Poodle: objevena byla chyba ve starší verzi SSL. Jak pracovat s javascriptovými knihovnami třetích stran. Záplaty vydal Microsoft, Adobe, Oracle i Apple. Binder útoky na Android. Jak vysoké procento lidí zakrývá webové kamery? Následuje pravidelný bezpečnostní přehled vytvářený především podle webů ZDNet, CNet, The Register a HelpNet Security.
US-CERT upozorňuje, že podvodníci se v nové vlně škodlivých e-mailů a příspěvků na sociálních sítích aktuálně snaží pracovat se strachem z Eboly. Škodlivé přílohy e-mailů nebo odkazy na podvodné weby slibují informace na toto téma. Jako hoax se šíří dokonce i zpráva, že zařízení iPhone 6 byla při výrobě infikována právě ebolou.
Bezpečnostní záplaty minulého týdne: Microsoft vydal 9 bulletinů zabezpečení, z toho 3 kritické. Nejdůležitější je aktualizace Internet Exploreru, zranitelné jsou veškeré podporované verze na všech operačních systémech (více než 20 jednotlivých chyb). Další kritické záplaty se týkají operačních systémů (Windows 7, 8 i serverové verze Windows) a platformy .Net. Chyby v MS Office 2007 a 2010 nejsou sice označeny jako kritické, i tak však mohou za určitých podmínek vést ke vzdálenému spuštění kódu.
Adobe vydala záplatu pro přehrávač Flash Player.
Oracle publikoval svou čtvrtletní várku záplat – týkají se 16 produktů/platforem společnosti. 25 chyb bylo opraveno v platformě Java SE, většina z nich umožňuje vzdálené spuštění kódu a kompletní ovládnutí systému útočníkem. 31 chyb bylo opraveno v databázi Oracle (verze 11g a 12c), 2 z toho jsou vzdáleně zneužitelné. Zalátána byla platforma middlewaru Oracle Fusion, PeopleSoft, Solaris i řešení pro jednotlivé segmenty či podniková oddělení. Co se týče produktů používaných podobně jako Java i jinde než mezi zákazníky Oraclu: 24 chyb bylo opraveno v MySQL, 9 z toho je zneužitelných vzdáleně.
Rovněž Apple vydal obří balík bezpečnostních záplat. Opravy jsou určeny pro OS X (Yosemite, Mountain Lion, Maverick i serverové verze 2, 3 a 4) a iTunes. Řadu těchto chyb objevili v Googlu (hlavně při zkoumání jádra WebKit, které používají produkty Apple i Google).
Kritická chyba byla objevena ve starší verzi SSL 3.0. Nazvána byla Poodle/Poodlebleed, útočník s její pomocí může získat oprávnění klienta (cookies), provést útok man-in-the-middle a zmocnit se příslušné relace. SSL 3.0 však není příliš používáno, závažnost problému zřejmě není srovnatelná s HeartBleed nebo Shellshock. Největší riziko zneužití je při připojení pomocí nezabezpečených Wi-Fi sítí.
Na chybu upozornili výzkumníci Googlu. SSL 3 by se v rámci přenosu https již vůbec nemělo používat (jedná se o verzi starou 18 let), útočníci se ale mohou snažit znefunkčnit verzi TLS a vynutit „downgrade“ – komunikaci mezi klientem a serverem v SSL 3.0. Zřejmě nejspolehlivější cestou je na straně serveru prostě SSL 3 zakázat, to ale může odříznout např. uživatele Internet Exploreru 6 a Windows XP, i když i zde jsou možnosti, jak problém obejít.
K zákazu SSL 3 přistoupil Twitter a CloudFlare, bude zahrnut do nových verzí Firefoxu a Google Chrome.
Chyba je obsažena v řadě síťových produktů Cisco: The Register uvádí např. Webex Social, klient AnyConnect, server TelePresence, řada Nexus či Wireless LAN Controller.
Systém COWL (Confinement with Origin Web Labels) by měl zabezpečit webové servery, které používají javascriptové knihovny třetích stran. Ochrana má zajistit, aby se např. zadávaná hesla dostávala do rukou pouze příslušným serverům (ať už by příslušné knihovny byly zneužitelné záměrně nebo v důsledku špatného napsání), např. umožňuje omezit sdílení dat pouze na příslušnou doménu. Tvůrci CWL upozorňují, že většina nejnavštěvovanějších webů užívá dnes knihovnu jQuery, jejíž oficiální web byl kompromitován – i když samotného kódu se incident zřejmě netýkal.
COWL by měl být je stažení zdarma a poskytne prohlížeči navíc vrstvu DOM – podporován je prozatím jen Firefox a Chrome. Mezivrstva by neměla znatelně zpomalit práci s prohlížečem.
Jedním z přírůstků do portfolia produktů Internet of Everything společnosti Cisco je nový systém kamerového dohledu Video Surveillance 7.6, který analyzuje obraz a klasifikuje zaznamenané události.
Zdroj: tisková zpráva společnosti Cisco
Jedním ze čtyř globálních vítězů soutěže Cisco IoT Security Grand Challenge se stala slovenská společnost Excalibur. Vyvíjí řešení, které by ověřovalo identitu na základě chytrých telefonů namísto hesel.
Zdroj: tisková zpráva společnosti Excalibur
Pokud jakákoliv důležitá služba na Internetu nenabízí dvoufaktorovou autentizaci, je potřeba provozovatele k tomuto velmi rychle dotlačit a uživatelé se musí naučit tuto dodatečnou ochranu používat. Takový má být závěr z nedávného problému k Dropboxu, kdy k hacknutí samotné služby nedošlo, ale e-maily a hesla byly získány z jiných služeb a poté použity pro přihlášení do Dropboxu.
