Antiviry pro Android se zlepšují. Bude trendem roku 2014 soukromý cloud? Měly by smartphony povinně umožňovat vzdálené zablokování? Objevena zranitelnost SD karet. Následuje pravidelný bezpečnostní přehled vytvářený především podle webů ZDNet, CNet, The Register a HelpNet Security.
Starší verze prohlížeče Safari má problém s hesly a dalšími citlivými údaji. Uchovává tyto informace ve formě prostého textu v souboru LastSession.plist, který je sice skrytý, ale kdo ví, co má hledat, nemá s jeho nalezením problém. Samotný soubor má sloužit pro funkci rychlého obnovení stránek otevřených při poslední relaci browseru. Problém má být naštěstí nikoliv plošný, podle Applu se týká pouze verzí OS X 10.8.5 se Safari 6.0.5 (8536.30.1) a OS X 10.7.5 se Safari 6.0.5 (7536.30.1).
Výzkumníci z Carnegie Mellon University doporučují jako doplněk hesel systém založený na autorizaci prostřednictvím „příběhu“. Při prvním přihlášení uživatel určitým způsobem spojí více objektů (např. obrázků – ta odpovídají podstatným jménům, uživatel si vybere propojující sloveso a na to bude příště tázán spolu s heslem). V jiné verzi by se pak příběhy mohly používat i k samotnému generování hesel – samozřejmě tak, aby příslušný asociační postup nemohl zopakovat nejen robot, ale ani lidský útočník.
Hodnocení AV-Test ukazuje, že většina dodavatelů antivirů pro Android oproti situaci před několika měsíci podstatně vylepšila kvalitu svých produktů. Mezi placenými a bezplatnými produkty není podle testu v kvalitě podstatnější rozdíl; platí se tedy de facto za dodatečné funkce typu šifrování či zálohování. AV-Test ovšem upozorňuje, že ochranné nástroje pro Android v účinnosti zaostávají za těmi pro Windows. Antiviry na Androidu totiž samy běží v sandboxu, nalezené škodlivé aplikace nejsou proto schopny odstraňovat automaticky a musejí spoléhat na to, že uživatel si označenou aplikaci dokáže odinstalovat ručně – příslušný „kill-switch“ pro automatické odstranění má pouze Google, který ho používá jen v případě, že se malware vloudí do oficiálního distribučního kanálu Google Play.
Předpovědi na rok 2014
Podle redakce The Register: „Snowdenův efekt“ se mj. má projevit nárůstem používání soukromých cloudů.
Prognóza Unisys zase jako hlavní trend roku 2014 uvádí systematičtější nasazení šifrovacích technologií v podnikové sféře, a to i u malých firem. Podniky se ve zvýšené míře rozhodnou provozovat svoji IT infrastrukturu jako službu (IaaS) – tj. opět příklon ke cloudu, kdy namísto obav z bezpečnosti je potřeba lepšího zabezpečení naopak motivací. Bezproblémové fungování čtečky prstů v Apple iPhone by uživatele i dodavatele mohlo vést také k většímu zájmu o biometrickou identifikaci obecně. Pro vzdálený přístup k firemním systémům se stále častěji bude vyžadovat údaj o geografické poloze žadatele.
A do třetice předpověď pro rok 2014 od WatchGuard: větší zájem útočníků o zdravotnická data, úspěch CryptoLockeru povzbudí další podvodníky k tvorbě ransomwaru, stále větší zájem bude vzbuzovat také „internet věcí“.
V kauze „vládního“ sledování se nyní přetřásá obvinění RSA, že od NSA přijala 10 milionů dolarů a zabudovala zadní vrátka do svého generátoru náhodných čísel/šifrování pomocí eliptických křivek, eventuálně záměrně oslabila účinnost ochrany. RSA obvinění popírá.
V Kalifornii se chystá jednání o návrhu zákona, podle kterého by všechny nově prodávané mobilní telefony musely obsahovat funkci pro vzdálené zablokování v případě ztráty/krádeže zařízení. Předkladatelé návrhu tvrdí, že krádeže smartphonů jsou dnes v zemi hlavním katalyzátorem pouliční kriminality včetně vysoce násilných činů. Při více než polovině loupeží je prý ukraden i telefon. Někteří prodejci telefonů jsou obviňováni, že vzdálené blokování neimplementují úmyslně, protože více krádeží pro ně znamená více prodejů.
