• Technologie
  • Byznys
  • Software
  • Hardware
  • Internet
  • Telco
  • Science
  • České IT
  • Události
Žádné výsledky
Zobrazit všechny výsledky
ITBiz.cz
ITBiz.cz
Žádné výsledky
Zobrazit všechny výsledky

Bezpečnostní přehled: Dron a tiskárna

Pavel Houser
19. 10. 2015
| Články

Co všechno může zjistit letadélko za okny? Říjnové opravy Microsoftu, zero day útoky na Flash Player, PDF souborů se naopak již bát netřeba. Jak se maskují podvodné aplikace proti kontrole provozovatelů on-line obchodů? Je Android Marshmallow bezpečnější než předcházející verze? Následuje pravidelný bezpečnostní přehled vytvářený především podle webů ZDNet, CNet, The Register a HelpNet Security.

Látat hlavně Internet Explorer

Říjnové opravy Microsoftu: 33 chyb, které se týkají Internet Exploreru, nového prohlížeče Edge, jádra Windows, MS Office i zpracování VBScriptu/JScriptu. Kritická kumulativní záplata pro Internet Explorer MS15-106 opravuje zranitelnost, kterou lze zneužít už při návštěvě podvodného webu. Pro ty, kdo nemají zapnuté automatické aktualizace: Kromě aktualizace MSIE se doporučuje také urychleně nainstalovat bulletin zabezpečení MS15-110 pro Excell a SharePoint (otevření souboru dá útočníkovi práva aktuálně přihlášeného uživatele) a MS15-109 (příkazový řádek, zneužitelné opět i po otevření určitého souboru zpřístupněného on-line). Bulletin MS15-111 je určen pro jádro Windows, MS15-107 pro prohlížeč Edge, MS15-108 opravuje chybu při zpracování VBScriptu a JScriptu v Internet Exploreru 7-11, kdy kód může překonat omezení skriptů a spouští se na úrovni OS, opět s právy aktuálně přihlášeného uživatele.

Flash rizikovější než PDF

Říjnové opravy vydala rovněž Adobe, týkaly se Readeru (viz předcházející bezpečnostní přehled), přehrávače Flash Player i prostředí Air. Pouhý den poté ale Adobe potvrdila, že v tomto týdnu bude navíc třeba vydat další mimořádně opravy pro přehrávač Flash Player. Kritickou chybu CVE-2015-7645 objevili výzkumníci Trend Micro a již byla podle všeho zneužívána (útoky PawnStorm, zřejmě skupina ruského původu), ke vzdálenému spuštění kódu stačí otevřít podvodný soubor. Doporučuje se dočasně zakázat Flash v prohlížečích; problém se týká verzi pro Windows, Mac OS X i Linux.
Wolfgang Kandek, CTO bezpečnostní společnosti Qualys, v této souvislosti dodává, že Flash je dnes mnohem větším rizikem než podvodné PDF soubory, protože sandbox poskytuje Adobe Readeru další vrstvu ochrany, která se celkem osvědčila. Masové exploity pomocí souborů PDF byly zaznamenány naposled před rokem.

Výzkumníci Positive Technologies upozorňují na zranitelnosti v 4G modemech Huawei, konkrétně testováno u modemu Huawei E3272 USB. Výsledkem jsou pro útočníky možnosti přetečení zásobníku a cross-site scripting, vše je zneužitelné vzdáleně zasláním speciálních paketů.

Přechod na Marshmallow neodkládat

Imran Ansari ze společnosti Soti doporučuje na webu HelpNet Security firmám přejít rychle a v maximální míře na nový Android – Marshmallow. Přímo v jádru tohoto OS jsou totiž přítomné funkce pro bezpečnost a správu, které se jinak musely dodávat do systému prostřednictvím specializovaných nadstaveb. Při instalaci aplikací může nyní uživatel např. přidělit pouze část práv, které samotná aplikace požaduje. Vylepšena byla i podpora pro ověřování pomocí otisku prstu, dále i kontejnerový přístup, tj. oddělení pracovního a osobního prostoru na zařízení se snadnou možností nastavit mezi kontejnery např. zákaz kopírování přes schránku.

Program pro správu hesel LastPass změnil majitele, koupila jej společnost LogMeln. V této souvislosti se objevily obavy, např. zda bude dále k dispozici i bezplatná verze.

