margin-top: 125px; border: 1px solid gray; } -->

Bezpečnostní přehled: Zranitelnost chytrých měřáků elektřiny

Pavel Houser , 12. duben 2012 08:00 0 komentářů
Bezpečnostní přehled: Zranitelnost chytrých měřáků elektřiny

Dubnové záplaty Microsoftu, hned několik kritických. Počítačoví podvodníci se přidávají do ekonomických systémů jako zaměstnanci. Nejvíce chyb bylo z aplikací loni reportováno v Chrome. Malware FlashFake zasáhl Mac OS X. Pastebin bude více hlídat zveřejňování citlivých informací. Následuje pravidelný čtvrteční bezpečnostní přehled.

Microsoft v úterý vydal své dubnové bezpečnostní záplaty, které opravují 11 zranitelností. U jedné z nich Microsoft připustil, že proti chybě už byly zaznamenány cílené útoky. Jedná se díru ve zpracování komponent ActiveX, konkrétně v technologii Windows Common Controls. Chybu lze zneužít vzdáleně, k infekci stačí navštívit podvodný web (není jasné, zda přitom musí oběť zobrazit web v Internet Exploreru nebo stačí mít tento browser nainstalován). Zranitelnost popisuje bulletin zabezpečení MS12-027.

Microsoft doporučuje urychlenou instalaci záplaty výše uvedeného problému. Dále firma doporučuje věnovat pozornost také balíčku záplat MS12-023, které jsou určeny pro Internet Explorer. Zde mohou zranitelnosti vést k tomu, že při návštěvě podvodného webu získá útočník stejná práva, jako má aktuálně pracující uživatel.

Třetí kritický balíček zabezpečení MS12-024 opravuje chybu zneužitelnou pomocí speciálního souboru ve formátu PE (portable executable). Kritická je rovněž záplata MS12-025 týkající se rozhraní MS.Net. Tuto chybu lze zneužít opět při návštěvě webové stránky, přičemž svůj kód může útočník spustit i na MS Internet Information Serveru (pokud se mu sem podaří stránku nějak uploadovat). Méně závažné chyby byly opraveny v MS Forefront a MS Office.

Zdroj: ZDNet, The Register a další

Bankovní trojský kůň Zeus se začíná používat pro další typ finančních podvodů. S jeho pomocí se podvodníci pokoušejí kompromitovat ekonomické (mzdové apod.) systémy, především v malých firmách, které obvykle nemají tak propracované zabezpečení. Následně mohou do systémů třeba přidávat fiktivní zaměstnance, jimž se pak vyplácí mzda. Pro převod použijí jako obvykle bankovní účty bílých koní (mules). Podle analýzy společnosti Trusteer jsou k těmto útokům zvlášť náchylné ekonomické systémy provozované jako cloud, kdy k přístupu stačí webový prohlížeč a ukradené přihlašovací údaje. Trusteer předpokládá, že tento typ útoků bude stále populárnější, slibuje větší zisky než vysávání bankovních účtů jednotlivých uživatelů.

Zdroj: The Register

Chytré měřicí systémy pro sledování spotřeby elektřiny jsou údajně běžně zranitelné a umožňují vzdáleně vsunout neautorizovaná data. Problém je především v implementovaných komunikačních protokolech, které neobsahují dostatečné záruky pro integritu dat. Tvrdí to na základě výsledků svého průzkumu firma nCircle.

FBI dodává, že hack chytrých měřičů již každoročně působí v USA škody v řádu stovek milionů dolarů. Podvody je těžké odhalit, když se odečet provádí na dálku a měřiče jsou pochopitelně upraveny tak, aby nějakou (uvěřitelnou) spotřebu hlásily. Liší se názory na to, jaký přístup k měřicímu zařízení musí podvodník mít - je nutná fyzická manipulace, nebo lze provést i bezdrátové připojení počítače a následně je úprava čistě softwarová?

Zdroj: SecurityNewsDaily

Největším bezpečnostním rizikem mají dnes pro firmy představovat špatně nastavené interní procesy, tvrdí společnost AlgoSec. V důsledku toho je třeba mnoho procesů provádět ručně a s chybami, nasazení aktualizací trvá dlouho, správci nemají přehled o tom, co se vlastně v podnikové síti děje. Dokonalejší moderní nástroje, např. firewally nové generace, s sebou prý přitom jako daň přinášejí ještě větší složitost.

Zdroj: HelpNet Security

Čína tvrdí, že prostřednictvím internetu probíhá stále častěji ilegální dovoz zbraní do země. Transakce v e-shopech jsou pak doprovázeny použitím expresních doručovacích služeb pro fyzickou dodávku zboží. Tvrzení čínských vládních představitelů publikované v China Daily je ale současně pokládáno za záminku pro ještě větší vládní kontrolu nad Internetem.

Zdroj: The Register

Provozovatelé webu Pastebin.com najímají zaměstnance, kteří budou rychle mazat citlivé informace, které prostřednictvím tohoto webu publikují např. hakctivisté (především uniklé databáze hesel, údajů o platebních kartách nebo osobních údajů). Pastebin.com dosud mazal data na vyžádání (takových upozornění provozovatelé mimochodem prý dostávají až 1 200 denně), nyní najme lidi, kteří budou obsah i aktivně prohlížet. Počítačovým zločincům by v důsledku toho mohla být trochu zkomplikována komunikace, i když si bezpochyby najdou jiné cesty... Mimochodem Pastebin si stěžuje také na to, že jej útočníci velice často používají jako cvičný cíl, na němž si testují účinnost útoků DDoS.

