Bezpečnostní přehled: Jak si stojí redakční systémy
WordPress, Joomla, Magento a Drupal – jak je porovnávat z hlediska bezpečnosti? Ochrana průmyslových systémů. Řeší firmy častěji kybernetickou kriminalitu nebo zpronevěru? Mohla by se hesla nahrazovat „zprůměrováním“ více faktorů, které by nijak nezatěžovaly uživatele?
Následuje pravidelný bezpečnostní přehled vytvářený především podle webů ZDNet, CNet, The Register a HelpNet Security.
Problém otevřených systémů
Průzkum Soha Systems: 63 % narušení dat ve firmách souvisí s tím, že do systémů mají přístup třetí strany, dodavatelé a jiní partneři. Přitom pouze 2 % IT oddělení a vedení firem vnímá tuto záležitost jako nejvyšší prioritu. Většina respondentů připouští, že míra přístupu třetích stran do jejich systémů se v posledních letech zvýšila a tento trend bude dále pokračovat. Po technické stránce je taková otevřenost stále snazší, protože podnikové aplikace se provozují v cloudech. A mimochodem, ze stejného průzkumu vyplývá, že pouze 8 % dotazovaných IT specialistů si myslí, že by v důsledku bezpečnostního incidentu mohli přijít o práci.
Australský bezpečnostní tester Jamieson O'Reilly z firmy Content Protection oznámil objev zranitelnosti ve videokonferenční platformě Vidyo, kterou využívá např. americká armáda, NASA nebo CERN. Útočník se může dostat nejen k samotným videopřenosům, ale i k dalšímu obsahu na zranitelném serveru; takto zranitelné koncové body lze navíc dohledávat Googlem. Dodavatel již vydal záplatu, opravená verze má číslo 3.0.1.20.
Celkové skóre namísto hesel
Google na své vývojářské konferenci I/O přišel s projektem náhrady hesel smartphonů. V rámci Project Abacus se navrhuje, že by autorizace probíhala kombinací různých informací včetně biometrie. Například by se kombinovala lokalita, blízkost dalších známých zařízení, rozpoznání obličeje a způsob psaní. Toto „ověření“ by proběhlo třeba vždy při pokusu spustit novou aplikaci. Podle povahy aplikace by se vyžadovalo různé „skóre spolehlivosti rozpoznání“, třeba bankovní aplikace by logicky vyžadovala větší jistotu (poznámka: jak se zdá, používání hesel by se tímto omezilo, ale k nahrazení celého systému by nedošlo, bude-li skóre vyhodnoceno jako nedostatečné, stejně dojde k výzvě zadat heslo; čili když Google argumentuje tím, že uživatelé notoricky nastavují slabá hesla, popsaný přístup s tím sám o sobě neudělá nic...?).
Zranitelnosti redakčních systémů
Více než třetina všech webů využívá 1 ze 4 následujících redakčních (CMS, správa obsahu) systémů: WordPress, Joomla, Drupal a Magento. Studie firmy Sucuri uvádí, že úspěšné ovládnutí webů útočníky (letošní data) se v 78 % týkalo systémů na WordPressu, další podíly: Joomla 14 %, Magento 5 %. Drupal 2 %. Nicméně podle analýzy toho, jak se o systémy starají správci, to vypadá jinak: WordPress je zastaralý „jen“ v 56 % instalací. Ostatní CMS jsou na tom hůře, aktualizace Drupalu chybí v 81 % případů, Joomly v 85 % a Magenta dokonce v 97 %. Přitom na Magentu se nejčastěji provozují aplikace spadající do kategorie e-commerce, takže při průniku se do rukou útočníků dostávají i údaje typu platebních karet zákazníků. Zbývá dodat, že se zkoumala nejen aktuálnost samotných systémů, ale i plug-inů – a právě tam byl hlavní problém a příčina toho, proč jsou uvedená čísla tak vysoká.
Google vydal verzi 4 svého Safe Browsing API. Hlavní vylepšení podle dodavatele – při začlenění do dalších aplikací lze lépe využívat zdroje (šířka pásma, výkon zařízení, geografie...). Předcházející verze bude podporována do příštího roku. Cca jde o databázi škodlivých URL, kdy kontrolu proti aktuální podobě blacklistu lze začlenit do dalších aplikací.
Výzkumníci firmy Incapsula objevili inzeráty, které nabízely provádění hodinových útoků DDoS za pouhých 5 dolarů (deklarováno bylo pouze, že cílem nesmí být úřady, vlády apod. instituce). V loňském roce prý cena příslušné služby na „trhu“ spadla z 38 na 19 dolarů, tím se to však nezastavilo.
