margin-top: 125px; border: 1px solid gray; } -->

Bezpečnostní přehled: Zbraně z 3D tiskárny

Pavel Houser , 09. srpen 2012 08:00 7 komentářů
Bezpečnostní přehled: Zbraně z 3D tiskárny

Bezpečnostní tipy pro přechod na cloud. Počítačová kriminalita a olympiáda. Velmi persistentní malware ukrytý v BIOSu. Big data mohou zlepšit zabezpečení. Nástroj Microsoftu posoudí vliv aplikace na bezpečnost systému. Následuje pravidelný čtvrteční přehled.

Microsoft vydal nový bezpečnostní nástroj Attack Surface Analyzer. Slouží k posouzení, jak nainstalovaná aplikace ovlivní bezpečnost Windows. Nástroj mj. sleduje změněné nebo nově přidané soubory, klíče registru a komponenty ActiveX. Zahrnuje také analýzu spouštěných služeb a naslouchání na portech, detekuje spustitelné soubory a prověřuje ACL (acess control list, seznam řízení přístupu). Podle Microsoftu se nástroj hodí vývojářům i správcům firemního IT, vývojáři Microsoftu ho již údajně používají i interně. Attack Surface Analyzer 1.0 je zdarma ke stažení.

Zdroj: The Register

David Maman ze společnosti GreenSQL přináší 5 tipů pro zabezpečení cloudových aplikací. Než se firemní IT rozhodne nějakou část podnikové infrastruktury přesunout na cloud, mělo by se podle Mamana provést následující:

  • Prozkoumejte, na jakém operačním systému se cloud provozuje, jaké aplikace jsou zde nainstalovány, jaké jsou dostupné bezpečnostní mechanismy a jak bude fungovat přístup ke službám v cloudu.
  • Pečlivě rozeberte, jaké komponenty jsou vyhrazeny pro vás a co sdílíte. Ověřte, zda v případě sdílení nemohou chyby někoho jiného např. v konfiguraci ohrozit i vaše zabezpečení. Pokud vám vyjde, že je třeba namísto veřejného cloudu zvolit nákladnější privátní, nedá se nic dělat.
  • Trvejte na tom, aby vám poskytovatel cloudu dal prostředky k plnému řízení aplikace a monitoringu bezpečnostních událostí. Věnujte pozornost konfiguraci databázových a síťových firewallů.
  • Cloud je prostě pokročilejší hosting. Nikdy si nemůžete být jisti, že restart serverů nenastal proto, že si někdo zrovna kopíroval disk s vašimi daty. Co nejvíc používejte šifrování a nejcitlivější data v cloudu neukládejte.
  • Volte raději většího poskytovatele cloudu. Osvědčené služby nabízí např. Salesoforce.com. Poskytují vysoké zabezpečení i kontinuitu provozu a používá je i řada firem z žebříčku Fortune 1000.

Zdroj: HelpNet Security

Organizace Information Security Forum vydala analýzu, podle které mohou podniky zlepšit své zabezpečení pomocí analýz velkých objemů dat. Tato oblast je prý přitom zanedbávána, na rozdíl od práce s velkými objemy dat např. v oblasti business intelligence. ISF doporučuje analýzu detailních dat o síťovém provozu, analýzu integrity dat, zmiňuje i možnost dopředu tímto způsobem odhadnout selhání hardwaru. Samozřejmostí je také využívat big data pro zpětnou analýzu bezpečnostních incidentů, pro forenzní účely atd.

Zdroj: HelpNet Security

Následující informace kombinuje rovněž IT a bezpečnost, ovšem značně nečekaným způsobem. Otázka zní: dají se na 3D tiskárnách vyrábět třeba střelné zbraně?

Prvnímu nadšenci (vystupujícímu pod přezdívkou HaveBlue) se to již údajně podařilo. Těžkou hlavu to dělá především policii, která se snaží oběh zbraní monitorovat. Dočkáme se snad doby, kdy bude výroba zbraně na 3D tiskárně tak rychlá a snadná, že je budou zločinci používat k tomu, aby prošli kontrolou a zbraň si vytiskli až na místě? To je asi sci-fi, nicméně další vývoj v této oblasti lze obtížně odhadnout.

Zdrojové soubory pro zbraně je možné stahovat zde.

Zdroj: Thingverse

Google aktualizoval svůj nástroj Bouncer, který slouží pro kontrolu aplikací v rámci Google Play. Podvodníkům se v minulosti podařilo toto ověřování několikrát obejít a propašovat tak do systému i malware. Google současně zpřísňuje i pravidla, která musejí vývojáři splnit, aby jejich aplikace nebyly z tržiště vyřazeny. Patří sem např. zákaz používání matoucích názvů a ikon (připomínající jiné známé aplikace, systémové nástroje apod.). Vývojáři musí podrobněji popsat chování aplikace, zpřísněna byla rovněž pravidla, jimiž se řídí reklama v aplikacích.

