• Technologie
  • Byznys
  • Software
  • Hardware
  • Internet
  • Telco
  • Science
  • České IT
  • Události
Žádné výsledky
Zobrazit všechny výsledky
ITBiz.cz
ITBiz.cz
Žádné výsledky
Zobrazit všechny výsledky

Bezpečnostní přehled: Zranitelnosti kamer a senzorů monitorujících dopravu

Pavel Houser
25. 4. 2016
| Články

Jak funguje zabezpečení formou umělé inteligence z MITu? Co se stane s rozházenými disky USB flash? Zákazníci firmám únik dat vesměs odpustí. Bezpečnost Androidu a Google Play. Nový oblíbený formát škodlivých příloh – JavaScript. Opravy: VMware, Oracle, SAP.
Bezpečnostní přehled: Zranitelnosti kamer a senzorů monitorujících dopravu
Následuje pravidelný bezpečnostní přehled vytvářený především podle webů ZDNet, CNet, The Register a HelpNet Security.

Útoky pomocí USB klíčenek mají slušnou šanci na úspěch

V rámci průzkumu Googlu, University of Illinois Urbana-Champaign a University of Michigan se po parkovišti rozházely klíčenky USB flash. U asi 50 % z těchto zařízení se zjistilo, že byly zapojeny do počítače, některé už po několika minutých. Jen 16 % z lidí, co si disk připojili, provedli jeho skenování nějakým bezpečnostním nástrojem, ostatní prostě prohlíželi a spouštěli obsah.

Detekce byla provedena tak, že na klíčence byly HTML soubory a počítalo se zobrazování vzdáleného obrázku. Takže někdo třeba zapojil klíčenku bez připojení k internetu, někdo obsah smazal, uvedená čísla jsou z hlediska rizikovosti chování tedy „tím nejnižším odhadem“.

Infikovat nějakou instituci tak, že se kolem rozhází infikované disky USB flash, to tedy vypadá jako stále celkem účinná a pro podvodníky nadějná metoda. Ostatně právě takhle se prý dostal i červ Stuxnet do íránských systémů oddělených od internetu.

Opera s VPN

Opera do svého prohlížeče integruje VPN, uživatel si může vybrat proxy server v USA/Kanadě nebo Německu, další by měly být přidávány. Prohlížeč i s touto funkcionalitou má být zdarma, vyžadována nebude ani žádná speciální registrace. Zatím je vše dostupné pouze v testovacím režimu (vývojářské verzi browseru).

Umělá inteligence z MITu

Computer Science and Artificial Intelligence Laboratory z MITu představila platformu AI Squared (AI2). Má jít o jednu z metod využívajících umělou inteligenci. Dokáže prý při nízké úrovně falešných poplachů odhalit až 85 % útoků (poznámka: což nevypadá zrovna impozantně, i když samozřejmě záleží na metodice). Základní metoda je prostě strojové učení, když program dostane o úspěšnosti své detekce reakci od lidského operátora. Učení/generování nových modelů probíhá prý mj. velmi rychle.

Viz také: Umělá inteligence prý bezpečnost nezařídí

Lidé službu užívají i po úniku svých osobních dat

Studie RAND Corporation vede k závěru, že pouze asi 10 % z lidí (data v USA), kteří zjistili, že podniku unikla jejich data, kvůli tomu přestalo používat služby příslušné firmy. 77 % z postižených naopak uvedlo, že reakce firmy na incident (způsob oznámení apod.) byla uspokojivá. Asi 10 % zaznamenalo ještě před oficiálním oznámením nějakou podezřelou aktivitu na svém účtu, další část ze o problému dozvěděla předtím z jiných zdrojů.

