Bezpečnost

Pokladní systémy bývají vybaveny možností vzdáleného přístupu přes internet. Té běžně využívají pověření pracovníci dané obchodní organizace nebo najatá podpůrná firma. Jenže cokoli přístupné přes internet je z podstaty potenciálně nabouratelné, a provozovatel musí umět dobře ošetřit všechna bezpečnostní rizika, anebo si na to někoho najmout.

Microsoft potvrdil existenci bezpečnostní chyby v prohlížeči Internet Explorer, kterou v pátek v Lucemburku odhalil Eric Romang. Chyba se objevuje v IE6, IE7, IE8 a IE9. Útočníci by díky ní mohli ovládat na dálku počítače s nainstalovaným Explorerem. Na svých webových stránkách firma uživatelům doporučuje instalaci bezpečnostního nástroje EMET 3.0 (Exploit Mitigation Experience Toolkit). Jde však jen o dočasné řešení, do té doby, než se podaří programátorům Microsoftu vydat plnohodnotnou…

Vzkaz Anonymous Poslancům zveřejněný v sobotu 15. září na pastehtml.com/view/cb9uuplx5.html vedle delšího jasného politického prohlášení obsahuje také informací o tom, že „situace je zoufalá, my jsme zoufalí a občané jsou zoufalí“.  A hlavně upozornění, že jde o pokračování v útocích na vládní orgány či instituce.

The Verge – theverge.com – dnes nemá dobrý den – Google ho v Chrome blokuje, protože se dostalo na seznam kompromitovaných webů, které napadají počítače svých návštěvníků. Zmiňováno je šíření malware z sbnation.com a userfriendly.net, ale žádné bližší informace  Chrome (a další prohlížeče využívající stejný varovný systém) nenabídne. Není ani jasné zda jde o skutečnou hrozbu, nebo planý poplach.¨

Poslanec a člen podvýboru pro elektronické komunikace Viktor Paggio (LIDEM) podle Novinky.cz podal na Úřad na ochranu osobních údajů (ÚOOÚ) podnět, ve kterém žádá vyšetření, zda se Google dopustit šmírování Wifi sítí i v Česku. Článek se nezmiňuje o tom, jakou možnou souvislost má značně opožděná žádost s blížícími se volbami.

Brusel udělal další důležitý krok směřující k upevnění kybernetické bezpečnosti evropských institucí. Včera byl totiž oficiálně představen bezpečnostní tým Evropské unie — CERT-EU. „CERT-EU funguje na základě podpory Evropské agentury pro síťovou a informační bezpečnost (ENISA). Na jeho vzniku má ale svůj podíl také celá evropská bezpečnostní komunita a společnosti věnující se IT bezpečnosti v členských státech EU. Podle vyjádření Evropské komise jsou tyto týmy a společnosti velmi dobře…

HTTPS je zranitelné, jestliže je nasazeno spolu s kompresí, jako jsou kompresní postupy obsažené v protokolu TLS, anebo SPDY („speedy“). V bezpečnostní komunitě se ví už řadu let, že komprese naznačuje vlastnosti šifrovaných dat (pokud lze porovnat komprimovaná data s nekomprimovanými), a toho lze hrubou silou využít.

Minulý týden AntiSec oznámili, že získali přes 12 milionů identifikačních čísel (UDID) iPadů a iPhonů spolu s dalšími informacemi o uživatelích. K údajům se měli dostat hacknutím počítače FBI. Zhruba milion z nich zveřejnili, jak důkaz toho, že k hacknutí počítače došlo. FBI ale následně popřela, že by došlo k hacku a že by vůbec kdy vlastnili tato data, nebo je chtěli vlastnit.

Včera Anonymous napadli GoDaddy, jednu z největších amerických hostingových a doménových firem, a podařilo se jim kompletně odstavit až miliony webů, od malých až po ty větší. Útok doprovází i typické nejasnosti o tom, „kteří“ Anonymous za útokem stojí – podle přestřelky na účtech na Twitteru jde o aktivitu AnonymousOwn3r a s hnutím Anonymous coby celkem nemá nic společného.

Google koupil společnost VirusTotal – www.virustotal.com – specialisty na viry, antiviry a hlavně analýzu nebezpečných souborů a internetových adres. Určitým způsobem VirusTotal funguje jako „agregátor“ dostupných metod detekce nebezpečného obsahu – výsledky analýz jsou pak dostupné s pomocí internetu pro libovolná řešení na libovolných platformách.

