• Technologie
  • Byznys
  • Software
  • Hardware
  • Internet
  • Telco
  • Science
  • České IT
  • Události
Žádné výsledky
Zobrazit všechny výsledky
ITBiz.cz
ITBiz.cz
Žádné výsledky
Zobrazit všechny výsledky

Bezpečnostní přehled: podvodníci přecházejí u bankomatů na termokamery

Pavel Houser
25. 8. 2011
| Články

Jak mohou podvodníci nejúčinněji sledovat bankomat. Jaké jsou nové trendy ve vyhledávání zranitelností na Googlu? Bezpečnostní chyby ve Skypu, PHP a AES, útok na inzulínovou pumpu. Následuje pravidelný čtvrteční bezpečnostní přehled.

Security

Security

Termokamery mohou mít pro podvodníky sledující u bankomatů zadávání PIN mnohé výhody. Při použití klasické kamery je úspěšnost zjištění PIN nepříliš velká, lidé mnohdy vědí, že mají zadávané číslice zakrývat, často je navíc zakryjí zcela náhodou.

Výhodou termokamer má být oproti klasických kamerám paradoxně i to, že zachycují méně informací. Proto je mnohem snazší získat ze záběrů potřebné údaje automaticky (softwarově). Michal Zalewski z bezpečnostního týmu Google již v roce 2005 ukázal výhody tohoto druhu útoku, nyní další výzkumníci jeho závěry ještě rozšířili.

Nicméně se ukázalo, že úspěšnost závisí na použitých klávesnicích i na teplotě těla. Navíc se zdá, že proti těmto útokům mohou provozovatelé bankomatů nasadit poměrně jednoduchou ochranu: klávesnice s vyšší tepelnou vodivostí. Situace tedy není tak kritická, i když je faktem, že útoky tohoto typu jsou proveditelné a automatizovatelné.
Své výsledky prezentovali Keaton Mowery, Sarah Meiklejohn a Stefan Savagev z University of California v San Diegu na konferenci Usenix Security Symposium v San Francisku.
Studie (PDF).

Možný útok proti inzulínové pumpě používané diabetiky, o němž jsme zde psali, vyvolal relativně velký ohlas. Téma se dostalo i na přetřes v amerických legislativních orgánech. Členové Sněmovny reprezentantů USA Anna Eshoo a Edward Markey interpelovali v tomto ohledu vládu a administrativu, aby zajistila bezpečnost bezdrátových medicínských zařízení.

Zástupce společnosti Medtronic, jedné z těch, která podobná zařízení vyrábí, uvedl, že pokud je známo, za zhruba 30 let existence těchto zařízení se ale na celém světě nepodařilo zaznamenat žádný z útoků tohoto typu.

Zdroj: The Register

Odhalena byla zřejmě první bezpečnostní zranitelnost v šifrovacím standardu AES (Advanced Encryption Standard). Výzkumníci zjistili, že tajný klíč lze v tomto systému získat čtyřikrát rychleji, než se dosud předpokládalo.

Určité nedostatky v systému byly sice zjištěny už v roce 2009, byly však zajímavé spíše z abstraktně matematického hlediska, než že by se daly použít k reálnému útoku. Navíc se vztahovaly pouze k implementaci AES se 4 klíči. Nová metoda má naopak být použitelná proti všem verzím AES. 4krát větší rychlost získání klíče v praxi znamená, že AES 128 je stejně bezpečný jako AES 126. I tak ovšem získání tajného klíče předpokládá zřejmě astronomický čas (počet potřebných operací je 8 a 37 nul; biliony počítačů, který by mohly vyzkoušet miliardy klíčů za sekundu, by k nalezení klíče stále potřebovaly miliardy let. Přitom největší firmy dnes mají miliony počítačů, které jsou schopné testovat desítky milionů klíčů za sekundu.)

Praktický dopad sám o sobě je tedy opět zatím nulový, nicméně ukazuje, že AES nefunguje zcela tak, jak tvůrci standardu byli při jeho návrhu v roce 2000 přesvědčeni. Je to povzbuzení pro všechny, kdo by chtěli objevit jiné metody útoků.

Zdroj: HelpNet Security

Google a další vyhledávače jsou už poměrně dlouho používány k pátrání po serverech, které trpí bezpečnostními chybami. Celý proces lze ovšem automatizovat: pátrat hned po celé škále zranitelností najednou pomocí počítačů již ovládaných v rámci botnetu. Tento proces je efektivní a navíc při něm žádný počítač nechrlí takovou frekvenci dotazů, aby ho Google dal na blacklist. Navíc Google vrací odpovědi podle umístění uživatele, který je klade; pomocí kompromitovaných počítačů po celém světě pak mohou útočníci sledovat i zranitelnosti služeb v konkrétních oblastech.

Oblíbené je rovněž hledání zranitelností na určitém serveru pomocí testu na různé chyby (metoda označovaná jako dorks). Výstupy ze všech počítačů ovládaných útočníkem se pak zasílají už zfiltrované. Pro podvodníka je tento postup tedy velmi komfortní. Z hlediska provozovatele webu je poměrně účinnou formou ochrany provádět totéž co útočníci a prostě takto otestovat svůj server proti známým zranitelnostem.

