Jak bránit bankomaty proti skimmingu. Je pro strategii kybernetické války důležitější hrát šachy nebo Go? Pracovní uplatnění specialistů na IT bezpečnost. Následuje pravidelný bezpečnostní přehled vytvářený především podle webů ZDNet, CNet, The Register a HelpNet Security.
Americká armáda prohlásila platformu Apple iOS 6 za dostatečně zabezpečenou pro nasazení v rámci infrastruktury vojenských vládních agentur. RIM již tento status získal pro BlackBerry (viz také ), očekává se, že Samsung brzy docílí obdobnou certifikaci pro svou platformu Knox.
Samozřejmě ale nejdůležitější ze všech uvedených firem jsou certifikáty pro firmu RIM, která je v krizi a má zde nejvíc co ztratit. Americké ministerstvo obrany údajně používá 470 000 zařízení BlackBerry, 41 000 mobilních zařízení Apple a pouhých 8 700 zařízení se systémem Android. The Register uvažuje, zda ve výběru platformy do budoucna bude i nějaké politické zadání (sídlo firmy, kde vyrábí, kde platí daně…).
V rámci současné kybernetické války (a pochopitelně i jiných střetů) se prý uplatňují strategie naučené ve hrách typu šachy a Go. Příslušní analytici by se prý měli těmito hrami zabývat, protože jim usnadní odhad příštích kroků protivníka. Pokud bychom např. vnímali střet západních zemí a Číny, pak je naše uvažování ovlivněno tím, zda jsme si strategii a taktiku tříbili spíše na šachách nebo na Go. Druhá hra necílí na nějakou centrální figurku, ale je čistě geometrická a spočívá v zabírání území.
Zdroj: Phys.org
Poznámka: Samozřejmě lze vznést x výhrad: Čína je dnes i šachovou velmocí. Možná si „mladí nadějní analytici“ stejně vše tříbili spíše na on-line strategiích či RPG. Má to celé vůbec nějaký relevantní vztah k tomu, když chcete ochránit vládní agentury před stálými a pokročilými útoky ATP? A tak dále.
Japonské Yahoo vyzývá své zákazníky ke změně hesel. V ohrožení může údajně být až 22 milionů účtů/přístupových údajů (přitom japonské Yahoo má asi 200 milionů zákazníků). Pro Yahoo je tento incident problém i vzhledem k tomu, že východoasijské divize (spoluvlastněné japonskou SoftBank, s podílem na čínském on-line tržišti Alibaba etc.) jsou zřejmě nejziskovější částí celého podnikání firmy.
Nabíjecí stanice pro elektrické automobily začnou brzy představovat významná místa ekonomické infrastruktury. Tudíž lze předpokládat, že se útočníci na ně soustředí podobně jako na SCADA systémy (je asi jen otázkou dohody, zda do této kategorie nespadají).
Videokomentář na toto téma:
Rumunský občan Valentin Boanta, aktuálně si odpykávající ve věznici v Aslui 5letý trest za bankovní podvody, tvrdí, že vymyslel technologii, která by měla zabránit bankomatovým podvodům s použití skimmerů. Podstata ochranné techniky má být víceméně čistě mechanická. Secure Revolving System otáčí kartou sem a tam o 90 %, tak, aby se magnetický proužek (tedy primárně řešení pro starší typy karet?) četl vždy až uvnitř bankomatu. Viz následující video:
Celou technologii se má pokusit uvést do praxe rumunská firma MB Telecom.
Oracle v důsledku nutnosti vydávat stále větší množství záplat pro Javu mimo pravidelný cyklus aktualizací změnil způsob číslování JDK, aby firemním správcům usnadnil se v situaci vyznat. Opuštěno je starší číslování, kdy lichá/sudá čísla verzí odpovídala tomu, zda přinášejí rozšiřující funkčnost nebo kritické bezpečnostní záplaty; nyní je převzata konvence číslování řádků z programovacích jazyků; rozšiřující verze mají čísla s násobky 20, mezi ně lze tedy nacpat dostatek bezpečnostních aktualizací bez nutnosti přečíslování (v zásadě, pravidla jsou komplikovanější).
V Itálii byli zatčeni 4 údajní členové skupiny Anonymous. Jsou mj. obviněni z účasti na DDoS útoku proti webu italského parlamentu a Vatikánu. Jednomu ze čtveřice je poněkud netypicky 43 let.
