Google občas pozdrží publikování informací o bezpečnostních zranitelnostech. Jak bude vypadat přihlašování bez hesla ve Windows 10: biometrie, tokeny nebo ještě něco jiného? Kauza Superfish. Uveden Avast for Business, bezplatné bezpečnostní řešení i pro firmy neomezené počtem instalací.
Následuje pravidelný bezpečnostní přehled vytvářený především podle webů ZDNet, CNet, The Register a HelpNet Security.
Google Zero Project bude více spolupracovat s dodavateli softwaru
Google v rámci svého Zero Project částečně ustoupil kritice softwarových firem (veřejně si stěžoval např. Microsoft a Apple). Zveřejňování zranitelností bude i nadále probíhat automaticky 90 dní poté, co problém bude reportován dodavateli, nicméně pokud o to dodavatel softwaru speciálně požádá, dostane na dokončení opravy kratší dodatečnou lhůtu – 14 dní, když výslovně slíbí vydání opravy v tomto termínu. Kritici dodávají, že informace publikované Googlem často zahrnují i metody zneužití formou proof-of-concept, takže vyvinout samotný útočný kód pak už může jít velmi rychle.
Microsoft dále zastává názor, že ke každé chybě by se mělo přistupovat individuálně a po dohodě s výrobcem. Google namítá, že „mechanicky“ uplatňované pravidlo, které uplatňuje, je dobré v tom, že nikoho nezvýhodňuje. K tomu dodává, že třeba americký CERT zveřejňuje obdobné informace už po 45 dnech.
Internet věcí a nástroje IAM
Pro přijetí Internetu věcí v podnikovém prostředí je nutné změnit systémy pro řízení identit a přístupu (identity and access management, IAM). Studie společnosti Gartner tvrdí, že dnes jsou tato řešení orientována spíše na uživatele než na zařízení. Nový přístup by měl jako „subjekty“ chápat nejen lidi, ale i systémy, aplikace, zařízení a služby.
Ověřování ve Windows 10 zatím nejasné
Windows 10 mají nabídnout i jiné možnosti ověřování než pouze hesla. Microsoft se připojil k alianci Fast IDentity Online (FIDO) a hodlá podpořit standard FIDO 2.0. Namísto hesel má být k dispozici dvoufaktorová autentizace na úrovni zabezpečení vyhovující i podnikům, která může být založena např. na biometrii nebo na hardwarovém tokenu (USB klíčenka apod.). Tak by to zřejmě vypadalo při současných technologiích, aliance FIDO chce ale přijmout standardy založené na protokolech Near Field Communications (NFC) a Bluetooth. K tomu by mělo dojít ještě letos, stejně tak by v roce 2015 měly být hotové i Windows 10. Co se ale stihne nakonec do Windows 10 implementovat, to není v tuto chvíli ještě jasné.
Kauza Superfish pod lupou
Na spotřebitelských noteboocích značky Lenovo byl předinstalován adware Superfish – jakýsi „nákupní rádce“. Produkt vzbudil odpor zákazníků a vyvolal i obavy vzhledem k bezpečnostním rizikům (souvisely především s kořenovými certifikáty, Superfish kvůli cílení reklamy analyzoval prohlížené webové stránky, a pokud se připojení realizovalo přes https, de facto prováděl útok typu man-in-the-middle).
„Superfish již není dále aktivní a je zakázaný pro všechny produkty na trhu. Lenovo přestalo tento software v lednu předinstalovávat. Tento software ani v budoucnosti instalovat nebudeme,“ praví tisková zpráva společnosti Lenovo. Superfish nicméně údajně nesledoval aktivity uživatele a nevytvářel jeho profil, reklamu servíroval na základě aktuálně zobrazené webové stránky. Společnost Lenovo posléze uznala i možné související bezpečnostní problémy a vydala vlastní nástroj pro odstranění tohoto softwaru.
Už 24 hodin poté, co existence softwaru Superfish vyšla najevo, aktualizoval Microsoft svůj nástroj Windows Defender tak, aby tuto „infekci“ automaticky odstraňoval. Edd Bot na ZDnet upozorňuje, že Windows Defender ale neodstraňuje kořenové certifikáty z úložiště Firefoxu, takže problém do určité míry přetrvá. Jako hrozbu identifikují nyní Superfish např. i aktualizované bezpečnostní produkty Symantec.
