Záplatování zřejmě není nejvhodnější způsob pro ochranu kritické infrastruktury. CAPTCHA jako šachová úloha. BlackBerry jako nejbezpečnější mobilní platforma. Následuje pravidelný bezpečnostní přehled vytvářený především podle webů ZDNet, CNet, The Register a HelpNet Security.
Německá vláda zakoupí až 4 000 zařízení se systémem BlackBerry 10. Ve srovnání s konkurencí se prý jedná o jedinou platformu, která vyhovuje bezpečnostním standardům NATO. Nejlepší zde má být podpora šifrování a možnost rozdělení systému na pracovní a soukromou část. Německá vláda hodlá systém doplnit o dodatečnou aplikací/kartou SecuSmart od stejnojmenné firmy.
Zdroj: eWeek.com
Výzkumníci z University of Michigan a jejich kolegové dospěli ve svém průzkumu k závěru, že přátelské vztahy či jiné vazby mezi generálním ředitelem a dalšími manažery firmy zvyšují riziko kybernetických i jiných podvodů (a navíc snižují pravděpodobnost, že tyto budou rychle odhaleny, bez ohledu na detekční systémy a audity). Závěr studie: představenstva, investoři a regulátoři by se měli snažit, aby výkonný ředitel své nejbližší spolupracovníky nejmenoval sám, ale co nejvíc do tohoto procesu zasahovat.
Zdroj: Phys.org
V několika modelech tiskáren HP Laser Jet byla objevena bezpečnostní zranitelnost, která vzdálenému útočníkovi umožňuje dostat se k datům protékajícím tiskárnou. Na vině je protokol telnet, respektive možnost takto k tiskárně přistupovat de facto bez znalosti hesla; při ladění kódu se na tento problém nejspíš prostě zapomnělo. HP již vydala opravu, doporučuje se proto aktualizaci firmwaru nainstalovat.
Útoky proti webům založených na WordPressu jsou v současnosti velmi oblíbené. Společnost NorseCrop nabízí službu IPVenger, která je určena menším organizacím využívajícím WordPress jako webový publikační systém (chystá se i podpora pro Joomlu a Drupal). Nabídka má podobu plug-inu, který dokáže řešit známé útoky proti starším verzím systému a údajně i zero day zranitelnosti, usnadňuje filtrování spamu apod. Ceny služby začínají od 10 dolarů měsíčně.
Adobe vydala novou verzi přehrávače/plug-inu Flash Player, která řeší 4 kritické bezpečnostní zranitelnosti; problém se týká uživatelů na platformách Windows, Mac OS i Android. Objevují se doporučení Flash v prohlížeči prostě zakázat, to však není tak jednoduché – např. ve srovnání s podobně problematickou Javou se Flash v prostředí webu užívá více.
Analýza společnosti Tofino Security uvádí, že záplatování není vhodný způsob pro ochranu současných SCADA systémů. Pravidelně vydávané aktualizace (jednou za půl roku apod.) totiž nepřinášejí dostatečnou ochranu proti aktuálním útokům. Rychle vydávané opravy zase často není možné instalovat, systémy SCADA musejí obvykle běžet neustále, snad jen s výjimkou předem plánovaným odstávek.
Provozovatelé se bojí instalovat záplaty i proto, aby neohrozili funkčnost produkčního systému (zde je snad na místě srovnání s databázemi). Řešením pro provozovatele proto nejsou vlastní opravy zranitelností, ale spíše způsob, jak problém obejít a na jiné úrovni (= v jiné části IT infrastruktury – na úrovni firewallu, implementace certifikátů apod.: „compensating controls“) zabránit známým pokusům o zneužití. Tím není řešeno, že záplaty nemají smysl, ale samy o sobě nestačí.
Botnety se dnes používají stále především k rozesílání spamu. A ačkoliv objem spamu globálně už delší dobu klesá, podle studie společnosti McAfee zde nastávají i výkyvy směrem vzhůru. Co se týče samotných botnetů vývoj má být následující. Víceméně odepsané se zdají být botnety Bobax (Kraken), Donbot, Grum, Fivetoone, Rustock a Bagle. Festi, Cutwail, Lethic, a Maazben dále fungují, ale jsou v úpadku. Naopak oživení zažívají Darkmailer, Waledac, Slenfbot a Kelihos. Waledac a Kelihos přitom byly už pokládány za zlikvidované, nicméně provozovatelům (nebo jedinému člověku; podle některých bezpečnostní výzkumníků mají oba stejného autora) se je podařilo opět zprovoznit.
