Na toaletách opatrně. Srpnové záplaty Microsoftu. Matematika a reverzní inženýrství. Uživatelé nejsou ochotní platit za bezpečnostní software pro smartphony. Následuje pravidelný bezpečnostní přehled vytvářený především podle webů ZDNet, CNet, The Register a HelpNet Security.
Jako každé druhé úterý v měsíci, i nyní Microsoft vydal svůj pravidelný balíček bezpečnostních záplat. Celkem 8 bulletinů zabezpečení řeší 23 zranitelností. Postižen je operační systém, Internet Explorer a server Exchange.
Balíček MS13-059 je kumulativní aktualizací pro Internet Explorer, který opravuje 11 zranitelností – 9 z nich je v závislosti na verzi prohlížeče a OS podle Microsoftu kritických. Útočník může dosáhnout porušení paměti a vzdáleného spuštění kódu už při zobrazení podvodné stránky.
Záplata MS13-060 je určena pro Windows XP a Windows Server 2003. Vzdálené spuštění kódu lze v tomto případě realizovat přes písma OpenType, ať už jsou vložena do zaslaného dokumentu nebo do HTML kódu na webu. Balíček MS13-061 pak opravuje tři kritické chyby v serveru Exchange (souvisí především s přístupem přes webové rozhraní).
Lze matematicky znemožnit reverzní inženýrství? Amit Sahai a jeho kolegové z University of California v Los Angeles tvrdí, že přišli s konceptem kódu, který zpětné inženýrství vylučuje. Software lze pak použít pouze jediným, původně zamýšleným způsobem. Podobných pokusů dnes existuje celá řada, třeba umožnit práci s daty tak, aby měl uživatel/program přístup pouze k těm, které právě potřebuje, ale vše přitom bylo stále šifrováno, každý kousek dat souboru či databáze uvolňován jen přechodně a na vyžádání. Sahai tvrdí, že skutečně techniku software obfuscation dovedli do stavu, kdy je matematicky neprolomitelná (nebo by vyžadovala najít dosud neznámé matematické postupy).
Zdroj: Phys.org
Na konferenci Black Hat v Las Vegas byla demonstrována technika, která během okamžiku dokáže dešifrovat údaje přenášené přes zabezpečené protokoly https/tls/ssl. Ukázku předvedli Angelo Prado, Neal Harris a Yoel Gluck. Problém má být v algoritmu Deflate, který se používá pro kompresi dat přenášených mezi prohlížečem a serverem. Zneužití je založeno na exploitu Compression Ratio Info-leak Made Easy (CRIME).
Analýza Gartner Group uvádí, že uživatelé nemají zájem si na své smartphony instalovat antivirový apod. bezpečnostní software a už vůbec nejsou ochotni za něj platit. Lidé vesměs vnímají mobilní telefon jinak než počítač, je to přístroj/elektronika a odmítají placený software (asi jako by si člověk nechtěl koupit software do lednice, aby mrazila). Vzhledem k trendu BYOD (používání soukromých zařízení pro pracovní účely) je tedy vynucení alespoň základní bezpečnosti na správcích podnikového IT, na samotné uživatele spoléhat nelze.
Z pohledu dodavatelů zabezpečení – nabízejí se samozřejmě možnosti dodávat základní produkt zdarma nebo se soustředit na dohody s výrobci/operátory a dodávat bezpečnostní software spolu se zařízením.
Další analýza Gartner: Ředitelé IT by se měli oprostit od toho, že jejich hlavním úkolem je zajištění shody s předpisy a jinými regulačními požadavky (compliance). Ať tyto záležitosti primárně řeší oddělení pro řízení rizik, IT má spíše podporovat vlastní podnikání.
Toto je ovšem skutečná lahůdka. Veškeré spotřebiče kolem nás jsou dnes (potenciálně) chytré, takže máme i smart toalety. Daniel Crowley z bezpečnostní firmy Trustwave SpiderLabs uvádí, že tudíž i chytré hajzlíky lze hacknout. Co to může reálně znamenat? Například lze prý vzdáleně vyvolat splachování a tudíž i účet za vodu. Nebo klapání prkýnka, šok a hrůzu, že v domě straší. Tak alespoň praví společnost Trustwave, zranitelné mají být chytré záchodky Lixil prodávané pod značkou Satis. (Detaily: toalety komunikují přes Bluetooth, od výrobce je zadáno výchozí heslo etc. Příslušná chytrá toaleta dokáže řadu dalších věcí, zapíná větrání či doprovodnou hudbu, aplikuje deodoranty, snad i nějak monitoruje zdravotní stav uživatele. Útočník se tedy asi může celkem vyřádit.)
