margin-top: 125px; border: 1px solid gray; } -->

Bezpečnostní přehled: Zbraně z 3D tiskárny

Pavel Houser , 09. srpen 2012 08:00 7 komentářů
Bezpečnostní přehled: Zbraně z 3D tiskárny

Bezpečnostní tipy pro přechod na cloud. Počítačová kriminalita a olympiáda. Velmi persistentní malware ukrytý v BIOSu. Big data mohou zlepšit zabezpečení. Nástroj Microsoftu posoudí vliv aplikace na bezpečnost systému. Následuje pravidelný čtvrteční přehled.

Microsoft vydal nový bezpečnostní nástroj Attack Surface Analyzer. Slouží k posouzení, jak nainstalovaná aplikace ovlivní bezpečnost Windows. Nástroj mj. sleduje změněné nebo nově přidané soubory, klíče registru a komponenty ActiveX. Zahrnuje také analýzu spouštěných služeb a naslouchání na portech, detekuje spustitelné soubory a prověřuje ACL (acess control list, seznam řízení přístupu). Podle Microsoftu se nástroj hodí vývojářům i správcům firemního IT, vývojáři Microsoftu ho již údajně používají i interně. Attack Surface Analyzer 1.0 je zdarma ke stažení.

Zdroj: The Register

David Maman ze společnosti GreenSQL přináší 5 tipů pro zabezpečení cloudových aplikací. Než se firemní IT rozhodne nějakou část podnikové infrastruktury přesunout na cloud, mělo by se podle Mamana provést následující:

  • Prozkoumejte, na jakém operačním systému se cloud provozuje, jaké aplikace jsou zde nainstalovány, jaké jsou dostupné bezpečnostní mechanismy a jak bude fungovat přístup ke službám v cloudu.
  • Pečlivě rozeberte, jaké komponenty jsou vyhrazeny pro vás a co sdílíte. Ověřte, zda v případě sdílení nemohou chyby někoho jiného např. v konfiguraci ohrozit i vaše zabezpečení. Pokud vám vyjde, že je třeba namísto veřejného cloudu zvolit nákladnější privátní, nedá se nic dělat.
  • Trvejte na tom, aby vám poskytovatel cloudu dal prostředky k plnému řízení aplikace a monitoringu bezpečnostních událostí. Věnujte pozornost konfiguraci databázových a síťových firewallů.
  • Cloud je prostě pokročilejší hosting. Nikdy si nemůžete být jisti, že restart serverů nenastal proto, že si někdo zrovna kopíroval disk s vašimi daty. Co nejvíc používejte šifrování a nejcitlivější data v cloudu neukládejte.
  • Volte raději většího poskytovatele cloudu. Osvědčené služby nabízí např. Salesoforce.com. Poskytují vysoké zabezpečení i kontinuitu provozu a používá je i řada firem z žebříčku Fortune 1000.

Zdroj: HelpNet Security

Organizace Information Security Forum vydala analýzu, podle které mohou podniky zlepšit své zabezpečení pomocí analýz velkých objemů dat. Tato oblast je prý přitom zanedbávána, na rozdíl od práce s velkými objemy dat např. v oblasti business intelligence. ISF doporučuje analýzu detailních dat o síťovém provozu, analýzu integrity dat, zmiňuje i možnost dopředu tímto způsobem odhadnout selhání hardwaru. Samozřejmostí je také využívat big data pro zpětnou analýzu bezpečnostních incidentů, pro forenzní účely atd.

Zdroj: HelpNet Security

Následující informace kombinuje rovněž IT a bezpečnost, ovšem značně nečekaným způsobem. Otázka zní: dají se na 3D tiskárnách vyrábět třeba střelné zbraně?

Prvnímu nadšenci (vystupujícímu pod přezdívkou HaveBlue) se to již údajně podařilo. Těžkou hlavu to dělá především policii, která se snaží oběh zbraní monitorovat. Dočkáme se snad doby, kdy bude výroba zbraně na 3D tiskárně tak rychlá a snadná, že je budou zločinci používat k tomu, aby prošli kontrolou a zbraň si vytiskli až na místě? To je asi sci-fi, nicméně další vývoj v této oblasti lze obtížně odhadnout.

Zdrojové soubory pro zbraně je možné stahovat zde.

Zdroj: Thingverse

Google aktualizoval svůj nástroj Bouncer, který slouží pro kontrolu aplikací v rámci Google Play. Podvodníkům se v minulosti podařilo toto ověřování několikrát obejít a propašovat tak do systému i malware. Google současně zpřísňuje i pravidla, která musejí vývojáři splnit, aby jejich aplikace nebyly z tržiště vyřazeny. Patří sem např. zákaz používání matoucích názvů a ikon (připomínající jiné známé aplikace, systémové nástroje apod.). Vývojáři musí podrobněji popsat chování aplikace, zpřísněna byla rovněž pravidla, jimiž se řídí reklama v aplikacích.

