Jak nejúčinněji motivovat k reportu bezpečnostních chyb, (potenciálně) vysokými odměnami? Uživatelé ignorují varování před podvodnými weby. Poslední záplaty Microsoftu mohou vést k problémům při přehrávání videa. Následuje pravidelný bezpečnostní přehled vytvářený především podle webů ZDNet, CNet, The Register a HelpNet Security.
Paul Oliva Fora ze společnosti viaForensics vytvořil skript, který umí zneužít nedávno oznámené chyby v Androidu, kdy lze malware do zařízení dostat jako aktualizaci legitimní aplikace. Výzkumník přitom neměl přístup k dosud nepublikovaným podrobnostem původních objevitelů zranitelnosti. Postup „reprodukce“ je tedy zřejmě snadný a lze předpokládat, že ho brzy provedou i podvodníci (pokud se tak již nestalo) – přičemž se neomezí na demonstrační kód typu proof-of-concept.
O zranitelnosti v Androidu viz předcházející bezpečnostní přehled.
Společnost Bluebox, která na chybu původně upozornila, dala k dispozici nástroj Bluebox Security Scanner, který by měl uživatelům odpovědět na otázku, zda jejich konkrétní zařízení je tímto způsobem zranitelné (plus další možnosti – zda je již k dispozici oprava, zda lze problém řešit úpravou nastavení apod.). Mimochodem poněkud překvapivé je, že oprava je k dispozici pro zařízení Samsung, Sony, HTC, ale ne pro Nexus přímo od Googlu; snad proto, že se brzy chystá větší balíček aktualizací a Google chce vydat vše najednou.
„Zadní vrátka“ v podobě univerzálního hesla, které se po dokončení vývoje systému zapomnělo odstranit, obsahují prý i zařízení HP StoreVirtual SAN s operačním systémem LeftHand (verze 9 a novější). Technici HP údajně toto heslo používají i při vzdálené technické podpoře. HP připouští, že jde potenciálně o bezpečnostní problém a bude situaci řešit. Vydání opravy bylo přislíbeno zhruba do termínu publikace tohoto článku, možná je již k dispozici.
Na toto téma viz také zde.
Studie Googlu zjistila, že asi 70 % uživatelů ignoruje varování webových štítů před nebezpečným webem a volí možnost „pokračovat na tuto stránku“. Výzkum se dělal pouze u uživatelů Chrome a Firefoxu, z nichž jsou méně opatrní uživatelé Chrome. Relativně nejvíce dbali o svou bezpečnost ti, kdo tyto prohlížeče měli spuštěné na Linuxu.
Chyba v jádru operačních systémů, kterou Microsoft opravil minulý týden, je již aktivně zneužívána. Ačkoliv se problém týká všech podporovaných verzí Windows, útočníci prozatím cílí jen na Windows 8.
Co se týče oprav Microsoftu z minulého týdne, objevily se informace, že záplata kodeku Microsoft WMV (soubory wmv9vcm.dll, wmvdmod.dll a wmvdecod.dll) může způsobit problémy s přehráváním videa v přehrávači Media Player. Chyba se má však vyskytovat pouze výjimečně – u kvalitního videa s vysokým rozlišením – a projevuje se zčernáním horní části filmu.
Spolu s Microsoftem vydala minulý týden opravy také Adobe. Zalátán byl Shockwave, Coldfusion a přehrávač Flash Player. Uživatelé Internet Exploreru 10 a Chrome získají aktualizaci pro přehrávač Flash automaticky od Microsoftu/Googlu.
Microsoft oznámil změnu své bezpečnostní politiky pro Store Apps. Společnost si vyhrazuje právo odstranit aplikace, u nichž byly zjištěny bezpečnostní nedostatky, ale dodavatel je zatím nedokázal opravit. Má se to týkat i vlastních aplikací Microsoftu. U chyby, která je v rámci metodiky Microsoftu označena jako kritická nebo důležitá, budou mít vývojáři aplikace na nápravu maximálně 180 dní od reportování problému; to přitom v případě, že nebudou dokumentovány aktivní pokusy o zneužívání zranitelnosti (jinak lze použít i razantnější postup).