Dron si sám tiskne

V řadě podniků, které podporují tisk i z bezdrátových zařízení, umožňuje tato komunikace neautorizovaný přístup. Výzkumníci ze Singapore University of Technology and Design předvedli dron nesoucí smartphone s Androidem, který dokázal přeletět za oknem a vytisknout si na tiskárně svou vlastní úlohu. To lze samozřejmě zneužít řadou způsobů.

Podobně lze zkoušet tiskové úlohy i velmi nenápadně zachycovat (dron předstírá, že je sám příslušnou tiskárnou, když si předtím zjistil příslušné údaje). Tiskárny byly v tomto případě zvoleny spíše pro názornost, postup má obecně demonstrovat zranitelnost bezdrátových technologií v podnicích.

Ukázka postupu na YouTube:

I Microsoft platí za zranitelnosti stále víc

Wesley Wineberg ze společnosti Synack získal od Microsoftu 25 000 dolarů za oznámení chyby Hotmailu. Zranitelnost typu cross-site request forgery umožňovala útočníkovi ovládnout libovolný účet Hotmailu, stačilo jeho (aktuálně přihlášeného) uživatele přimět k návštěvě podvodného webu – bez nutnosti další interakce. Z kompromitovaného účtu pak šlo v útoku samozřejmě pokračovat za použití seznamů kontaktů.

CSIRT varuje/oznamuje

Ve směrovači Netgear WNR1000v4 byla nalezena zranitelnost, umožňující útočníkovi přístup do administrativní části webového rozhraní routeru bez znalosti hesla. Podobně snadno půjde nejspíš zneužít i další zařízení výrobce, která používají stejný firmware.

Nová verze Chrome 46 přináší opravy celkem 24 bezpečnostních problémů.

Bezpečný přístav

Soudní dvůr Evropské unie svým rozhodnutím zkomplikoval předávání osobních údajů občanů EU do USA. V zásadě má jít o to, jak legislativa USA řeší přístup k těmto údajům ze strany amerických státních orgánů; americké organizace respektují v takovém případě primárně vnitrostátní úpravu, a ne závazky, k nimž se zavázaly v rámci mezinárodní dohody/úpravy „safe harbor“. Rozhodnutí může mít dopad na fungování služeb typu Facebook či Google, na celosvětové cloudové služby nebo i na celosvětové firmy spravující údaje ze všech svých poboček centrálně.
Zdroj: Blog CZ.NIC
Viz také: Snowdenovo vystoupení na Norimberk it-sa 2015

Ze světa firem

Na konci září bylo v obchodě App Store zjištěno přes tři stovky aplikací obsahujících malware XcodeGhost. Za škodlivým kódem nestáli přímo vývojáři aplikací. Malware byl do kódu přidáván automaticky z „upravené“ verze vývojového prostředí Xcode. Mnohdy šlo o známé aplikace, jak např. oblíbený program WebChat, navíc stahované z ověřeného zdroje. Závěr: I zařízení iOS vyžadují (budou vyžadovat) speciální bezpečnostní software.
Zdroj: tisková zpráva společnosti Sophos

V Google Play se objevily podvodné aplikace, které imitují populární zkratky – cheaty v oblíbených hrách. Namísto speciálních funkcí však zobrazují reklamu. Na malwaru Android/AdDisplay.Cheastom jsou podle Esetu mj. pozoruhodné techniky, jimiž obchází mechanismy společnosti Google pro kontrolu aplikací v Google Play. Malware po spuštění porovnává IP adresu přístroje, na němž běží, s databází údajů o doménách Whois. Pokud ve výsledcích vyhledávání najde řetězec „google“, tak to považuje za příznak toho, že je možná právě testován nástrojem Google Bouncer. V tom případě až do restartu přístroje nevyvíjí žádnou škodlivou aktivitu, ale funguje, jak uživatelé očekávají.
Zdroj: tisková zpráva společnosti Eset

MasterCard oznamuje uvedení nástroje Safety Net pro evropský bankovní trh. Nástroj pokrývá průběh všech debetních, kreditních a obchodních transakcí MasterCard, Maestro a Cirrus, umožňuje např. blokování konkrétní transakce na základě více kritérií.
Zdroj: tisková zpráva společnosti MasterCard

Ověřování přístupu k internetovým službám pomocí hesel považuje za těžkopádný způsob více než 60 % uživatelů. Více než tři čtvrtiny (77 %) by na internetu přivítaly jiný způsob zabezpečení dat a ochrany soukromí. Průzkumu se zúčastnilo 24 tisíc respondentů z 24 zemí.
Zdroj: tisková zpráva společnosti Accenture

