• Technologie
  • Byznys
  • Software
  • Hardware
  • Internet
  • Telco
  • Science
  • České IT
  • Události
Žádné výsledky
Zobrazit všechny výsledky
ITBiz.cz
ITBiz.cz
Žádné výsledky
Zobrazit všechny výsledky

Bezpečnostní přehled: Na Pwn2Own tentokrát padl i Chrome

Pavel Houser
14. 3. 2013
| Články

Domácí události, hackerská soutěž Pwn2Own, druhé březnové úterý a záplaty Microsoftu… Následuje pravidelný bezpečnostní přehled vytvářený především podle webů ZDNet, CNet, The Register a HelpNet Security. Tentokrát více i z domácích zdrojů.
Významnou událostí uplynulého týdne byly DDoS útoky i u nás. Zasáhly zpravodajské servery, banky, Seznam i mobilní operátory.

Český CSIRT (Computer Security Incident Response Team) vydal k situaci 2 tiskové zprávy. Jedna uvádí, že sdružení CZ.NIC je útok připravené: „Nepřetržitý provoz DNS je zajišťován pomocí soustavy sekundárních jmenných serverů. Ty jsou vedle dvou lokalit v České republice umístěny také v USA, Chile, Japonsku, Rakousku, Německu, Švédsku, Velké Británii.“

CZ.NIC vyvinul nástroj, který dokáže simulovat útok stejné intenzity, jako byly ty v minulém týdnu. V současnosti ho používá k testování vlastní infrastruktury, ale uvažuje se i o jeho nabídce dalším stranám.

Analýza samotného útoku: DDoS byl realizován SYN Flood s podvržením IP adresy. Nedá se proto jednoduše říct, kdo to má na svědomí (např. kde je geografický zdroj útoku).

Otázka může také znít: má vůbec smysl mluvit o útoku DDoS, nebo ve skutečnosti vycházel z jednoho místa (tedy DoS)? Viz komentář na ITBiz.

Objevily se první pokusy vyčíslit škody, které tímto způsobem vznikly. A co motivace útočníků? Kybernetické útoky v minulém týdnu neměly podle převažujícího názoru za cíl získat citlivá data/instalovat do napadených systémů malware. „O napadeních za účelem odcizení interních údajů se totiž ve více než 80 % neví ještě následující měsíc od jejich provedení,“ uvedl Martin Hanzal, výkonný ředitel společnosti SodatSW a člen pracovní skupiny NATO Industrial Advisory Group. „Tento typ útoků neznamená vážnou hrozbu získání nebo poškození uložených dat a informací v napadených systémech. Podobné útoky „pouze“ omezují komfort a zvyky, které jsme si za poslední dobu osvojili a neradi se jich vzdáváme.“

Co se týče domácího dění v oblasti IT bezpečnosti, tak si řada médií smlsla i na kauze nabourání systému UniCredit Bank, byť podle všeho bez jiných než mediálních následků.

13. 3., druhé úterý v měsíci a tedy březnové záplaty Microsoftu. Vydáno 7 bulletinů zabezpečení, z toho 4 kritické. Jedna z kritických zranitelností se týká všech podporovaných verzí Windows, od XP SP3 po Windows 8 a RT i všech verzí Internet Exploreru; ke vzdálenému spuštění kódu zde stačí navštívit podvodný web. Kritický je rovněž problém se SilverLight (cca konkurence Flash), což zasahuje i platformu Mac OS X. Další dvě z kritických chyb se týkají nástroje Visio/Microsoft Office Filter Pack (Wolfgang Kandek, CTO bezpečnostní firmy Qualys, se v této souvislosti podivuje, proč tak zdůrazňovat zrovna takovýto problém) a serverového softwaru SharePoint (zde však už třeba mít nějaký přístup. tj. jde o eskalaci oprávnění).

