Na Pwn2Own se podařilo kompromitovat veškeré testované webové prohlížeče. Rizika přehrávačů multimédií. Generování náhodných čísel v iOS 7. Co chystá Red Hat? V případě ztraceného malajského letadla pozor na přílišnou zvědavost. Následuje pravidelný bezpečnostní přehled vytvářený především podle webů ZDNet, CNet, The Register a HelpNet Security.
Na proběhlých soutěžích Pwn2Own a Pwnium si účastníci přišli na více než milion dolarů (nepočítaje v to notebooky, které se autorům úspěšného útoku dávají rovněž). Demonstrováno bylo 34 vážných zero day zranitelností. Všechny testované prohlížeče – Chrome, Firefox, Internet Explorer i Safari – se podařilo kompromitovat, stejně jako Flash. V případě Chrome, který historicky na těchto kláních vydržel nejvíc, tentokrát uspěl tým francouzské bezpečnostní společnosti Vupen, když byla prezentována chyba v jádru WebKit a současně se podařilo obejít ochrannou vrstvu sandboxu.
Kupodivu vydržela Java (přitom v posledních dvou letech uváděná jako hlavní vektor útoku, to ovšem do značné míry kvůli chaosu v aktualizacích). V rámci soutěže Pwnium sponzorované Googlem se podařilo kompromitovat Chrome OS. V kanadském Vancouveru byla navíc předvedena i zranitelnost v jádru systému iOS.
Podrobnosti o zranitelnostech dostávají k dispozici pouze dodavatelé příslušného softwaru.
Publikační systém Joomla obsahuje kritickou zranitelnost, umožňující útok pomocí SQL injection. Opravená verze má číslo 3.2.3, aktualizace navíc řeší i chyby zneužitelné k útokům XSS nebo k neoprávněnému přihlášení (ve spojení s účtem na GMailu).
Ve větší míře byly zaznamenány scamy (pshishing), které příjemce e-mailu informují o tom, že mu byla diagnostikována rakovina. Je potřeba stáhnout soubor s výsledky krevního testu, samozřejmě se instaluje malware (mj. i bankovní trojan Zeus). Stávající vlna útoků probíhá v tuto chvíli především ve Velké Británii.
Když podvodníci zneužívají všech aktuálních událostí, výjimkou nemůže být ani záhadně zmizelé letadlo malajských aerolinek.
Konspirační teorie, Bermundský trojúhelník (byť je na druhém konci světa), vše je pochopitelně pouze naznačeno, podrobnosti lze získat po provedení nějaké akce (instalace něčeho, kliknutí na reklamu…). Metody jsou různé, zaznamenány byly zatím e-mailové kampaně, weby, aktivity tohoto typu na Facebooku.
A nakonec, pozornosti podvodníků neunikl ani krach bitcoinové burzy MtGox. V oběhu je soubor, který má obsahovat podrobnosti o kauze, ve skutečnosti ovšem kromě veřejně známých informací obsahuje především malware, který sám krade bitcoiny (možná existují i jiné verze). Na útoky upozorňuje Kaspersky Lab.
Upgrade generátoru náhodných čísel mezi iOS 6 a 7 míru zabezpečení mohl ve skutečnosti snížit, alespoň to tvrdí výzkumník Tarjei Mandt. Způsob generování náhodných (pseudonáhodných) čísel lze prý předvídat a mechanismus je náchylný k prolomení hrubou silou.
Red Hat chce v linuxové distribuci Fedora 21 změnit bezpečnostní politiku. Operační systém by měl poskytovat konzistentní zabezpečení napříč všemi aplikacemi, které v něm běží, administrátoři dostanou předdefinované profily (které však bude možné dále editovat). Změny politik půjde aktualizovat napříč celým systémem (i automaticky prostřednictvím démona).
Analýza společnosti Trusteer upozorňuje, že cílem útoků jsou stále častěji přehrávače multimédií. Ve firemním prostředí nebývají tyto aplikace obvykle zakazovány, současně je ale IT oddělení nezahrnují do svých aktualizačních politik a kontrol. Pořadí jednotlivých přehrávačů podle počtu (nikoliv závažnosti) reportovaných bezpečnostních zranitelností má být: Apple Quicktime, iTunes, RealPlayer a Adobe Shockwave. Windows Media Player se alsepoň aktualizazuje spolu s jiným softwarem Microsoftu.