Zdroj: Phys.org
V první polovině letošního roku došlo ke třicetiprocentnímu nárůstu škodlivých kódů pro mobilní zařízení. Už v roce 2012 experti z FortiGuard předpovídali, že finančně atraktivní vydírající malware najde svoji cestu do mobilních zařízení. Situaci značně napomáha současný stav dominantního operačního systému OS Android.
Ačkoliv pro platformy Ruby on Rails, Java, Adobe Acrobat či Apache přichází čím dál více aktualizací, specialisté z FortiGuard Labs konstatují, že útočníci se stále zaměřují na staré zranitelnosti.
Zdroj: tisková zpráva společnosti Fortinet
Společnost AVG Technologies oznámila finanční výsledky za druhé čtvrtletí 2013. Příjmy dosáhly 100,4 milionů dolarů. V porovnání se stejným obdobím loňského roku jde o 22% nárůst. Zisk má hodnotu 21,7 milionů dolarů. K 30. 6. 2013 měla AVG Technologies 155 milionů aktivních uživatelů.
Zdroj: tisková zpráva společnosti AVG
Gary Kovacs jmenován do pozice Chief Executive Officer a Managing Director společnosti AVG. Kovacs přešel z Mozilla Corporation, kde působil jako CEO. AVG současně jmenovala Franka Essera do pozice Independent Supervisory Director v dozorčí radě společnosti.
Zdroj: tisková zpráva společnosti AVG
Eset představil kompletně přepracovanou aplikaci Eset Mobile Security pro Android. Nová generace mobilního produktu nabízí vylepšené skenování, antiphishingový modul a nové uživatelské rozhraní. Aplikace dokáže řešit i nedávno objevenou zranitelnost Android Master Key. Funkce bezpečnostního auditu monitoruje povolení nainstalovaných aplikací, jako lokalizace polohy, přístup ke kontaktům nebo nákupy v rámci aplikace.
Zdroj: tisková zpráva společnosti Eset
Na internetové stránky hudebního festivalu BeeFree 2013 byl neznámým autorem přidán škodlivý kód. Tento malware kód Eset detekuje pod názvem JS/Kryptik.ANM.
Zdroj: tisková zpráva společnosti Eset
Výzkumníci společnosti Eset provedli analýzu zajímavé formy bankovního trojského koně, která se šířila v Brazílii. Hrozba mj. zneužívala ke shromažďování informací o obětech brazilský vládní server.
Zdroj: tisková zpráva společnosti Eset
Ve druhé čtvrtině roku 2013 se podíl spamu na celkové e-mailové komunikaci zvýšil v porovnání s předchozím čtvrtletím o 4,2 % na 70,7 %. Phishing přitom představoval 0,0024 %.
Zdroj: tisková zpráva společnosti Kaspersky Lab
Sdružení CZ.NIC spouští dvojici projektů zaměřených na zkvalitnění prostředí českého Internetu. Provozovatelům a správcům webů je určen projekt Skener webu pomáhající odhalit nejčastější zranitelná místa webových aplikací. Služba CAPTCHA Help navazující na projekt Dobrý kód podporuje hendikepované uživatele při autorizaci prostřednictvím obrázkových kódů. Obě služby jsou pro uživatele zdarma.
Zdroj: tisková zpráva sdružení CZ.NIC
GFI nabízí na českém trhu GFI Cloud, nabídku cloudových služeb pro malé a středně velké společnosti. Nabídka je určena pro skupinu podniků, které mají zájem o cloudové služby v oblasti zabezpečení podnikových sítí, ale které nechtějí svěřit svou IT infrastrukturu do rukou poskytovatelů řízených služeb (MSP).
Zdroj: tisková zpráva společnosti GFI Software
Bankovní institut vysoká škola (BIVŠ) v Praze otevírá studentům a pedagogům specializované IT pracoviště umožňující simulaci nestandardních stavů systémů používaných v bankovních a finančních institucích.
Zdroj: tisková zpráva BIVŠ
Jason Fossen ze SANS Intitute uvádí, že zločinci si dnes zero day zranitelnosti objevené ve Windows XP zřejmě šetří. Pokud by je začali zneužívat dnes, Microsoft by brzy vydal záplatu. Od dubna 2014 však tento systém přestane být podporován a žádné bezpečnostní aktualizace už nebudou (s výjimkou zákazníků, kteří mají s Microsoftem speciální smlouvy).
