Záplaty Oracle, uživatelé i správci MS SharePoint zdrojem problémů, útoky SQL injcetion čekají na odhalení velmi dlouho, počet bankovních trojanů rychle roste. Následuje pravidelný bezpečnostní přehled vytvářený především podle webů ZDNet, CNet, The Register a HelpNet Security.
Balíček bezpečnostních záplat vydal Oracle. Celkem řeší 104 zranitelností napříč jednotlivými produktovými řadami. Kritické opravy jsou určeny pro middleware (Fusion, 20 zranitelností, z toho 13 kritických/vzdáleně zneužitelných), databázi i informační systémy Siebel a PeopleSoft. Pro platformu Java jsou k dispozici opravy 37 zranitelností, které jinak útočníkovi umožňovaly vzdálené ovládnutí počítače už při spuštění podvodného appletu. Opraven byl i OS Solaris, sada Supply Chain Products Suite a MySQL Server (14 chyb, z toho 2 vzdáleně zneužitelné).
Studie provedená na konferenci uživatelů MS SharePoint ukázala, že 36 % z nich porušuje zásady zabezpečení, a získávají tak přístup k informacím, na něž nemají nárok. Mnozí správci jsou přesvědčeni, že mají nárok na neomezená práva a přístup k veškerému obsahu na serverech; sami tak představují bezpečnostní riziko. 19 % firem pro jistotu citlivé informace vůbec neumožňuje ukládat do systému SharePoint. Velká většina firem řeší zabezpečení spíše vydáním nějakých zásad/vyhlášek, které ale zaměstnanci mohou nedodržovat, pouze menšina firem dosahuje zabezpečení primárně technickými prostředky. Zatímco v minulosti se prý v SharePointu slídilo hlavně po platech kolegů, nyní převládá snaha dostat se k cennému duševnímu vlastnictví firmy.
Ponemon Institute a DB Networks vydaly analýzu současné situace v oblasti útoků SQL injection. 65 % respondentů zaznamenalo v posledním roce útoky SQL injection, které dokázaly obejít ochranné systémy firmy. Příslušné porušení bezpečnosti bylo v průměru zjištěno až 140 dní od incidentu a zalátání chyby trvalo v průměru dalších 68 dní; pouze 34 % respondentů je přesvědčeno, že mají k dispozici efektivní nástroje pro rychlé odhalování těchto průniků. 52 % respondentů uvedlo, že nemají k dispozici žádné nástroje, jimiž by mohli testovat, zda je tímto způsobem zranitelný nasazovaný software třetích stran. 56 % dotazovaných soudí, že situace v oblasti SQL injection se stále zhoršuje v důsledku trendu BYOD. 88 % se domnívá, že jedním z řešení problému by bylo používat k detekci útoků behaviorální techniky.
Analýza společnosti WhiteHat Security se pokusila porovnat programovací jazyky/vývojová prostředí z hlediska bezpečnosti aplikací, které jsou v nich vytvářeny. Závěr: pro útočníky je nejvýhodnější zaměřovat se na aplikace vytvořené v v .NET, ASP a Javě, následuje PHP, relativně nejméně zranitelné bývají aplikace vyvinutí v ColdFusion nebo Perlu. Problémem .NET, ASP a Javy má být hlavně jejich komplexnost/složitost. Současně jde ovšem o nejpoužívanější prostředí, zjištěné zranitelnosti jsou tedy také prostě důsledkem toho, že je v nich vytvářen velký počet aplikací. Zajímavé je, jak se liší popularita jednotlivých prostředí podle oboru, když finanční služby spoléhají převážně na ASP, herní průmysl zase na PHP. Bankovní aplikace využívají zhruba ve stejné míře platformy Java a .NET.
Dropbox nabízí své úložiště také pro firemní sektor. Služba Dropbox for Business je přirozeně placená, v řádu 15 dolarů za uživatele/měsíc. Podnikovým zákazníkům je třeba přirozeně nabídnout vyšší spolehlivost a zabezpečení, administrátoři zde mohou např. vzdáleně mazat soubory v zařízeních zaměstnanců (včetně tabletů a smartphonů) a nastavovat a kontrolovat, jak probíhá sdílení obsahu.
Eset uvolněním vývojářské sady rozšířil použitelnost autentizačního řešení Eset Secure Authentication. Nyní nabízí systémovým architektům a vývojářům možnost integrovat toto zabezpečení také do prostředí, v němž není k dispozici MS Active Directory. Tuto funkčnost dává vývojářská sada (SDK) pro programovací jazyky .NET, PHP a Java; ve všech případech Eset nabízí také návody pro vývoj a nasazování a příklady použitelného kódu. Eset Secure Authentication je řešením pro dvoufaktorovou autentizaci, které funguje na bázi jednorázového hesla.