Poté co AntiSec získali miliony Apple UDID, včetně osobních údajů vlastníků zařízení, hacknutím počítače FBI a zveřejnili milion coby „příklad“, zbývá stále vyřešit podstatné. Zda AntiSec skutečně hackli počítač FBI. A pokud to skutečně byl počítač FBI, k čemu by FBI potřebovalo 12 milionů identifikačních čísel (UDID) iPadů a iPhonů spolu s dalšími informacemi o uživatelích.

Přes 12 milionů identifikačních řetězců známých jako UDID (a k nim připojených osobních údajů) se ocitlo ve vlastnictví AntiSec hacknutím počítače FBI.  Zhruba milion z nich zveřejnili, jak důkaz toho, že k hacknutí počítače došlo. Na samotné hacku je zajímavé, že k němu došlo prostřednictvím zranitelnosti Javy a hacknutým počítačem by notebook jednoho z speciálních agentů FBI. Z hacknutého počítače byly staženy soubory a mezi nimi byl i CSV soubor s 12,367,232 záznamy o zařízeních Apple.…

Nová podoba facebookového profilu (Timeline) obsahuje funkci, která zveřejňuje lokační data uživatelů v podobě přehledné a snadno použitelné mapy. Řada uživatelů přitom netuší, že pokud si nedají pozor, může se na tyto údaje podívat prakticky kdokoli.

Od příštího týdne nabídne Facebook možnost cílit inzerci podle telefonních čísel a e-mailů uživatelů, stejně tak jako přímo podle uživatelského identifikátoru. Uživatele samozřejmě ujišťuje, že v žádném případě nebude ohroženo jejich soukromí. E-maily a telefonní čísla prý vždy projdou „hashingem“, tedy nějakou formou zakódování.

Kritické chyby v Javě Oracle ponechávalo více než čtyři měsíce bez povšimnutí, takže se  v posledních dnech staly široce používanou pomůcku útočníků získávajících jejich prostřednictvím kontrolu nad napadenými počítači. Oracle si tak vysloužilo ostrou kritiku od firem v oblasti bezpečnosti a následně i od médií.

„Limited Account Information“ se tváří jako e-mail od PayPalu – informuje o omezení možností používat právě ten váš účet na PayPal.com a dožaduje se doplnění informací. Důvodem je prý EU a „ΕU геgulаtіοnѕ геquіге thаt wе сοllесt аnd сοnfігm уοuг ассοunt іnfοrmаtіοn.“ Zbytek je už samozřejmě klasický – nejprve půjdete přes vc1d.com/cz/? (kde vás už Chrome nebo Firefox přivítají varováním před phishingem) abyste se ocitli na online.paypal-cz.6570.login.jf98jg.com/cz/1.php  – tam už vás přivítá…

Druhého dubna získalo Oracle informace o kritické a nebezpečné chybě v Javě, tedy před více než čtyřmi měsíci. Chybu nechalo bez povšimnutí, až do okamžiku, kdy se stala široce používanou útočníky. Ti jejím prostřednictvím  mohou získat kompletně kontrolu nad napadeným počítačem. V aktuální volně využitelné podobě kombinuje dvě základní bezpečnostní chyby.

Americká FAA (Federal Aviation Administration) vytvořila výbor, složený ze zástupců vlády i leteckého průmyslu, který by měl znovu prověřit vztah leteckého průmyslu k elektronickým zařízením používaným během letu. Nechystají se ale zabývat umožněním využívat mobilní telefony pro hlasovou komunikaci při letu.

 www.dropbox.com/try_twofactor umožní pro váš účet na Dropbox aktivovat dodatečnou verifikaci přihlašování – povolení najdete ve spodní části stránky ukazující zařízení a prohlížeče, které jsou (byly) aktivní s vašim účtem. Ověření se bude týkat přihlášení k účtu, stejně tak jako instalace klienta na novém počítači (tam proběhne jenom jednorázově, při instalaci) – technicky je možné buď využít posílání SMS na mobilní telefon nebo využit některé z dostupných aplikací na mobilních telefonech …

