Bezpečnostní přehled: Zbraně z 3D tiskárny

Pavel Houser , 09. srpen 2012 08:00 7 komentářů
Bezpečnostní přehled: Zbraně z 3D tiskárny

Bezpečnostní tipy pro přechod na cloud. Počítačová kriminalita a olympiáda. Velmi persistentní malware ukrytý v BIOSu. Big data mohou zlepšit zabezpečení. Nástroj Microsoftu posoudí vliv aplikace na bezpečnost systému. Následuje pravidelný čtvrteční přehled.

Microsoft vydal nový bezpečnostní nástroj Attack Surface Analyzer. Slouží k posouzení, jak nainstalovaná aplikace ovlivní bezpečnost Windows. Nástroj mj. sleduje změněné nebo nově přidané soubory, klíče registru a komponenty ActiveX. Zahrnuje také analýzu spouštěných služeb a naslouchání na portech, detekuje spustitelné soubory a prověřuje ACL (acess control list, seznam řízení přístupu). Podle Microsoftu se nástroj hodí vývojářům i správcům firemního IT, vývojáři Microsoftu ho již údajně používají i interně. Attack Surface Analyzer 1.0 je zdarma ke stažení.

Zdroj: The Register

David Maman ze společnosti GreenSQL přináší 5 tipů pro zabezpečení cloudových aplikací. Než se firemní IT rozhodne nějakou část podnikové infrastruktury přesunout na cloud, mělo by se podle Mamana provést následující:

  • Prozkoumejte, na jakém operačním systému se cloud provozuje, jaké aplikace jsou zde nainstalovány, jaké jsou dostupné bezpečnostní mechanismy a jak bude fungovat přístup ke službám v cloudu.
  • Pečlivě rozeberte, jaké komponenty jsou vyhrazeny pro vás a co sdílíte. Ověřte, zda v případě sdílení nemohou chyby někoho jiného např. v konfiguraci ohrozit i vaše zabezpečení. Pokud vám vyjde, že je třeba namísto veřejného cloudu zvolit nákladnější privátní, nedá se nic dělat.
  • Trvejte na tom, aby vám poskytovatel cloudu dal prostředky k plnému řízení aplikace a monitoringu bezpečnostních událostí. Věnujte pozornost konfiguraci databázových a síťových firewallů.
  • Cloud je prostě pokročilejší hosting. Nikdy si nemůžete být jisti, že restart serverů nenastal proto, že si někdo zrovna kopíroval disk s vašimi daty. Co nejvíc používejte šifrování a nejcitlivější data v cloudu neukládejte.
  • Volte raději většího poskytovatele cloudu. Osvědčené služby nabízí např. Salesoforce.com. Poskytují vysoké zabezpečení i kontinuitu provozu a používá je i řada firem z žebříčku Fortune 1000.

Zdroj: HelpNet Security

Organizace Information Security Forum vydala analýzu, podle které mohou podniky zlepšit své zabezpečení pomocí analýz velkých objemů dat. Tato oblast je prý přitom zanedbávána, na rozdíl od práce s velkými objemy dat např. v oblasti business intelligence. ISF doporučuje analýzu detailních dat o síťovém provozu, analýzu integrity dat, zmiňuje i možnost dopředu tímto způsobem odhadnout selhání hardwaru. Samozřejmostí je také využívat big data pro zpětnou analýzu bezpečnostních incidentů, pro forenzní účely atd.

Zdroj: HelpNet Security

Následující informace kombinuje rovněž IT a bezpečnost, ovšem značně nečekaným způsobem. Otázka zní: dají se na 3D tiskárnách vyrábět třeba střelné zbraně?

Prvnímu nadšenci (vystupujícímu pod přezdívkou HaveBlue) se to již údajně podařilo. Těžkou hlavu to dělá především policii, která se snaží oběh zbraní monitorovat. Dočkáme se snad doby, kdy bude výroba zbraně na 3D tiskárně tak rychlá a snadná, že je budou zločinci používat k tomu, aby prošli kontrolou a zbraň si vytiskli až na místě? To je asi sci-fi, nicméně další vývoj v této oblasti lze obtížně odhadnout.

Zdrojové soubory pro zbraně je možné stahovat zde.

Zdroj: Thingverse

Google aktualizoval svůj nástroj Bouncer, který slouží pro kontrolu aplikací v rámci Google Play. Podvodníkům se v minulosti podařilo toto ověřování několikrát obejít a propašovat tak do systému i malware. Google současně zpřísňuje i pravidla, která musejí vývojáři splnit, aby jejich aplikace nebyly z tržiště vyřazeny. Patří sem např. zákaz používání matoucích názvů a ikon (připomínající jiné známé aplikace, systémové nástroje apod.). Vývojáři musí podrobněji popsat chování aplikace, zpřísněna byla rovněž pravidla, jimiž se řídí reklama v aplikacích.

