Microsoft vydal říjnový balíček bezpečnostních záplat. Malé výročí: balíčky každé druhé úterý v měsíci vycházejí již 10 let. Siri otevírá cestu k zamčenému iPhonu. Máme se bát zranitelností SIM karet? Následuje pravidelný bezpečnostní přehled vytvářený především podle webů ZDNet, CNet, The Register a HelpNet Security.
Mezi 4 právě vydanými kritickými záplatami Microsoftu je i očekávaná oprava Internet Exploreru. Útočníci se již zranitelnosti CVE-2013-3893 pokoušeli aktivně zneužívat – stačí navštívit podvodný nebo kompromitovaný web (a zde zase stačí dostat do kódu kousek JavaScriptu), vzdálené spuštění kódu nevyžaduje žádnou reakci uživatele. Tato oprava má logicky nejvyšší prioritu.
Další kritické opravy jsou určeny pro operační systémy, zranitelné jsou všechny podporované verze Windows s výjimkou Server 2012 R2 a Windows RT 8.1. Opravy pro MS Office, SilverLight a server SharePoint nemají nálepku kritických.
The Register upozorňuje – je tomu právě 10 let, co Microsoft začal používat systém automatické distribuce záplat.
První program, v rámci kterého Microsoft platil bezpečnostním výzkumníkům přímo za objevené zranitelnosti, skončil. Cílem bylo odhalovat chyby v preview verzi Internet Exploreru 11. Za 1 chybu Microsoft sliboval podle okolností maximálně 11 000 dolarů. Nakonec bylo 26 000 dolarů rozděleno mezi 6 lidí, kteří reportovali dohromady 15 chyb. Nejvíce celkově obdržel James Forshaw z Context Security – 9 400 dolarů. Odměny získali i Ivan Fratric a Fermin J Serna z Googlu.
I když lákání hledačů exploitů k IE 11 je prozatím u konce, Microsoft dále nabízí odměny za nové techniky vedoucí k možnostem zneužití ve Windows 8.1 a současně i za obranné techniky.
Podle údajů ThreatMetrix se k bankovnímu účtu v průměru on-line přistupuje z 2,4 jedinečných zařízení. Data byla shromážděna za měsíc. Pro 55 % bankovních účtů vyšlo 1 zařízení, 4 zařízení jsou prý ale ještě běžná. Dvacet zařízení znamená již téměř jistě pokusy o podvody nebo technické nedostatky v použité metrice. Metodika průzkumu má nějak ošetřit např. anonymní režimy pro prohlížení internetu nebo cookies, ale jak si to celkově přebrat (též ad identifikace podvodů, bankovní malware jako Zeus navenek přistupuje právě ze zařízení běžně používaným obětí; firemní účty vs. účty jednotlivců)…
Přes Apple Siri se má jít dostat k uživatelským kontaktům a zprávám i na zamčeném iPhonu. Postup ukazuje následující video.
Vše samozřejmě vyžaduje fyzický přístup k zařízení, ovšem proč by se to v pracovním prostředí nebo osobních vztazích nezkoušelo. Metoda byla demonstrována pro telefon s iOS 7.0.2. Bezpečnost mobilní platformy Apple do značné míry chrání uzavřený ekosystém aplikací, ale v poslední době zde, zdá se, problémů i tak přibývá, viz např. způsob, jak obejít čtečku otisků prstu, odemykání telefonu bradavkou… Reputace Apple stojí na tom, že jde o značku prémiovou.
Studie společnosti Vormetic uvádí, že pouze 27 % zkoumaných velkých společností nějak reguluje přístup privilegovaných uživatelů k datům. Většina používá metody vhodné pro útoky zvenčí, které jsou ovšem nedostatečně účinné proti insiderům. Dotazovaní IT manažeři ovšem uvádějí, že kauza Snowden může za to, že tento problém vnímají intenzivněji.
Mojtaba Ahmadi, odpovědný v íránských Revolučních gardách za kybernetickou válku, byl nalezen mrtev v lesích na severozápad od Teheránu. Hodnocení The Registeru: kybernetická válka asi není zrovna hlavní třecí plochou mezi Íránem, Izraelem atd. Podle USA byly z Íránu prováděno útoky na energetické firmy. Spekuluje se také o roli Íránu na vzniku syrské provládní Syrian Electronic Army (nábory, školení…). A je tu naopak Stuxnet.
