První letošní várka záplat Microsoftu, Oraclu i Adobe. Zranitelnost síťových komponent. Novinky ze světa měny Bitcoin. Následuje pravidelný bezpečnostní přehled vytvářený především podle webů ZDNet, CNet, The Register a HelpNet Security.
Analýza společnosti IO Active upozorňuje na zranitelnosti bankovních aplikací pro mobilní platformy. Testu bylo podrobeno 40 aplikací pro iOS od 60 bank (celosvětově), a to s následujícími výsledky:
- 40 % aplikací bylo zranitelných útoky man-i-the-middle, protože chybělo ověření pravosti SSL certifikátu serveru
- 20 % je rizikových z hlediska útoků zneužívajících porušení paměti
- 50 % je zranitelných útoky cross-site scripting
- 40 % uchovává v logu zbytečně citlivé informace.
Bezpečnostním rizikem je podle studie také fakt, že řada bankovních aplikací nedetekuje, zda zařízení Apple bylo „odemčeno“ (jealbreaking), eventuálně to sice zjišťuje, ale umožní instalaci i na porušené zařízení. Studie se přitom zaměřila pouze na klientskou stranu aplikace.
Podle přehledu Robert Half Technology 2014 Salary Guide rostly v IT za poslední rok platy nejvíce, cca o 4 %, mj. právě v bezpečnosti (spolu s vývojem mobilních aplikací a analýzou velkých objemů dat). Čísla jsou z Británie.
Syrská elektronická armáda se asi na hodinu zmocnila účtu Microsoftu a XBoxu na Twitteru. Příčinou je pravděpodobně kompromitace počítače uživatele, který měl příslušný účet na starosti. V nedávné minulosti byl podobně útočníky krátce ovládnut účet Microsoftu na Facebooku, Skypu či firemní blog.
Bezpečnostní trendy pro tento rok dle společnosti AhnLab. Kromě věcí zmiňovaných i jinde se zde uvádí:
- „plošný“ malware pro koncové uživatele bude zkoušet sofistikovanější triky dosud se vyskytující jen v APT kampaních
- k distribuci malwaru se bude stále více využívat firmware
- infrastruktura pronajímaných botnetů umožní podvodníkům distribuovat malware ještě levněji
- přibude cílených kampaní snažících se o instalaci malwaru na mobilní zařízení vybraných osob
První letošní záplaty Microsoftu nelátají tentokrát jedinou kritickou chybu. Raritou je i velmi nízký počet samotných bulletinů zabezpečení – pouhé 4. Dva bulletiny řeší problém na úrovni jádra Windows a ovladačů, které umožňují zvýšení oprávnění, ovšem pouze místně přihlášenému uživateli.
„Jubilejní“ první letošní oprava (MS14-001) je určena pro MS Office; speciálně vytvořený dokument může při otevření vést ke spuštění kódu. Ačkoliv tento typ zranitelnosti Microsoft obvykle hodnotí jako kritický, tentokrát dostala oprava až druhý stupeň závažnosti. Poslední aktuální bulletin zabezpečení je určen pro ERP systém Microsoft Dynamics AX.
Pravidelnou dávku záplat vydal v úterý také Oracle (firma má nyní implementován čtvrtletí cyklus). Celkem je k dispozici 147 záplat pro 47 produktů. 85 zranitelností je zneužitelných vzdáleně a umožňují přístup do systému bez oprávnění. 36 oprav (prakticky všechny látají vzdáleně zneužitelné chyby) je určeno pro platformu Java 7 SE.
A Adobe vydala tentokrát dvě kritické záplaty pro Acrobat/Reader a jednu pro přehrávač Flash Player. Wolfgang Kandek ze společnosti Qualys doporučuje administrátorům IT instalovat přednostně záplaty pro Javu, pak ty od Adobe a opravy Microsoftu tentokrát klidně nechat až nakonec.
Hector Xavier „Sabu“ Monsegur nebyl jediným informátorem FBI ve skupině LulzSec. Začal spolupracovat s policií po svém zatčení v roce 2011, ve skupině byl ale zřejmě i další informátor(ři?).
