• Technologie
  • Byznys
  • Software
  • Hardware
  • Internet
  • Telco
  • Science
  • České IT
  • Události
Žádné výsledky
Zobrazit všechny výsledky
ITBiz.cz
ITBiz.cz
Žádné výsledky
Zobrazit všechny výsledky

Bezpečnostní přehled: Jak narušit ovládání elektrospotřebičů či prolomit šifrování GPRS

Pavel Houser
11. 8. 2011
| Články

V tomto týdnu se kalendář sešel s druhým úterkem v měsíci, kdy Microsoft vždy vydává své bezpečnostní záplaty. Dojde i na bezpečnost aplikací pro chytré telefony, státem podporovanou kybernetickou špionáž a šifrování v sítích GPRS. Následuje pravidelný čtvrteční bezpečnostní přehled.
Již s předstihem bylo oznámeno, že kritické chyby budou opraveny v Internet Exploreru a serverových verzích Windows. Microsoft tentokrát vydal 13 aktualizací (bulletinů zabezpečení), které látají 22 zranitelností.

Zdroj: The Register

Zranitelnosti v Internet Exploreru mohou umožnit vzdálené spuštění kódu pouze při návštěvě podvodného webu (útok typu drive-by download). Týkají se všech verzí prohlížeče včetně nejnovějšího MSIE 9. Ačkoliv útoky proti těmto chybám dosud neprobíhají, Microsoft uvádí, že exploity se rozšíří pravděpodobně už v příštích 30 dnech. (Poznámka: Microsoft dělí zranitelnosti podle jejich závažnosti, ale kromě toho přidává i tzv. exploitability index, který se pokouší odhadnout, do kdy se rozšíří pokusy těchto zranitelností zneužívat.)

Rovněž tak chyba v serverových verzích Windows jde napříč operačními systémy, od Windows Server 2003 po Windows Server 2008 R2. Týká se služby Microsoft DNS. Zranitelnost v tomto případě souvisí s možností spustit falešný DNS server, Microsoft ovšem nepředpokládá výskyt funkčního exploitu v příštím měsíci. Nicméně riziko zde existuje, protože firmy s infrastrukturou založenou na Windows mají většinou službu Microsoft DNS povolenou.
Další opravené chyby se vztahují k MS Office, Visual Studio a MS .Net.

Zdroj: Help Net Security

Společnost McAfee zveřejnila analýzu další obrovské akce kybernetické špionáže. Cílem zlodějů dat byly velké firmy i vlády řady států. Studie s názvem Operation Shady RAT se v názvu odkazuje i k nástrojům pro vzdálený přístup (remote access tools).

Za posledních 5 let bylo terčem těchto útoků minimálně 70 subjektů, po celém světě a ve všech oborech podnikání. Nešlo o nějaké jednorázové zneužívání softwarových zranitelností, ale o systematické útoky typu APT (Advanced Persistent Threats). Akce tohoto rozsahu je zřejmě dílem jediné skupiny a pravděpodobně se uskutečnila s podporou některé z vlád nebo jiných organizací disponujících potřebným zdroji.

Oproti komentářům, které viní z akce Čínu, vydala McAfee k dokumentu i speciální FAQ, kde se výslovně uvádí, že firma nechce nikoho jmenovat. Ostatně ani postižené společnosti nejsou přímo jmenovány, i když v některých případech by se z charakteristiky (ve stylu „vietnamská státem vlastněná firma podnikající v oblasti XY“) možná daly se slušnou spolehlivostí dohledat. Pro zájemce přikládáme odkaz na Kompletní text studie Operation Shady RAT.

Studie bezpečnostní firmy ViaForensics se soustředila na porovnání bezpečnosti iPhonu a zařízení se systémem Android. Tentokrát ale nešlo o samotné operační systémy, ale o aplikace. Obecně výsledky nedávají příliš důvodů k optimismu, protože aplikace ukládají často více dat, než skutečně potřebují, navíc řada údajů včetně přihlašovacích jmen (76 %) a hesel (10 %) bývá uložena v nešifrované podobě. Přitom aplikace, které z hlediska šifrování vyhověly, neměly ani problém s výkonem, čili tato námitka proti implementaci šifrování padá. Obecně byly lépe zabezpečené finanční aplikace, ale i v těch byla objevena řada problémů (nevyhověly Mint pro iPhone a Android, Square pro iPhone a Wikinves pro iPhone). Jinak selhal např. Groupon pro Android. Celkově aplikace pro iPhone obstály o něco lépe než ty pro Android, aniž by tyto výsledky ovšem šlo příliš zevšeobecňovat. Jisté důvody k obavám mají podle ViaForensics uživatelé obou platforem. Většina možných zneužití je v těchto případech (naštěstí?) spojena s tím, že se útočník dostane fyzicky k příslušnému zařízení.