Apple po delší době opravil chybu v AppStore. Problém se měl týkat krádeže oprávnění při přístupu přes WiFi (nedostatečně implementované šifrování a možnost únosu relace). Útočník pak mohl získat soukromé informace a na iOS systém oběti instalovat nežádoucí, tj. extrémně drahé aplikace (předpokládejme, že v centrálně spravovaném AppStore jinak nebyl malware). Na problém už loni v létě Apple upozornil Elie Bursztein, který je zaměstnán v Googlu, nicméně šlo údajně o jeho soukromý výzkum. Ukázka zneužití:

Proběhlo každoroční hackerské klání Pwn2Own na kanadské bezpečnostní konferenci CanSecWest. Hlavním sponzorem bylo HP, respektive koupená firma TippingPoint (již dlouho provozující program Zero Day Initiative, tj. platbu za reportované zranitelnosti); jen v hotovosti vyplatila HP úspěšným exploitérům 480 000 dolarů, navíc spolu s notebooky použitými při akci etc.

Zajímavý je snad pohled na předběžné ocenění eventuálních úspěšných exploitů. U „čistých“ prohlížečů byla cena samozřejmě stanovena výš než u těch s Javou nebo pluginy Adobe. Za nejhůře prolomitelný organizátoři pokládali Google Chrome na Windows 7 – zde se za úspěch nabízelo 100 000 dolarů.

Google přitom ještě před zahájením pravidelného klání opravil 10 zranitelností v prohlížeči Chrome. (Kritická nebyla žádná z nich, 6 mělo podle Google druhý nejzávažnější statut.) Chrome byl navíc jasně nejodolnější i v dosavadní historii soutěže. Na opačném konci žebříčku stál browser Safari, čemuž odpovídala i cena nabízena za exploit.

Výsledek samotné akce ovšem tyto odhady poněkud zpochybnil: Prolomit se letos totiž podařilo úplně vše. Hned několika úspěchů dosáhl tým francouzské bezpečnostní společnosti Vupen. Oněch výše zmíněných 100 000 dolarů za skalp Chrome pak připadlo expertům z MWR Labs.
A stejně jako dodavatelé zbrojili těsně před soutěží, zareagovali i hned po ní. Google i Mozilla již vydali první záplaty demonstrovaných chyb.

Google souběžně na CanSecWest ještě organizoval soutěž Pwnium, ta je však zaměřena na samotný operační systém Chromium. Zde zadané podmínky úspěšného hacku naopak jako celek splněny nebyly.

Na téma podnikové IT bezpečnosti na ITBiz viz také:
Podnikové sítě ohrožuje hlavně rizikové chování zaměstnanců.

Společnost CheckPoint tvrdí, že z hlediska typických poskytovatelů podnikových aplikací byly loni největším zdrojem hrozeb produkty Oracle, s odstupem následuje Apple a Microsoft, dále Adobe, Cisco a IBM. Asi nejméně zranitelností bylo za loňský rok odhaleno u produktů HP.

Společnost Zoner software nabízí majitelům www stránek zabezpečení SSL certifikátem. Výhodou nabídky má být cena. Certifikát GeoTrust True BusinessID EV lze při objednávce na 2 roky pořídit za 2 495 Kč (+ DPH)/rok.

Zdroj: tisková zpráva společnosti Zoner software

„Jsme svědky toho, že vývoj v oblasti pravidel pro cloud computing je velice nerovnoměrný,“ uvádí Robert Holleyman, prezident BSA. „Nekompatibilní regulace týkající se ochrany soukromí a bezpečnosti znemožňují pohyb dat přes hranice. Až příliš mnoho zemí na světě si chce uzurpovat části cloudu pro sebe. Kvůli tomu není možné těžit ze vzájemné spolupráce, z čehož by nakonec profitovali všichni.“

Zdroj: tisková zpráva organizace BSA

RSA, bezpečnostní divize EMC, představila tři nová řešení pro bezpečnostní operační centra (SOC, Security Operations Center) a nedávno uvedenou platformu RSA Security Analytics. Cílem je především pomoci bezpečnostním analytikům nastavovat priority a stanovit rizika i hodnotu aktiv napříč organizací.