Pravidla platí pro všechny nové nebo aktualizované aplikace. Pokud Google zjistí, že nějaké starší aplikace porušují nové normy, bude kontaktovat vývojáře a dá jim čas na provedení nápravy. Jestliže aplikace opravena nebude, Google ji po cca měsíci ze svého systému odstraní.

Zdroj: HelpNet Security

Rakshasa je nový proof-of-concept typ zadních vrátek vsunutých přímo do hardwaru. Vytvořil ho (slovo má totiž v hindštině označovat démona) Jonathan Brossard a backdoor umožňuje vzdálený přístup k zařízení. Rakshasa sídlí přímo v BIOSu a přes rozhraní PCI může navíc infikovat firmware periferií a dalších součástí, třeba síťové karty. Tento typ malwaru lze jen velmi obtížně odstranit; je třeba obnovit původní BIOS, ale současně i firmware infikovaných komponent.

Rakshasa nesídlí v sektoru Master Boot Record, ale po spuštění počítače se vždy načte do operační paměti. Současná architektura počítačů neumožňuje kvůli zpětné kompatibilitě tomuto druhu útoků příliš efektivně bránit.

Brossard doporučuje před nasazením hardwaru/firmwaru provádět speciální bezpečnostní audit. Autor ke svému výzkumu dodává, že Čína je dnes spojována se státem podporovanou kybernetickou špionáží a k tomu je i největším výrobcem hardwaru.

Zdroj: Toucan-system.com

Analytici společnosti Kaspersky Lab se zaměřili na kybernetické podvody spojené s londýnskou olympiádou. Mj. upozorňují na množství falešných placených stránek předstírajících možnost živého vysílání sportovních přenosů. Od 22. do 30. července zaznamenali 80 nebezpečných domén s více než 38 tisíci přístupy.

Zdroj: tisková zpráva společnosti Kaspersky Lab

Statistika Zscaler tvrdí, že podvodných je až 80 % stránek/registrovaných domén s tematikou olympiády. Ještě nejmírnější z nich jsou weby s PPC reklamou parazitující pomocí typosquatingu (překlepů v adrese). Nejvíce překlepových domén se údajně odvozuje od projektu NBC pro olympijské hry – nbcolympics.com. Zscaler uvádí, že zatím ale jen minimum olympijských podvodů je spojeno s šířením malwaru nebo exploity zranitelností ve webových prohlížečích.

Zdroj: ZDNet

Průzkum McAfee/OnePoll pak ukazuje, že jen 13 % respondentů má o kybernetických podvodech a rizicích spojených s olympiádou přesnější představu. Dotazování bylo provedeno v Británii. Další odhad, tentokrát od firmy Venafi: v dějišti olympiády bude během jejího trvání ztraceno nebo ukradeno až 70 000 mobilních zařízení.

Zdroj: eWeek.com

TrendMicro vydala souhrnnou analýzu vývoje IT kriminality ve 2. čtvrtletí. Podvodníci se podle studie stále častěji zaměřují na krádeže informací z malých firem. Oblíbenou platformou počítačových zločinců v oblasti sociálních médií se stal Pinterest. Obrovský nárůst (přes 400 % oproti předcházejícímu čtvrtletí) podvodných aplikací byl zaznamenán u systému Android.

Zdroj: tisková zpráva společnosti TrendMicro

Společnost GFI nabízí cloudovou službu MAX MailArchive, která je určena pro archivaci podnikových e-mailů, jejich obnovování a splnění regulačních požadavků.

Zdroj: tisková zpráva společnosti GFI

Další novinky ze světa bezpečnosti na ITBiz: Dropbox resetoval hesla uživatelů kvůli úniku e-mailových adres


Komentáře

phr #1
phr 09. srpen 2012 08:54

3D tiskárny jsou nebezpečím především pro (velko)výrobce. Tak je třeba jejich rozšíření zabránit pod jakoukoli záminkou :(

co je vám do jména!? #3
co je vám do jména!? 09. srpen 2012 10:23

Víceméně souhlas.

Postavit amatérskou CNC frézku je záležitost cca 30 - 100kKč (nic moc - já vystačil s 70kKč a mám 3 osý stroj na plasty, dřevo, max. hliník ... a pracovní plochou 800x600mm), pokud to má stát za něco (i na tvrdší materiály), tak se dá vystačit s investicí okolo 100 - 200kKč. Schopnější dokážou za 1/4 mega vyrobit i malé pětiosé stroje na kterém se dá opracovávat ocel (a tvar takřka libovolný). Plus není problém k tomu koupit starší soustruh v dobrém stavu (fajnšmekr si udělá i ten CNC soustruh - nebo předělá na CNC) a pár méně drahých drobností a vyrobím z kovu skoro cokoli.