Výzkumníci z University of California v Berkeley uvádějí, že „veřejný“ program odměn za nalézané bezpečnostní zranitelnosti je mnohem účinnější (cenově efektivnější, prý cca 2-50krát), než platit/přímo si najmout bezpečnostní experty. Srovnání bylo provedeno mezi Chrome a Firefoxem. Obecně program Googlu nabízí vyšší částku za speciální zranitelnosti, čímž láká hackery – ačkoliv ve skutečnosti vysoké odměny získá jen velmi malý podíl těch, kdo se rozhodnou hledat chyby. Každopádně velký počet účastníků programu Googlu má zajistit, že budou objeveny zranitelnosti velmi rozmanitého typu.
Veřejné programy a odměny za nalézání zranitelností také motivují „začátečníky“, kteří doufají, že po úspěchu získají nejen odměnu, ale i dobře placené místo. Zůstává ovšem otázka, zda tento přístup dobře funguje obecně, nebo pouze u softwaru typu webových prohlížečů. Mají snad podobným způsobem nabízet odměny i dodavatelé databází či ERP systémů?
Společnost F-Secure upozorňuje na nový malware Backdoor:Python/Janicab.A určený pro MacOS X. Triku s názvem souboru (speciální znak Unicode U 202 e) používá aplikace k tomu, aby předstírala, že jde o dokument. Podvodný kód je navíc podepsán platným ID certifikátem Apple.
Po spuštění se zdánlivě pouze otevře PDF soubor, ve skutečnosti se ale spouští program komunikující se vzdálenými servery, kam posílá především zaznamenané screenshoty.
EMC koupila společnost Aveksa, která dodává řešení pro řízení přístupu a identit (IAM, identity and access management). Získané technologie budou integrovány do řešení RSA. Aveksa nabízí svá IAM řešení pro podnikové aplikace, ať už běží na vlastní infrastruktuře nebo v podobě SaaS/cloudu. Finanční podmínky transakce nebyly zveřejněny. Prostřednictvím řešení Aveksa zákazníci získají jednotný řídicí panel pro správu, řízení a poskytování přístupu spolu s konzistentním vynucením zásad pro identity.
Zdroj: tisková zpráva společnosti EMC
V rámci vedení NATO byl v Bruselu odstartován nový projekt kybernetické obrany komunikačních a informačních systémů NATO, na kterém se podílí více než 20 firem z Evropy a USA. Mezi tyto firmy se zařadila také společnost SodatSW z ČR.
Zdroj: tisková zpráva společnosti SodatSW
Nejnovější verze produktů Barracuda Web Filter míří do prostředí větších firem a organizací. Modely Barracuda Web Filter 1010 a 1011 jsou nyní nově vybaveny rovněž vysokorychlostním rozhraním 10 GbE. Distributorem zařízení Barracuda Networks pro ČR a Slovensko je společnost Gesto Communications.
Zdroj: tisková zpráva společnosti Gesto Communications
Světovému žebříčku malwaru nadále dominují hrozby, které se šíří prostřednictvím přenosných médií, jakými jsou např. flash disky. První místo ve statistikách počítačových hrozeb dle žebříčku Eset Live Grid si druhý měsíc v řadě udržuje škodlivý kód Win32/Bundpil s celosvětovým podílem 3,47 %. Druhé místo obsadil HTML/ScrInject s celosvětovým podílem 2,57 %, třetí je rodina škodlivých kódů INF/Autorun (podíl 2,55 % globálně).
České republiky se tyto hrozby týkají jen omezeně. Mnohem více tuzemské uživatele počítačů trápí trojský kůň Win32/Injector.AIMQ, který se v červnu dostal do čela lokálního pořadí s podílem 6,53 %, Na dalších místech, ale až s větším odstupem, jsou hrozby jako HTML/Fraud nebo HTML/Iframe.
Zdroj: tisková zpráva společnosti Eset
K dispozici je Sophos Mobile Control 3.5, řešení pro správu a zabezpečení mobilních zařízení. Nová verze podporuje nejen iOS a Android, ale i Windows Mobile 8. Řešení lze provozovat na vlastní infrastruktuře i jako službu.
Zdroj: tisková zpráva společnosti Sophos