Na webu Lichess.org se objevil nový způsob obrany CAPTCHA: uživatel musel vyřešit jednoduchou šachovou úlohu. Samozřejmě, že současné šachové programy by něco takového zvládly velmi snadno, bude se ale nějaký spammer (např.) obtěžovat zahrnovat takovou funkčnost do svého robota? Jinak řečeno, mohly by specializované servery při CAPTCHA testech požadovat právě znalosti z příslušného oboru? Samozřejmě, že tato metoda všech není použitelná pro univerzální služby, sociální sítě, webové e-maily, zpravodajské servery…
V koedici nakladatelství Argo a Dokořán vyšla kniha Temný trh (originál Dark Market), která mapuje vývoj počítačové kriminality v posledních letech, především s ohledem na obchod s čísly kreditních karet a jejich klonování (skimming). Mj. se zde seznámíte s tím, jak zřejmě největší „kartářské“ fórum bylo založeno policejními agenty, jak podvodníci trpí rivalitou jiných podvodníků, ale současně si v akcích překážejí i různé tajné služby a další bezpečnostní složky. Příběh také ukazuje, jak se internetová kriminalita postupně přesouvala od technologických nadšenců, pro něž finanční zisk z podvodu byl jen jednou z motivací, do světa organizovaného zločinu. Takový je Temný trh…
Zdroj: Nakladatelství Argo, Dokořán
Eset uvádí řešení Secure Autentication – systém dvoufaktorové autentizace (2FA OTP) pomocí jednorázových, serverem generovaných hesel, který umožní koncovému uživateli ověření přístupu k firemní síti prostřednictvím mobilního telefonu. Podporuje moderní mobilní platformy (iPhone, Android, BlackBerry, Windows Phone 7 a 8, Windows Mobile a J2ME), pro starší telefony je umožněna i dodatečná autentifikace přes SMS. Aplikace je určena speciálně pro malé a střední firmy a pro přístup k Outlook Web Access/App a infrastruktuře VPN (podpora pro Radius).
Zdroj: tisková zpráva společnosti Eset
Eset varuje slovenské firmy i uživatele před podvodným e-mailem, pod kterým je podepsán Daňový úřad. Ve skutečnosti jde o phishing, který se oběť pokouší navést k tomu, aby si stáhla jistý dokument („výklad“: daňové subjekty musí daň uhradit na číslo účtu, které je jedinečné pro každého plátce daně, toto číslo najdete v přípojeném souboru). Kdo se nechá oklamat, nainstaluje si do systému trojského koně Win32/Sazoora.A, který sbírá hesla zadávaná v prohlížečích, včetně přístupových údajů k internetovému bankovnictví.
Zdroj: tisková zpráva společnosti Eset
Axis uvádí síťovou kameru M2014-E, která je jen o málo větší než rtěnka. Díky bullet-style designu s malými rozměry a důrazem na funkčnost je tato kamera podle dodavatele vhodná pro instalace například v maloobchodních prodejnách, buticích, hotelích nebo malých kancelářích.
Zdroj: tisková zpráva společnosti Axis Communications
Ještě k nedávným útokům DDoS. Jaká jsou doporučení pro prevenci těchto událostí?
„Jedním způsobem, jak zabránit následkům útoku SYN DoS, je používání SYN cookies namísto udržování polootevřených spojení v rámci systémového paměťového zásobníku. Například jakékoliv ze zařízení NetScaler se systémovým softwarem verze 8.1 nebo novějším to dělá zcela automaticky,“ uvádí Vladimír Špička, regionální Sales Manager Citrix Systems.
Zdroj: tisková zpráva společnosti Citrix Systems.
NetGear nabízí 90% slevu na řešení ProSecure STM150EW3 – hardwarové zařízení pro ochranu firemní sítě (hardware STM150, software Kaspersky a CommTouch)
Zdroj: tisková zpráva společnosti NetGear
