Každoroční soutěž Pwn2Own, jak bezpečně rekonstruovat dokument, účinnější komprese pro streamy z dohledových kamer, end-to-end šifrování webových e-mailů, podvodné čtečky karet ve dveřích před bankomaty, mobilní aplikace a chyba Freak. Následuje pravidelný bezpečnostní přehled vytvářený především podle webů ZDNet, CNet, The Register a HelpNet Security.
Začala Pwn2Own
Hned první den na hackerském klání Pwn2Own ve Vancouveru prolomili účastníci prakticky všechny testované platformy: Adobe Flash i Acrobat/Reader, Internet Explorer i Firefox. Pořadateli soutěže v rámci akce CanSecWest jsou HP (respektive TippingPoint/Zero Day Initiative) a Google (Projet Zero). Pro úspěšné účastníky jsou připraveny slušné odměny, např. bezpečnostní výzkumník Nicolas Joly si již přišel na 90 000 dolarů. Podrobnosti o demonstrovaných chybách smějí účastníci zveřejnit až poté, co bude k dispozici oprava. Ve většině případů úspěšný útok vyžadoval kombinaci více chyb, např. chyba v aplikaci a současně překonání sandboxu nebo mechanismu znáhodnění paměti v OS, v jiných případech bylo přetečení zásobníku/haldy ještě potřeba doplnit o povýšení uživatelských práv na úrovni Windows apod.
Nová verze MS EMET
Microsoft aktualizoval svůj nástroj Enhanced Experience Toolkit (EMET). Verze 5.2 by měla mj. vylepšit ochranu proti útokům pomocí VBScriptu v Internet Exploreru (především tzv. útoky VBScript God Mode). Je-li v Internet Exploreru zapnut Enhanced Protected Mode (sandbox), nový EMET podporuje zobrazování varování, čímž by se mělo omezit množství útoků drive-by download, které lze provést bez další akce uživatele. EMET má smysl zejména při používání starších aplikací, kde nejsou k dispozici záplaty, řadu bezpečnostních problémů totiž umožňuje obejít nebo alespoň zmírnit jejich závažnost.
Mobilní aplikace zranitelné
Řada aplikací pro iOS i Android je stále zranitelná chybou Freak. FireEye uvádí, že 10 985 populárních aplikací na Google Play je zranitelných 1 228 (11 %). Tyto aplikace byly staženy více než 6,3 miliardy krát. Z 14 079 populárních aplikací na Apple App Store je zranitelných 771 (5,5 %).
Viz také: Všichni opravují chybu Freak
Poslední analýzy a rozbory ovšem zmiňují, že závažnost zranitelnosti Freak se nejspíš přeceňuje.
Opravy se vlečou
Pravidelná studie IBM X-Force Threat Intelligence Quarterly uvádí výrazný meziroční nárůst počtu kompromitovaných osobních údajů stejně jako reportovaných bezpečnostních zranitelností (o 25 a 10 %). Hlavní příčinou bezpečnostních incidentů má být apatie vývojářů – zájem o objevování zranitelností roste, rychlost oprav nikoliv. V říjnu loňského roku byly známy zranitelnosti v 17 bankovních aplikacích, 10 je stále neopravených.
Šifrování e-mailů podle Googlu a Yahoo
Yahoo nabízí nově šifrování e-mailů jediným tlačítkem. End-to-end šifrování mezi Yahoo a Googlem/GMailem by mělo být kompatibilní, tj. fungovat při posílání e-mailů mezi oběma službami. Zdrojové kódy obou rozšíření jsou k dispozici, Yahoo hodlá za nalézání zranitelností i platit v rámci svého programu odměn pro bezpečnostní výzkumníky. Plug-in Yahoo přímo vychází z loni uvedeného rozšíření Googlu po Chrome s použitím OpenPGP. Šifruje se pouze obsah e-mailu, adresa příjemce či předmět nikoliv.
Použití Yahoo Mail End-to-End vs. GPGTools
Yahoo navíc láká uživatele na on-demand hesla namísto těch klasických, kdy se při přihlášení bude jednorázové heslo vždy posílat pomocí SMS. Tato služba je zatím k dispozici jen v USA.
CSIRT.CZ varuje
Útočníci využívají k šíření bankovního trojského koně Dridex makra, která jsou ukryta uvnitř XML souborů. Útočnou přílohu je dokument MS Wordu, uložený jako XML soubor.
Přibývá skimmovacích zařízení (zařízení pro kopírování platebních karet), která jsou místo na samotném bankomatu instalována na dveřích umožňujících přístup do bankovní pobočky s bankomatem.
Bezpečná rekonstrukce dokumentů
Představena byla technologie Check Point Threat Extraction, která dle dodavatele proaktivně a v reálném čase vyčistí dokumenty od škodlivého kódu a má zaručit jejich bezpečnost. Fungování má být následující: z dokumentu se extrahuje aktivní obsah, vložené objekty a další zneužitelné prvky. Dokument je následně zrekonstruován bez potenciálních hrozeb, jen se známými bezpečnými prvky. Druhou verzí je převod původního dokumentu do formátu PDF. Technologie má být k dispozici jako součást nového balíčku Next Generation Threat Prevention a bude dostupná od druhého čtvrtletí 2015.