Viz také: Windows Defender nově odstraní škodlivou aplikaci Superfish, Lenovo již nebude na své laptopy instalovat nebezpečný software
Bezpečný Flash, nový Firefox
Mozilla finalizuje svůj projekt Shumway. Jedná se o vývoj open source plug-inu pro Firefox, který by byl schopen zobrazovat v prohlížeči formát Flash. Cílem je umožnit uživatelům obejít se bez přehrávače Adobe Flash Player, v němž jsou pravidelně odhalovány kritické bezpečnostní zranitelnosti.
Další novinka od Mozilly: Nově uvedený Firefox 36 přináší opravy 9 bezpečnostních chyb, z toho 3 hodnotí Mozilla jako kritické (jedna z toho se týká porušení paměti, druhá přetečení zásobníků při přehrávání formátu MP4). Nová verze prohlížeče také přidává podporu protokolu HTTP2.
Skenování webových aplikací
Google vydal nový bezpečnostní nástroj Cloud Security Scanner, který je určen pro testování webových aplikací. Využít ho mohou především ti, kdo jako webovou platformu využívají Google App Engine, speciálně má být zaměřen na hledání zranitelností typu cross-site scripting a kontrolu javascriptového kódu v kombinaci s kódem HTML 5. Funkčností má nástroj převyšovat obvyklé techniky parsování kódu/emulaci prohlížeče. Cloud Security Scanner je prozatím v betaverzi.
CSIRT.CZ varuje
Zaznamenána byla nová spamová kampaň zaměřená na uživatele v ČR. Zpráva informuje adresáta o slevě na pohonné hmoty v síti čerpacích stanic Agip. Ve skutečnosti se však snaží z lidí vytáhnout peníze.
Internet Systems Consortium (ISC) vydalo bezpečnostní update opravující středně závažnou zranitelnost v BINDu, jednom z nejvíce používaných DNS serverů.
Nástup biometrie
Generace Z upřednostňuje před PIN kódy biometrická řešení. Polovina lidí ve věku 16-24 let věří, že se od používání hesel zcela upustí do roku 2020. Průzkum byl proveden ve Velké Británii. Reagovat budou muset především banky: „Budou-li chtít pokrýt rostoucí poptávku generace Z, budou muset nejen pokračovat ve vývoji biometrických řešení, ale jejich vývoj navíc urychlit. A za druhé budou muset nepřetržitě zkoumat rozšiřující se možnosti ověřování totožnosti, aby pak byly schopné zajistit svým zákazníkům nejen maximální zabezpečení ale také pohodlí při používání…“
Zdroj: tisková zpráva společnosti Visa Europe
Era testuje na 13 svých finančních centrech biometrické podpisy. Během prvních dvou měsíců pilotního provozu bylo touto formou podepsáno přes 2 000 dokumentů.
ČSOB a Era rovněž zahájily pilotní provoz několika dalších biometrických metod. V pražské centrále v Radlicích testuje na 500 zaměstnanců tzv. Finger Vein, technologii snímání cévního řečiště. Spuštěn byl rovněž pilotní provoz založený na technologii rozpoznání obličeje, kde by pro identifikaci měly stačit běžné kamery v chytrých telefonech či tabletech.
Zdroj: tisková zpráva společnosti ČSOB
Ze světa firem
Eset představil novou generaci bezpečnostních produktů pro firemní zákazníky. Nejdůležitějšími novými funkcemi jsou podle dodavatele Botnet Protection, Exploit Blocker (proti zero day útokům; speciálně chrání často zneužívané aplikace, jako jsou internetové prohlížeče, Acrobat Reader, poštovní klienti nebo Java), Anti-Phishing a Anti-Theft. Další inovaci představuje nový nástroj vzdálené správy Eset Remote Administrator.
