počítače, ale pro průmyslové řídicí systémy (industrial control systems, ICS). Jeho základem by byl zřejmě jakýsi whitelist – nepůjde spouštět žádné kódy třetích stran, kromě aplikací podepsaných dodavatelem. Žádný konkrétnější časový harmonogram vývoje OS ale publikován nebyl.

Zdroj: CNet

IBM uvádí bezpečnostní řešení určené speciálně pro systém Hadoop: InfoSphere Guardium v9 for Hadoop. Technologii Guardium získala IBM spolu se stejnojmennou firmou akvizicí v roce 2009. Systém má zajišťovat monitoring zranitelností v reálném čase pro prostředí strukturovaných i nestrukturovaných databází, dále reportingový nástroj zajišťující shodu s předpisy.

Zdroj: The Register

Za bezpečnostní zranitelnosti objevené ve svém systému začal výzkumníkům platit i PayPal. Michael Barrett z PayPal uvedl, že podobný přístup by podle jeho názoru měly zvolit všichni poskytovatelé cloudových služeb. Výzkumníci z izraelské firmy Avnet, kteří PayPalu reportovali poslední díry, byli úspěšní i při odhalování chyb v systémech Googlu. Vyjádřili pochybnosti o přístupu, jaký v oblasti zabezpečení uplatňuje Apple App Store a Amazon.

Zdroj: ZDNet

Již pět měsíců je celosvětově nejrozšířenější hrozbou škodlivý kód INF/Autorun – v září představovala míra jeho infekce 4,87 %. V evropském žebříčku se umístil INF/Autorun s podílem 3,53 % na třetím místě. Pravidelné statistiky počítačových hrozeb Eset Live Grid zařadily na druhou pozici ve světě hrozbu HTML/SCrInject.B, která v Evropě vede s 5,20 %. Malware HTML/Iframe.B obsadil třetí příčku globálně s podílem 3,62 %, v Evropě skončil druhý s mírou infekce 3,76 %.

Zdroj: tisková zpráva společnosti Eset

Podle studie AVG (Digitální kostlivci ve skříni) třetina českých respondentů přiznává, že nikdy neupravovala svůj profil na Facebooku nebo neodstranila obsah, který by mohl škodit při budování pracovní kariéry. 30 % českých uživatelů, kteří se přátelí se svými kolegy z práce, nemá nastaveno omezení, co mohou a nemohou jejich současní kolegové na sociální síti vidět.

Zdroj: tisková zpráva společnosti AVG

Fortinet uvádí na trh FortiOS 5.0. Kromě nového operačního systému pro zařízení FortiGate oznámil Fortinet také aplikace FortiManager 5.0, FortiAnalyzer 5.0 a FortiClient 5.0, které podle dodavatele řeší potřebu organizací řídit a analyzovat čím dál sofistikovanější síťovou infrastrukturu stejně jako koncová zařízení (trend BYOD atd.).

Zdroj: tisková zpráva společnosti Fortinet

Společnost GFI Software oznámila uvedení nové verze svých antivirových produktů, Vipre Antivirus 2013 a Vipre Internet Security 2013. Novinky zahrnují např. Vipre Easy Update, nástroj pro automatické zjišťování a aktualizování zastaralého softwaru. Vylepšené byly technologie proti rootkitům, které zjišťují a eliminují škodlivé skryté procesy.

Zdroj: tisková zpráva společnosti GFI

Společnost České Radiokomunikace zavedla novou řadu doplňkových bezpečnostních služeb pro své zákazníky. Smart Cloud Security dokáže garantovat soulad s bezpečnostními standardy. Systém mj. zpracovává data o událostech, výstrahách a bezpečnostních incidentech, provádí jejich analýzu a generuje příslušné reporty.

Zdroj: tisková zpráva společnosti České radiokomunikace


Komentáře

RSS 

Komentujeme

Další na řadě je bezpečnost

Richard Jan Voigts , 09. říjen 2017 00:00
Richard Jan Voigts

Co všechno lze automatizovat pomocí strojového učení? Larry Ellison, technologický ředitel společnos...

Více







RSS 

Zprávičky

Seznam loni zvýšil čistý zisk o 9 % na 1,1 miliardy Kč

ČTK , 18. říjen 2017 10:00

Největší podíl na tržbách měly příjmy z reklamy ve vyhledávání, tedy z reklamního systému Sklik. ...

Více 0 komentářů

Dopravní podnik spustil v 6 stanicích metra wi-fi připojení k internetu

ČTK , 18. říjen 2017 08:00

Ve stanicích je rozmístěno 75 vysílačů a dodavatelská firma musela vybudovat veškerou infrastrukturu...

Více 0 komentářů

Digitální kancelář

Intexx, 18. říjen 2017 08:00

Ať už na intranetu, extranetu nebo na sociální platformě – vytvořte si s Intrexxem snadno a na míru ...

Více

Starší zprávičky

Microsoft uvolnil Fall Creators Update Windows 10

Pavel Houser , 17. říjen 2017 19:02

Smíšená realita, komfort pro e-knihy, ochrana před ransonmwarem a efektivnější propojení PC se smart...

Více 0 komentářů

Vůz bez řidiče Link & Go jezdil v Plzni, ve středu se chystá do Prahy

ČTK , 17. říjen 2017 17:49

Vůz Link & Go je pro inženýry vzor, který už je odzkoušený a funguje jako prototyp....

Více 0 komentářů

Závažná chyba v protokolu WPA2 (aktualizace)

Pavel Houser , ČTK , 17. říjen 2017 16:25

Odborníci z univerzity v belgické Lovani odhalili závažnou chybu ohrožující bezpečnost internetového...

Více 0 komentářů

Nová zero day zranitelnost v Adobe Flash

Pavel Houser , 17. říjen 2017 14:04

Po úspěšném zneužití zranitelnosti dojde k nainstalování malwaru FinSpy....

Více 0 komentářů