Hesla z hacknuté seznamky Ashley Madison. Zranitelnosti v Androidu i iOS. Kritika za vydávání aktualizací „jako celek“. Autodestrukce hardwaru jako forma ochrany. Dopady změkčení zákon o kybernetické bezpečnosti. Následuje pravidelný bezpečnostní přehled vytvářený především podle webů ZDNet, CNet, The Register a HelpNet Security.
Stagefright stále hrozí
Společnost Zimperium vydala proof-of-concept kódu, která zneužívá zranitelnost Stagefright v Androidu. Chybu, oznámenou se značnou publicitou letos v červenci, šlo zneužít posláním zprávy MMS; zranitelných původně bylo až 95 % zařízení s Androidem. Google sice v srpnu již vydal záplatu (viz také starší Bezpečnostní přehled), ukázalo se ale, že ta problém plně neřeší. Nyní vytvořený skript vygeneruje soubor MP4, s jehož pomocí může útočník ovládat kameru telefonu nebo odposlouchávat mikrofon. Kód pracuje na zařízení Nexus s Androidem 4.0.4, lze upravit i pro další zařízení/systémy. Android 5 a vyšší by však měl být odolný, protože má speciální ochranu proti zneužitím buffer overflow.
Jak se vyznat v hypervisoru VirtualBox
Tým linuxové distribuce Debian kritizoval Oracle za to, že vydala opravy pro hypervisor VirtualBox bez toho, aby bylo oznámeno, v čem spočívají zalátané zranitelnosti. Konkrétně se jedná o červencovou dávku záplat. (Poznámka: Podobně omezuje Microsoft informování o chybách v případě aktualizací pro Windows 10.)
Vývojáři Debianu, kteří pro něj připravují balíček VirtualBox, chtěli např. samostatně pouze bezpečnostní opravy oddělené od dalších aktualizací, aby někteří uživatelé mohli co nejméně zasahovat do používané odladěné verze. Kód pro VirtualBox je sice z většiny open source, nicméně se v něm prý těžko vyznat a mezi mnoha změnami identifikovat právě konkrétní opravu zranitelnosti.
Představen MS Device Guard
Microsoft zveřejnil podrobnosti o tom, jak funguje jedna z bezpečnostních novinek v enterprise verzi Windows 10: Device Guard. Funkce umožňuje administrátorům nastavit, že uživatelé nebudou moci spouštět žádný software, který není podepsán Microsoftem nebo důvěryhodnými dodavateli. Pomocí různých politik integrity kódu mohou organizace přesně definovat, co se vlastně smí spouštět v jejich prostředí. Vlastní aplikace lze do systému přidat bez úprav (podepisování) a označit je za důvěryhodné. Jednou z funkcí Device Guard má být ochrana před exploity typu zero day.
Čipy na střepy
V kalifornském výzkumném centru Xerox PARC (kde mj. bylo vynalezeno rozhraní GUI s myší) byly vyvinuty čipy vybavené funkcí autodestrukce. Systém má být určen např. pro ukládání šifrovacích klíčů. Jako substrát je použito tvrzené sklo Gorilla Glass. Teplem (následek odporu/elektrického proudu) se čip rozbije na malé kousky, z nichž data údajně nejde rekonstruovat (poznámka: lze ale opravdu spoléhat na takovou hardwarovou destrukci, když se NASA podařilo přečíst hard disk z raketoplánu Columbia?). Destrukci lze vyvolat víceméně libovolným signálem, třeba poslaným na dálku rádiově. Projekt finančně podpořila americká vojenská agentura DARPA, technologie by mohla najít využití třeba ve vojenských dronech.
Jak odemknout uzamčenou obrazovku Androidu
Android 5.0 až 5.1.1 umožňuje útočníkovi s fyzickým přístupem k zařízení obejít uzamčení obrazovky. Pokud se do přístupného pole pro tísňové volání zadá speciální řetězec, který se uloží do schránky a poté použije v poli pro heslo v nastavení fotoaparátu, dojde k pádu aplikace. Poté se zobrazí vstupní stránka zařízení, která již není uzamčena.