Ruská bezpečnostní firma Doctor Web varuje před trojanem Trojan.Skimer.18, který vytváří zadní vrátka v bankomatech. Samo o sobě to není žádná novinka, tentokrát má ale malware cílit na jeden z celosvětově nejpoužívanějších systémů bankomatů (nekonkretizováno).
Prosincová akce Microsoftu proti botnetu ZeroAccess podle všeho zatím botnet skutečně vyřadila z provozu – jeho aktivita dosud nebyla obnovena.
Andrew „bunnie“ Huang a Sean „xobs“ Cross vystoupili na Chaos Computer Club s postupem, jak hacknout SD flash karty používané pro ukládání dat ve smartphonech či digitálních fotoaparátech. Útočník může svůj kód údajně spouštět přímo v rámci operačního systému karty. Postup lze využít např. k útoku man-in-the-middle, krádeži či modifikaci dat, když si je uživatel přetahuje do počítače. Obdobný útok lze v principu cílit i na SSD disky. Samotné zneužití ovšem není univerzální, závisí na konkrétním mikrokontroleru.
Demonstrační video na YouTube:
Ukrajinec Roman Vega byl v USA odsouzen na 18 let. Vega, vystupující samozřejmě pod mnoha pseudonymy, založil postupně 2 on-line tržiště pro obchodování s kradenými údaji o kreditních kartách: Boa Factory a Carder Planet. Toto tržiště mělo na vrcholu své slávy (počátek nového století) 6 500 uživatelů, komunikovalo se zde převážně rusky a šlo o jedno z největších míst pro transakce tohoto typu. Vega zde mj. vytvořil systém kontroly/reputací, který umožnil, že i podvodníci si mezi sebou mohli víceméně důvěřovat a mít záruku, že po platbě obdrží např. použitelná (zneužitelná) čísla karet.
18 let se zdá být obrovský trest (šlo sice o organizovanou, nicméně nenásilnou činnost), navíc samotný proces se táhl asi 10 let, které Vega čekal ve vazbě/vězení. Zatčen byl v roce 2003 na Kypru a vydán do USA; v té době měl databázi půl milionu ukradených čísel karet. Vegův příběh podrobně popisuje i v češtině vyšlá kniha Temný trh (Argo a Dokořán 2013).
BBC stále používá klasický nezabezpečený protokol FTP. Útočník zveřejnil informace, z nichž vyplývá, že měl přístup k příslušnému serveru. Není známo, jaká data ukradl ani jak hluboko do systému pronikl. Možná se zde dokonce používala verze ProFTPD, která obsahovala zranitelnost umožňující útočníkovi nejen přístup k datům, ale i vzdálené spuštění kódu.
V kauze sledování uživatelů ze strany tajných služeb či státních orgánů Microsoft slibuje uživatelům větší důraz na ochranu dat včetně právních kroků. „Podnikneme nová opatření k posílení právní ochrany dat našich zákazníků. Naší zásadou například je upozornit zákazníky z firemního sektoru i veřejné správy, pokud obdržíme soudní příkaz týkající se jejich dat. V případech, kdy nám v tom brání povinnost mlčenlivosti, takový příkaz napadneme u soudu.“
Zdroj: tisková zpráva společnosti Microsoft
SAP oznamuje spuštění platformy SAP Mobile Platform 3.0 a její cloudové verze. Má poskytovat platformu pro vývoj mobilních aplikací, které budou splňovat podnikové požadavky na zabezpečení. V tiskové zprávě se objevuje nová zkratka: BYOT (Bring Your Own Tools), tj. volnost používaných nástrojů při návrhu, vývoji, testování, nasazování či škálování aplikací.
Zdroj: tisková zpráva společnosti SAP
Datacard, dodavatel řešení pro bezpečnou identifikaci a personalizaci karet, koupil firmu Entrust (dodavatel zabezpečení na bázi identity). Spojený podnik bude zaměstnávat téměř 2 000 lidí. Finanční podmínky transakce nebyly publikovány.
Zdroj: tisková zpráva společnosti Datacard Group
64 % rodičů nechává své děti mladší sedmi let na internetu bez dozoru a dovolují jim používání zařízení s internetem i tehdy, když nejsou ve stejné místnosti.
Zdroj: tisková zpráva společnosti AVG, v průzkumu nezahrnuta data z ČR