Bezpečnost bankovních aplikací pro iOS není ideální, ale lepší se. Speciální ochrana i pro chytré televize. Pokus o sandbox pro Flash na úrovni haldy. Nabourání soukromého e-mailu českého premiéra. V ČR přibývá obětí ransomwaru. Před „vládními útoky“ na on-line účty bude své uživatele varovat i Microsoft. Kybernetičtí podvodníci přecházejí na agresivní adware.
Následuje pravidelný bezpečnostní přehled vytvářený především podle webů ZDNet, CNet, The Register a HelpNet Security.
Chyby bankovních aplikací
Společnost IOActive provedla už poněkolikáté test bankovních aplikací pro iOS. Z hlediska bezpečnostních zranitelností se zkoumalo 40 aplikací z celého světa. Závěr zní, že za poslední 2 roky se situace přece jen zlepšila. Tentokrát 5 aplikací mělo problém s validací SSL certifikátu, což potenciálně umožňuje útoky typu man-in-the-middle.
Asi třetina aplikací měla problémy s validací příchozích dat, což zase znamená zranitelnost např. vůči vsunutí JavaScriptu. Taktéž třetina aplikací obsahovala i odkazy, kde se spojení nerealizuje přes https, což by zase útočníkovi mohlo usnadnit vytváření podvodných přihlašovacích stránek/odchytávání přístupových údajů. Jen necelá polovina aplikací podporuje nastavení autentizace do jiného režimu, než je klasické přihlašování heslem.
Poznámka: Klíčové by bylo zjistit, jak je na tom „klasické“ internetové bankovnictví příslušných institucí. Jsou zranitelnosti i tam? Oč se tedy přístup k bankovnímu účtu ze smartphonu rizikovější (samozřejmě minimálně vzhledem k autorizaci přes SMS, kdy útočníkovi může stačit kompromitovat jediné zařízení).
Chránit třeba i chytré televizory
Samsung uvedl řešení GAIA, což je třívrstvé zabezpečení určené pro smart TV na platformě Tizen. Řešení by mělo přinášet funkce běžné ve světě klasických počítačů/smartphonů, při zadávání dat skrývá citlivé informace, šifruje data přenášená mezi televizorem a servery, obsahuje modul proti malwaru (programy nemohou provádět neautorizované změny OS pro smart TV) a dokáže disk v televizoru rozdělit na více částí, které mohou mít odlišná bezpečnostní pravidla.
Část s citlivými dat je chráněna pomocí veřejného klíče, jenž je uložen čipu. Technologie GIAA má být součástí všech letošních modelů chytrých televizorů Samsungu. Samsung očekává, že chytré televizory začnou hrát v řadě domácností úlohu centra, odkud se budou ovládat další zařízení internetu věcí.
Exploity Flash lákají
Společnost Zerodium nabízí až 100 000 dolarů za překonání nejnovějších bezpečnostních mechanismů pro Adobe Flash (zejména izolace na úrovni haldy – heap). Příslušnou techniku sandboxu vyvinula Adobe s přispěním výzkumníků z Google Project Zero a Microsoftu. Nabídka Zerodium nebude asi Adobe po chuti, protože zranitelnosti pak budou primárně hlášeny třetí straně (za exploity platí ovšem i jiné firmy, z nichž pouze některé vždy automaticky informují i výrobce).
Viz také: Zero day chyby a nejistá budoucnost formátu Flash
Premiérův e-mail
Česká média přetřásala kauzu nabourání soukromého e-mailu premiéra Sobotky. V korespondenci na službě Email.seznam.cz se řešily i pracovní záležitosti. Předpokládá se, že útočník buď uhádl heslo, nebo premiér pracoval se svým účtem na nějakém počítači nakaženém malwarem (s keyloggerem).
Není jasné, zda záležitost bude nějak pokračovat, např. zda se jí bude zabývat Národní bezpečnostní úřad. Samozřejmě se v této souvislosti oprávněně kritizuje používání webového freemailu pro vrcholnou politiku; totéž se stalo i kandidátce na amerického prezidenta H. Clintonové.
Aktualizovat Jabber
Klient pro Windows komunikačního programu Jabber obsahuje chybu, která umožňuje při útoku man-in-the-middle odposlouchávat komunikaci, ukrást přístupové údaje i manipulovat se zprávami odesílanými mezi klientem a branou Jabber. Na problém upozornila společnost Synacktiv. Zranitelnost (CVE-2015 – 6409) se týká verzí 10.6.x, 11.0.x a 11.1.x; podle nových informací se navíc vyskytuje i u klientů pro Android a iOS. Cisco (vlastní Jabberu) již vydalo příslušné opravy; aktualizace je třeba nainstalovat, protože jinak problém řešit nejde. Pokusy o zneužití dosud zaznamenány nebyly.
Už i Microsoft slibuje ochranu před vládami a tajnými službami
Microsoft se přidává k provozovatelům služeb, kteří uživatele varují, pokud mají podezření, že proti účtu mířil útok, za nimž mohla stát nějaká vláda. Microsoft chce takto upozorňovat uživatele svého e-mailu (Outlook.com) a úložiště OneDrive. Podobné služby pro zvýšení bezpečnosti nabízejí uživatelům také Google, Facebook, Twitter a Yahoo. Podle webu The Register v roce 2011 došlo k incidentu s hromadným sběrem přihlašovacích údajů k Hotmailu, Microsoft ovšem dotčené uživatele nevyzval ke změně hesla, protože stopy vedly do Číny, kterou si firma tehdy nechtěla znepřátelit.
