Bezpečnostní přehled: šachy místo CAPTCHA a problémy SCADA záplat

Pavel Houser , 20. březen 2013 08:00 3 komentářů
Bezpečnostní přehled: šachy místo CAPTCHA a problémy SCADA záplat

Záplatování zřejmě není nejvhodnější způsob pro ochranu kritické infrastruktury. CAPTCHA jako šachová úloha. BlackBerry jako nejbezpečnější mobilní platforma. Následuje pravidelný bezpečnostní přehled vytvářený především podle webů ZDNet, CNet, The Register a HelpNet Security.

Německá vláda zakoupí až 4 000 zařízení se systémem BlackBerry 10. Ve srovnání s konkurencí se prý jedná o jedinou platformu, která vyhovuje bezpečnostním standardům NATO. Nejlepší zde má být podpora šifrování a možnost rozdělení systému na pracovní a soukromou část. Německá vláda hodlá systém doplnit o dodatečnou aplikací/kartou SecuSmart od stejnojmenné firmy.

Zdroj: eWeek.com

Výzkumníci z University of Michigan a jejich kolegové dospěli ve svém průzkumu k závěru, že přátelské vztahy či jiné vazby mezi generálním ředitelem a dalšími manažery firmy zvyšují riziko kybernetických i jiných podvodů (a navíc snižují pravděpodobnost, že tyto budou rychle odhaleny, bez ohledu na detekční systémy a audity). Závěr studie: představenstva, investoři a regulátoři by se měli snažit, aby výkonný ředitel své nejbližší spolupracovníky nejmenoval sám, ale co nejvíc do tohoto procesu zasahovat.

Zdroj: Phys.org

V několika modelech tiskáren HP Laser Jet byla objevena bezpečnostní zranitelnost, která vzdálenému útočníkovi umožňuje dostat se k datům protékajícím tiskárnou. Na vině je protokol telnet, respektive možnost takto k tiskárně přistupovat de facto bez znalosti hesla; při ladění kódu se na tento problém nejspíš prostě zapomnělo. HP již vydala opravu, doporučuje se proto aktualizaci firmwaru nainstalovat.

Útoky proti webům založených na Wordpressu jsou v současnosti velmi oblíbené. Společnost NorseCrop nabízí službu IPVenger, která je určena menším organizacím využívajícím WordPress jako webový publikační systém (chystá se i podpora pro Joomlu a Drupal). Nabídka má podobu plug-inu, který dokáže řešit známé útoky proti starším verzím systému a údajně i zero day zranitelnosti, usnadňuje filtrování spamu apod. Ceny služby začínají od 10 dolarů měsíčně.

Adobe vydala novou verzi přehrávače/plug-inu Flash Player, která řeší 4 kritické bezpečnostní zranitelnosti; problém se týká uživatelů na platformách Windows, Mac OS i Android. Objevují se doporučení Flash v prohlížeči prostě zakázat, to však není tak jednoduché – např. ve srovnání s podobně problematickou Javou se Flash v prostředí webu užívá více.

Analýza společnosti Tofino Security uvádí, že záplatování není vhodný způsob pro ochranu současných SCADA systémů. Pravidelně vydávané aktualizace (jednou za půl roku apod.) totiž nepřinášejí dostatečnou ochranu proti aktuálním útokům. Rychle vydávané opravy zase často není možné instalovat, systémy SCADA musejí obvykle běžet neustále, snad jen s výjimkou předem plánovaným odstávek.

Provozovatelé se bojí instalovat záplaty i proto, aby neohrozili funkčnost produkčního systému (zde je snad na místě srovnání s databázemi). Řešením pro provozovatele proto nejsou vlastní opravy zranitelností, ale spíše způsob, jak problém obejít a na jiné úrovni (= v jiné části IT infrastruktury – na úrovni firewallu, implementace certifikátů apod.: „compensating controls“) zabránit známým pokusům o zneužití. Tím není řešeno, že záplaty nemají smysl, ale samy o sobě nestačí.