Pravidla platí pro všechny nové nebo aktualizované aplikace. Pokud Google zjistí, že nějaké starší aplikace porušují nové normy, bude kontaktovat vývojáře a dá jim čas na provedení nápravy. Jestliže aplikace opravena nebude, Google ji po cca měsíci ze svého systému odstraní.

Zdroj: HelpNet Security

Rakshasa je nový proof-of-concept typ zadních vrátek vsunutých přímo do hardwaru. Vytvořil ho (slovo má totiž v hindštině označovat démona) Jonathan Brossard a backdoor umožňuje vzdálený přístup k zařízení. Rakshasa sídlí přímo v BIOSu a přes rozhraní PCI může navíc infikovat firmware periferií a dalších součástí, třeba síťové karty. Tento typ malwaru lze jen velmi obtížně odstranit; je třeba obnovit původní BIOS, ale současně i firmware infikovaných komponent.

Rakshasa nesídlí v sektoru Master Boot Record, ale po spuštění počítače se vždy načte do operační paměti. Současná architektura počítačů neumožňuje kvůli zpětné kompatibilitě tomuto druhu útoků příliš efektivně bránit.

Brossard doporučuje před nasazením hardwaru/firmwaru provádět speciální bezpečnostní audit. Autor ke svému výzkumu dodává, že Čína je dnes spojována se státem podporovanou kybernetickou špionáží a k tomu je i největším výrobcem hardwaru.

Zdroj: Toucan-system.com

Analytici společnosti Kaspersky Lab se zaměřili na kybernetické podvody spojené s londýnskou olympiádou. Mj. upozorňují na množství falešných placených stránek předstírajících možnost živého vysílání sportovních přenosů. Od 22. do 30. července zaznamenali 80 nebezpečných domén s více než 38 tisíci přístupy.

Zdroj: tisková zpráva společnosti Kaspersky Lab

Statistika Zscaler tvrdí, že podvodných je až 80 % stránek/registrovaných domén s tematikou olympiády. Ještě nejmírnější z nich jsou weby s PPC reklamou parazitující pomocí typosquatingu (překlepů v adrese). Nejvíce překlepových domén se údajně odvozuje od projektu NBC pro olympijské hry – nbcolympics.com. Zscaler uvádí, že zatím ale jen minimum olympijských podvodů je spojeno s šířením malwaru nebo exploity zranitelností ve webových prohlížečích.

Zdroj: ZDNet

Průzkum McAfee/OnePoll pak ukazuje, že jen 13 % respondentů má o kybernetických podvodech a rizicích spojených s olympiádou přesnější představu. Dotazování bylo provedeno v Británii. Další odhad, tentokrát od firmy Venafi: v dějišti olympiády bude během jejího trvání ztraceno nebo ukradeno až 70 000 mobilních zařízení.

Zdroj: eWeek.com

TrendMicro vydala souhrnnou analýzu vývoje IT kriminality ve 2. čtvrtletí. Podvodníci se podle studie stále častěji zaměřují na krádeže informací z malých firem. Oblíbenou platformou počítačových zločinců v oblasti sociálních médií se stal Pinterest. Obrovský nárůst (přes 400 % oproti předcházejícímu čtvrtletí) podvodných aplikací byl zaznamenán u systému Android.

Zdroj: tisková zpráva společnosti TrendMicro

Společnost GFI nabízí cloudovou službu MAX MailArchive, která je určena pro archivaci podnikových e-mailů, jejich obnovování a splnění regulačních požadavků.

Zdroj: tisková zpráva společnosti GFI

Další novinky ze světa bezpečnosti na ITBiz: Dropbox resetoval hesla uživatelů kvůli úniku e-mailových adres


Komentáře

phr #1
phr 09. srpen 2012 08:54

3D tiskárny jsou nebezpečím především pro (velko)výrobce. Tak je třeba jejich rozšíření zabránit pod jakoukoli záminkou :(

co je vám do jména!? #3
co je vám do jména!? 09. srpen 2012 10:23

Víceméně souhlas.

Postavit amatérskou CNC frézku je záležitost cca 30 - 100kKč (nic moc - já vystačil s 70kKč a mám 3 osý stroj na plasty, dřevo, max. hliník ... a pracovní plochou 800x600mm), pokud to má stát za něco (i na tvrdší materiály), tak se dá vystačit s investicí okolo 100 - 200kKč. Schopnější dokážou za 1/4 mega vyrobit i malé pětiosé stroje na kterém se dá opracovávat ocel (a tvar takřka libovolný). Plus není problém k tomu koupit starší soustruh v dobrém stavu (fajnšmekr si udělá i ten CNC soustruh - nebo předělá na CNC) a pár méně drahých drobností a vyrobím z kovu skoro cokoli.