Pravidla platí pro všechny nové nebo aktualizované aplikace. Pokud Google zjistí, že nějaké starší aplikace porušují nové normy, bude kontaktovat vývojáře a dá jim čas na provedení nápravy. Jestliže aplikace opravena nebude, Google ji po cca měsíci ze svého systému odstraní.

Zdroj: HelpNet Security

Rakshasa je nový proof-of-concept typ zadních vrátek vsunutých přímo do hardwaru. Vytvořil ho (slovo má totiž v hindštině označovat démona) Jonathan Brossard a backdoor umožňuje vzdálený přístup k zařízení. Rakshasa sídlí přímo v BIOSu a přes rozhraní PCI může navíc infikovat firmware periferií a dalších součástí, třeba síťové karty. Tento typ malwaru lze jen velmi obtížně odstranit; je třeba obnovit původní BIOS, ale současně i firmware infikovaných komponent.

Rakshasa nesídlí v sektoru Master Boot Record, ale po spuštění počítače se vždy načte do operační paměti. Současná architektura počítačů neumožňuje kvůli zpětné kompatibilitě tomuto druhu útoků příliš efektivně bránit.

Brossard doporučuje před nasazením hardwaru/firmwaru provádět speciální bezpečnostní audit. Autor ke svému výzkumu dodává, že Čína je dnes spojována se státem podporovanou kybernetickou špionáží a k tomu je i největším výrobcem hardwaru.

Zdroj: Toucan-system.com

Analytici společnosti Kaspersky Lab se zaměřili na kybernetické podvody spojené s londýnskou olympiádou. Mj. upozorňují na množství falešných placených stránek předstírajících možnost živého vysílání sportovních přenosů. Od 22. do 30. července zaznamenali 80 nebezpečných domén s více než 38 tisíci přístupy.

Zdroj: tisková zpráva společnosti Kaspersky Lab

Statistika Zscaler tvrdí, že podvodných je až 80 % stránek/registrovaných domén s tematikou olympiády. Ještě nejmírnější z nich jsou weby s PPC reklamou parazitující pomocí typosquatingu (překlepů v adrese). Nejvíce překlepových domén se údajně odvozuje od projektu NBC pro olympijské hry – nbcolympics.com. Zscaler uvádí, že zatím ale jen minimum olympijských podvodů je spojeno s šířením malwaru nebo exploity zranitelností ve webových prohlížečích.

Zdroj: ZDNet

Průzkum McAfee/OnePoll pak ukazuje, že jen 13 % respondentů má o kybernetických podvodech a rizicích spojených s olympiádou přesnější představu. Dotazování bylo provedeno v Británii. Další odhad, tentokrát od firmy Venafi: v dějišti olympiády bude během jejího trvání ztraceno nebo ukradeno až 70 000 mobilních zařízení.

Zdroj: eWeek.com

TrendMicro vydala souhrnnou analýzu vývoje IT kriminality ve 2. čtvrtletí. Podvodníci se podle studie stále častěji zaměřují na krádeže informací z malých firem. Oblíbenou platformou počítačových zločinců v oblasti sociálních médií se stal Pinterest. Obrovský nárůst (přes 400 % oproti předcházejícímu čtvrtletí) podvodných aplikací byl zaznamenán u systému Android.

Zdroj: tisková zpráva společnosti TrendMicro

Společnost GFI nabízí cloudovou službu MAX MailArchive, která je určena pro archivaci podnikových e-mailů, jejich obnovování a splnění regulačních požadavků.

Zdroj: tisková zpráva společnosti GFI

Další novinky ze světa bezpečnosti na ITBiz: Dropbox resetoval hesla uživatelů kvůli úniku e-mailových adres


Komentáře

phr #1
phr 09. srpen 2012 08:54

3D tiskárny jsou nebezpečím především pro (velko)výrobce. Tak je třeba jejich rozšíření zabránit pod jakoukoli záminkou :(

co je vám do jména!? #3
co je vám do jména!? 09. srpen 2012 10:23

Víceméně souhlas.

Postavit amatérskou CNC frézku je záležitost cca 30 - 100kKč (nic moc - já vystačil s 70kKč a mám 3 osý stroj na plasty, dřevo, max. hliník ... a pracovní plochou 800x600mm), pokud to má stát za něco (i na tvrdší materiály), tak se dá vystačit s investicí okolo 100 - 200kKč. Schopnější dokážou za 1/4 mega vyrobit i malé pětiosé stroje na kterém se dá opracovávat ocel (a tvar takřka libovolný). Plus není problém k tomu koupit starší soustruh v dobrém stavu (fajnšmekr si udělá i ten CNC soustruh - nebo předělá na CNC) a pár méně drahých drobností a vyrobím z kovu skoro cokoli.