Zdroj: tisková zpráva společnosti Eset
Avast uvádí bezplatné zabezpečení pro malé a střední firmy – Avast for Business. Je založené na cloudu, podle dodavatele má nízké nároky na implementaci a správu, a je proto určeno především pro podniky s velmi omezeným rozpočtem na IT. Není zde žádný limit ohledně počtu uživatelů či chráněných zařízení. K podporovaným platformám patří kromě Windows (včetně serverových verzí) i Mac OS X.
Funkčnost je následující:
- Bezplatná antivirová ochrana (souborový, webový a e-mailový štít)
- HTTP a HTTPS skenování a integrovaná ochrana webového prohlížeče
- Webová konzole určená na správu
- Reportovací a notifikační systém
- Placené prémiové funkce zahrnují např. firewall, sandbox, antispam a ochranu pro servery MS Exchange a MS Sharepoint.
Zdroj: tisková zpráva společnosti Avast
AVG oznámila dostupnost servisního modulu VMware ESXi pro platformu vzdálené správy (RMM) AVG Business Managed Workplace. Modul je určen partnerům AVG, kteří tak mohou rozšířit vzdálenou správu virtuálních systémů svých zákazníků. AVG Business Managed Workplace již dříve poskytoval virtualizační funkcionalitu prostřednictvím servisního modulu Microsoft Hyper-V.
Zdroj: tisková zpráva společnosti AVG Technologies
ČR zasáhly desítky tisíc e-mailů, které se tváří jako vrácení omylem obdržené smlouvy. V příloze e-mailu je komprimovaný soubor obsahující spustitelný malware.
Zdroj: tisková zpráva společnosti Excello
IDC vypracovala na objednávku BSA studii, která má potvrzovat pozitivní korelaci mezi užíváním nelicencovaného softwaru a výskytem malwaru. „Prvním a klíčovým krokem ke snížení kybernetických bezpečnostních rizik /ve firmách/ je získání přehledu o užívaném softwaru a jeho lepší správa,“ praví vyjádření BSA.
Zdroj: tisková zpráva organizace BSA
Comguard začíná distribuovat archivační softwarové řešení ArchiveOne od Barracudy. Řešení mj. obsahuje moduly, které umožňují dosažení shody s různými regulačními předpisy. Určeno je především menším firmám, předpřipravená je integrace s Outlookem, MS Exchange a MS Office 365.
Zdroj: tisková zpráva společnosti Comguard
AirWatch oznámil spolupráci s Googlem na zvýšení bezpečnosti při podnikovém nasazení Androidu. Zákazníci AirWatch budou v rámci řešení Android for Work moci používat separaci profilů (tj. Oddělení pracovních a soukromých dat), šifrování firemních dat (na úrovni zařízení, profilů i dat) a správu aplikací (např. nastavení, jaké aplikace smějí co sdílet s aplikacemi třetích stran).
Zdroj: tisková zpráva společnosti AirWatch by VMware (AirWatch byl loni koupen VMware)
Axis oznámil uvedení nové dohledové IP kamery P3905-RE, která je navržena pro vnější instalaci na dopravní prostředky. Kamera by měla vydržet vibrace, nárazy, výkyvy teplot i běžnou údržbu vozidla typu mytí.
Zdroj: tisková zpráva společnosti Axis Communications
Psali jsme na ITBiz
Na téma bezpečnosti na ITBiz viz také:
- Mozilla bude nově dohlížet na bezpečnost rozšíření pro Firefox
Doplňky/rozšíření budou muset být elektronicky podepsané. Kritici tvrdí, že Firefox se tak pouze bude více podobat Google Chrome. - NSA má přístup k šifrovacím klíčům pro SIM karty
Jedná se o produkty společnosti Gemalto, celosvětově největšího výrobce SIM karet. Gemalto v loňském roce vyrobila asi dvě miliardy SIM karet, má mezi svými klienty čtyři největší mobilní operátory v USA a dalších 450 operátorů po celém světě. - Operace Pouštní sokoli
Analytici Kaspersky Lab odhalili arabskou kyberšpionážní skupinu Desert Falcons (Pouštní sokoli). Její aktivita se zaměřuje na významné instituce a osobnosti zejména v oblasti Blízkého východu, ale i v řadě dalších zemích.