Zdroj: tisková zpráva společnosti EMC

Eset prezentoval na veletrhu CeBIT své řešení Secure Authentication. Jde o bezpečnou mobilní dvoufaktorovou autentizaci pomocí jednorázového hesla, která pro bezpečné připojení k firemní síti využívá mobilní telefony koncových uživatelů. Secure Authentication funguje na zařízeních iPhone a Blackberry, telefonech s OS Android, Windows Phone 7 a 8, Windows Mobile a telefonech založených na J2ME. Řešení podporuje i ověřování na základě SMS zpráv.

Zdroj: tisková zpráva organizace Eset

Společnost Cisco zveřejnila výsledky studie Annual Security Report. Zdůrazňuje rizika legitimních, ale kompromitovaných webů či reklamních systémů. „Nejvíce bezpečnostních hrozeb se nenachází na pornografických stránkách, webech s ilegální nabídkou léků či hazardními hrami, ale na běžných legitimních webech s nejvyšší návštěvností, jako jsou vyhledávače, internetové obchody nebo sociální sítě. Konkrétně na webech online obchodů hrozí 21krát častěji a na vyhledávačích 27krát častěji setkání se škodlivým obsahem než na stránkách s nelegálním softwarem. Kliknutí na online inzerci znamená 182krát vyšší riziko zavlečení škodlivého malwaru než návštěva webů s pornografickým obsahem.“

Další vývoj zabezpečení Cisco spojuje především s internetem věcí. „Pro bezpečnostní experty tak začne být zásadní schopnost porozumět samotnému obsahu přenášených dat a nikoliv jen chránit koncová zařízení. Ochrana se tak přesune více k samotné síti.“

Zdroj: tisková zpráva organizace Cisco

Společnost BlackBerry bude při prověřování aplikací pro BlackBerry World používat specializovanou službu pro skenování aplikací od Trend Micro. Nové i stávající aplikace v internetovém obchodě BlackBerry World se budou kontrolovat prostřednictvím reputačních technologií (cloudová služba Trend Micro Mobile Application Reputation Service).

Zdroj: tisková zpráva organizace TrendMicro

Rubriky: Akce a událostiInternetSecurity

Související příspěvky

Jaké novinky přináší Arcserve UDP 8.1?
Zprávičky

Analýza: Neviditelným gigantem internetového provozu jsou analytické nástroje

14. 7. 2025
Zprávičky

Hackeři ukradli data 5,7 milionu zákazníků australských aerolinek Qantas

11. 7. 2025
Meta lákala zaměstnance OpenAI na bonus ve výši 100 milionů dolarů
Zprávičky

Muskova společnost xAI představila novou verzi chatbota Grok 4

11. 7. 2025
Články

Útoky zaměřené na cloud jsou stále sofistikovanější kvůli automatizaci a vytrvalosti

11. 7. 2025

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *

Souhlasím se Zásadami ochrany osobních údajů .

Zprávičky

Dell 14 a 16 Premium: Nástupce XPS přináší větší výkon a dlouhou výdrž baterie

Dell 14 a 16 Premium: Nástupce XPS přináší větší výkon a dlouhou výdrž baterie

Pavel Houser
14. 7. 2025

Společnost Dell Technologies představila nové vlajkové lodě svého portfolia notebooků, které navazují na sérii

Jaké novinky přináší Arcserve UDP 8.1?

