Bezpečnostní přehled: Jaká CAPTCHA je nejlepší

Pracovníci Národního bezpečnostního týmu CSIRT.CZ, který provozuje sdružení CZ.NIC, dnes přinášejí na blogu sdružení nové informace spojené s nedávným útokem na routery domácích uživatelů. Tomáš Hlaváček, programátor pro výzkum a vývoj, popisuje v článku s názvem Kritická zranitelnost mnoha domácích routerů nejen zkušenosti z testování, ale především přináší návod na konfiguraci, která by měla podobným útokům předcházet.

Solární elektrárny ohrožují stabilitu elektrorozvodné sítě i normálně, a když jim k tomu ještě pomůže malware... Společnost Solar-Log, která dodává příslušný řídicí systém, se již snaží zákazníkům dodat opravu/aktualizaci firmwaru. Podrobnosti se drží v tajnosti, protože tento systém celosvětově má využívat asi 230 000 solárních farem, tj. rizika zneužití se berou vážně. Sergej Gordejčik z ruské bezpečnostní firmy Positive Security uvedl, že útočník může zneužitím zranitelnosti systém vzdáleně překonfigurovat, a způsobit tak např. řetězové výpadky, nebo tím alespoň vydírat.

Spolu s Microsoftem v minulém týdnu vydala záplaty i společnost Adobe. Opraven byl přehrávač Flash Player i Reader/Acrobat. Celkem bylo zalátáno 18 zranitelností. U všech aplikací jsou opravy kritické pro Windows, Mac OS X i Linux a chyby mohou způsobit i vzdálené spuštění kódu bez další akce uživatele. Kritická je tentokrát také aktualizace pro Adobe Illustrator. Faktické riziko je v tomto případě ovšem menší, protože tento software není nasazen nijak masově, a útočníci se proto na něj zaměřují méně.

Výzkumníci Googlu uvažují o tom, že přestanou používat pro úlohy CAPTCHA alfanumerické řetězce. Uživatelé prý mají raději číslice než písmena. Obecně náhodné řetězce písmen lidi matou, u skutečných slov je zase potřeba, aby byla frekventovaná a měla pozitivní konotaci. Testovala se příjemnost, rychlost i přesnost, s níž uživatelé úlohu vyřešili. Slova či alfanumerické řetězce mohou prý těžko poskytnout konzistentní uživatelský dojem a lidé úlohu v těchto případech oproti čistě číselným řetězcům mnohem častěji reloadují a nechají si raději zadat novou. Na základě provedených testů to alespoň tvrdí Elie Bursztein z Googlu.

Oddělení Microsoftu zaměřené na hledání zranitelností v softwaru třetích stran upozornilo provozovatele platebních sítí na problém umožňující opakované placení. Kuriózní bylo, že stejné riziko ale hrozilo i v případě plateb probíhajících v rámci sítě Microsoft Bing. Byla vydána směrnice, podle které musejí být všechny objevené chyby nejprve otestovány proti vlastním produktům Microsoftu.

Chyba v Internet Exploreru, kterou Microsoft 1. 5. opravil pomocí mimořádné záplaty (navíc mimořádně určené ještě i pro Windows XP), je již aktivně zneužívána. Společnost FireEye dává útoky do souvislosti se skupinou APT1. Podle Madiantu jde o čínskou skupinu přímo napojenou na čínskou armádu či jiné místní státní struktury.

Zpráva FireEye navíc upozorňuje na rostoucí aktivitu útočníků z Íránu.

Pět Číňanů – ve smyslu konkrétních jednotlivců – bylo v Pensylvánii obviněno z útoků prováděných pro čínskou armádu. Obětí průmyslové špionáže se staly např. americké společnosti podnikající v průmyslu jaderných a solárních elektráren nebo ocelářství. Čína v reakci obvinila USA z pokrytectví a politiky dvojího metru a publikovala čísla o tom, kolik řídicích serverů z USA naopak ovládá počítače v Číně. USA dodávají, že v obvinění nejde o otázky národní bezpečnosti, špionáže vládních úřadů apod. Spojené státy samozřejmě provádějí sledování rovněž, nikoliv ale proto, aby získané informace používaly pro podporu domácích amerických firem.

Fakticky nikdo samozřejmě neočekává, že by pětice obviněných Číňanů kdy stanula před soudem v USA.

Čína v poslední době zakázala na počítačích ve vládních agenturách nasazovat Windows 8. Nejisté je, zda nějaké restrikce budou směřovat také vůči Windows 7.

Ačkoliv platforma Microsoft Silverlight se příliš neujala, podle společnosti Cisco se nyní objevily podobné pokusy o zneužití, jako probíhají pomocí formátů Flash a Java. Zranitelnosti platformy Silverligt byly přidány do některých exploit kitů.