Jméno výrobce umožnilo kompromitovat dopravní systém

Experti společnosti Kaspersky Lab provedli analýzu chytrých monitorovacích systémů v dopravě. Největším bezpečnostním problémem se ukázalo být zřetelně vytištěné jméno prodejce na schránce čidla (senzoru). Díky tomuto údaji byli experti na internetu schopni vyhledat bližší informace o tom, jak zařízení funguje a jaký software používá. Ovládací software k senzoru byl snadno dostupný na webu poskytovatele, stejně tak i celá technická dokumentace popisující, jaké příkazy může třetí strana do zařízení zadat. Pro získání přístupu k senzoru se k němu stačilo pouze přiblížit a připojit se pomocí Bluetooth. Protože nebyl nastaven žádný další ověřovací proces, připojit se k němu mohl kdokoliv s touto technologií a softwarem pro získání hesel. Dostupný software a technická dokumentace zajistily analytikům přístup ke všem informacím, které zařízení shromáždilo. Dokázali pak změnit způsob, jakým zařízení získávalo nová data. Změnili například typ vozidla z osobního automobilu na nákladní nebo průměrnou rychlost dopravy. (Zdroj: tisková zpráva společnosti Kaspersky Lab)

Java vs. Flash

Podle studie NTT Group přestaly být exploity Javy pro podvodníky zajímavé. Všech 10 nejvýznamnějších zranitelností, na něž loni cílily exploit kity, byly chyby v přehrávači Flash Player; ještě v roce 2013 byl poměr obou platforem zhruba 1:1. Dle studie NTT byla asi pětina zranitelností zjištěná v sítích jejich klientů stará/opravená už více než 3 roky.

Přílohy v JavaScriptu

Microsoft Malware Protection Center upozorňuje na další vlnu podvodných e-mailů, kdy škodlivá příloha obsahuje JavaScript (někdy komprimovaný). Tímto způsobem lze často mást bezpečnostní programy, v aktuální kampani se do archivu nebo vedle archivu pro jejich oklamání navíc často přikládají i neškodné soubory. Ve skutečnosti ale prakticky neexistuje legitimní důvod, proč by měl někdo posílat e-mailem jako přílohu soubory JS nebo JSE v ZIP nebo RAR. Administrátoři by proto problému měli předejít plošným blokováním.

Google denně skenuje 6 miliard aplikací

Google ve svém bezpečnostním reportu odhaduje, že 29 % zařízení se systémem Android není dostatečně zabezpečeno – v tom smyslu, že používají zastaralé verze. Verzi 4.4.4 (KitKat) a vyšší, které Google považuje za dostatečně bezpečné, má asi 71 % uživatelů Androidu. V absolutních číslech – na světě je asi 1,4 miliardy aktivně používaných zařízení, zranitelný Android má tedy 400 milionů lidí. Na Google Play skenuje Google každý den 6 miliard aplikací; potenciálně škodlivou aplikaci si dnes stáhne 0,15 % uživatelů tohoto systému („jen“ – ovšem v absolutních číslech je i to zase 70 milionů lidí).

Chrome Web Store zpřísnil pravidla pro nezávislé vývojáře. Plug-iny prohlížeče a další aplikace třetích stran již podle nových pravidel nesmějí přesouvat osobní data ve formě prostého textu. Vývojáři musejí také publikovat vlastní zásady ochrany osobních údajů, vysvětlit, jaká data z Chrome sbírají, jak je dále používají apod.

Zranitelnosti a opravy: VMware, Oracle, SAP

Ve VMware Client Integration Plugin byla objevena kritická bezpečnostní chyba, která umožňuje útoky man-in-the-middle. Opravit je třeba klient i server. VMware ale začne nabízet klienty, kteří využívají jen HTML5, takže popsané problémy by se brzy už neměly opakovat.

Oracle uvolnil svůj pravidelný čtvrtletní balíček oprav. Záplatovány jsou následující produkty: middleware Fusion, Peoplesoft, MySQL (většina z celkem 136 opravených zranitelností se týkala právě těchto 3 produktů), dále E-Business Suite, Sun Systems Products Suite a Java SE. Oracle známkuje závažnost zranitelností podle CVSS 3.0, ale ještě uvádí i starší CVSS 2.0. Dle starší metodiky by 7 ze zranitelností získalo nejvyšší závažnost 10 z 10, dle CVSS 3.0 žádná.

SAP vydal 19 záplat, které opravují 26 zranitelností. ERPScan uvádí, že mezi těmito chybami jsou i dvě takové, které mohou způsobit plnou kompromitaci systému (při svém kombinovaném zneužití, i když jednotlivě jde o méně závažné chyby). Celkem třeba poslední opravy ze SAP Marketplace nasadit víceméně do všech komponent SAP včetně jádra systému, platformy HANA a implementace Javy.

