Bezpečnostní přehled: Zbraně z 3D tiskárny

Pavel Houser , 09. srpen 2012 08:00 7 komentářů
Bezpečnostní přehled: Zbraně z 3D tiskárny

Bezpečnostní tipy pro přechod na cloud. Počítačová kriminalita a olympiáda. Velmi persistentní malware ukrytý v BIOSu. Big data mohou zlepšit zabezpečení. Nástroj Microsoftu posoudí vliv aplikace na bezpečnost systému. Následuje pravidelný čtvrteční přehled.

Microsoft vydal nový bezpečnostní nástroj Attack Surface Analyzer. Slouží k posouzení, jak nainstalovaná aplikace ovlivní bezpečnost Windows. Nástroj mj. sleduje změněné nebo nově přidané soubory, klíče registru a komponenty ActiveX. Zahrnuje také analýzu spouštěných služeb a naslouchání na portech, detekuje spustitelné soubory a prověřuje ACL (acess control list, seznam řízení přístupu). Podle Microsoftu se nástroj hodí vývojářům i správcům firemního IT, vývojáři Microsoftu ho již údajně používají i interně. Attack Surface Analyzer 1.0 je zdarma ke stažení.

Zdroj: The Register

David Maman ze společnosti GreenSQL přináší 5 tipů pro zabezpečení cloudových aplikací. Než se firemní IT rozhodne nějakou část podnikové infrastruktury přesunout na cloud, mělo by se podle Mamana provést následující:

  • Prozkoumejte, na jakém operačním systému se cloud provozuje, jaké aplikace jsou zde nainstalovány, jaké jsou dostupné bezpečnostní mechanismy a jak bude fungovat přístup ke službám v cloudu.
  • Pečlivě rozeberte, jaké komponenty jsou vyhrazeny pro vás a co sdílíte. Ověřte, zda v případě sdílení nemohou chyby někoho jiného např. v konfiguraci ohrozit i vaše zabezpečení. Pokud vám vyjde, že je třeba namísto veřejného cloudu zvolit nákladnější privátní, nedá se nic dělat.
  • Trvejte na tom, aby vám poskytovatel cloudu dal prostředky k plnému řízení aplikace a monitoringu bezpečnostních událostí. Věnujte pozornost konfiguraci databázových a síťových firewallů.
  • Cloud je prostě pokročilejší hosting. Nikdy si nemůžete být jisti, že restart serverů nenastal proto, že si někdo zrovna kopíroval disk s vašimi daty. Co nejvíc používejte šifrování a nejcitlivější data v cloudu neukládejte.
  • Volte raději většího poskytovatele cloudu. Osvědčené služby nabízí např. Salesoforce.com. Poskytují vysoké zabezpečení i kontinuitu provozu a používá je i řada firem z žebříčku Fortune 1000.

Zdroj: HelpNet Security

Organizace Information Security Forum vydala analýzu, podle které mohou podniky zlepšit své zabezpečení pomocí analýz velkých objemů dat. Tato oblast je prý přitom zanedbávána, na rozdíl od práce s velkými objemy dat např. v oblasti business intelligence. ISF doporučuje analýzu detailních dat o síťovém provozu, analýzu integrity dat, zmiňuje i možnost dopředu tímto způsobem odhadnout selhání hardwaru. Samozřejmostí je také využívat big data pro zpětnou analýzu bezpečnostních incidentů, pro forenzní účely atd.

Zdroj: HelpNet Security

Následující informace kombinuje rovněž IT a bezpečnost, ovšem značně nečekaným způsobem. Otázka zní: dají se na 3D tiskárnách vyrábět třeba střelné zbraně?

Prvnímu nadšenci (vystupujícímu pod přezdívkou HaveBlue) se to již údajně podařilo. Těžkou hlavu to dělá především policii, která se snaží oběh zbraní monitorovat. Dočkáme se snad doby, kdy bude výroba zbraně na 3D tiskárně tak rychlá a snadná, že je budou zločinci používat k tomu, aby prošli kontrolou a zbraň si vytiskli až na místě? To je asi sci-fi, nicméně další vývoj v této oblasti lze obtížně odhadnout.

Zdrojové soubory pro zbraně je možné stahovat zde.

Zdroj: Thingverse

Google aktualizoval svůj nástroj Bouncer, který slouží pro kontrolu aplikací v rámci Google Play. Podvodníkům se v minulosti podařilo toto ověřování několikrát obejít a propašovat tak do systému i malware. Google současně zpřísňuje i pravidla, která musejí vývojáři splnit, aby jejich aplikace nebyly z tržiště vyřazeny. Patří sem např. zákaz používání matoucích názvů a ikon (připomínající jiné známé aplikace, systémové nástroje apod.). Vývojáři musí podrobněji popsat chování aplikace, zpřísněna byla rovněž pravidla, jimiž se řídí reklama v aplikacích.