Měly by s tím vším vyhledávače něco dělat, např. blokovat počítače, z nichž pocházejí dotazy tohoto typu. Nějak informovat potenciální oběti?

Zdroj: Studie společnosti Imperva

Nejnovější verze Skype pro Windows má obsahovat bezpečnostní chybu, která útočníkovi umožňuje vsunout do relace nebezpečný kód, Skype ale existenci této zranitelnosti popírá.

Německý bezpečnostní výzkumník Levent Kayan tvrdí, že se jedná o chybu typu cross-site scripting (XSS). Klient VoIP nedokáže podle něj přítomnost škodlivého kódu odhalit. Vložený kód v HTML a JavaScriptu může dle Kayana posloužit ke krádeží cookies (a tedy potenciálně i hesel) nebo i k útoku na samotný operační systém. Lze také spouštět JavaScript z externích zdrojů (např. útočné soubory někde na webovém serveru).

Tolik Kayan, naopak mluvčí Skypu tvrdí, že útočník může pouze změnit nějaké telefonní číslo v uživatelově adresáři na hypertextový odkaz, nikoliv však spouštět kód.

Zdroj: The Register, HelpNet Security

Společnosti F-Secure se údajně podařilo získat důkaz, že čínská oficiální místa opravdu stojí za alespoň některými internetovými útoky. Na čínském vládním televizním kanálu CCTV 7 se objevil návod k provádění útoků – program, v jehož menu si zájemce mohl vybrat, jaký web hnutí Falun Gong může napadnout (hnutí je v Číně zakázáno, vybíral se přirozeně web v zahraničí).

„Trapné nedopatření“ bylo z vlastního webu CCTV 7 již zřejmě odstraněno a obsah modifikován, F-Secure ukazuje záznam původního v podobě animovaného GIFu zde.

Zdroj: BetaNews

Průzkum společnosti McAfee ukazuje, že jen asi třetina uživatelů věří v bezpečnost on-line nakupování – přesněji řečeno v to, že pro tyto účely je bezpečná většina webů (tj. neznamená to, že by se báli nakupovat na ověřených místech). Zajímavější než absolutní čísla je ale vývoj důvěry – od roku 2009, kdy McAfee podnikla předešlou verzi průzkumu, došlo k poklesu o 9 %.
Strach však soupeří mj. s hamižností a nabídka pořádné slevy dokáže obavy mnohdy překonat. Uživatelé také dost dají na různé bezpečnostní certifikáty, především když nakupují na menších nezávislých webech.

Zdroj: McAfee

Správci webů a vývojáři by neměli aktualizovat na verzi PHP 5.3.7. Ve vydání je totiž vážná bezpečnostní chyba, která se může projevit ve fungování šifrování. Problém se týká funkce crypt () kombinované s algoritmem MD5, DES a Blowfish by měly fungovat správně. Ačkoliv ve starších verzích PHP má být zase funkce crypt () zranitelná útoky typu buffer overflow, přesto se vyplatí přejít na v úterý vydanou verzi PHP 3.5.8.

Zdroj: The Register, HelpNet Security

Rubriky: ByznysHardwareInternetPodnikový softwareSecurity

Související příspěvky

Články

Firmy chápou ochranu soukromí jinak než jejich zákazníci

7. 2. 2023
Nejvýkonnější evropský superpočítač je plně k dispozici
Zprávičky

Nejvýkonnější evropský superpočítač je plně k dispozici

7. 2. 2023
Umělá inteligence: Nástroje vs. platforma, věda vs. kreativita
Zprávičky

Google zpřístupní chatovacího robota, do vyhledávání zapojí umělou inteligenci

7. 2. 2023
Zprávičky

Technologické firmy plánují investovat v Saúdské Arábii 9 miliard dolarů

7. 2. 2023

Zprávičky

Nejvýkonnější evropský superpočítač je plně k dispozici

Nejvýkonnější evropský superpočítač je plně k dispozici

Pavel Houser
7. 2. 2023

Třetí nejvýkonnější superpočítač na světě a jednička v Evropě je od února 2023 plně

Umělá inteligence: Nástroje vs. platforma, věda vs. kreativita

Google zpřístupní chatovacího robota, do vyhledávání zapojí umělou inteligenci

ČTK
7. 2. 2023

Společnost Alphabet, pod kterou spadá i Google, spustí chatovacího robota a do vyhledávání na

Technologické firmy plánují investovat v Saúdské Arábii 9 miliard dolarů

ČTK
7. 2. 2023

Přední světoví technologičtí giganti investují v Saúdské Arábii více než devět miliard USD (200

Dell propustí 6 650 lidí, asi 5 % zaměstnanců

ČTK
6. 2. 2023

Americká počítačová společnost Dell Technologies celosvětově propustí 6650 lidí, což je zhruba pět procent

Vláda projedná novelu, která zpřesní pravomoci NÚKIB

Novela zákona zřejmě zpřesní povinnosti operátorů a zpřísní opatření proti spamu

ČTK
6. 2. 2023

Novela zákona o elektronických komunikacích, která upravuje nárok na levnější volání pro sociálně slabé

Za bezpečnostní incidenty v cloudu mohou hlavně samotní zákazníci

Itálie varuje před rozsáhlým útokem hackerů na zařízení se systémem VMware ESXi

ČTK
5. 2. 2023

Tisíce počítačových serverů po celém světě se staly terčem hackerského útoku vyděračským softwarem (ransomware).