Zdroj: tisková zpráva společnosti Safetica Technologies
Tři čtvrtiny (74 %) Čechů již obdržely e-mail od podvodníka, který je vybízel například k uhrazení neexistujícího dluhu či k instalaci bankovního malwaru. Zcizení on-line identity či osobních dat přiznala více než desetina respondentů (13 %). Respondenti se rovněž shodují, že podvodných e-mailů přibývá (85 %) a zvyšuje se jejich sofistikovanost. Průzkum byl proveden mezi uživateli Internetu.
Zdroj: tisková zpráva společnosti Intel
Intel představil technologii Intel Data Protection pro platební transakce. Řešení bylo vyvinuto ve spolupráci se společností NCR a kombinuje software optimalizovaný pro obchodníky s hardwarem Intel, včetně Intel Core a vybranými procesory Intel Atom.
Technologie Intel Data Protection pro transakce používá k ochraně platebního procesu další softwarovou vrstvu, čímž dle dodavatele doplňuje stávající investice do autorizace kreditních karet EMV, tokenizace a dalších ochranných technologií při maloobchodním prodeji. Software je z důvodu vyšší bezpečnosti uložen a provozován na čipové sadě Intel, a pomáhá tak překlenout propast mezi daty přenášenými mezi zařízeními u obchodníka a datovým centrem.
Řešení podporuje moderní formy kreditních a debetních plateb včetně EMV, magnetického proužku a transakčních čteček NFC, včetně Google Wallet, Softcard a Apple Pay.
Zdroj: tisková zpráva společnosti Intel
Každé páté zařízení s Androidem čelilo nejméně jednou útoku malwaru. Data vyplývají z průzkumu Kaspersky Lab a Interpolu za období od srpna 2013 do července 2014. Nejrozšířenějším malwarem jsou programy zasílající SMS na speciálně zpoplatněná čísla. Programy tohoto typu tvoří více než 50 % veškerého zachyceného škodlivého softwaru pro mobilní platformy.
Zdroj: tisková zpráva společnosti Kaspersky Lab
Kvůli obavám ze sledování zakývá 21 % Čechů své webové kamery. Vyplývá to z průzkumu mezi více než 11 000 uživateli ve 23 zemích včetně ČR. Podle studie to 5 % českých respondentů zakrývá kamery i na mobilním telefonu. Třetina českých respondentů (34 %) vůbec netuší, že by mohla jejich webová kamera sloužit ke sledování.
Zdroj: tisková zpráva společnosti Kaspersky Lab
Chyby v NSS ovlivňují verifikaci certifikátů ve Firefoxu a Chrome. Jedná se o další instanci ne celkem běžné zranitelnosti, která se ale opakovaně vyskytuje: Bleichenbacherův útok na RSA s malým veřejným exponentem, typicky 3.
Zdroj: Blog sdružení CZ.NIC
V roce 2020 se namísto klasických bankovek a tradičních platebních karet bude až 60 % všech plateb realizovat mobilem.
Zdroj: tisková zpráva asociace Visa Europe (vydaná u příležitosti výročí 100 let od první platební karty)
Check Point představil výsledky nového průzkumu s názvem „Man in the Binder: Kdo ovládá IPC, ovládá zařízení“. Studie architektury OS Android ukázala potenciální hrozbu krádeží dat na zařízeních se systémem Android prostřednictvím Binderu, mechanismu pro předávání zpráv v komunikaci mezi procesy (IPC – Inter-process Communication). Data, která mohou být zachycena a ukradena prostřednictvím Binder útoků, jsou například SMS zprávy, aktivity v aplikacích, jako jsou bankovní transakce, a útočníci mohou zachytit i cokoli, co uživatel zadává na klávesnici přístroje.
Zdroj: tisková zpráva společnosti Check Point Software Technologies
Dostupná je betaverze aplikace AVG Wi-Fi Assistant + Secure VPN. Tato aplikace umožňuje bezpečné připojování k veřejným bezdrátovým hotspotům s využitím šifrování dat VPN (virtuální privátní síť). Mj. také šetří baterii tím, že v závislosti na poloze hotspotu bez využití GPS automaticky zapíná či vypíná bezdrátový adaptér telefonu.
Zdroj: tisková zpráva společnosti AVG Technologies
Česká společnost Cryptelo představila na německém bezpečnostním veletrhu IT-SA stejnojmennou službu, která nabízí nový koncept přenosu a ukládání dat pro instituce vyžadující vysokou úroveň zabezpečení. Kryptografický design aplikace Cryptelo navrhl přední světový kryptoanalytik Vlastimil Klíma. Firma se vymezuje vůči službám typu Dropbox nebo Google Drive: „Většina služeb, které nabízí šifrované přenosy, ukládají šifrovací klíče spolu s daty nebo je generují na serveru.“
Zdroj: tisková zpráva společnosti Cryptelo
Šíří se falešný e-mail, který se snaží působit jako vyúčtování za služby O2. Předmět zprávy (Moje O2), období vyúčtování (14. 9. – 13. 10.) a variabilní symbol začínající trojčíslím 127 a končící trojčíslím 841 jsou prozatím vždy shodné. Číslo účtu příjemce a údajná dlužná částka se odlišují, jedná se o částky ve výši kolem 200 korun, zatím vždy s 01 haléři. E-mailová adresa, ze které je spam zasílán, je totožná s oficiální adresou společnosti. E-mail s falešným vyúčtováním obsahuje přílohu, ve které je spustitelný soubor ve formátu .zip. Tak lze podvod odhalit, protože skutečné vyúčtování obsahuje fakturu ve formátu PDF.
Zdroj: tisková zpráva společnosti O2
Na téma zabezpečení na ITBiz viz také:
Tvůrci CzechCrownCoinu rozdají 100 tisíc jednotek své měny