Některé síťové komponenty Cisco (pouze samotná tato značka, nikoliv Linksys) obsahují kritické chyby umožňující útočníkům přístup s právy roota. Zranitelnost má souviset s nasloucháním na portu TCP 32764. Oprava zatím k dispozici není, dodavatel ji nicméně přislíbil. Byl již publikován i exploit, i když dosud nebyly zaznamenány samotné útoky. Cisco dává v systému CVSS zranitelnosti hodnotu 10 z 10, i když nejčastějším zneužitím by měly být „pouze“ útoky na dostupnost služby.
O jiné nedávno objevené zranitelnosti v síťových produktech viz předcházející bezpečnostní přehled.
Malware, který se pokusil prostřednictvím reklamního systému infikovat evropské uživatele Yahoo (viz předcházející bezpečnostní přehled: http://www.itbiz.cz/clanky/bezpecnostni-prehled-rok-dvoufaktorove-autentizace-a-konec-mcafee), byl podle firmy Light Cyber mj. zaměřen na vytváření farem pro těžbu bitcoinů.
Další novinka ze světa virtuální měny: Výzkumníci z firmy Logrhythm upozorňují na celkem sofistikovaný útok s cílenými e-maily/odkazy/programy, které obětem vyprázdní bitcoinovou peněženku. Útoky podobného typu se podvodníkům většinou vyplácejí při průmyslové špionáži – tedy další důkaz toho, jak Bitcoin začíná být ekonomicky zajímavý.
Bitcoin do třetice: Spuštěna byla služba Elliptic Vault, kdy provozovatel nabízí pojištění bitocionů (nebo obdobných virtuálních měn) proti krádežím. Služba je spojena s šifrováním úložiště bitcionů a uchovávání šifrovacích klíčů v off-line režimu. Zabezpečení by nemělo uživatele nijak omezovat v provádění transakcí.
Zranitelnosti v softwaru běžně využívaného zaměstnanci patří k hlavním zdrojům interních IT bezpečnostních incidentů firem. Vyplývá to z průzkumu Kaspersky Lab a B2B International Global Corporate IT Security Risks 2013, jehož se zúčastnilo na 3 000 IT podnikových profesionálů z 24 zemí včetně ČR.
Zranitelnosti v běžných programech jsou hlavním zdrojem infekcí v podnikových počítačích a úniků kriticky důležitých dat. Zhruba 43 % českých respondentů uvedlo, že se jim to v jejich organizaci stalo za posledních 12 měsíců minimálně jednou. Česko je na tom v porovnání se světovým průměrem v průzkumu (39 %) o něco hůř.
Zdroj: tisková zpráva společnosti Kaspersky Lab
AVG nabízí novou bezplatnou aplikaci Web TuneUp. Jedná se o webový štít chránící před návštěvou škodlivých stránek; nástroj též čistí historii prohlížení a nabízí funkci Do Not Track. Zatím je k dispozici beta verze pro Firefox a Chrome. Dodavatel tvrdí, že oproti konkurenci by řešení prakticky nemělo zpomalovat běh prohlížeče.
AVG současně oznámila další novou bezplatnou aplikaci, PrivacyFix Family pro ochranu soukromí na Facebooku. Rodiče a jejich děti mohou nyní sdílet nastavení soukromí, i pokud na Facebooku nejsou přáteli.
Zdroj: tisková zpráva společnosti AVG Technologies
Siemens představil aktualizovanou verzi systému kontroly vstupu SiPass integrated 2.65. Systém nově umožňuje diferencovanou správu přístupových práv, a dovoluje tak nastavit pro držitele karet i celé pracovní skupiny velké množství různých oprávnění k přístupu i k rezervaci objektů.
Zdroj: tisková zpráva společnosti Siemens
Na trh byl uveden AirWatch Inbox, nové řešení pro správu mobilního e-mailu. Skrze nativního klienta má zajistit bezpečný přístup ke korporátnímu e-mailu pro zařízení Apple, Android a Windows. Podle dodavatele je produkt určen k nasazení do prostředí s vysokými regulačními požadavky nebo v souvislosti s implementací politiky pro BYOD. Řešení lze použít jako samostatnou aplikaci i jako součást AirWatch Workspace, kontejnerizovaného prostředí pro oddělené zobrazení firemních a soukromých dat.
Zdroj: tisková zpráva společnosti AirWatch