Zdroj: CNet

BetaNews

Byl ukázán způsob, jak narušit automatizované sítě v domácnostech i kancelářských budovách pomocí zařízení připojeného pouze do elektrické zásuvky (i vně samotné sítě). Předpokladem pro úspěch je, aby vnitřní automatizovaná síť využívala veřejné elektrorozvodné sítě a protokol X10; nejedná se tedy o útok proti samotné infrastruktuře IT, ale proti systémům pro ovládání elektrických zařízení.

defcon

Připojený box (X10 Black Out) je naprogramován tak, aby interferoval s řídicími signály. Výsledně je možné například narušovat systémy, které mají zapínat/vypínat bezpečnostní kamery, klimatizaci, topení, osvětlení, alarm…, vyvolat chaos a vyřadit síť z provozu. Navíc byl demonstrován i nástroj (X10 Sniffer), který umožňuje komunikaci odposlouchávat a zjistit, jaká zařízení jsou připojena k síti a v jakém jsou zrovna stavu (zapnuto/vypnuto). Pokud má obyvatel domu na sobě čidlo pro automatickou reakci systémů na jeho pohyb, lze pak sledovat i pohyb člověka.

Jádro problému má údajně spočívat v tom, že protokol X10 nepoužívá šifrování.

Zdroj: CNet

{seealso}
Karsten Nohl, výzkumník z berlínských Security Research Labs, tvrdí, že se mu podařilo prolomit šifrování sítí GPRS. Některé GPRS sítě (Telecom Italia) podle něj nepoužívají šifrování vůbec, řada dalších (Vodafone, O2 a T-Mobile v Německu, tedy lze nejspíš vztáhnout i na ČR) ho má špatně implementováno. Nohl tvrdí, že nedostatečné ověřování v sítích umožňuje podvodníkům sbírat data třeba tak, že zkonstruují falešné základnové stanice. Nasazené šifrovací klíče bývají zbytečně krátké a umožňují útoky hrubou silou, a to pomocí nijak finančně náročného hardwaru. Přitom k dispozici je již 128bitové šifrovací schéma, ale podle Nohlových informací ho dosud žádný operátor nenasadil. Nohl již v minulosti prolomil např. šifrovací schéma Kasumi pro ochranu sítí 3G.

Zdroj: The Register

Na závěr také připomeňme, že také probíhala konference DefCon, z níž jsme i zde přinesli několik zpráviček:

Cílem kybernetického útoku se může stát i lidské tělo

DefCon zahanbil korporace, nejhůře dopadl Oracle

Počítačové viry jsou tu s námi již 25 let

Rubriky: HardwareInternetPodnikový softwareSecurityTelekomunikace

Související příspěvky

Ve věku 94 let zemřel spoluzakladatel Intelu Gordon Moore
Zprávičky

Ve věku 94 let zemřel spoluzakladatel Intelu Gordon Moore

25. 3. 2023
Zprávičky

Web pražské integrované dopravy napadli neznámí útočníci útokem DDoS

24. 3. 2023
Zprávičky

CETIN loni zvýšil zisk o 12 % na 2,88 miliardy Kč

24. 3. 2023
Vláda projedná novelu, která zpřesní pravomoci NÚKIB
Zprávičky

Zákon o dezinformacích posuzují experti, Rakušan ještě zváží jeho předložení

24. 3. 2023

Zprávičky

Ve věku 94 let zemřel spoluzakladatel Intelu Gordon Moore

Ve věku 94 let zemřel spoluzakladatel Intelu Gordon Moore

ČTK
25. 3. 2023

Ve věku 94 let zemřel v pátek Gordon Moore, spoluzakladatel společnosti Intel a průkopník

Web pražské integrované dopravy napadli neznámí útočníci útokem DDoS

ČTK
24. 3. 2023

Internetové stránky pražské integrované dopravy (PID) dnes ráno napadli neznámí útočníci. Web zablokovali útokem

CETIN loni zvýšil zisk o 12 % na 2,88 miliardy Kč

ČTK
24. 3. 2023

Největší tuzemský provozovatel telekomunikační infrastruktury CETIN loni zvýšil čistý zisk o téměř 12 procent

Kryptoměny a jejich ekonomika

V USA obvinili exšéfa kryptoměnové společnosti Terrraform Labs z podvodů

ČTK
24. 3. 2023

Američtí vyšetřovatelé obvinili někdejšího šéfa kryptoměnové společnosti Terrraform Labs To Kwona z několika podvodů.

Vláda projedná novelu, která zpřesní pravomoci NÚKIB

Zákon o dezinformacích posuzují experti, Rakušan ještě zváží jeho předložení

Pavel Houser
24. 3. 2023

Ministerstvo vnitra připravilo návrh zákona pro boj s dezinformacemi, nyní ho posuzují odborníci, resort

750 zaměstnanců ČSOB se díky Atosu zvládlo rychle přesunout do domácích kanceláří

Vedení Toshiby přijalo návrh na převzetí konsorciem v čele s firmou JIP

ČTK
23. 3. 2023

Vedení japonského průmyslového konglomerátu Toshiba přijalo návrh na převzetí podniku od konsorcia firem v

Masivní výpadek na polské železnici způsobila softwarová chyba (aktualizováno)

Konsorcium tří českých firem vybuduje komunikační síť na slovenské železnici

ČTK
23. 3. 2023

Konsorcium tří českých firem pod vedením pražské společnosti Kontron Transportation získalo na Slovensku zakázku

Pětice motorů technologických inovací v příští dekádě

Google zpřístupnil veřejnosti chatbota Bard, chce konkurovat Microsoftu

ČTK
22. 3. 2023

Americká internetová společnost Google v úterý zpřístupnila veřejnosti konverzačního robota Bard. Konkurovat bude službě

Tiskové zprávy

Nejnovější řada notebooků Lenovo Legion Slim

MiR uvádí nový cloudový software pro optimalizaci řízení robotických flotil

Změní generativní umělá inteligence pravidla hry?

SAP představuje nový balíček řešení pro střední firmy

ČSÚ: Více než polovina velkých průmyslových podniků využívá 3D tisk

CyberSecurity Podcast: Vše o nové evropské směrnici NIS 2

Zpráva dne

Březnový prodej – doživotní licence na Windows 10 za Goodoffer24 € 12 a Office za € 23!

Březnový prodej – doživotní licence na Windows 10 za Goodoffer24 € 12 a Office za € 23!

Redakce
3. 3. 2023

Ať už hledáte levnější cestu jak postavit nový počítač, nebo jen chcete upgradovat stárnoucí...

Odebírat newsletter

Zásady ochrany osobních údajů.

Zkontrolujte svoji doručenou poštu a potvrďte odběr.

Komentujeme

Chvála černých skřínek

Programování s pomocí umělé inteligence a open source licence

Pavel Houser
15. 3. 2023

S tím, jak se rozšiřuje využití umělé inteligence přímo při tvorbě softwaru, se intenzivněji začínají diskutovat...

Nadcházející akce

  1. Hannover Messe 2023

    17. dubna - 21. dubna

Zobrazit všechny Akce

Slovník

Mikroekonomie

NPD

Prezentace

Nejpopulárnější články

OKI na veletrhu EmbaxPrint zaujala potiskem etiket

OKI na veletrhu EmbaxPrint zaujala potiskem etiket

Tomáš Jirásko
1. 3. 2023

Kvalitních IT specialistů je nedostatek a práce na dálku jim může přinést až o 25 % víc peněz

Redakce
3. 3. 2023

Umělá inteligence: Nástroje vs. platforma, věda vs. kreativita

ChatGPT uspěl v testu teorie mysli

Pavel Houser
21. 2. 2023

Celosvětové výdaje na IT v letošním roce podle Gartneru vzrostou o 2,4 %

Redakce
23. 2. 2023

Mýty kolem digitalizace firmy (1): Digitalizace je jen IT projekt a adopce je ztráta času

Mýty kolem digitalizace firmy (1): Digitalizace je jen IT projekt a adopce je ztráta času

itbiz
2. 3. 2023

Kategorie

  • Články
  • Komentujeme
  • Slovník
  • Tiskové zprávy
  • Zprávičky

Portál ITbiz.cz přináší informace z IT a byznysu již od roku 2006. Provozuje jej internetové vydavatelství Nitemedia. Hosting zajišťuje společnost Greenhousing.cz. Mezi další naše projekty patří například ABClinuxu.cz a Sciencemag.cz. Na stránce Redakce naleznete informace o redakci a možnostech inzerce.

Rubriky

Akce a události Byznys Cloud Ekomerce Hardware Internet Operační systémy Podnikový software Právo Rozhovory Science Security techn Technologie Telekomunikace Veřejná správa Vývoj a HTML Zpráva dne České IT česk

Píšeme jinde

RSS ScienceMag RSS

  • Hledání mimozemského života v prachu na Zemi
  • Týden na ITBiz: Google zpřístupnil chatbota Bard, chce konkurovat Microsoftu
  • 25 let od první hluboké mozkové stimulace

RSS AbcLinuxu RSS

  • Firma Docker plánovala zrušit hosting pro open-source projekty, rozhodnutí přehodnotila
  • Zemřel Gordon Moore, mj. spoluzakladatel společnosti Intel a autor Moorova zákona
  • Mercurial 6.4

Newsletter

Zásady ochrany osobních údajů.

Zkontrolujte svoji doručenou poštu a potvrďte odběr.

Žádné výsledky
Zobrazit všechny výsledky
  • Technologie
  • Byznys
  • Software
  • Hardware
  • Internet
  • Telco
  • Science
  • České IT
  • Události

© 2019 Vydává Nitemedia s.r.o. Hosting zajišťuje Greenhousing.cz.

Tento web používá cookies. Pokračováním dáváte souhlas s jejich používáním. Více na itbiz.cz/soukromi.