• Technologie
  • Byznys
  • Software
  • Hardware
  • Internet
  • Telco
  • Science
  • České IT
  • Události
Žádné výsledky
Zobrazit všechny výsledky
ITBiz.cz
ITBiz.cz
Žádné výsledky
Zobrazit všechny výsledky

Bezpečnostní přehled: Prolomen protokol šifrování SSL

Pavel Houser
22. 9. 2011
| Články

Robot předstírá konverzaci ve fórech hackerů. Jaké budou nové bezpečnostní funkce ve Windows 8? Mac OS X 10.7 Lion umožňuje přístup k heslům dalších uživatelů. Ochrana informace na monitoru před nepovolanými zraky. Následuje pravidelný čtvrteční bezpečnostní přehled.

Chyba v šifrování SSL ohrožuje potenciálně všechny weby, které pro utajení komunikace mezi klientem a serverem používají protokol https. Zranitelnost se má týkat vrstvy Secure Sockets Layer a Transport Layer Security 1.0, novější TLS 1.1 a 1.2 by měly být proti tomuto útoku bezpečné. Weby ani prohlížeče tyto nové verze ale vesměs nepodporují a nepoužívají, takže potenciálně zranitelný je nyní např. GMail nebo PayPal i on-line bankovnictví.

Exploit v podobě proof-of-concept předvedli Thai Duong a Juliano Rizzo na konferenci Ekoparty Security v Buenos Aires. Jmenuje se Beats a je napsán v JavaScriptu. Načte se do prohlížeče a zde čeká, až bude navázáno spojení https.

Jde zřejmě o mnohem vážnější problém, než jsou v poslední době rozšířené útoky na SSL pomocí kradených certifikátů. Ohrožena je v tomto případě samotná základní kryptografie; útok se vede proti příslušné cookie a k jeho provedení stačí 10 minut. Pokud je známo, jedná se vůbec o první objevenou zranitelnost tohoto typu.

TLS 1.1 je k dispozici už od roku 2006, prakticky veškerá SSL spojení ale nyní stále používají verzi 1. Google Chrome ani Mozilla Firefox nepodporují zatím novější SSL vůbec, Microsoft i Opera ano, ovšem nikoliv ve výchozím nastavení (plus Microsoft navíc umožňuje nastavit novější SSL i v Internet Information Serveru).

Zdroj: CNet, HelpNet Security

CIA

CIA

CIA údajně prostřednictvím své neziskové organizace In-Q-Tel investuje do vývoje technologie Oculis. Tato technologie funguje podobně jako ochranné filtry na monitor, tj. má zabránit, aby si citlivých informací všimnul někdo, kdo stojí za zády uživatele. Ochrana se realizuje prostřednictvím kamery, která stále snímá obličej oprávněného uživatele. Jakmile člověk odejde od počítače nebo se otočí (když s někým mluví apod.), obsah na monitoru se automaticky rozmaže (nebo nahradí náhodnými daty) a obrazovka zamkne. V případě, že kamera zaznamená ve sledovaném prostoru jiný obličej, upozorní uživatele na možné riziko.

Zdroj: Information Week

Windows 8 přinesou kromě nové bezpečnostní funkce. V systému bude vestavěny antivirus (uživatelé si tedy Security Essentials nebo podobný nástroj nebudou muset ručně stahovat). Windows 8 bude možné bootovat z USB; pokud zde ovšem bude obsažen malware, proces načítání OS se automaticky přeruší a zobrazí varování. Windows Defender, nástroj Microsoft zaměřený především na spyware, se také dočká nové verze. V kombinaci s dotekovým displejem bude rovněž možné nastavit přístupové heslo k systému založené na kombinaci obrázků a gest.

Zdroj: HelpNet Security

Psychologický profil hackerů ze skupin Anonymous a LulzSec, který měla vypracovat FBI, se ukázal být jako podvrh. V rámci údajně uniklých dat bylo vytvořeno několik profilů, například „narcistní zaměstnanec technické firmy a nihilista“ nebo „mladá žena, v dětství zneužívána a nyní na drogách“. Údajně uniklý dokument se ovšem prozradil např. tím, že obsahuje pravopisné chyby. Není jasné, kdo za celým podvrhem stojí, ani zda to celé bylo zamýšleno jako vtip nebo zde byla nějaká složitější motivace.

Zdroj: The Register

Yahoo!

Yahoo!

Ve vyhledávačích Microsoft Bing a Yahoo se opět zobrazovaly reklamy na podvodné weby. Podvodníci spojili své reklamy s dotazy na stažení populárních aplikací (celkem chytré, protože tito lidé pak budou software ochotně stahovat a instalovat). Zájemci o Firefox, Skype nebo Adobe Reader/Flash Player byli lákáni na celkem profesionálně vytvořené weby, které imitovaly příslušné dodavatele softwaru. Stahovaný malware měl pak např. povahu rootkitů.