Petr Kuboš je novým českým Corporate Sales Managerem Kaspersky Lab. Před nástupem do Kaspersky Lab zastával pozici Business Development Managera ve společnosti Avast.
Zdroj: tisková zpráva společnosti Kaspersky Lab

DDoS útoky často doprovází další typy napadení. Téměř tři čtvrtiny respondentů z firemního sektoru (74 %) uvádí, že se DDoS útoky vedené proti jejich společnosti kryly s jinými bezpečnostními incidenty. Přitom nemusí jít o shodu náhod, ale o úmyslný pokus odvést pozornost IT expertů. Tento zastírací manévr je známý pod pojmem DDoS smokescreening (kouřová clona).
Z dalších výsledků průzkumu vyplývá, že oproti situaci před rokem se dopad DDoS útoků zhoršil, stále častěji způsobují kompletní nedostupnost služeb nebo i selhání vlastního provozu firmy.
Zdroj: tisková zpráva společnosti Kaspersky Lab, průzkum B2B International včetně ČR

V Brně proběhl 1. ročník národního technického cvičení kybernetické bezpečnosti Cyber Czech 2015. Účastníci z řad odpovědných pracovníků klíčových ministerstev a dalších úřadů ČR si vyzkoušeli obranu simulované sítě významné elektrárny před kybernetickými útoky, od DDoS po sofistikovanější pokusy o narušení. Pořadateli akce bylo Národní centrum kybernetické bezpečnosti (NCKB) a Masarykova univerzita.
Zdroj: tisková zpráva Národní centrum kybernetické bezpečnosti, tisková zpráva Masarykovy univerzity

Psali jsme na ITBiz

Na téma zabezpečení na ITBiz viz také:

  • Bezpečnostní přehled: Stagefright 2.0
  • it-sa 2015 – zájem o bezpečnost dat stále roste
  • Bezpečnostní přehled: Flash na ústupu
Rubriky: Operační systémySecurity

Související příspěvky

Za bezpečnostní incidenty v cloudu mohou hlavně samotní zákazníci
Zprávičky

Itálie varuje před rozsáhlým útokem hackerů na zařízení se systémem VMware ESXi

5. 2. 2023
Zprávičky

Gen zvýšil ve 3. čtvrtletí tržby o 33 % na 936 milionů dolarů

3. 2. 2023
Zprávičky

Red Hat a Oracle rozšiřují spolupráci a přinášejí Red Hat Enterprise Linux do cloudové infrastruktury Oracle

31. 1. 2023
Zprávičky

Ruští hackeři se chlubí dalšími kyberútoky na české prezidentské volby

28. 1. 2023

Zprávičky

Nejvýkonnější evropský superpočítač je plně k dispozici

Nejvýkonnější evropský superpočítač je plně k dispozici

Pavel Houser
7. 2. 2023

Třetí nejvýkonnější superpočítač na světě a jednička v Evropě je od února 2023 plně

Umělá inteligence: Nástroje vs. platforma, věda vs. kreativita

Google zpřístupní chatovacího robota, do vyhledávání zapojí umělou inteligenci

ČTK
7. 2. 2023

Společnost Alphabet, pod kterou spadá i Google, spustí chatovacího robota a do vyhledávání na

Technologické firmy plánují investovat v Saúdské Arábii 9 miliard dolarů

ČTK
7. 2. 2023

Přední světoví technologičtí giganti investují v Saúdské Arábii více než devět miliard USD (200

Dell propustí 6 650 lidí, asi 5 % zaměstnanců

ČTK
6. 2. 2023

Americká počítačová společnost Dell Technologies celosvětově propustí 6650 lidí, což je zhruba pět procent

Vláda projedná novelu, která zpřesní pravomoci NÚKIB

Novela zákona zřejmě zpřesní povinnosti operátorů a zpřísní opatření proti spamu

ČTK
6. 2. 2023

Novela zákona o elektronických komunikacích, která upravuje nárok na levnější volání pro sociálně slabé

Za bezpečnostní incidenty v cloudu mohou hlavně samotní zákazníci

Itálie varuje před rozsáhlým útokem hackerů na zařízení se systémem VMware ESXi

ČTK
5. 2. 2023

Tisíce počítačových serverů po celém světě se staly terčem hackerského útoku vyděračským softwarem (ransomware).