Na trhu práce je IT bezpečnost údajně v kurzu – poptávka po příslušných specialistech prý roste 3,5krát rychleji než IT pracovní trh jako celek. Jiné průzkumy uvádějí, že bezpečnostní specialisté jsou velmi spokojeni s finančním ohodnocením své práce. Mikro Zors, šéfredaktor HelpNet Security, ve svém komentáři doporučuje zájemcům i aktuálním zaměstnancům získávání certifikátů a budování vztahů s head huntery, a to i když jsou člověk na aktuální pozici spokojeni.
Ještě k záplatám z minulého týdne. Kromě Microsoftu a Adobe (viz také v předchozím přehledu bod „u Adobe dodatek, opraven byl nejen Reader/Acrobat a Cold Fusion, ale také přehrávač Flash Player„) vydala aktualizace i Mozilla. Firefox 21.0 přináší opravy 8 bezpečnostních zranitelností, včetně 3 kritických chyb zneužitelných přes porušení paměti.
Společnost Sophos představila nejnovější verzi svého řešení pro jednotnou správu hrozeb, Sophos UTM Connected. Inovace se mají týkat ochrany na úrovni koncových bodů i bran před webovými hrozbami, nová verze rozšiřuje ochranu bezdrátových sítí a omezuje dopad na výkon systémů, především na úrovni VPN sítí. Aktualizace webového štítu ke pro zákazníky řešení UTM Endpoint a Web Protection k dispozici i zdarma.
Zdroj: tisková zpráva společnosti Sophos
Společnost Panda Security oznámila vydání nové verze produktu Panda Cloud Office Protection. Verze 6.5 je vylepšena např. o technologie určené pro ochranu před hrozbami zero day a webový štít detekující použití sad exploitů Blackhole nebo Redkit. Další technologie pro řízení používání internetu zaměstnanci mají zvýšit produktivitu práce.
Zdroj: tisková zpráva společnosti Zebra Systems, zastoupení Panda Security pro ČR
Eset upozorňuje na cílenou kampaň útočníků, kteří se snažili krást citlivé informace z různých organizací zejména na území Pákistánu. Hrozba se však šířila i v dalších zemích. Útoky vycházejí z Indie a jsou aktivní již nejméně dva roky. Tento cílený útok využíval šifrovaný podpisový certifikát vydaný zdánlivě legitimní společností k podpisu škodlivých binárních souborů. Malware se šíří především v dokumentech posílaných jako e-mailová příloha.
Zdroj: tisková zpráva společnosti Eset
AVG uvedla na trh dvě nové aplikace v rámci svého mobilního portfolia. AVG Cleaner a AVG Image Shrinker jsou nyní zdarma k dispozici pro mobilní zařízení na platformě Android. AVG Cleaner je určen pro zvýšení výkonu smartphonů a tabletů na platformě Android. AVG Image Shrinker má zjednodušovat sdílení grafických souborů (zmenšuje velikost, se zabezpečením nesouvisí).
Zdroj: tisková zpráva společnosti AVG
HP uvádí službu HP Enterprise Cloud Services – Mobility. Novinka umožňuje nasazení nástrojů a služeb zajišťujících bezpečný přístup k aplikacím, ukládání souborů a jejich sdílení prostřednictvím různých mobilních platforem
Zdroj: tisková zpráva společnosti HP
Podle průzkumu provedeného v březnu 2013 mezi prodejními partnery GFI ČR a Slovensko až 56 % českých malých a středních (SMB) podniků zvažuje, že by přesunuly část své IT infrastruktury do cloudu. Zbylých 44 % podniků takový krok odmítá – největší obavu mají z případného zneužití dat v cloudu, z nedostupnosti služeb či pomalé internetové konektivity. Na základě průzkumu bylo rovněž zjištěno, že pokud by organizace chtěly přenést část svého IT do cloudu, pak by daly přednost filtrování elektronické pošty (65,5 %), dále monitoringu dostupnosti IT infrastruktury (51,7 %), zálohování (41,3 %), řízení antiviru (29,3 %), archivaci e-mailů (27,6 %), filtrování přístupu k internetu (25,9 %) a nakonec správě softwarových aktualizací (15,5 %).
Zdroj: tisková zpráva společnosti GFI