Ačkoliv odkazy na podvodné weby již byly zablokovány, není to první a jistě ani poslední případ tohoto typu. Potýká se s ním i Google nebo jiní provozovatelé velkých reklamních systémů.

Zdroj: The Register

Mitsubishi Heavy Industries

Mitsubishi Heavy Industries

Obětí útočníků se stala další firma pracující s citlivými informacemi – japonský armádní dodavatel Mitsubishi Heavy Industries. Kompromitovány byly počítače a servery např. v závodu na výrobu ponorek nebo raketových motorů. Incident se vyšetřuje, firma ovšem prozatím popírá, že se útočníkům podařilo zmocnit nějakých průmyslových tajemství. Dodavatelé armády jsou pro zloděje dat přirozeně lákavým cílem, letos se již obětí staly např. firmy Lockheed Martin a L-3 Communications. O původcích nejnovější akce není zatím nic známo, nedošlo ani k obligátnímu obvinění Číny.

Zdroj: The Register, CNet

Alan Turing

Alan Turing

Americká firma CSIdentity vyvinula softwarového robota, který vede konverzaci na fórech používaných podvodníky. Tváří se jako někdo, kdo má zájem koupit ukradené informace, hesla nebo databáze zranitelností. Podvodníci obvykle před vlastní transakcí dodávají potenciálnímu zájemci vzorek, na jehož základě se může přesvědčit, že podvodník opravdu vlastní příslušné informace a nevymýšlí si. Robot pak vše odešle do centrály společnosti CSIdentity, která analyzuje data a poté uvědomí o incidentu jejich legitimního vlastníka (oběť útoku).

Podvodníci jsou si těchto triků pochopitelně vědomi a používají proti nim své vlastní zbraně. Jak vidno, máme zde tedy velmi zajímavou variantu známého Turingova testu… Každopádně kybernetický zločin funguje na celém světě, řada z podvodníků nejsou rodilými mluvčími angličtiny ani neznají stejné reálie, takže robota zde není tak snadné odhalit. Firma prozatím nemá k dispozici roboty, kteří by dokázali imitovat konverzaci i v jiných jazycích.

Zdroj: HelpNet Security

Nejnovější Mac OS X 10.7 Lion umožňuje velmi snadno překonat ochranu heslem. Jakýkoliv uživatel si může najít na disku hesla ostatních uživatelů. Soubor hash umožňující dekódování hesla je přístupný v rámci adresářových služeb. Naštěstí jde v podstatě jen o problém eskalace oprávnění, uživatel musí mít k systému alespoň nějaký přístup. Chybu podle všeho nejde zneužít vzdáleně. Jak se chránit? Například zakázat účty hostů a automatické přihlášení a používat spořič obrazovky s heslem…

Zdroj: BetaNews.com

Rubriky: Security

Související příspěvky

Zprávičky

Web pražské integrované dopravy napadli neznámí útočníci útokem DDoS

24. 3. 2023
Sophos představil XDR řešení pro synchronizované zabezpečení
Články

Kyberbezpečnost v roce 2023

24. 3. 2023
Top trendy v oblasti infrastruktury a provozu pro rok 2021
Články

Dell posiluje své bezpečnostní portfolio

22. 3. 2023
Zprávičky

Hrozby pro Android: Adware zůstává v Česku úspěšný

21. 3. 2023

Zprávičky

Ve věku 94 let zemřel spoluzakladatel Intelu Gordon Moore

Ve věku 94 let zemřel spoluzakladatel Intelu Gordon Moore

ČTK
25. 3. 2023

Ve věku 94 let zemřel v pátek Gordon Moore, spoluzakladatel společnosti Intel a průkopník

Web pražské integrované dopravy napadli neznámí útočníci útokem DDoS

ČTK
24. 3. 2023

Internetové stránky pražské integrované dopravy (PID) dnes ráno napadli neznámí útočníci. Web zablokovali útokem

CETIN loni zvýšil zisk o 12 % na 2,88 miliardy Kč

ČTK
24. 3. 2023

Největší tuzemský provozovatel telekomunikační infrastruktury CETIN loni zvýšil čistý zisk o téměř 12 procent

Kryptoměny a jejich ekonomika

V USA obvinili exšéfa kryptoměnové společnosti Terrraform Labs z podvodů

ČTK
24. 3. 2023

Američtí vyšetřovatelé obvinili někdejšího šéfa kryptoměnové společnosti Terrraform Labs To Kwona z několika podvodů.