Nadim Kobeissi upozorňuje na chování Windows 8 v okamžiku kdy nainstalujete aplikaci. Podle jeho zjištění se Windows SmartScreen postará o nahlášení každé nainstalované aplikace přímo Microsoftu. A způsob kterým to dělá je navíc možné odchytávat a zneužívat případnými útočníky. Windows SmartScreen je bezpečnostní pomůcka, která před instalací aplikace zjišťuje, jestli je daná aplikace bezpečná. Dělá to samozřejmě tak, že „porovná“ instalační program se záznamy v databází Microsoftu,…

Na Microsoft SkyDrive nesmíte nahrávat velmi širokou paletu obsahu a nejde zdaleka jen o pornografii či copyrightem chráněná díla. Nevhodný obsah je přitom automaticky vyhledáván a detekován. I svoboda cloud computingu prostě má své meze.

Kaspersky Lab a Symantec hlásí objevení malware, které se umí šířit na více platformách. Trojský kůň a rootkit „Crisis“ (též „Morcut“) se na počátku vydává za Adobe Flash Player instalátor a spoléhá na to, že uživatel (klasicky) povolí spuštění. Poté se s pomocí JAR souboru odpovídajícího prostředí spuštění zabydlí v systému – ať už je to Windows, OS X, VMWare či Windows Mobil.

„auto.cz contains malware. Your computer might catch a virus if you visit this site.“ a charakteristická obrazovka s červeným pozadím a značkou stop. To je jediné co získáte, pokud v Chrome půjdete na Auto.cz.  Podobné vás může potkat při snaze jít na Blesk.cz, protože ten používá nějaké obrázky z img.auto.cz – a i tato adresa je na černé listině.  Hrozba malware z Auto.cz je přitom uváděná jako aktuální, poslední detekovaný vzorek má včerejší datum.

Pokusy o odstavení vybraných serverů a jejich služeb patří mezi stále se opakující útoky, průběžně se však mění jednotlivé cíle i použité techniky. Co právě hýbe touto oblasti a na co se můžeme (ne)těšit?

Facebook mění dlouho kritizovanou praxi, kdy na svých serverech uchovával i ty fotografie, které uživatelé sami smazali. Nechuť mazat se ale nevztahuje jenom na obrázky. Na věčnost si Facebook pamatuje i chat a nemaže nejspíš ani e-maily.

Podle Apple není problém s podvržením SMS (viz Apple iOS umožňuje podvrhnout SMS) v iOSu řešitelný a jde o univerzální problém. Místo toho Apple doporučuje používat iMessage, prý je to bezpečnější cesta. Apple takes security very seriously. When using iMessage instead of SMS, addresses are verified which protects against these kinds of spoofing attacks. One of the limitations of SMS is that it allows messages to be sent with spoofed addresses to any phone, so we urge customers to be extremely…

Nikdy nevěřte SMS, říká pod2g v upozornění na bezpečnostní nedostatek v Apple iOS. Ten je, podle objevitele, v iOSu dostupný už od samého počátku a je  přítomen i v poslední betě iOS 6. V zásadě jde o možnost, vložit do SMS vlastní číslo „odpovědět  kam“. Což v implementaci SMS na iOS povede k tomu, že takového číslo se příjemci ukáže jako číslo odkud pochází SMS – takže příjemce SMS na iPhone si může myslet, že SMS pochází od někoho koho (například) zná.

Také se rádi registrujete do různých služeb a poskytujete zajímavé informace o své osobě? Útoků na podobné účty přibývá, hackeři jsou stále agresivnější a neodbytnější.

Na počátku roku, byl Google přistižen při obcházení nastavení bezpečnosti v Safari. Pomoci technického triku obešel nastavení prohlížeče a do Safari si ukládal „šmírovací“ cookies. Google obcházení chování Safari uvedl do života hlavně v souvislost s tlačítkem +1, což rozhodně nevypadá jako něco, za co by stálo něco podobného podstupovat (samozřejmě, určitě se to hodilo daleko více pro cílení inzerce).

Blizzard ústy samotného Mika Morhaime varuje o průniku do vnitřní sítě. Neznámý hacker či hackeři získali e-maily hráčů, informace o autentikátorech, s tím spojené bezpečnostní otázky a kryptovanou verzi hesel hráčů z region Severní Amerika (Blizzard v oznámení uvádí, že pro hesla používá SRP, Secure Remote Password Protocol). Co se hackerům pravděpodobně získat nepodařilo jsou skutečná jména hráčů a finanční informace (čísla karet, adresy).