Chrome má být nejbezpečnějším webovým browserem, Internet Explorer na druhém místě porazil Firefox. Probíhají útoky proti zero day zranitelnosti Adobe Readeru verze 9. Jak budou vypadat triky podvodníků ve světě HTML 5? Následuje pravidelný čtvrteční bezpečnostní přehled.
Společnost Accuvant provedla další srovnání bezpečnosti 3 nejpoužívanějších webových prohlížečů. Výsledek: Vyhrál Chrome, druhý byl Internet Explorer, nejhůře dopadl Firefox. Hodnocení začalo předpokladem, že chyby typu přetečení zásobníku jsou v jakémkoliv komplexnějším softwaru nevyhnutelné. Analýza se nesoustředí např. na počty zjištěných bezpečnostních děr a dobu do vydání oprav, ale testovala prostě výchozí nastavení prohlížečů proti široké množině exploitů a dalších typů útoku. Firefox vyšel z hodnocení na posledním místě především proto, že nenabízí sandbox. Uživatelé Firefoxu (na Windows – všechny tři prohlížeče se zkoušely pouze ve verzi pro Windows 7) jsou pak méně chráněni proti chybám při zpracování JavaScriptu, grafických formátů atd.
Analýza byla objednána Googlem, Accuvant však dodává, že volba metriky je jejich vlastní. Fakt je, že Chrome se nikdy nepodařilo kompromitovat na pravidelné hackerské soutěži CanSecWest skupiny Pwn2Own (mimochodem, na studii se podílel také Charlie Miller, jinak známý především svými odhaleními bezpečnostních mezer v produktech Apple na CanSecWest/Pwn2Own). Odstup mezi Chrome a Internet Explorerem je podobně výrazný jako mezi IE a Firefoxem. Chrome vyhrál nad IE údajně především kvůli lepšímu sandboxu. U Chrome nemají např. procesy v rámci prohlížeče vůbec přístup k souborovému systému vyjma velmi omezené sady adresářů, u Internet Exploreru je tomu naopak. Sandbox v Chrome má být také lepší z hlediska kontroly vzniku síťových socketů (samostatná komunikace procesů s internetovými servery).
Johnathan Nightingale, ředitel vývoje Firefoxu v Mozille uvedl, že zabezpečení mají za prioritu. Sandox je sice důležitý, ale není třeba mu přisuzovat takovou váhu, jako činila studie. Firefox se naopak může podle Nightingala pochlubit třeba kvalitní ochranou pomocí znáhodnění adresního prostoru.
Analýza Accuvant vyhodnotila Chrome jako nejlepší i kvůli tomu, co všechno prohlížeč dovolí doplňkům. Podvodníci nemusí cílit přímo na chybu prohlížeče, ale mohou se svým obětem snažit podstrčit i nějaký plug-in malwarové povahy. Doplňky pro MSIE mohou na rozdíl od Chrome vytvářet vlastní procesy a mají přístup ke schránce OS (možnost přenosu dat mezi aplikacemi).
Firefox pak mělo k poslednímu místu odsoudit i to, že nepodporuje Just In Time (JIT) hardening, tedy prevenci před útoky pomocí javascriptového kódu.
Zdroj: The Register, ZDNet
Koncem října malware DuQu začal mizet z infikovaných počítačů, jeho tvůrci se po sobě zřejmě snaží zamést stopy. Objeví se DuQu ještě někdy a splnil cíle svých tvůrců?
Zdroj: Strategy Page
Jaké budou hlavní metody útoků v prostředí HTML 5? Pro útočníky je důležité např. to, že zatímco HTML 5 nabízí podobnou funkčnost jako Adobe Flash, Java Flex nebo MS SilverLight, nejedná se o doplněk; výrobci prohlížečů proto nijak nebudou omezovat funkčnost. Na druhé straně ale samotný prohlížeč bude na rozdíl od doplňků po objevení nějaké bezpečnostní zranitelnosti zase obvykle rychle aktualizován… Změní se způsob útoků iFrame, XSS i clickjacking a triky s přesměrováním, jako nová metoda se může objevit tzv. WebSQL.
Zdroj: HelpNet
Podvodníci kopírují na mobilních platformách triky, které si již vyzkoušeli ve světě PC. Prodávají aplikaci SMS Privato Spy a deklarují, že tento nástroj umožňuje špehovat chytré telefony a například sledovat obsah obrazovky v reálném čase, sledovat výpisy volání, data z GPS nebo aktivovat mikrofon pro odposlouchávání uživatelů. Cena 50-125 dolarů. Aplikace ale ve skutečnosti neexistuje a kdo si ji chce koupit (málokdy asi s čistými úmysly), nedostane za své peníze vůbec nic.
Zdroj: Symantec
Další studie se pokouší vyhodnotit nárůst malwaru pro Android – tentokrát od společnosti Fortinet. Za rok 2011 vychází vzestup 90 % (počítáno jako počet zaznamenaných vzorků, nikoliv infikovaných zařízení nebo škod způsobených uživatelům). Zajímavé je toto číslo v relativním srovnání – pro Apple iOS je odpovídající nárůst 25 %. Fortinet jako hlavní příčinu rozdílu uvádí, že Android získal na trhu smartphonů podíl již přes 50 %. Svoji roli má ale hrát i otevřenost této platformy, do distribučního řetězce Applu je mnohem těžší cokoliv podstrčit. Malware pro iOS se tak prakticky omezuje na telefony odblokované pomocí jailbreakingu.
Fortinet jmenuje i první větší botnety ovládající telefony s Androidem: Geinimi a DroidKungFu.
Zdroj: CNet, Fortinet
Microsoft vydal beta verzi svého nástroje Windows Defender Offline. Má fungovat i v počítačích, které jsou malwarem natolik zaplácané, že už se nedokáží ani připojit k Internetu (nebo malware selektivně blokuje přístup k webům, které nabízejí ochranu). To není úplně zanedbatelná funkčnost: v dnešní době bezpečnostních řešení na bázi cloudů je dobré nezapomínat ani na to, že existuje také režim off-line. Program se spouští z USB/Flash nebo CD/DVD ještě před samotným systémem.
Zdroj: BetaNews.com, The Register
Adobe vydala varování týkající se zranitelnosti Readeru pro Windows. Proti Readeru 9.4.6 již byly údajně zaznamenány útoky. Technické podrobnosti zveřejněny nebyly, výsledkem může být pád aplikace, ale potenciálně i plné ovládnutí systému útočníkem.
V tuto chvíli by již podle slibu Adobe měla být k dispozici mimořádná záplata. Nejnovější Reader X sice příslušnou chybu obsahuje také, ale další ochranné prostředky by měly jejímu zneužití bránit; mimořádná záplata se proto v tomto případě nekoná.
Adobe obecně uvádí, že opravu pro Reader 9 vydala tak rychle proto, aby se ve firmách instalovala ještě před vánočními svátky. Společnost ale opakuje, že nejbezpečnějším řešením je upgrade na Reader X.
Zdroj: ZDNet
Společnost VeriSign, známá certifikační autorita, uzavřela interní vyšetřování bezpečnostního incidentu ze září. „Comodohacker“, člověk, kteří již dříve narušil systémy certifikačních autorit Comodo a DigiNotar, se tehdy proboural do webového serveru VeriSign. Závěr: samotný systém vydávání certifikátů ale kompromitován nebyl.
Zdroj: ZDNet