Pravidla platí pro všechny nové nebo aktualizované aplikace. Pokud Google zjistí, že nějaké starší aplikace porušují nové normy, bude kontaktovat vývojáře a dá jim čas na provedení nápravy. Jestliže aplikace opravena nebude, Google ji po cca měsíci ze svého systému odstraní.

Zdroj: HelpNet Security

Rakshasa je nový proof-of-concept typ zadních vrátek vsunutých přímo do hardwaru. Vytvořil ho (slovo má totiž v hindštině označovat démona) Jonathan Brossard a backdoor umožňuje vzdálený přístup k zařízení. Rakshasa sídlí přímo v BIOSu a přes rozhraní PCI může navíc infikovat firmware periferií a dalších součástí, třeba síťové karty. Tento typ malwaru lze jen velmi obtížně odstranit; je třeba obnovit původní BIOS, ale současně i firmware infikovaných komponent.

Rakshasa nesídlí v sektoru Master Boot Record, ale po spuštění počítače se vždy načte do operační paměti. Současná architektura počítačů neumožňuje kvůli zpětné kompatibilitě tomuto druhu útoků příliš efektivně bránit.

Brossard doporučuje před nasazením hardwaru/firmwaru provádět speciální bezpečnostní audit. Autor ke svému výzkumu dodává, že Čína je dnes spojována se státem podporovanou kybernetickou špionáží a k tomu je i největším výrobcem hardwaru.

Zdroj: Toucan-system.com

Analytici společnosti Kaspersky Lab se zaměřili na kybernetické podvody spojené s londýnskou olympiádou. Mj. upozorňují na množství falešných placených stránek předstírajících možnost živého vysílání sportovních přenosů. Od 22. do 30. července zaznamenali 80 nebezpečných domén s více než 38 tisíci přístupy.

Zdroj: tisková zpráva společnosti Kaspersky Lab

Statistika Zscaler tvrdí, že podvodných je až 80 % stránek/registrovaných domén s tematikou olympiády. Ještě nejmírnější z nich jsou weby s PPC reklamou parazitující pomocí typosquatingu (překlepů v adrese). Nejvíce překlepových domén se údajně odvozuje od projektu NBC pro olympijské hry – nbcolympics.com. Zscaler uvádí, že zatím ale jen minimum olympijských podvodů je spojeno s šířením malwaru nebo exploity zranitelností ve webových prohlížečích.

Zdroj: ZDNet

Průzkum McAfee/OnePoll pak ukazuje, že jen 13 % respondentů má o kybernetických podvodech a rizicích spojených s olympiádou přesnější představu. Dotazování bylo provedeno v Británii. Další odhad, tentokrát od firmy Venafi: v dějišti olympiády bude během jejího trvání ztraceno nebo ukradeno až 70 000 mobilních zařízení.

Zdroj: eWeek.com

TrendMicro vydala souhrnnou analýzu vývoje IT kriminality ve 2. čtvrtletí. Podvodníci se podle studie stále častěji zaměřují na krádeže informací z malých firem. Oblíbenou platformou počítačových zločinců v oblasti sociálních médií se stal Pinterest. Obrovský nárůst (přes 400 % oproti předcházejícímu čtvrtletí) podvodných aplikací byl zaznamenán u systému Android.

Zdroj: tisková zpráva společnosti TrendMicro

Společnost GFI nabízí cloudovou službu MAX MailArchive, která je určena pro archivaci podnikových e-mailů, jejich obnovování a splnění regulačních požadavků.

Zdroj: tisková zpráva společnosti GFI

Další novinky ze světa bezpečnosti na ITBiz: Dropbox resetoval hesla uživatelů kvůli úniku e-mailových adres


Komentáře

phr #1
phr 09. srpen 2012 08:54

3D tiskárny jsou nebezpečím především pro (velko)výrobce. Tak je třeba jejich rozšíření zabránit pod jakoukoli záminkou :(

co je vám do jména!? #3
co je vám do jména!? 09. srpen 2012 10:23

Víceméně souhlas.

Postavit amatérskou CNC frézku je záležitost cca 30 - 100kKč (nic moc - já vystačil s 70kKč a mám 3 osý stroj na plasty, dřevo, max. hliník ... a pracovní plochou 800x600mm), pokud to má stát za něco (i na tvrdší materiály), tak se dá vystačit s investicí okolo 100 - 200kKč. Schopnější dokážou za 1/4 mega vyrobit i malé pětiosé stroje na kterém se dá opracovávat ocel (a tvar takřka libovolný). Plus není problém k tomu koupit starší soustruh v dobrém stavu (fajnšmekr si udělá i ten CNC soustruh - nebo předělá na CNC) a pár méně drahých drobností a vyrobím z kovu skoro cokoli.