Jinými slovy, nevím, proč by zrovna 3D tiskárna měla být terčem kvůli zbraním, zvlášť když ty 3D tiskárny mezi lidma sotva zvládnou umatlat něco z plastu (nebo zvládnou kvalitně, ale jen maličké díly z drahého polymeru).

Ostatně, člověk se dá zabít i úderem větví (proboha, vždyť větve rostou na stromech! = všechny pokácet!), velkým šutrem (ksakru ... máte řešení?), uškrtit provazem (všem sebrat i tkaničky!) ... a hlavně po pachateli zůstane tolik důkazů, že je vlastně jedno čím to proved. Jo a víte jak snadné je vyrobit bombu? Trestuhodně a směšně snadné :-/

anonym #2
anonym 09. srpen 2012 10:21

a to si myslite ze kdyz se delaj zbrane, tak si netisknou vetsinu dilu na tiskarne? vzdyt to potrebuji otestovat... mame tu termoplasty jako je ultem9085 (tu pouzivaj napr. tiskarny fortus od firmy stratasys).

Amigapower =^..^= #4
Amigapower =^..^= 10. srpen 2012 22:44

Vytisknu si kōnigstigera ;)

Duff #5
Duff 13. srpen 2012 17:47

Kde ale na něj vzít tak 40 tun materiálu.

volani.webnode.cz #6
volani.webnode.cz 18. srpen 2012 11:48

Přiznejte se, kdo z vás si ještě nevytiskl doma vlastního terminátora?
Také vám nepřipadá úplně vhodné využít pro komunikaci mezi terminátory skydrive? :D
Ale když dávají tolik místa zadarmo!! :D

gilhad #7
gilhad 22. srpen 2012 16:21

Hlavne ty "zbrane" jsou jen plastove doplnky (pazby a tak), to co skutecne potrebujete je hlaven, komora, bici mechanizmus, neco, co komuru uzamkne - pohrichu na to nestaci nejaky mekky plast, ale poterbujete pevny a odolny material, co ty tiskarny tisknout neumi.

Jste na tom podobne, jako byste si vytiskli auto, s tim, ze se vytisknou jen sedadla a kryt volantu, ale motor, prevodovka, kola, nadrz a baterie se musi dodat z normalne vyrobeneho auta.

Je hezke, ze si muzete upravit vzhled, ale funkcni vyrobek uz musite mit, jinak vam to k nicemu stejne nebude.

RSS 

Komentujeme

Bezpečnost IT a tygří logika

Pavel Houser , 14. únor 2017 11:00
Pavel Houser

Jak praví známý vtip, běží-li za vámi tygr, netřeba se pohybovat rychleji než šelma – stačí předběhn...

Více






Kalendář

20. 03.

24. 03.
CeBIT 2017
25. 03. INSPO 2017
28. 04. Oracle Code 2017
RSS 

Zprávičky

Hodnota kybernetické měny bitcoin vystoupila na nový rekord

ČTK , 24. únor 2017 15:30

Hodnota kybernetické měny bitcoin se dnes zvýšila o 4,7 procenta a vystoupila na nový rekord 1218,85...

Více 0 komentářů

Apple v dubnu otevře v Kalifornii novou centrálu

ČTK , 24. únor 2017 11:30

Americká společnost Apple v dubnu otevře v kalifornském Cupertinu svou novou centrálu. Stěhování 12....

Více 0 komentářů

Ransomware funguje a generuje útočníkům zisky

Pavel Houser , 23. únor 2017 16:45

Ransomware je stále více centralizovaný a několik významných malwarových rodin dominuje celému "trhu...

Více 0 komentářů

Starší zprávičky

Loni rychle rostl prodej mobilů a chytrých hodinek

ČTK , 23. únor 2017 14:43

Prodej technického spotřebního zboží v Česku loni vzrostl o 2,2 procenta na 74 miliard korun. ...

Více 0 komentářů

KKCG a Foxconn zakládají fond pro investice do IT firem

ČTK , 23. únor 2017 14:33

V první fázi se na zaměří na Česko, Slovensko, Polsko, Rakousko a Německo....

Více 0 komentářů

Náramky pro vězně dodá firma SuperCom za 93 milionů korun

ČTK , 23. únor 2017 10:00

Elektronické monitorovací náramky pro domácí vězně a některé obviněné dodá firma SuperCom. Vítěze so...

Více 1 komentářů

Blokování nelegálního hazardu na internetu není protiústavní

Pavel Houser , 22. únor 2017 13:22

Plénum Ústavního soudu zamítlo návrh skupiny 21 senátorů Senátu Parlamentu České republiky na zruš...

Více 0 komentářů