Jinými slovy, nevím, proč by zrovna 3D tiskárna měla být terčem kvůli zbraním, zvlášť když ty 3D tiskárny mezi lidma sotva zvládnou umatlat něco z plastu (nebo zvládnou kvalitně, ale jen maličké díly z drahého polymeru).

Ostatně, člověk se dá zabít i úderem větví (proboha, vždyť větve rostou na stromech! = všechny pokácet!), velkým šutrem (ksakru ... máte řešení?), uškrtit provazem (všem sebrat i tkaničky!) ... a hlavně po pachateli zůstane tolik důkazů, že je vlastně jedno čím to proved. Jo a víte jak snadné je vyrobit bombu? Trestuhodně a směšně snadné :-/

anonym #2
anonym 09. srpen 2012 10:21

a to si myslite ze kdyz se delaj zbrane, tak si netisknou vetsinu dilu na tiskarne? vzdyt to potrebuji otestovat... mame tu termoplasty jako je ultem9085 (tu pouzivaj napr. tiskarny fortus od firmy stratasys).

Amigapower =^..^= #4
Amigapower =^..^= 10. srpen 2012 22:44

Vytisknu si kōnigstigera ;)

Duff #5
Duff 13. srpen 2012 17:47

Kde ale na něj vzít tak 40 tun materiálu.

volani.webnode.cz #6
volani.webnode.cz 18. srpen 2012 11:48

Přiznejte se, kdo z vás si ještě nevytiskl doma vlastního terminátora?
Také vám nepřipadá úplně vhodné využít pro komunikaci mezi terminátory skydrive? :D
Ale když dávají tolik místa zadarmo!! :D

gilhad #7
gilhad 22. srpen 2012 16:21

Hlavne ty "zbrane" jsou jen plastove doplnky (pazby a tak), to co skutecne potrebujete je hlaven, komora, bici mechanizmus, neco, co komuru uzamkne - pohrichu na to nestaci nejaky mekky plast, ale poterbujete pevny a odolny material, co ty tiskarny tisknout neumi.

Jste na tom podobne, jako byste si vytiskli auto, s tim, ze se vytisknou jen sedadla a kryt volantu, ale motor, prevodovka, kola, nadrz a baterie se musi dodat z normalne vyrobeneho auta.

Je hezke, ze si muzete upravit vzhled, ale funkcni vyrobek uz musite mit, jinak vam to k nicemu stejne nebude.

RSS 

Komentujeme

AI i její tvůrci před soudem

Pavel Houser , 22. duben 2018 09:30
Pavel Houser

John Kingston z anglické University of Brighton poskytl pro The Register svůj pohled na právní odpov...

Více







RSS 

Zprávičky

Amazonu vzrostl ve čtvrtletí zisk i tržby

ČTK , 27. duben 2018 08:36

Tržby se meziročně zvýšily o 43 % na 51 miliard dolarů. Akcie výrazně posílily....

Více 0 komentářů

Británie zvažuje vytvoření rivala navigačního systému Galileo

ČTK , 27. duben 2018 08:00

Evropská komise začala před brexitem vylučovat Británii a její společnosti z citlivých budoucích pra...

Více 0 komentářů

Facebook zvýšil zisk o 63 %, má 2,2 miliardy uživatelů

ČTK , 26. duben 2018 12:44

Tržby i zisk překonaly očekávání analytiků, akcie firmy v reakci umazaly část letošních ztrát....

Více 0 komentářů

Kalendář

30. 04.

03. 05.
Dell EMC World 2018
01. 05.

03. 05.
IFS World 2018
14. 05.

17. 05.
TechEd-DevCon 2018

Starší zprávičky

Twitter vykázal další čtvrtletní zisk

ČTK , 26. duben 2018 10:00

Celkové tržby společnosti v 1. čtvrtletí meziročně vzrostly o 21 % na 664,9 milionu dolarů....

Více 0 komentářů

Amazon bude dodávat zboží až do auta, i bez přítomnosti majitele

ČTK , 26. duben 2018 09:00

Amazon koncem loňského rok zahájil službu doručování balíčků do prázdného bytu, nyní nabízí doručení...

Více 2 komentářů

Správa phishingových kampaní pro každého

Pavel Houser , 26. duben 2018 08:00

S phishingovou sadou nové generace se prý i naprostí amatéři mohou úspěšně věnovat kybernetické krim...

Více 0 komentářů

Infor Visual 9 dostupný na českém a slovenském trhu

Pavel Houser , 25. duben 2018 12:13

Nová verze je odpovědí na současný nárůst zakázek a potřebu zvýšit výkonnost v malých a středně velk...

Více 0 komentářů