Na trh přichází nová verze Eset Mobile Security pro Android. Vylepšeny mají být funkce pro lokalizaci ztraceného přístroje (integrace s portálem MyEset.com), telefon odesílá zprávu o poloze před vybití baterie, fotografuje při neúspěšném přihlášení nebo vložení nové neautorizované SIM karty. Portál zaznamenává i IP adresy, přes něž se ztracené zařízení připojuje k internetu. Tyto funkce jsou vesměs součástí placené verze, základní verze obsahuje především funkce pro skenování obsahu telefonu a stahovaných aplikací.

Zdroj: tisková zpráva společnosti Eset

Falešné antiviry stále více zaplavují obchody s mobilními aplikacemi. Jeden z podvodných programů byl nyní nalezen i ve Windows Phone Store. Kaspersky Lab upozorňuje na imitace svých produktů. Poslední nalezené programy nijak neškodily, nicméně uživatelé museli zaplatit za aplikace, které skenování a dalších funkce pouze předstíraly. Automatické bezpečnostní mechanismy obchodů s aplikacemi nedokáží s těmito podvody uspokojivě nakládat (v podstatě se sleduje, zda program nedělá něco, co nemá, ne to, že nedělá nic).

Zdroj: tisková zpráva společnosti Kaspersky Lab

Na trh přichází nová aplikace FriendOrFoe (přítel či nepřítel). Je zdarma a uživatelům pomáhá určit, jak „cenní“ jsou jejich přátelé na Facebooku. V oblasti bezpečnosti aplikace upozorní na možné hrozby na sociální síti a jak zabezpečit osobní informace. FriendOrFoe např. vyzve uživatele ke kontrole fotky, na níž byl natagován – mohlo by jít o kompromitující materiál. Kontroluje, zda někdo neprovedl v geolokační službě check-in bez uživatelova vědomí. Může zkontrolovat všechny aplikace, do nichž je uživatel přihlášen, a ukázat oprávnění, která jim dal.

Zdroj: tisková zpráva společnosti Kaspersky Lab

Uvedena byla kamera Axis M3027-PVE. Jedná se o fixní kopulovou kameru s pětimegapixelovým senzorem. Je určena pro vnitřní i venkovní instalace zejména v buticích, hotelích, restauracích nebo kancelářích. Model podporuje i pokrytí 360 stupňů.

Zdroj: tisková zpráva společnosti Axic Communications

Cisco rozšiřuje nabídku programu Cisco Networking Academy o kurz Úvod do kybernetické bezpečnosti (vedeno on-line a v angličtině). Nabídka kurzů z bezpečnosti IT se má nadále rozšiřovat.

Zdroj: tisková zpráva společnosti Cisco

Třetina lidí by data nalezená na ztraceném přístroji využila pro svůj prospěch. Na to, co nalezené zařízení obsahuje, se podívá celých 90 % lidí. Příslušný průzkum byl proveden mezi českými uživateli. Přes 60 % respondentů nemá svá přenosná zařízení a obsah na nich nijak chráněn.

Zdroj: tisková zpráva společnosti Safetica

Fortinet oznamuje podporu pro zabezpečený přístup ke cloudové platformě Microsoft Azure pomocí virtuální privátní sítě. Hlavním cílem je podpořit přesun kritických aplikací i celých datových center do cloudu a přitom zachovat stávající úroveň zabezpečení on-premise systémů. Microsoft Azure má podle Forrester Research na trhu podnikových cloudů aktuálně podíl asi 20 % a letos by toto číslo mělo vzrůst až na 35 %. Zdroj: tisková zpráva společnosti Fortinet

Veam oznamuje produktovou řadu Veeam Availability Suite. Určena je především pro zajištění nepřetržité dostupnosti dat a aplikací, pro obnovu po havárii a jako prevence před ztrátou dat.

Zdroj: tisková zpráva společnosti Veam

Sophos oznámil jmenování Bryana Barneyho senior viceprezidentem a generálním manažerem Sophos Network Security Group a zároveň jmenování Karla-Heinze Waruma regionálním viceprezidentem prodeje pro Německo, severní a východní Evropu, Blízký východ a Afriku.

Zdroj: tisková zpráva společnosti Sophos

Při provádění mobilních plateb je třeba dbát opatrnosti. Poskytovatelé služeb a prodejci zboží jsou nad rámec platných právních předpisů ČR povinni placení za své služby a zboží provádět v souladu s kodexy služeb, které vydává Asociace provozovatelů mobilních sítí. „Počet obchodníků nabízejících mobilní platby dnes přesahuje jistě deset tisíc prodejních míst, e-shopů, služeb, typů zboží, nebo například televizních programů. Bohužel není v silách Asociace všechny takto nabízené produkty z pohledu Kodexu průběžně kontrolovat. V řadě případů se tak o prohřešcích těchto obchodníků vůči Kodexu dozvídáme až z reakcí jejich zákazníků...“

Zdroj: tisková zpráva Asociace provozovatelů mobilních sítí

Na téma zabezpečení na ITBiz viz také: Světová esa kybernetické bezpečnosti opět míří do Prahy