Chatovací robot ChatGPT je nejrychleji rostoucí aplikace v historii

ČTK
5. 2. 2023

Chatovací robot ChatGPT, který využívá umělou inteligenci, se stal nejrychleji rostoucí spotřebitelskou aplikací v

Američané silně investují do čínských firem na umělou inteligenci

ČTK
4. 2. 2023

Američtí investoři, včetně investičních divizí firem Intel a Qualcomm, se v letech 2015 až

Tiskové zprávy

Acronis varuje: stále více dětí má možnost využívat snadných nákupů po internetu

Společnost i-PRO představuje první aplikaci pro detekci změny scény s umělou inteligencí

Jacob Ringler povede českou pobočku i vývoj ve společnosti Vendavo

Uvolnění potenciálu střední a východní Evropy

Ness v O2 Czech Republic pomáhá s přechodem do cloudu

Společnost vshosting dosáhla loni obratu téměř čtvrt miliardy Kč

Zpráva dne

Goodoffer24 říká – v únoru dáte za doživotní licenci Windows 10 jen €12 a za Office €23

Goodoffer24 říká – v únoru dáte za doživotní licenci Windows 10 jen €12 a za Office €23

Redakce
2. 2. 2023

Zdaleka ne každý má stovky dolarů na upgrady svého počítačového softwaru. To je také...

Odebírat newsletter

Zásady ochrany osobních údajů.

Zkontrolujte svoji doručenou poštu a potvrďte odběr.

Komentujeme

Chvála černých skřínek

Prokletý smartphone: nejen chyby, ale i špatné rozhodování

Pavel Houser
27. 12. 2022

Asi nikoho nepřekvapí, že za neustálou dostupnost smartphonu se platí tím, že práce na tom zařízení...

Nadcházející akce

  1. Virtuální konference Kyberbezpečnost pro zdravotnictví

    23. února
  2. Hannover Messe 2023

    17. dubna - 21. dubna

Zobrazit všechny Akce

Slovník

Kandidát

NAT

STUN

Nejpopulárnější články

Kde se v podnicích uplatní metaverzum?

Redakce
2. 1. 2023

Trendy: předplacené služby, kontejnery, vliv rostoucích cen energií a experti se širším záběrem

Redakce
28. 12. 2022

Nová směrnice NIS 2 se bude týkat tisíců firem. Připravte se na bezplatné virtuální konferenci

Nová směrnice NIS 2 se bude týkat tisíců firem. Připravte se na bezplatné virtuální konferenci

Redakce
20. 1. 2023

Podařilo připravit husté křemíkové nanodrátky pro aplikace s vysokými frekvencemi

Při vzniku chyby by kvantové počítače mohly data automaticky mazat

Pavel Houser
3. 1. 2023

Vybudujte linii obrany pro zastavení vlny ransomwarových útoků

Redakce
23. 12. 2022

Kategorie

  • Články
  • Komentujeme
  • Slovník
  • Tiskové zprávy
  • Zprávičky

Portál ITbiz.cz přináší informace z IT a byznysu již od roku 2006. Provozuje jej internetové vydavatelství Nitemedia. Hosting zajišťuje společnost Greenhousing.cz. Mezi další naše projekty patří například ABClinuxu.cz a Sciencemag.cz. Na stránce Redakce naleznete informace o redakci a možnostech inzerce.

Rubriky

Akce a události Byznys Cloud Ekomerce Hardware Internet Operační systémy Podnikový software Právo Rozhovory Science Security techn Technologie Telekomunikace Veřejná správa Vývoj a HTML Zpráva dne České IT česk

Píšeme jinde

RSS ScienceMag RSS

  • Nejvýkonnější evropský superpočítač je plně k dispozici
  • Nová technologie zrychlí imunochemické testování
  • Vstřebatelné fixační hřeby do dlouhých kostí

RSS AbcLinuxu RSS

  • Festival Steam Next | únor 2023
  • xorg-server 21.1.7 řeší CVE-2023-0494
  • Fedora 38 nabídne celý Flathub

Newsletter

Zásady ochrany osobních údajů.

Zkontrolujte svoji doručenou poštu a potvrďte odběr.

Žádné výsledky
Zobrazit všechny výsledky
  • Technologie
  • Byznys
  • Software
  • Hardware
  • Internet
  • Telco
  • Science
  • České IT
  • Události

© 2019 Vydává Nitemedia s.r.o. Hosting zajišťuje Greenhousing.cz.

Tento web používá cookies. Pokračováním dáváte souhlas s jejich používáním. Více na itbiz.cz/soukromi.