Zakladatel a vlastník (v určité komunitě známého) webu Silk Road byl zatčen. Je obviněn z účasti na prodeji drog, útokům na počítače, praní peněz. Muž vystupoval pod nickem Dread Pirate Roberts, newyorská policie uvádí, že jeho skutečné jméno je Ross William Ulbricht, je mu 29 let a žije v San Francisku. Navíc je i podezření z přípravy vraždy jiného uživatele Hedvábné stezky, který hrozil prozrazením identit. Ulbricht všechna obvinění popírá, Silk Road je mimo provoz, uživatelé se přesouvají na další podzemní trhy zvané Sheep a Atlantis.
Karsten Nohl uvádí, že je znechucen tím, jak mobilní firmy reagují na jeho odhalení (údajně) vážné bezpečnostní zranitelnosti.
Podle Nohla je hlavním problémem získat citlivé informace o telefonu pomocí speciálně naformátované zprávy poslané jeho SIM kartě, pak je zde ještě zranitelnost v JavaCard, takže data používaná jednotlivými aplikacemi od sebe nejsou oddělena, což bylo původním záměrem návrhu. Finálně tím může prý být např. ohroženo zabezpečení celé infrastruktury bezkontaktních plateb. Nohl tvrdí, že třeba chyba v JavaCard, respektive její neopravení, může být buď záměrný backdoor, nebo hrubá neopatrnost, obviňuje např. výrobce SIM karet Gemalto atd.
Průzkum Kaspersky Lab a B2B International Kaspersky Consumer Security Risks mezi 8 600 respondenty v 19 zemích světa (400 z nich pocházelo z ČR) ukázal nevratnost kybernetických útoků. Jen 45 % dotázaných českých uživatelů získalo všechna ztracená nebo zničená data zpět. 55 % respondentů přišlo alespoň o nějaké informace navždy. Téměř třetina obětí utrpěla kromě ztráty dat i přímou další finanční ztrátu.
Zdroj: tisková zpráva společnosti Kaspersky Lab
HP oznámilo rozšíření svého portfolia HP ArcSight, které nyní nabízí podnikům jednotnou analýzu velkých objemů dat s ohledem na bezpečnostní aspekty. Analyzovat lze strukturovaná i nestrukturovaná data, monitorovat události v cloudových, mobilních i virtuálních prostředích.
Rozšířen byl monitoring identit, který by měl urychlovat detekci pokročilých hrozeb (APT). Firmy tak mohou např. sbírat informace o uživatelských aktivitách ze všech účtů, aplikací a systémů a porovnávat je s daty o uživatelích a jejich rolích. Pokud software zaznamená nepovolenou aktivitu, automaticky vypne přístupy uživatele do sítě – není nutná lidská práce na straně bezpečnostního týmu.
Zdroj: tisková zpráva společnosti HP
Firemní notebooky se nejčastěji ztrácejí při cestování. Letištní terminály, dopravní prostředky, nádraží či parkoviště a dálniční odpočívadla se staly osudnou každé druhé okradené firmě, na Slovensku (57,1 %) a v ČR (54,2 %) tomu tak bylo ve více než v polovině případů. Více než polovina ukradených notebooků se dostala do nepovolaných rukou bez jakéhokoli systému na ochranu dat. S tvrzením, že ztráta notebooku může být pro firmu likvidační, souhlasí většina oslovených manažerů IT. Češi a Slováci méně důvěřují policii než Maďaři a Poláci: počet firem, které v případě krádeže notebooku využily služeb policie či jiných detektivních či právních služeb, se v jednotlivých zemích velmi odlišuje. Pokud bychom měli soudit podle odpovědí, výrazně vyšší důvěra v tyto služby panuje v Maďarsku (64 %) a Polsku (61 %).
Zdroj: tisková zpráva společnosti Intel, průzkum mezi 744 firmami organizovaný společností Intel ve čtyřech středoevropských zemích – ČR, Maďarsku, Polsku a Slovensku