Ze světa firem
S hospodářskou kriminalitou se loni setkalo 35 % firem z České republiky, z toho 36 % podvodů byla počítačová kriminalita (2. nejčastější typ kriminality po zpronevěře majetku; ve srovnatelném průzkumu v roce 2011 byl tento podíl 11 %). Výskyt počítačové kriminality v ČR mírně převyšuje ostatní středo/východoevropské země i celosvětový průměr. Respondenti v ČR právě tento typ hospodářské kriminality dnes považují největší hrozbu; firmy jako výrazně větší riziko vnímají externí útoky než činnost insiderů. (Zdroj: Celosvětový průzkum hospodářské kriminality, PwC (6 337 respondentů ze 115 zemí, včetně 79 společností z ČR))
Ukrajinští separatisté, ale i vládní úředníci nebo novináři jsou terčem špionáže pomocí kampaně Win32/Prikormka. V malé míře byl výskyt tohoto malwaru zaznamenán také v Rusku. (Zdroj: tisková zpráva společnosti Eset)
Acronis oznamuje strategickou iniciativu pro vývoj aplikací využívajících technologii Blockchain pro ochranu dat. Představeno bylo prototypové řešení, které poskytovatelům služeb a koncovým zákazníkům demonstruje možnosti technologie Blockchain v oblasti ochrany dat. Prototyp např. ukazuje, jak může být technologie Blockchain využita k ověření a ochraně dat s časovými razítky a certifikáty pravosti. (Zdroj: tisková zpráva společnosti Acronis)
Každoroční výzkum mezi českými IT profesionály během technologických konferencí Cisco sleduje hlavní trendy, které ovlivňují fungování IT oddělení ve firmách. Obrana proti kybernetickým hrozbám a řízení rizik jsou považovány za stále významnější. Ve srovnání s loňským výzkumem se význam bezpečnosti zvýšil o 10 % (z 54 % vloni na letošních 64 %). (Zdroj: tisková zpráva společnosti Cisco)
Zabezpečení dat bude letos patřit ke klíčovým investicím firemních IT oddělení. 62 % zaměstnanců v západní Evropě dnes používá k práci pomocí vzdáleného přístupu svá osobní zařízení. Z interních zaměstnanců se neautorizovaného použití IT infrastruktury logicky dopouštějí především zaměstnanci IT oddělení (41 % incidentů). (Zdroj: průzkum společnosti společnost Toshiba Europe)
Internetoví podvodníci slaví úspěch s obsahem typu diet a fitness programů. 61 % respondentů průzkumu v USA kliklo na reklamní odkaz, který nabízí dietní program. 30 % respondentů průzkumu si pak zakoupilo i produkt, aniž by věděli, zda jde o bezpečný web. (Zdroj: průzkum společnosti společnost Intel)
Většina Čechů je při prodávání mobilů neopatrná. Tři čtvrtiny použitých mobilů na prodej v sobě mají nesmazané fotky, kontakty, SMSky nebo e-maily. Na některých telefonech zůstanou uložené dokonce i výpisy z účtů, certifikáty pro banku nebo přístupové údaje k e-mailu. (Zdroj: průzkum společnosti společnosti Aukrobot)
Podvodné weby ve velkém cílí na zranitelná místa v Androidu ve verzi 4.1 a starší pomocí exploitů CVE-2012-6636, CVE-2013-4710 a CVE-2014-1939. Tyto tři bezpečnostní problémy opravil Google v letech 2012–2014, mnoho zařízení s Androidem ale používá zranitelné verze. (Zdroj: tisková zpráva společnosti Kaspersky Lab)
V prvním čtvrtletí 2016 odhalili experti společnosti Kaspersky Lab 2 900 nových modifikací ransomwaru (nárůst 14 % oproti konci roku 2015). Celkový počet napadených uživatelů vzrostl oproti posledním třem měsícům 2015 o 30 %. Top 3 skupiny ransomwaru v Q1/2016: Teslacrypt, CTB Locker, Cryptowall. (Zdroj: tisková zpráva společnosti Kaspersky Lab)
Až 60 % průmyslových objektů v Česku nemá dostatečnou ochranu před hrozbou kybernetických útoků. Jedná se zejména o energetiku, telekomunikace, dopravu, chemický, vodní nebo potravinářský průmysl. Stávající ochrana se většinou týká pouze řídicího systému (ICS), nikoliv průmyslových procesů jako celku. (Zdroj: tisková zpráva společnosti Auris)
Psali jsme na ITBiz.cz
Na téma zabezpečení na ITBiz viz také:
Cisco zveřejnilo finanční výsledky, tahounem je bezpečnost: Rostou prodeje firewallů a řešení IDS (detekce průniku).