Zdroj: tisková zpráva společnosti Check Point
Poznámka: Rekonstruovaný dokument nemusí být plně funkční, riziko mohou představovat i obyčejné odkazy, které jsou z bezpečnostních důvodů neaktivní. Originální dokument může uživatel získat od administrátora systému.
Ze světa firem
Organizace ICANN jmenovala tým, který připraví plán na změnu kořenového klíče používaného pro zabezpečení internetových domén pomocí technologie DNSSEC. Jedním z členů týmu je i Ondřej Surý, vedoucí výzkumného a vývojového oddělení sdružení CZ.NIC. Hlavní odpovědností expertní skupiny je nalézt optimální způsob změny hlavního klíče, aniž by došlo k narušení bezproblémového chodu Internetu.
Zdroj: tisková zpráva sdružení CZ.NIC
Uvedena byla beta verze DiskStation Manager (DSM) 5.2. K bezpečnostním novinkám patří dle dodavatele např. rychlejší a lépe nastavitelná cloudová synchronizace s možností šifrování. Komponenta AppArmor, bránící škodlivému softwaru v přístupu k systémovým zdrojům, rozšiřuje svůj dosah na profily jednotlivých balíčků. Přidána byla podpora šifrování SMB 3.
Zdroj: tisková zpráva společnosti Synology
Téměř tři čtvrtiny respondentů (73 %) z řad tuzemských firem, které se aktuálně rozhodují pro cloud, uvedly, že vnímají jako riziko ukládání svých dat mimo území ČR. Z dotázaných 130 firem jich zatím cloudová řešení využívá 41 %. Zhruba 50 % respondentů uvedlo, že by jejich důvěru v cloud zvýšila možnost šifrování či osobní prohlídka technického zázemí datového centra poskytovatele.
Zdroj: průzkum agentury Perfect Crowd pro České radiokomunikace
Kaspersky Lab představila novou bezplatnou aplikaci pro Android s názvem „Phound!“. Umožňuje majitelům ovládat svá mobilní zařízení a data na nich vzdáleně – pomocí portálu My Kaspersky. Dle průzkumu mezi uživateli internetu během roku ztratil svůj chytrý telefon nebo tablet každý 20. český respondent.
Zdroj: tisková zpráva společnosti Kaspersky Lab
Dell představil novou sadu softwarového zabezpečení pro koncová zařízení. Dell Data Protection / Endpoint Security Suite (DDP/ESS) nabízí podnikům ochranu před hrozbami, ověřování a šifrování dat spravované jedinou konzolí. DDP/ESS je kompatibilní i se zařízeními jiných výrobců. Součástí řešení je např. reporting dodržování bezpečnostních zásad, přednastavená politika zabezpečení a předpřipravené šablony reportů pro IT týmy s omezenými zdroji, podporováno je šifrování na hardwarovém i softwarovém základě.
Zdroj: tisková zpráva společnosti Dell
Bezpečnost aplikace je jedním z nejdůležitějších faktorů jejich úspěšnosti: 22 % zákazníků opouští aplikaci v momentě, kdy se projeví její slabiny v zabezpečení. Více než polovina spotřebitelů uvádí, že by používala aplikace také k dalším činnostem, jako je placení daní, zajišťování zdravotní péče či účasti u voleb. Průzkum byl proveden v Evropě mezi dodavateli softwaru i jejich zákazníky/koncovými uživateli.
Zdroj: tisková zpráva společnosti CA Technologies
Axis uvádí kompresní technologii Zipstream, která snižuje nároky na úložnou kapacitu dat aplikací videodohledu dle dodavatele v průměru o 50 % i více. Jedná se o účinnější implementací protokolu H.264. Technologie provádí analýzu a optimalizuje obrazový stream dat ze síťové kamery v reálném čase. Např. detaily důležité pro forenzní účely, jako tváře nebo registrační značky automobilů, jsou separovány a zachovány, přičemž irelevantní oblasti záběru jsou naopak „obětovány“ za účelem zvýšení komprese.
Zdroj: tisková zpráva společnosti Axis Communications
Psali jsme na ITBiz
Na téma bezpečnosti na ITBiz viz také:
- Technologie Intel vPro a zabezpečení notebooků
Pátá generace Intel Core vPro posouvá možnosti vzdálené správy po pevných i bezdrátových sítích zase o kus dál. Nejenže se lze vzdáleně dostat na klientská zařízení bez ohledu na stav operačního systému nebo ve chvíli, kdy je PC vypnuto, ale vzdáleně se lze dostat i na zašifrované SSD disky a pracovat s jejich obsahem. - Windows Hello umožní přihlašování do operačního systému pomocí biometrie
- O tej bezpečnosti vážně i humorně – 1. díl
- O tej bezpečnosti vážně i humorně – 2. díl