Ze světa firem

České podniky kladou při zálohování nejvíce důraz na jistotu obnovy dat (94 %), ať již ztracených či znepřístupněných ransomwarem. (Zdroj: tisková zpráva společnosti Acronis, lokální průzkum)

O2 IT Services (O2 ITS), dceřiná společnost O2 Czech Republic, otevírá v Praze nové centrum kybernetické bezpečnosti. Security Expert Center dodává služby, které soukromým i státním subjektům mají pomoci splnit požadavky zákona o kybernetické bezpečnosti. (Zdroj: tisková zpráva společnosti O2, podrobnosti zde)

VoIP volání považuje podle průzkumu za nebezpečné 74 % českých uživatelů. (Zdroj: tisková zpráva společnosti Kaspersky Lab)

Česká spořitelna varuje před dalším podvodným profilem na Facebooku, který se snaží vylákat přihlašovací údaje do internetového bankovnictví.

Čtvrtina českých firem zakazuje zaměstnancům využívání internetu pro soukromé účely, pětina blokuje sociální sítě. (Zdroj: Průzkum personální agentury Grafton, podrobnosti zde)

Psali jsme na ITBiz.cz

Na téma zabezpečení na ITBiz viz také:

Dell SecureWorks by mohl být při IPO ohodnocen až na 1,42 miliardy dolarů

Ovšem pozor, v nedávné minulosti se vstup na burzu mnoha bezpečnostním firmám příliš nevydařil.

Auta napojená na internet ohrožují útoky, varuje Kasperskij

Adekvátnější bezpečnost se prý nepodaří za současné situace dosáhnout dříve než za 10 let.

Rubriky: CloudHardwareInternetPodnikový softwareSecurityTechnologie

Související příspěvky

Digitální Estonsko je atraktivnější než průmyslové Česko
Články

Microsoft Teams zvládá automatický zápis schůzek

20. 5. 2022
Hewlett Packard Enterprise v Česku staví nový výrobní závod na superpočítače
Články

Hewlett Packard Enterprise v Česku staví nový výrobní závod na superpočítače

20. 5. 2022
Swift 3 OLED s procesory Intel Core řady H 12. generace
Zprávičky

Swift 3 OLED s procesory Intel Core řady H 12. generace

20. 5. 2022
Dell pomáhá podnikům v ČR bezpečně a ekologicky likvidovat IT vybavení
Zprávičky

Dell pomáhá podnikům v ČR bezpečně a ekologicky likvidovat IT vybavení

20. 5. 2022

Zprávičky

Swift 3 OLED s procesory Intel Core řady H 12. generace

Swift 3 OLED s procesory Intel Core řady H 12. generace

Pavel Houser
20. 5. 2022

Na trh přichází také nové konvertibilní notebooky Acer Spin 5 a Acer Spin 3.

Dell pomáhá podnikům v ČR bezpečně a ekologicky likvidovat IT vybavení

Dell pomáhá podnikům v ČR bezpečně a ekologicky likvidovat IT vybavení

Pavel Houser
20. 5. 2022

Zákazníci mohou využívat odhady hodnoty v reálném čase, aby mohli své vybavení maximálně využít

Microsoft po pokutě mění fungování svého cloudu

ČTK
19. 5. 2022

Americká softwarová společnosti Microsoft, které evropské úřady pro kontrolu hospodářské soutěže udělily pokutu 1,6

MPSV bude mít v červnu či červenci výsledky analýzy k řešení problémů s IT

ČTK
19. 5. 2022

Ministerstvo práce by mělo mít v červnu či červenci jasno, jak bude dál řešit

ČTÚ připraví podmínky pro výběrové řízení na další sítě pro digitální rozhlas

Pavel Houser
19. 5. 2022

ČTÚ letos nachystá podmínky pro výběrové řízení na provozovatele sítí pro vysílání DAB+, tedy

Ruská pobočka Googlu vyhlásí bankrot

ČTK
18. 5. 2022

Ruská součást americké internetové společnosti Google vyhlásí bankrot. Oznámil to dnes mluvčí firmy. Korigoval

Acronis: přes rostoucí útoky jen čtvrtina IT správců testuje obnovu dat alespoň jednou měsíčně

Pavel Houser
18. 5. 2022

I když více než 90 % administrátorů zálohuje u svých zákazníků minimálně jednou denně,