Zdroj: The Register

Společnost Trend Micro zveřejnila výsledky studie porovnávající jednotlivé mobilní platformy z hlediska schopnosti vyhovět při použití v podnikovém prostředí požadavkům na zabezpečení. Platformy byly hodnoceny na základě kombinace faktorů zahrnujících vestavěné zabezpečení, zabezpečení aplikací, autentizaci, mazání obsahu přístrojů, použitý firewall a virtualizaci. Nejvyšší průměrné skóre získala platforma BlackBerry, následovaly iOS, Windows Phone a Android. U Androidu sehrál v hodnocení mj. negativní roli fakt, že většina zařízení stále používá starší verzi 2.x. Dobré hodnocení BlackBerry ovšem závisí na tom, zda se současně užívá BlackBerry Enterprise Server.

Zdroj: tisková zpráva společnosti Trend Micro

Masová infekce systémů Mac OS se stala realitou. Botnet Flashfake ovládl asi 670 000 počítačů, v naprosté většině systémů Mac OS X. V posledních dnech množství počítačů komunikujících s řídicími servery botnetu pokleslo, což ale může znamenat i pokus podvodníků o lepší maskování své aktivity. Nejvíce nakažených počítačů je ve vyspělých zemích.

Kaspersky Lab nabízí zdarma nástroj pro detekci i odstranění Flashfake.

Zdroj: tisková zpráva společnosti Kaspersky Lab, Betanews.com a další

Jinak i další zdroje se shodují, že Flashfake je zatím vůbec největším bezpečnostním incidentem týkajícím se počítačů Mac. Apple už oznámil, že bez ohledu na nástroje bezpečnostních firem pracuje i na vlastním opravném mechanismu.

Podle zprávy National Vulnerability Database (NVD) ohlásilo v roce 2011 bezpečnostní zranitelnosti 722 dodavatelů. Pořadí podle firem bylo následující: Google, Oracle, Apple, Microsoft, Adobe. 85 % zranitelností objevilo v aplikacích, 12 % v operačních systémech a 3 % na úrovni hardwaru. V oblasti aplikací se nejvíce útoků objevilo u prohlížeče Google Chrome následovaným různými aplikacemi Applu, Mozilly a Adobe.

Zdroj: tisková zpráva společnosti GFI

Technologie Intel SBA (Small Business Advantage) je určena pro malé firmy, kterým by měla nabídnout prostředí prakticky bez nutnosti údržby. SBA slibuje zaručit kontrolu zabezpečení, pravidelné aktualizace, zálohování dat i optimalizaci výkonu. Všechny tyto činnosti půjde nastavit tak, aby se prováděly mimo pracovní dobu. Zdroj: tisková zpráva společnosti Intel


Komentáře


RSS 

Komentujeme

Chatbot mluví za mrtvého – od nápadu k realizaci

Pavel Houser , 30. listopad 2016 13:00
Pavel Houser

Na webu The Verge popsala Casey Newton příběh dvou přátel (Eugenia Kuyda a Roman Mazurenko). Peripet...

Více





Kalendář


RSS 

Zprávičky

Telefony Nokia se příští rok vrátí na trh

ČTK , 02. prosinec 2016 10:30

Chytré telefony se značkou Nokia se objeví zpátky na trhu v příštím roce. Finská společnost Nokia dn...

Více 2 komentářů

CETIN nabídne příští rok operátorům připojení až 250 Mbit/s

ČTK , 01. prosinec 2016 17:00

Společnost Česká telekomunikační infrastruktura (CETIN) zvýší od května příštího roku rychlost inter...

Více 0 komentářů

Akcie Samsungu stouply na nový rekord

ČTK , 01. prosinec 2016 12:00

Akcie jihokorejské společnosti Samsung Electronics dnes stouply o více než čtyři procenta na nový re...

Více 0 komentářů

Starší zprávičky

FBI bude moci s povolením soudu pronikat do jakýchkoli počítačů

ČTK , 01. prosinec 2016 10:30

V americkém Senátu dnes selhal poslední pokus o zablokování rozšířených policejních pravomocí, které...

Více 2 komentářů

Gartner:Prodej tabletů v ČR letos klesne o osm procent na 1,1 mil

ČTK , 30. listopad 2016 14:00

Zájem o tablety letos dále klesá. Prodej tabletů a hybridních notebooků na českém trhu se letos sníž...

Více 0 komentářů

Grafen opracovaný laserem

Pavel Houser , 30. listopad 2016 11:00

Na Iowa State University přišli s další metodou pro tištění grafenových součástek. V tomto případě j...

Více 0 komentářů

GFI Software přichází s beta verzí pokročilé cloudové ochrany e-mailu

Petr Velecký , 29. listopad 2016 18:00

Beta verzi své nejnovější cloudové platformy pro zajištění bezpečnosti a kontinuity provozu podnikov...

Více 0 komentářů