Jinými slovy, nevím, proč by zrovna 3D tiskárna měla být terčem kvůli zbraním, zvlášť když ty 3D tiskárny mezi lidma sotva zvládnou umatlat něco z plastu (nebo zvládnou kvalitně, ale jen maličké díly z drahého polymeru).

Ostatně, člověk se dá zabít i úderem větví (proboha, vždyť větve rostou na stromech! = všechny pokácet!), velkým šutrem (ksakru ... máte řešení?), uškrtit provazem (všem sebrat i tkaničky!) ... a hlavně po pachateli zůstane tolik důkazů, že je vlastně jedno čím to proved. Jo a víte jak snadné je vyrobit bombu? Trestuhodně a směšně snadné :-/

anonym #2
anonym 09. srpen 2012 10:21

a to si myslite ze kdyz se delaj zbrane, tak si netisknou vetsinu dilu na tiskarne? vzdyt to potrebuji otestovat... mame tu termoplasty jako je ultem9085 (tu pouzivaj napr. tiskarny fortus od firmy stratasys).

Amigapower =^..^= #4
Amigapower =^..^= 10. srpen 2012 22:44

Vytisknu si kōnigstigera ;)

Duff #5
Duff 13. srpen 2012 17:47

Kde ale na něj vzít tak 40 tun materiálu.

volani.webnode.cz #6
volani.webnode.cz 18. srpen 2012 11:48

Přiznejte se, kdo z vás si ještě nevytiskl doma vlastního terminátora?
Také vám nepřipadá úplně vhodné využít pro komunikaci mezi terminátory skydrive? :D
Ale když dávají tolik místa zadarmo!! :D

gilhad #7
gilhad 22. srpen 2012 16:21

Hlavne ty "zbrane" jsou jen plastove doplnky (pazby a tak), to co skutecne potrebujete je hlaven, komora, bici mechanizmus, neco, co komuru uzamkne - pohrichu na to nestaci nejaky mekky plast, ale poterbujete pevny a odolny material, co ty tiskarny tisknout neumi.

Jste na tom podobne, jako byste si vytiskli auto, s tim, ze se vytisknou jen sedadla a kryt volantu, ale motor, prevodovka, kola, nadrz a baterie se musi dodat z normalne vyrobeneho auta.

Je hezke, ze si muzete upravit vzhled, ale funkcni vyrobek uz musite mit, jinak vam to k nicemu stejne nebude.


RSS 

Komentujeme

Chatbot mluví za mrtvého – od nápadu k realizaci

Pavel Houser , 30. listopad 2016 13:00
Pavel Houser

Na webu The Verge popsala Casey Newton příběh dvou přátel (Eugenia Kuyda a Roman Mazurenko). Peripet...

Více





Kalendář

RSS 

Zprávičky

Tchajwanský Foxconn jedná o rozšíření svých aktivit v USA

ČTK , 07. prosinec 2016 15:00

Tchajwanská společnost Foxconn jedná o rozšíření svých aktivit ve Spojených státech. Oznámila to dne...

Více 0 komentářů

Nejvyšší soud USA se postavil na stranu Samsungu proti Applu

ČTK , 07. prosinec 2016 12:30

Americký nejvyšší soud se v mnohaletém patentovém sporu mezi výrobci chytrých telefonů Apple a Samsu...

Více 0 komentářů

Evropská komise Microsoftu schválila převzetí sítě LinkedIn

ČTK , 07. prosinec 2016 10:30

Evropská komise schválila americké softwarové společnosti Microsoft záměr koupit za 26 miliard dolar...

Více 0 komentářů

Starší zprávičky

Porozumění větám, konkurence pro Turingův test

Pavel Houser , 06. prosinec 2016 18:00

Konverzační roboti mají stále problémy pochopit věty, kde smysl nelze vyvodit ze samotné gramatické ...

Více 0 komentářů

Americká GoDaddy koupí evropský webhosting Host Europe

ČTK , 06. prosinec 2016 16:00

Americký registrátor internetových domén GoDaddy, který je ve svém oboru největší na světě, se dohod...

Více 0 komentářů

Ruská Centrální banka oznámila masivní útok hackerů

ČTK , 06. prosinec 2016 11:00

Do systému ruské Centrální banky se letos dostali hackeři a s pomocí zfalšovaných hesel se pokusili ...

Více 0 komentářů

CETIN vydal dluhopisy za 25 miliard Kč

ČTK , 05. prosinec 2016 18:00

Česká telekomunikační infrastruktura (CETIN) upsala dluhopisy v eurech a korunách v celkovém objemu ...

Více 1 komentářů