Botnety se dnes používají stále především k rozesílání spamu. A ačkoliv objem spamu globálně už delší dobu klesá, podle studie společnosti McAfee zde nastávají i výkyvy směrem vzhůru. Co se týče samotných botnetů vývoj má být následující. Víceméně odepsané se zdají být botnety Bobax (Kraken), Donbot, Grum, Fivetoone, Rustock a Bagle. Festi, Cutwail, Lethic, a Maazben dále fungují, ale jsou v úpadku. Naopak oživení zažívají Darkmailer, Waledac, Slenfbot a Kelihos. Waledac a Kelihos přitom byly už pokládány za zlikvidované, nicméně provozovatelům (nebo jedinému člověku; podle některých bezpečnostní výzkumníků mají oba stejného autora) se je podařilo opět zprovoznit.

Na webu Lichess.org se objevil nový způsob obrany CAPTCHA: uživatel musel vyřešit jednoduchou šachovou úlohu. Samozřejmě, že současné šachové programy by něco takového zvládly velmi snadno, bude se ale nějaký spammer (např.) obtěžovat zahrnovat takovou funkčnost do svého robota? Jinak řečeno, mohly by specializované servery při CAPTCHA testech požadovat právě znalosti z příslušného oboru? Samozřejmě, že tato metoda všech není použitelná pro univerzální služby, sociální sítě, webové e-maily, zpravodajské servery...

V koedici nakladatelství Argo a Dokořán vyšla kniha Temný trh (originál Dark Market), která mapuje vývoj počítačové kriminality v posledních letech, především s ohledem na obchod s čísly kreditních karet a jejich klonování (skimming). Mj. se zde seznámíte s tím, jak zřejmě největší „kartářské“ fórum bylo založeno policejními agenty, jak podvodníci trpí rivalitou jiných podvodníků, ale současně si v akcích překážejí i různé tajné služby a další bezpečnostní složky. Příběh také ukazuje, jak se internetová kriminalita postupně přesouvala od technologických nadšenců, pro něž finanční zisk z podvodu byl jen jednou z motivací, do světa organizovaného zločinu. Takový je Temný trh...

Zdroj: Nakladatelství Argo, Dokořán

Eset uvádí řešení Secure Autentication – systém dvoufaktorové autentizace (2FA OTP) pomocí jednorázových, serverem generovaných hesel, který umožní koncovému uživateli ověření přístupu k firemní síti prostřednictvím mobilního telefonu. Podporuje moderní mobilní platformy (iPhone, Android, BlackBerry, Windows Phone 7 a 8, Windows Mobile a J2ME), pro starší telefony je umožněna i dodatečná autentifikace přes SMS. Aplikace je určena speciálně pro malé a střední firmy a pro přístup k Outlook Web Access/App a infrastruktuře VPN (podpora pro Radius).

Zdroj: tisková zpráva společnosti Eset

Eset varuje slovenské firmy i uživatele před podvodným e-mailem, pod kterým je podepsán Daňový úřad. Ve skutečnosti jde o phishing, který se oběť pokouší navést k tomu, aby si stáhla jistý dokument („výklad“: daňové subjekty musí daň uhradit na číslo účtu, které je jedinečné pro každého plátce daně, toto číslo najdete v přípojeném souboru). Kdo se nechá oklamat, nainstaluje si do systému trojského koně Win32/Sazoora.A, který sbírá hesla zadávaná v prohlížečích, včetně přístupových údajů k internetovému bankovnictví.

Zdroj: tisková zpráva společnosti Eset

Axis uvádí síťovou kameru M2014-E, která je jen o málo větší než rtěnka. Díky bullet-style designu s malými rozměry a důrazem na funkčnost je tato kamera podle dodavatele vhodná pro instalace například v maloobchodních prodejnách, buticích, hotelích nebo malých kancelářích.

Zdroj: tisková zpráva společnosti Axis Communications

Ještě k nedávným útokům DDoS. Jaká jsou doporučení pro prevenci těchto událostí?