Jinými slovy, nevím, proč by zrovna 3D tiskárna měla být terčem kvůli zbraním, zvlášť když ty 3D tiskárny mezi lidma sotva zvládnou umatlat něco z plastu (nebo zvládnou kvalitně, ale jen maličké díly z drahého polymeru).

Ostatně, člověk se dá zabít i úderem větví (proboha, vždyť větve rostou na stromech! = všechny pokácet!), velkým šutrem (ksakru ... máte řešení?), uškrtit provazem (všem sebrat i tkaničky!) ... a hlavně po pachateli zůstane tolik důkazů, že je vlastně jedno čím to proved. Jo a víte jak snadné je vyrobit bombu? Trestuhodně a směšně snadné :-/

anonym #2
anonym 09. srpen 2012 10:21

a to si myslite ze kdyz se delaj zbrane, tak si netisknou vetsinu dilu na tiskarne? vzdyt to potrebuji otestovat... mame tu termoplasty jako je ultem9085 (tu pouzivaj napr. tiskarny fortus od firmy stratasys).

Amigapower =^..^= #4
Amigapower =^..^= 10. srpen 2012 22:44

Vytisknu si kōnigstigera ;)

Duff #5
Duff 13. srpen 2012 17:47

Kde ale na něj vzít tak 40 tun materiálu.

volani.webnode.cz #6
volani.webnode.cz 18. srpen 2012 11:48

Přiznejte se, kdo z vás si ještě nevytiskl doma vlastního terminátora?
Také vám nepřipadá úplně vhodné využít pro komunikaci mezi terminátory skydrive? :D
Ale když dávají tolik místa zadarmo!! :D

gilhad #7
gilhad 22. srpen 2012 16:21

Hlavne ty "zbrane" jsou jen plastove doplnky (pazby a tak), to co skutecne potrebujete je hlaven, komora, bici mechanizmus, neco, co komuru uzamkne - pohrichu na to nestaci nejaky mekky plast, ale poterbujete pevny a odolny material, co ty tiskarny tisknout neumi.

Jste na tom podobne, jako byste si vytiskli auto, s tim, ze se vytisknou jen sedadla a kryt volantu, ale motor, prevodovka, kola, nadrz a baterie se musi dodat z normalne vyrobeneho auta.

Je hezke, ze si muzete upravit vzhled, ale funkcni vyrobek uz musite mit, jinak vam to k nicemu stejne nebude.

RSS 

Komentujeme

Další na řadě je bezpečnost

Richard Jan Voigts , 09. říjen 2017 00:00
Richard Jan Voigts

Co všechno lze automatizovat pomocí strojového učení? Larry Ellison, technologický ředitel společnos...

Více







Kalendář

24. 10. VeeamON Forum 2017
25. 10.

26. 10.
Profesia days 2017
26. 10. Acronis Roadshow 2017
RSS 

Zprávičky

Electro World v účetním roce zmírnil ztrátu na 92 milionů Kč

ČTK , 20. říjen 2017 12:00

Firma se soustředila na zlepšení prodejní a distribuční sítě a rozšíření sortimentu....

Více 0 komentářů

Dohoda o ochraně dat mezi EU a USA prošla první kontrolou

ČTK , 20. říjen 2017 08:00

Cílem dohody je chránit osobní údaje osob v EU předávané společnostem v USA. ...

Více 0 komentářů

Operátoři: Metro by mohlo být signálem pokryté do konce roku 2018

ČTK , 20. říjen 2017 08:00

Operátoři mají enormní zájem na pokrytí pražského metra, a to na vlastní náklady....

Více 0 komentářů

Starší zprávičky

Firmu Moravia IT koupil britský konkurent RWS Holding

ČTK , 19. říjen 2017 21:26

Mezi zákazníky firmy specializující se na lokalizaci a testování softwaru patří např. Microsoft, IBM...

Více 0 komentářů

Státní ústav pro kontrolu léčiv hájí elektronické recepty

ČTK , 19. říjen 2017 10:00

V ČR se vydá 60-70 milionů papírových receptů ročně. Podle ministerstva je elektronizace zdravotnict...

Více 0 komentářů

Ransomware Locky v září masivně útočil ve světě i v ČR

Pavel Houser , 19. říjen 2017 09:30

Locky se neobjevil v Top 10 škodlivých kódů od listopadu 2016....

Více 0 komentářů

Podnikové služby tvoří už 5 % českého HDP

Pavel Houser , 19. říjen 2017 09:00

Podnikové služby v ČR rostly o 19 %, největší boom zažívají centra poskytující IT služby....

Více 0 komentářů