Vodafone zvýšil celoroční základní zisk o 5 % na 15,2 miliardy eur

Pavel Houser
18. 5. 2022

Britská telekomunikační skupina Vodafone Group zvýšila v uplynulém finančním roce základní zisk o pět

Tiskové zprávy

Huawei pořádá Summit digitálních talentů

Nový výzkum naznačuje, že poskytování kompletní digitální zkušenosti zaměstnanců je na hybridním pracovišti zásadní

Infor pomohl DBK David + Bader obnovit provoz po kybernetickém útoku

Společnost Acer uvádí na trh prémiový konvertibilní Chromebook a Chromebook Tablet

Predator Helios 300 SpatialLabs Edition přináší nový rozměr hraní her

Acer vybaví své stolní počítače a notebooky ConceptD nejnovějšími procesory Intel Core 12. generace a grafickými kartami NVIDIA RTX

Zpráva dne

Prodej softwaru v květnu: doživotní licence Windows 10 za € 11, Office za € 23 a až 91% slevy!

Prodej softwaru v květnu: doživotní licence Windows 10 za € 11, Office za € 23 a až 91% slevy!

Redakce
15. 5. 2022

Zdaleka ne každý má stovky dolarů, které by chtěl utratit za softwarové upgrady svého...

Odebírat newsletter

Zásady ochrany osobních údajů.

Zkontrolujte svoji doručenou poštu a potvrďte odběr.

Komentujeme

Chvála černých skřínek

Datová hydrologie?

Pavel Houser
11. 4. 2022

Po datových skladech přišla datová jezera, následují datové proudy a datové oceány. Tyto technologie alespoň představuje...

Nadcházející akce

  1. Hannover Messe 2022

    30. května - 2. června

Zobrazit všechny Akce

Slovník

Project coordinator

Daypart

Responsivní design

Nejpopulárnější články

Ransomwarový útok stojí české oběti 8,25 milionu korun

Ransomware zasáhl 77 % českých organizací

Redakce
29. 4. 2022

Hrátky s magnetickými víry

Excitony mohou proudit materiálem i při pokojové teplotě

Pavel Houser
2. 5. 2022

Náhlavní soupravy Yealink – ideální volba pro kancelář i home office

Náhlavní soupravy Yealink – ideální volba pro kancelář i home office

itbiz
25. 4. 2022

Válka ukrojí z evropského trhu ICT skoro 2 %

Redakce
27. 4. 2022

Technologické predikce, aneb sedm statečných roku 2021

Objev jednosměrné supravodivosti bez magnetického pole slibuje revoluci

Pavel Houser
4. 5. 2022

Kategorie

  • Články
  • Komentujeme
  • Slovník
  • Tiskové zprávy
  • Zprávičky

Portál ITbiz.cz přináší informace z IT a byznysu již od roku 2006. Provozuje jej internetové vydavatelství Nitemedia. Hosting zajišťuje společnost Greenhousing.cz. Mezi další naše projekty patří například ABClinuxu.cz a Sciencemag.cz. Na stránce Redakce naleznete informace o redakci a možnostech inzerce.

Rubriky

Akce a události byz Byznys Cloud Ekomerce Hardware inter Internet Operační systémy Podnikový software Právo Rozhovory Science Security Technologie Telekomunikace Veřejná správa Vývoj a HTML Zpráva dne České IT

Píšeme jinde

RSS ScienceMag RSS

  • Hewlett Packard Enterprise v Česku staví nový výrobní závod na superpočítače
  • V CERNu změřili hmotnost kvarku c a kužel partonové spršky
  • Globální oteplování hluboké oceánské proudy zrychluje

RSS AbcLinuxu RSS

  • Uncurled: zkušenosti s dlouhodobou správou open-source projektu (curl)
  • Erlang/OTP 25.0
  • Deno 1.22

Newsletter

Zásady ochrany osobních údajů.

Zkontrolujte svoji doručenou poštu a potvrďte odběr.

Žádné výsledky
Zobrazit všechny výsledky
  • Technologie
  • Byznys
  • Software
  • Hardware
  • Internet
  • Telco
  • Science
  • České IT
  • Události

© 2019 Vydává Nitemedia s.r.o. Hosting zajišťuje Greenhousing.cz.

Tento web používá cookies. Pokračováním dáváte souhlas s jejich používáním. Více na itbiz.cz/soukromi.