„Jedním způsobem, jak zabránit následkům útoku SYN DoS, je používání SYN cookies namísto udržování polootevřených spojení v rámci systémového paměťového zásobníku. Například jakékoliv ze zařízení NetScaler se systémovým softwarem verze 8.1 nebo novějším to dělá zcela automaticky,“ uvádí Vladimír Špička, regionální Sales Manager Citrix Systems.

Zdroj: tisková zpráva společnosti Citrix Systems.

NetGear nabízí 90% slevu na řešení ProSecure STM150EW3 – hardwarové zařízení pro ochranu firemní sítě (hardware STM150, software Kaspersky a CommTouch)

Zdroj: tisková zpráva společnosti NetGear


Komentáře

Zdenek 'Mst. Spider' Sedlak 20. březen 2013 13:36

Na reseni sachu si najmou Indy :-D

xixo #2
xixo 25. březen 2013 12:13

Vzhledem k tomu, že pozici mají uvedenou přímo ve zdrojáku ve standardním formátu FEN, je úprava robota záležitostí pár minut. Jednotažku zvládne jakýkoli opensource šachový stroj :)

xixo #3
xixo 25. březen 2013 12:27

(třeba takhle)

<div class="checkmateFen">
<div
class="mini_board parse_fen with_keys"
data-color="white"
data-fen="Q7/8/8/1K6/8/2Q5/8/1k6"></div>
</div>

=>

$ stockfish
Stockfish 111108 64bit by Tord Romstad, Marco Costalba and Joona Kiiski
position fen Q7/8/8/1K6/8/2Q5/8/1k6 w - - 0 1
go
info depth 1 seldepth 2 score mate 1 nodes 165 nps 2012 time 82 multipv 1 pv a8a1
bestmove a8a1

RSS 

Komentujeme

Agilita a devops, přepracování a vyhoření

Pavel Houser , 12. červenec 2018 12:30
Pavel Houser

Michael Cote na The Register upozorňuje na častý problém: nové „agilní“ metody vývoje, všechny příst...

Více







RSS 

Zprávičky

Red Hat Ansible Engine přináší další automatizaci cloudu

Pavel Houser , 19. červenec 2018 13:52

Nejnovější verze platformy Red Hat Ansible Engine 2.6 rozšiřuje automatizaci cloudů AWS, Google Clou...

Více 0 komentářů

Samsung chystá na příští rok telefon se sklopným displejem

ČTK , 19. červenec 2018 10:00

Displej půjde složit na polovinu jako peněženku. Ve složeném stavu je na přední straně přístroje men...

Více 0 komentářů

Internet Mall snížil ztrátu, tržby mu vzrostly na 7,2 miliardy Kč

ČTK , 18. červenec 2018 17:29

Internet Mall mj. investuje do distribučního centra v Jirnech u Prahy, které by mělo sloužit 7 střed...

Více 0 komentářů

Kalendář

04. 08.

09. 08.
Black Hat USA 2018
09. 08.

12. 08.
DEF CON 26
06. 09.

07. 09.
Humusoft Technical Computing Camp 2018

Starší zprávičky

Google dostal kvůli Androidu od EK rekordní pokutu 4,34 mld. eur (aktualizace)

ČTK , 18. červenec 2018 13:26

Google využil Android k upevnění dominantní pozice svého internetového vyhledávače, uvádí EK....

Více 0 komentářů

EK oznámí rozhodnutí o pokutě pro Google

ČTK , 18. červenec 2018 12:10

Google dostal od EK za zneužití dominantního postavení již koncem loňského června pokutu 2,42 miliar...

Více 0 komentářů

Americká Workday koupila českou firmu Stories

ČTK , 18. červenec 2018 09:00

Českou firmu Stories založili tři datoví odborníci, kteří si dali za cíl změnit řízení velkých firem...

Více 0 komentářů

Slovensko zablokovalo přístup k desítkám webů s hazardními hrami

ČTK , 18. červenec 2018 08:00

Na návrh slovenského Finančního ředitelství soudy nařídily telekomunikačním operátorům zamezit příst...

Více 0 komentářů