Zdroj: Národní centrum kybernetické bezpečnosti
CSIRT.CZ varuje/oznamuje
Nově uvolněná verze operačního systému iOS 9 nepřináší pouze nové funkce, ale také opravuje nebezpečnou zranitelnost v technologii AirDrop (technologie pro sdílení obsahu mezi zařízeními pro iOS/OS X) umožňující útočníkovi nainstalovat malware do zařízení v jeho dosahu.
Ze světa firem
V loňskem roce došlo v ČR k více než 4 000 kybernetickým útokům, což je o 40 % více než v roce 2013. Tento rostoucí trend bude v budoucnu sílit, a to ze dvou důvodů. Prováděcí předpisy přijaté k zákonu o kybernetické bezpečnosti zásadně omezily okruh povinných osob, které měly povinně zavést bezpečnostní opatření. Úpravami kybernetického zákona a prováděcími vyhláškami byly zcela vynechány například obce. Další příčinou růstu kybernetické kriminality je/bude nedostatečný zájem firem o kybernetickou bezpečnost.
Zdroj: tisková zpráva společnosti Bureau Veritas
Uvedena byla nová verze nástroje pro vzdálenou správu řešení Eset – Eset Remote Administrator. Jednou z hlavních novinek je možnost použití dvoufaktorové autentizace pro přístup do správcovské webové konzole.
Zdroj: tisková zpráva společnosti Eset
Hesla Ashley Madison, která se podařilo dešifrovat, jsou podle četnosti následující: 123456, password, 12345, 12345678, qwerty, pussy, secret, dragon, welcome, ginger.
Nejde o pořadí všech hesel. Ta byla zašifrována pomocí aplikace bcrypt a útočníci dostali do rukou pouze hashe. Jedná se o pořadí nejslabších/nejsnáze dešifrovaných hesel (navíc pouze z 1 milionu ze seznamu 36 milionů). „I když byl použit jeden z nejsilnějších dostupných šifrovacích algoritmů, tak bylo triviální získat seznam slabých hesel pomocí otestování známých hesel oproti seznamu hashů.“
Zdroj: blog společnosti Avast
AVG zavádí ve svých aplikacích jednostránková pravidla ochrany soukromí, která mají být jednodušší, kratší a snazší na pochopení než obsáhlé dokumenty, které jsou dnes běžnou praxí (a uživatel je obvykle radši prostě odkliká, než aby je studoval).
Zdroj: tisková zpráva společnosti AVG Technologies
Comguard oznámil uzavření distributorské smlouvy s firmou ManageEngine. Ta v oblasti zabezpečení dodává nástroje pro vyhodnocování logů z firewallů, identity a password management zahrnující i správu hesel pro privilegované uživatele.
Zdroj: tisková zpráva společnosti Comguard
Na český trh přichází řešení Kaspersky Internet Security – multi-device 2016. Dodavatel především zdůrazňuje, že tato verze přináší nové technologie pro ochranu soukromí.
Zdroj: tisková zpráva společnosti Kaspersky Lab
Nizozemská policie zatkla dva muže pro podezření z účasti na ransomwarových útocích CoinVault. S policí přitom spolupracovaly zejména bezpečnostní firmy Kaspersky Lab a Panda Security.
Zdroj: tisková zpráva společnosti Kaspersky Lab
Barracuda Web Application Firewall rozšiřuje svou podporu prostředí MS Azure a nyní chrání tři typy Azure aplikací: API, webové a mobilní.
Zdroj: tisková zpráva společnosti Gesto Communications (distributor řešení Barracuda Networks pro ČR a Slovensko)
Psali jsme na ITBiz
Na téma zabezpečení na ITBiz viz také: