Microsoft released Windows Updates that include Intel’s Spectre microcode patches
4.3.2018 securityaffairs Vulnerebility
Microsoft announced this week the release of the microcode updates to address the Spectre vulnerability.
Last week Intel released microcode to address the CVE-2017-5715Spectre vulnerability for many of its chips, let’s this time the security updates will not cause further problems.
The Spectre attack allows user-mode applications to extract information from other processes running on the same system. It can also be exploited to extract information from its own process via code, for example, a malicious JavaScript can be used to extract login cookies for other sites from the browser’s memory.
The Spectre attack breaks the isolation between different applications, allowing to leak information from the kernel to user programs, as well as from virtualization hypervisors to guest systems.
Problems such as frequent reboots were related to the fix for the CVE-2017-5715 Spectre flaw (Spectre Variant 2) and affected almost any platform, including systems running on Broadwell Haswell CPUs, as well as Ivy Bridge-, Sandy Bridge-, Skylake-, and Kaby Lake-based platforms.
Microsoft is going to deliver microcode updates for Windows 10 version 1709 (Fall Creators Update) or Windows Server version 1709 (Server Core) running on devices with 6th Generation Intel Core (Skylake) processors.
“This update is a standalone update available through the Microsoft Update Catalog and targeted for Windows 10 version 1709 (Fall Creators Update) & Windows Server version 1709 (Server Core).” read the advisory published by Microsoft. “This update also includes Intel microcode updates that were already released for these Operating Systems at the time of Release To Manufacturing (RTM). We will offer additional microcode updates from Intel thru this KB Article for these Operating Systems as they become available to Microsoft.”
Microsoft confirmed that almost any Window devices now have compatible security products installed and all problems with patches have been fixed.
“We have also been working closely with our anti-virus (AV) partners on compatibility with Windows updates, resulting in the vast majority of Windows devices now having compatible AV software installed.” wrote John Cable, Director of Program Management, Windows Servicing and Delivery
“We will continue to require that an AV compatibility check is made before delivering the latest Windows security updates via Windows Update until we have a sufficient level of AV software compatibility.”
A flaw in HP Remote Management hardware Integrated Lights-Out 3 leaves expose servers to DoS
4.3.2018 securityaffairs Vulnerebility
Hewlett Packard Enterprise issued a security patch to address a vulnerability (CVE-2017-8987) in HP remote management hardware Integrated Lights-Out 3.
Hewlett Packard Enterprise has issued a security patch to address a vulnerability (CVE-2017-8987) in its remote management hardware Integrated Lights-Out 3 that equip the family of HP ProLiant servers.
The Hewlett-Packard iLO is composed of a physical card with a separate network connection that is used for the remote management of the device.
The vulnerability could be exploited by a remote attacker to power a denial of service attack that could cause severe problems to datacenters under some conditions.
The vulnerability in the HP remote management hardware Integrated Lights-Out 3 was discovered by the researchers at Rapid7 researchers in September, the issue is rated “high severity” and it has received a CVSS base score of 8.6.
“This post describes CVE-2017-8987, an unauthenticated remote Denial of Service vulnerability in HPE iLO3 firmware version 1.88. This vulnerability can be exploited by several HTTP methods; once triggered, it lasts for approximately 10 minutes until the watchdog service performs a restart of the iLO3 device. CVE-2017-8987 is categorized as CWE-400 (Resource Exhaustion) and has a CVSSv3 base score of 8.6.” states Rapid7.
Once an attacker has compromised a network he can lock out an admin to restore the operations causing severe problems to a data center.
“Several HTTP request methods cause iLO3 devices running firmware v1.88 to stop responding in several ways for 10 minutes:
SSH: open sessions will become unresponsive; new SSH sessions will not be established
Web portal: users cannot log in to the web portal; the login page will not successfully load
” continues Rapid 7.
HPE publicly disclosed the vulnerability on Feb. 22.
“A security vulnerability in HPE Integrated Lights-Out 3 (iLO 3) allows remote Denial of Service (DoS).” reads the security advisory published by HPE.
“HPE has provided the following instructions to resolve the vulnerability in HPE Integrated Lights-Out 3 (iLO 3) version 1.88: Please upgrade to HPE Integrated Lights-Out 3 (iLO 3) 1.89 which is available on HPE Support Center:
https://support.hpe.com/hpesc/public/home“
HPE said that affected version is v1.88 firmware for HPE Integrated Lights-Out 3 (iLO3), newer versions of the firmware (1.8, 1.82, 1.85, and 1.87) along with firmware for iLO4 (v2.55) are not impacted.
According to Rapid7 iLO5 devices were not tested, the experts also observed that requests calling the following four methods, will also trigger the Denial of Service:
curl -X OPTIONS hp-ilo-3.testing.your-org.com
curl -X PROPFIND hp-ilo-3.testing.your-org.com
curl -X PUT hp-ilo-3.testing.your-org.com
curl -X TRACE hp-ilo-3.testing.your-org.com
”
Below the disclosure timeline:
Sept 2017: Issue discovered
Thurs, Oct 19, 2017: Vendor released v1.89 update to iLO3, which addresses CVE-2017-8987
Mon, Nov 6, 2017: Vendor notified; vendor assigned PSRT110615 to this vulnerability
Wed, Nov 15, 2017: Additional details sent to vendor
Wed, Jan 10, 2018: Disclosed to CERT/CC
Wed, Jan 31, 2018: Vendor reported that v1.89 is not vulnerable to R7-2017-27; Rapid7 confirmed this finding.
Thurs, Feb 22, 2018: Public disclosure; vendor published security bulletin and assigned CVE-2017-8987
Thurs, Mar 1, 2018: Rapid7 published this post
Flash Player má kritickou chybu. Masivně ji zneužívají kyberzločinci
3.3.2018 Novinky/Bezpečnost Zranitelnosti
Kyberzločinci si opět vzali na mušku oblíbený program Flash Player, který slouží k přehrávání videí na internetu a po celém světě jej používají milióny lidí. Zneužít se přitom snaží chybu, kterou tvůrci ze společnosti Adobe již dávno opravili. Útočníci ale sází na to, že celá řada uživatelů s instalací bezpečnostních aktualizací nijak zvlášť nepospíchá.
Před novou masivní vlnou počítačových útoků varoval český Národní bezpečnostní tým CSIRT.CZ.
„Útočníci využívají zranitelnost na neaktualizovaných systémech Adobe Flash Player k velké phisingové kampani,“ uvedl na dotaz Novinek Pavel Bašta, bezpečnostní analytik CSIRT.CZ, který je provozován sdružením CZ.NIC.
Mohou ovládnout počítač
Podle něj kyberzločinci rozesílají zprávy a pokouší se přimět uživatele, aby stáhli dokument Word. „Když oběť soubor otevře a povolí makra, nakažený soubor se pokusí zneužít chybu u Adobe Flash Player. V případě, že oběť nemá aktuální verzi aplikace, může útočník převzít kontrolu nad nakaženým systémem,“ zdůraznil bezpečnostní expert.
To jinými slovy znamená, že prostřednictvím chyb mohou kyberzločinci propašovat na cizí počítač prakticky jakýkoli škodlivý kód, případně jej zcela ovládnout na dálku. Mohli by se tak snadno dostat k uloženým datům, případně odchytávat přihlašovací údaje na různé webové služby.
Obrana je přitom velmi jednoduchá – stáhnout nejnovější verzi Flash Playeru, která již trhlinu neobsahuje. To je možné prostřednictvím automatických aktualizací daného programu nebo prostřednictvím stránek společnosti Adobe.
Častý terč útoků
„Společnost Adobe žádá uživatele, aby pravidelně prováděli aktualizace Adobe Flash Playeru a vyhnuli se tak možným útokům, které cílí na neaktuální systémy,“ uzavřel Bašta.
Flash Player používá na celém světě několik stovek miliónů lidí. Právě kvůli velké popularitě se na něj zaměřují kybernetičtí nájezdníci pravidelně. Podle analýzy bezpečnostní společnosti Record Future cílilo osm z deseti nejrozšířenějších hrozeb v roce 2015 právě na tento přehrávač videí.
To je i jeden z hlavních důvodů, proč se společnost Adobe rozhodla Flash Player sprovodit ze světa. Podle dřívějšího oznámení jej bude podporovat už jen dva roky.
Útok hackerů na Německo je jen špička ledovce, prohlásil bezpečnostní expert
3.3.2018 Novinky/Bezpečnost BigBrother
Hackerský útok na počítačové sítě německé vlády může být podle amerického experta Benjamina Reada součástí výrazně většího organizovaného útoku na evropské státy. Read, který pracuje pro americkou bezpečnostní firmu FireEye, to řekl německému listu Die Welt. V Berlíně se ve čtvrtek kvůli útoku, který podle německých odborníků přišel z Ruska, mimořádně sejde výbor Spolkového sněmu pro kontrolu tajných služeb i výbor pro digitalizaci.
"Několik měsíců pozorujeme, že (ruská skupina) APT28 cíleně napadá ministerstva zahraničí a obrany v Evropské unii a snaží se získat přístup do chráněných systémů," uvedl Read.