Viz také: Microsoft bude varovat uživatele před vládními hackerskými útoky
CSIRT varuje/oznamuje
Na Internetu je volně dostupný (funkční) program umožňující zjistit výchozí heslo routerů dodávaných zákazníkům UPC. Ti obvykle dostávají router s předkonfigurovanou WiFi sítí a heslem. Výše uvedený program umožňuje po zadání SSID sítě zjistit příslušné heslo k WiFi síti. Zatím není jisté, zda se problém týká všech zákazníků nebo pouze zákazníků s určitým konkrétním zařízením.
Poznámka: UPC se brání, že chyba není na její straně, ale na straně výrobce zařízení.
Ze světa firem
Pro nasazení v rámci distribuovaných sítí je určena nová sada řešení Barracuda NextGen Firewall v modelech F18, F80, F180 a F280. (Zdroj: tisková zpráva společnosti Gesto Communications (distributor zařízení Barracuda Networks pro ČR a Slovensko))
Více než polovina základních a středních škol v ČR již nabízí svým žákům připojení prostřednictvím wi-fi. Jako největší výzvu v souvislosti s nabídkou wi-fi pro žáky vnímá většina učitelů zabezpečení sítě před zneužitím (53 %). Naopak 15 % učitelů ve wi-fi žádné riziko pro školu či žáky nevidí. (Zdroj: tisková zpráva společnosti Cisco)
Kybernetické útoky proti energetickým společnostem na Ukrajině z prosince loňského roku mají souvislost s útoky na média a cílenou kyberšpionáží ukrajinské vlády. Společnost Eset analýzou malwaru KillDisk, který byl při těchto útocích použit, zjistila, že nová varianta tohoto malwaru obsahovala další nové funkce pro sabotáž průmyslových systémů a souvisejí tak i s výpadky elektřiny na Ukrajině. Varianta KillDisk, použitá při útoku proti ukrajinským provozovatelům rozvodných sítí, obsahovala funkce odstraňující systémové soubory, takže počítače pak nešly spustit. Konkrétní varianta malwaru navíc obsahovala kód, který byl specificky zaměřen k sabotáži průmyslových řídicích systémů. (Zdroj: tisková zpráva společnosti Eset)
Dell představil nové notebooky Latitude 5000 Series, které jsou určeny pro podnikovou sféru. Co se týče zabezpečení, Dell využívá vlastní šifrování i ochranu před malwarem. Latitude 5000 Series nabídne navíc další vrstvu s úložištěm oprávnění, která zahrnuje volitelné části v podobě čteček čipových karet nebo čtečku otisků prstů. Bezpečnostní aktivity provedené prostřednictvím této vrstvy jsou izolovány přes Dell ControlVault. Zpracování a uložení těchto citlivých autentifikačních dat probíhá na samostatném čipu. (Zdroj: tisková zpráva společnosti Dell)
HP uvedlo nový firemní notebook EliteBook Folio. V oblasti zabezpečení nabízí tento model podle dodavatele integrované řešení HP Client Security Software Suite, certifikované TPM, vyšší ochranu na úrovni BIOSu s HP Sure Start, přidat lze i dokonalejší čtečku otisků prstů. Součástí je i správa záplatování a podpora pro zařízení BYOD. (Zdroj: tisková zpráva společnosti HP)
Trendy loňského roku: Organizace ČR ve větší míře zasáhl ransomware. Hlavním způsobem průniku byl e-mail. Časté jsou stále incidenty z nedbalosti, zejména ztráty notebooků, smartphonů nebo paměťových médií s citlivými daty. Rozdělení úniků dat: z 91 % firem unikají (nezašifrovaná) data přes externí zařízení. Do tohoto procenta spadají jak úmyslné (vynesení dat), tak neúmyslné (ztráta nechráněného zařízení) incidenty. 36 % firem zaznamenává incidenty spojené s odesíláním citlivých dat mimo organizaci e-mailem a 18 % firem řeší neautorizované přenosy dat na osobní cloud. (Zdroj: tisková zpráva společnosti Safetica Technologies)
Ještě jednou trendy za uplynulý rok: Kyberzločinci ve snaze minimalizovat riziko trestního stíhání přešli od útoků malwarem k agresivnímu šíření adwaru. V loňském roce bylo 12 z 20 webových hrozeb právě adwarem. Reklamní programy byly zaznamenány na 26 % počítačů uživatelů. Ze statistik má dále vyplývat, že ČR je desátou nejbezpečnější zemí světa.
(Zdroj: tisková zpráva společnosti Kaspersky Lab. Další informace vyplývající z příslušné studie (mobilní finanční trojany, ransomware) viz i předcházející bezpečnostní přehled.)
Kingston představil nový šifrovaný USB flash disk DataTraveler 2000. Nabízí hardwarové šifrování (AES o síle 256 bitů v režimu XTS, šifrování probíhá na úrovni disku, a není proto třeba instalovat žádný software nebo ovladače hardwaru) a ochranu pomocí kódu PIN zadávaného na alfanumerické klávesnici, která je součástí samotného disku.
Zdroj: tisková zpráva společnosti Kingston
Psali jsme na ITBiz.cz
Na téma zabezpečení na ITBiz viz také:
V jakém OS či aplikaci bylo loni nejvíce bezpečnostních chyb?
Jak jsou na tom webové prohlížeče nebo jednotlivé verze Windows? A co přehrávač Flash Player?