Zdroj: tisková zpráva společnosti Eset
EMC představila nové produkty pro ochranu dat. Reagují na skutečnost, že v softwarově definovaných datových centrech je infrastruktura virtualizovaná a je poskytována jako služba. Vylepšena byla sada EMC Data Protection Suite. K novinkám zde patří např. správa snímků pro pole EMC Isilon, EMC VNX a NetApp pro zlepšení ochrany dat v úložištích NAS. Představen byl také nový OS EMC Data Domain Operating System, který v prostředích Data Domain umožňuje zajišťovat bezpečnou izolaci. Tato funkce je určena pro velké podniky a poskytovatele služeb.
Zdroj: tisková zpráva společnosti EMC
Představeno bylo řešení Dell Fluid Cache pro SAN a obslužný software Dell Compellent Storage Center 6.5. V oblasti bezpečnosti dodavatel deklaruje zavedení samošifrovacích disků (SED), které nabízejí vysoce zabezpečené řešení pro organizace působící v právních, finančních nebo zdravotnických odvětvích.
Zdroj: tisková zpráva společnosti Dell
Jak jsou organizace z různých sektorů postiženy úniky dat? Nejčastěji se týkají finančních institucí (37 %), následuje maloobchod a restaurace (24 %). Zbývající procenta si rovným dílem rozdělily výroba, doprava a veřejné služby a informatika spolu profesionálními poskytovateli služeb.
Zdroj: tisková zpráva společnosti Safetica
První čtvrtletí 2014 v číslech, včetně dat pro ČR: Počet bankovních trojských koní se v prvním čtvrtletí 2014 téměř zdvojnásobil z 1 321 na 2 503. 33,2 % počítačů po celém světě bylo cílem nejméně jednoho z webu pocházejícího útoku, což znamená pokles o 5,9 % oproti stejnému období v roce 2013. V Česku to bylo 20,7 %. V ČR bylo odhaleno 209 049 místních malwarových incidentů, což znamená, že 19,6 % uživatelů bylo napadeno místními hrozbami, v žebříčku zemí patří ČR 187. místo.
Zdroj: tisková zpráva společnosti Kaspersky Lab
Kaspersky Lab v oblasti podnikových bezpečnostních řešení v roce 2013 zaznamenala růst 9 % (dle porovnání neauditovaného zisku 2012/2013). Základna podnikových klientů Kaspersky Lab překročila hranici 250 000 firem, od malých a středních podniků po velké vládní organizace a soukromé společnosti. Na bezpečnostním summitu CyberSecurity Summit v San Francisku Kaspersky Lab oznámila, že v příštích týdnech představí nové rozšíření řešení Kaspersky Security for Virtualization.
Zdroj: tisková zpráva společnosti Kaspersky Lab
Tým laboratoří FortiGuard Labs v roce 2013 objevil 18 kritických zranitelností typu zero day. Od roku 2006 našli odborníci z laboratoří FortiGuard Labs více než 140 zranitelností zero day, 128 z nich bylo opraveno dodavateli příslušného softwaru. Fortinet ve svých IPS systémech před zranitelnostmi chrání ještě předtím, než opravu vydá samotný dodavatel.
Zdroj: tisková zpráva společnosti Fortinet
SSLmarket.cz nabízí svým zákazníkům přegenerování certifikátu zdarma. Zákazníci SSLmarketu tak nemusejí platit poplatek za tzv. reissue, který vyžadují některé certifikační autority. Zákazníci si mohou certifikát znovu vystavit při potížích (např. při ztrátě privátního klíče) nebo při řešení zranitelnosti Heartbleed.
Zdroj: tisková zpráva společnosti Zoner software
Společnost Axis, dodavatel bezpečnostních IP kamerových systémů, oznámila, že na novou pozici Sales Engineer pro ČR a Slovensko nastupuje Richard Malíř.
Zdroj: tisková zpráva společnosti Axis Communications
KGuard přichází na český a slovenský trh s novým setem sledovacího systému Aurora. Součástí sady je kamera 800TVL, která umožňuje sledování a automatické zaostření na pohybující se objekt.
Zdroj: tisková zpráva společnosti KGuard
Na téma zabezpečení na ITBiz viz také:
Bude Nokia vyrábět telefony s kvantovým šifrováním?
Pravděpodobně to sice v nejbližší budoucnosti příliš nevypadá, ale patent si firma již podala.
Gmail možná přinese podporu PGP
Konkrétní podoba implementace PGP a otázka, kde se budou nalézat privátní klíče (na serverech Google, u třetí strany nebo u uživatelů) zůstává ovšem záhadou.