Chatovací robot ChatGPT je nejrychleji rostoucí aplikace v historii

ČTK
5. 2. 2023

Chatovací robot ChatGPT, který využívá umělou inteligenci, se stal nejrychleji rostoucí spotřebitelskou aplikací v

Američané silně investují do čínských firem na umělou inteligenci

ČTK
4. 2. 2023

Američtí investoři, včetně investičních divizí firem Intel a Qualcomm, se v letech 2015 až

Tiskové zprávy

Acronis varuje: stále více dětí má možnost využívat snadných nákupů po internetu

Společnost i-PRO představuje první aplikaci pro detekci změny scény s umělou inteligencí

Jacob Ringler povede českou pobočku i vývoj ve společnosti Vendavo

Uvolnění potenciálu střední a východní Evropy

Ness v O2 Czech Republic pomáhá s přechodem do cloudu

Společnost vshosting dosáhla loni obratu téměř čtvrt miliardy Kč

Zpráva dne

Goodoffer24 říká – v únoru dáte za doživotní licenci Windows 10 jen €12 a za Office €23

Goodoffer24 říká – v únoru dáte za doživotní licenci Windows 10 jen €12 a za Office €23

Redakce
2. 2. 2023

Zdaleka ne každý má stovky dolarů na upgrady svého počítačového softwaru. To je také...

Odebírat newsletter

Zásady ochrany osobních údajů.

Zkontrolujte svoji doručenou poštu a potvrďte odběr.

Komentujeme

Chvála černých skřínek

Prokletý smartphone: nejen chyby, ale i špatné rozhodování

Pavel Houser
27. 12. 2022

Asi nikoho nepřekvapí, že za neustálou dostupnost smartphonu se platí tím, že práce na tom zařízení...

Nadcházející akce

  1. Virtuální konference Kyberbezpečnost pro zdravotnictví

    23. února
  2. Hannover Messe 2023

    17. dubna - 21. dubna

Zobrazit všechny Akce

Slovník

Konferenční hovor

Informační systém

Brand sales manager

Nejpopulárnější články

Kde se v podnicích uplatní metaverzum?

Redakce
2. 1. 2023

Trendy: předplacené služby, kontejnery, vliv rostoucích cen energií a experti se širším záběrem

Redakce
28. 12. 2022

Nová směrnice NIS 2 se bude týkat tisíců firem. Připravte se na bezplatné virtuální konferenci

Nová směrnice NIS 2 se bude týkat tisíců firem. Připravte se na bezplatné virtuální konferenci

Redakce
20. 1. 2023

Podařilo připravit husté křemíkové nanodrátky pro aplikace s vysokými frekvencemi

Při vzniku chyby by kvantové počítače mohly data automaticky mazat

Pavel Houser
3. 1. 2023

Vybudujte linii obrany pro zastavení vlny ransomwarových útoků

Redakce
23. 12. 2022

Kategorie

  • Články
  • Komentujeme
  • Slovník
  • Tiskové zprávy
  • Zprávičky

Portál ITbiz.cz přináší informace z IT a byznysu již od roku 2006. Provozuje jej internetové vydavatelství Nitemedia. Hosting zajišťuje společnost Greenhousing.cz. Mezi další naše projekty patří například ABClinuxu.cz a Sciencemag.cz. Na stránce Redakce naleznete informace o redakci a možnostech inzerce.

Rubriky

Akce a události Byznys Cloud Ekomerce Hardware Internet Operační systémy Podnikový software Právo Rozhovory Science Security techn Technologie Telekomunikace Veřejná správa Vývoj a HTML Zpráva dne České IT česk

Píšeme jinde

RSS ScienceMag RSS

  • Nejvýkonnější evropský superpočítač je plně k dispozici
  • Nová technologie zrychlí imunochemické testování
  • Vstřebatelné fixační hřeby do dlouhých kostí

RSS AbcLinuxu RSS

  • Festival Steam Next | únor 2023
  • xorg-server 21.1.7 řeší CVE-2023-0494
  • Fedora 38 nabídne celý Flathub

Newsletter

Zásady ochrany osobních údajů.

Zkontrolujte svoji doručenou poštu a potvrďte odběr.

Žádné výsledky
Zobrazit všechny výsledky
  • Technologie
  • Byznys
  • Software
  • Hardware
  • Internet
  • Telco
  • Science
  • České IT
  • Události

© 2019 Vydává Nitemedia s.r.o. Hosting zajišťuje Greenhousing.cz.

Tento web používá cookies. Pokračováním dáváte souhlas s jejich používáním. Více na itbiz.cz/soukromi.