Vláda projedná novelu, která zpřesní pravomoci NÚKIB

Zákon o dezinformacích posuzují experti, Rakušan ještě zváží jeho předložení

Pavel Houser
24. 3. 2023

Ministerstvo vnitra připravilo návrh zákona pro boj s dezinformacemi, nyní ho posuzují odborníci, resort

750 zaměstnanců ČSOB se díky Atosu zvládlo rychle přesunout do domácích kanceláří

Vedení Toshiby přijalo návrh na převzetí konsorciem v čele s firmou JIP

ČTK
23. 3. 2023

Vedení japonského průmyslového konglomerátu Toshiba přijalo návrh na převzetí podniku od konsorcia firem v

Masivní výpadek na polské železnici způsobila softwarová chyba (aktualizováno)

Konsorcium tří českých firem vybuduje komunikační síť na slovenské železnici

ČTK
23. 3. 2023

Konsorcium tří českých firem pod vedením pražské společnosti Kontron Transportation získalo na Slovensku zakázku

Pětice motorů technologických inovací v příští dekádě

Google zpřístupnil veřejnosti chatbota Bard, chce konkurovat Microsoftu

ČTK
22. 3. 2023

Americká internetová společnost Google v úterý zpřístupnila veřejnosti konverzačního robota Bard. Konkurovat bude službě

Tiskové zprávy

Nejnovější řada notebooků Lenovo Legion Slim

MiR uvádí nový cloudový software pro optimalizaci řízení robotických flotil

Změní generativní umělá inteligence pravidla hry?

SAP představuje nový balíček řešení pro střední firmy

ČSÚ: Více než polovina velkých průmyslových podniků využívá 3D tisk

CyberSecurity Podcast: Vše o nové evropské směrnici NIS 2

Zpráva dne

Březnový prodej – doživotní licence na Windows 10 za Goodoffer24 € 12 a Office za € 23!

Březnový prodej – doživotní licence na Windows 10 za Goodoffer24 € 12 a Office za € 23!

Redakce
3. 3. 2023

Ať už hledáte levnější cestu jak postavit nový počítač, nebo jen chcete upgradovat stárnoucí...

Odebírat newsletter

Zásady ochrany osobních údajů.

Zkontrolujte svoji doručenou poštu a potvrďte odběr.

Komentujeme

Chvála černých skřínek

Programování s pomocí umělé inteligence a open source licence

Pavel Houser
15. 3. 2023

S tím, jak se rozšiřuje využití umělé inteligence přímo při tvorbě softwaru, se intenzivněji začínají diskutovat...

Nadcházející akce

  1. Hannover Messe 2023

    17. dubna - 21. dubna

Zobrazit všechny Akce

Slovník

IP–datagram

Backupovat

SWOT analýza

Nejpopulárnější články

OKI na veletrhu EmbaxPrint zaujala potiskem etiket

OKI na veletrhu EmbaxPrint zaujala potiskem etiket

Tomáš Jirásko
1. 3. 2023

Kvalitních IT specialistů je nedostatek a práce na dálku jim může přinést až o 25 % víc peněz

Redakce
3. 3. 2023

Umělá inteligence: Nástroje vs. platforma, věda vs. kreativita

ChatGPT uspěl v testu teorie mysli

Pavel Houser
21. 2. 2023

Celosvětové výdaje na IT v letošním roce podle Gartneru vzrostou o 2,4 %

Redakce
23. 2. 2023

Mýty kolem digitalizace firmy (1): Digitalizace je jen IT projekt a adopce je ztráta času

Mýty kolem digitalizace firmy (1): Digitalizace je jen IT projekt a adopce je ztráta času

itbiz
2. 3. 2023

Kategorie

  • Články
  • Komentujeme
  • Slovník
  • Tiskové zprávy
  • Zprávičky

Portál ITbiz.cz přináší informace z IT a byznysu již od roku 2006. Provozuje jej internetové vydavatelství Nitemedia. Hosting zajišťuje společnost Greenhousing.cz. Mezi další naše projekty patří například ABClinuxu.cz a Sciencemag.cz. Na stránce Redakce naleznete informace o redakci a možnostech inzerce.

Rubriky

Akce a události Byznys Cloud Ekomerce Hardware Internet Operační systémy Podnikový software Právo Rozhovory Science Security techn Technologie Telekomunikace Veřejná správa Vývoj a HTML Zpráva dne České IT česk

Píšeme jinde

RSS ScienceMag RSS

  • Hledání mimozemského života v prachu na Zemi
  • Týden na ITBiz: Google zpřístupnil chatbota Bard, chce konkurovat Microsoftu
  • 25 let od první hluboké mozkové stimulace

RSS AbcLinuxu RSS

  • Firma Docker plánovala zrušit hosting pro open-source projekty, rozhodnutí přehodnotila
  • Zemřel Gordon Moore, mj. spoluzakladatel společnosti Intel a autor Moorova zákona
  • Mercurial 6.4

Newsletter

Zásady ochrany osobních údajů.

Zkontrolujte svoji doručenou poštu a potvrďte odběr.

Žádné výsledky
Zobrazit všechny výsledky
  • Technologie
  • Byznys
  • Software
  • Hardware
  • Internet
  • Telco
  • Science
  • České IT
  • Události

© 2019 Vydává Nitemedia s.r.o. Hosting zajišťuje Greenhousing.cz.

Tento web používá cookies. Pokračováním dáváte souhlas s jejich používáním. Více na itbiz.cz/soukromi.