Analýza: Neviditelným gigantem internetového provozu jsou analytické nástroje

Pavel Houser
14. 7. 2025

V roce 2024 se očekávalo, že dojde k zásadnímu narušení digitálního reklamního průmyslu. Google plánoval zavedení

Europoslanci chtějí omezit příliv levného zboží z e-shopů mimo EU

ČTK
14. 7. 2025

Europoslanci by chtěli omezit rostoucí příliv nekvalitního a potenciálně nebezpečného levného zboží z internetových

Před 30 lety dostaly „empétrojky“ svůj populární název

ČTK
14. 7. 2025

Pro řadu lidí je zkratka mp3 synonymem pro jakoukoliv hudbu uloženou v počítači nebo

SpaceX investuje dvě miliardy USD do Muskovy firmy zaměřené na AI

ČTK
13. 7. 2025

Společnost SpaceX podnikatele Elona Muska investuje dvě miliardy dolarů (42 miliard Kč) do jeho

750 zaměstnanců ČSOB se díky Atosu zvládlo rychle přesunout do domácích kanceláří

Google investuje 2,4 miliardy dolarů do technologie AI od start-upu Windsurf

ČTK
12. 7. 2025

Společnost Google ze skupiny Alphabet zaplatí asi 2,4 miliardy USD (50,64 miliardy Kč) za

Muskova xAI chce další peníze od investorů při ohodnocení na 200 miliard dolarů

ČTK
12. 7. 2025

Americká společnost xAI miliardáře Elona Muska plánuje vybrat peníze od investorů v novém kole

Kryptoměny a jejich ekonomika

Bitcoin pokračuje v růstu na další rekordy, překonal hranici 118 000 dolarů

ČTK
11. 7. 2025

Cena bitcoinu dnes pokračuje v prudkém růstu. Kolem 8:30 SELČ se vyšplhala na další

Tiskové zprávy

Společnost Cato Networks jmenována lídrem v magickém kvadrantu 2025 Gartner Magic Quadrant pro platformy SASE

Společnost QNAP představuje myQNAPcloud One Beta

Acer slaví několikanásobné ocenění cenou Red Dot Product Design Awards 2025

Acer for Business EMEA překonává růst trhu

Nejnovější modely Acer Chromebook Plus nyní s 12měsíčním balíčkem Google AI Pro včetně služby NotebookLM zdarma

ANECT mění vedení společnosti a posiluje management

Zpráva dne

Květen je měsícem růstu, můžete růst s Windows 11 jen za €20.00!

Květen je měsícem růstu, můžete růst s Windows 11 jen za €20.00!

Redakce
15. 5. 2025

Kupte Windows 11 CDkey od Goodoffer24.com a můžete růst s tímto OS jak při...

Komentujeme

Chvála černých skřínek

Malé modely AI mají být velkým trendem

Pavel Houser
3. 1. 2025

V záplavě prognóz technologického vývoje (nejen) v roce 2025 zde prozatím trochu zapadlo jedno téma, které...

Slovník

Kulatý stůl

Tapetování první strany vyhledávání

Property finance credit manager

Nejpopulárnější články

Žádný obsah není dostupný

Kategorie

  • Články
  • Komentujeme
  • Slovník
  • Tiskové zprávy
  • Zprávičky

Portál ITbiz.cz přináší informace z IT a byznysu již od roku 2006. Provozuje jej internetové vydavatelství Nitemedia. Hosting zajišťuje společnost Greenhousing.cz. Mezi další naše projekty patří například ABClinuxu.cz a Sciencemag.cz. Na stránce Redakce naleznete informace o redakci a možnostech inzerce.

Rubriky

Akce a události Byznys Cloud Ekomerce Hardware Internet Operační systémy Podnikový software Právo Science Security Technologie Telekomunikace Veřejná správa Vývoj a HTML Zpráva dne České IT
Žádné výsledky
Zobrazit všechny výsledky
  • Technologie
  • Byznys
  • Software
  • Hardware
  • Internet
  • Telco
  • Science
  • České IT
  • Události

© 2019 Vydává Nitemedia s.r.o. Hosting zajišťuje Greenhousing.cz.

Tento web používá cookies. Pokračováním dáváte souhlas s jejich používáním. Více na itbiz.cz/soukromi.