Zneužití lze provádět tak, že se uživateli podvrhne speciálně upravený soubor pro příslušný přehrávač, přehrávače mohou být také součástí scénářů při útocích drive-by download.
FireEye vydává studii Advanced Threat Report, která mapuje svět pokročilých hrozeb (APT a další) v roce 2013. Studie je založena na sledování více než než 22 milionů malwarových komunikací mezi klienty a řídicími servery (command and control). Řídicí servery jsou dnes hostovány až ve 206 zemích světa (184 v roce 2012). Většinu řídicích serverů hostovaly USA, Německo, Jižní Korea, Čína, Nizozemsko, Velká Británie a Rusko. Co se týče cílů útoků APT, pořadí zemí bylo následující: USA, Jižní Korea, Kanada, Japonsko, Velká Británie, Německo.
Zdroj: tisková zpráva společnosti FireEye
Cisco rozšiřuje své bezpečnostní portfolio o řešení Cognitive Threat Analytics vzniklé na základě vývoje české společnosti Cognitive Security. Tu Cisco koupilo v lednu loňského roku. Má jít o samoučící se řešení, které analyzuje chování sítě. Jako novou součást portfolia představilo Cisco také řešení Advanced Malware Protection (AMP), které bylo původně vyvinuto společností Sourcefire, kterou Cisco koupilo loni.
Zdroj: tisková zpráva společnosti Cisco
Podle IDC významně roste vliv obchodních manažerů na rozhodování o investicích do IT. Začíná se projevovat trend, kdy řada nových technologických řešení je ve firmě zajišťována, aniž by o tom byli CIO informováni. „Stínové IT“ může sice fungovat jako významný zdroj pro přísun inovativních a efektivních řešení, nicméně na druhou stranu je tím oslabena rozhodující pravomoc IT ředitelů a současně může docházet k porušování bezpečnostních požadavků (regulační rámce, ochrana osobních údajů…). Ředitelé IT zde stojí před trochu podobným problémem jako v případě BYOD. Nový trend na jedné straně má své výhody, současně by se ale IT oddělení měla snažit ho dostat pod kontrolu.
Zdroj: tisková zpráva společnosti IDC
Oracle představil sadu Oracle Mobile Security Suite. Jedná se o reakci na trend BYOD. Platforma umožňuje rozdělit mobilní zařízení na soukromou a firemní část, na rozdíl od konkurence ovšem podle Oraclu primárně nezabezpečuje samotné mobilní zařízení, ale firemní data/aplikace. Řešení nabízí např. omezení přístupu k datům a aplikacím na základě zeměpisné polohy zařízení, umožňuje zakázat kopírování nebo tištění dat, implementovat lze rovněž automatické vzdálené odstraňování citlivých dat či aplikací po dokončení práce s nimi. Podporovány jsou MS Active Directory, jednotné přihlašování (SSO), systémy veřejných klíčů (PKI) a protokol Kerberos.
Zdroj: tisková zpráva Oracle.sk
GFI inovovala svoji službu GFI Cloud, což je administrační nástroj pro správu a zabezpečení klientských zařízení. Řešení nyní nabízí automatizované řízené záplat (patch managementu), které dokáže aktualizovat software Microsoftu a více než 20 výrobců třetích stran včetně Adobe. GFI Cloud podporuje aktualizace 12 loni nejzranitelnějších aplikací, nyní navíc dává správcům k dispozici nové reportovací nástroje.
Zdroj: tisková zpráva společnosti GFI Software
V následujících třech letech očekávají odborníci masivní nástup používání technologie biometrických podpisů, a to nejen v komerčním sektoru, ale i ve státní správě a samosprávě. Unicorn využívá ve svých systémech technologii SignoSoft, kterou vyvinula společnost Pražská softwarová. Toto řešení biometrických podpisů na českém trhu používá např. operátor O2. Řešení SignoSoft má v jádru softwarové komponenty od německé společnosti Softpro a hardware (podepisovací tablety) od japonského Wacomu.
Zdroj: tisková zpráva Unicorn System, Pražská softwarová
Na téma zabezpečení na ITBiz viz také:
IBM: americké vládě jsme nepředávali žádná data