Právě dvojice těchto ministerstev se podle německých médií dotkl i útok na spolkovou republiku. Hackerům se při něm podařilo dostat do speciálně zabezpečené sítě německé vlády, která slouží k výměně informací mezi vládními i bezpečnostními úřady. Podle ministerstva vnitra se útok, který mohl trvat až rok, podařilo dostat pod kontrolu.
Útoky nejsou ojedinělé
Německé úřady – stejně jako instituce dalších zemí – čelily hackerským útokům i v minulosti. Například v roce 2015 se terčem stal Spolkový sněm. Za tímto i nynějším útokem podle německých bezpečnostních činitelů stojí nejspíš ruští hackeři ze skupiny APT28.
Americký expert Read je přesvědčen o tom, že APT28 není žádná běžná hackerská skupina, která si chce jen vydělat peníze. Výběr cílů, použité metody i výdrž skupiny jsou podle něj jasné indicie svědčící o tom, že je financována státem a spolupracuje se státními úřady. Jaká tajná služba za APT28 stojí, není ještě jasné, ale podíl ruských úřadů na její činnosti považuje Read za jistý. Ruští činitelé dlouhodobě takové aktivity popírají.
Spolková vláda registruje denně asi 20 vysoce specializovaných útoků na své počítače. Zhruba za jedním útokem týdně stojí podle ní tajné služby.
Stránky s lechtivým obsahem jako hrozba. Polovina Čechů si stáhla virus
3.3.2018 Novinky/Bezpečnost Viry
Nejrůznější erotické servery a porno stránky představují pro tuzemské uživatele bezpečnostní riziko. Dokládá to nový průzkum antivirové společnosti Kaspersky Lab, podle kterého si do svých počítačů a mobilů stáhla při návštěvě webů s lechtivou tematikou škodlivý kód polovina Čechů.
„Nejnovější průzkum odhalil, že polovina Čechů (49,7 %, pozn. red.) si do svého počítače, notebooku nebo chytrého telefonu stáhla během sledování porna na internetu virus. Zvýšenému riziku nákazy ‚digitální pohlavní nemocí‘ se vystavují i kvůli nedostatečné ochraně svých zařízení,“ prohlásil David Jacoby, bezpečnostní odborník z Kaspersky Lab.
Je přitom nutné zdůraznit, že nejrůznější virové hrozby se netýkají pouze klasických počítačů, ale také tabletů a chytrých telefonů. U těchto mobilních zařízení ale řeší ochranu málokdo, což kyberzločincům značně usnadňuje práci.
Falešný pocit bezpečí
„Alarmující zjištění je, že 7 % českých uživatelů na svých zařízeních surfuje bez ochrany. Nemají totiž nainstalováno žádné bezpečnostní řešení. Naopak 11 % se domnívá, že jsou v bezpečí, když sledují porno na chytrých mobilech a tabletech. Jsou totiž přesvědčeni, že se tato zařízení nemohou ničím nakazit,“ zdůraznil bezpečnostní expert.
Průzkum realizovaný na podzim loňského roku na vzorku pěti stovek Čechů také ukazuje, že se tuzemští uživatelé za sledování lechtivých videí a fotografií stydí. „Více než 17 % Čechů totiž vinu za infikování zařízení virem z pornografické stránky svádí na své blízké, ačkoliv vědí, že se tak stalo při jejich návštěvě těchto webů,“ konstatoval Jacoby.
Podle průzkumu Češi v průměru sledují porno na svých počítačích nebo tabletech čtyřikrát týdně, polovina (53 %) jich pak připouští, že se na porno kouká alespoň jednou denně. Během jedné návštěvy na těchto webech průměrně stráví 22 minut, což za celý rok dělá více než pět dnů strávených sledováním erotických fotografií či videí.
Češi a Němci jsou na tom podobně
„V této statistice se velmi blížíme Německu, kde se na stránky s obsahem pro dospělé dívá 51 % respondentů denně, v průměru pak čtyřikrát týdně,“ prohlásil bezpečnostní expert.
Každý pátý respondent z ČR (19,8 %) si navíc myslí, že je v bezpečí, pokud pro surfování na internetu využívá anonymní mód ve vyhledávači. To samé si o anonymním módu myslí 42 % Němců. 19 % Čechů také věří, že je jejich počítač v bezpečí před viry, pokud si vymažou historii prohlížeče. Němečtí uživatelé jsou o tom přesvědčeni ve 24 % případů.
Právo být zapomenut využilo na Googlu už téměř 2,5 miliónu lidí
3.3.2018 Novinky/Bezpečnost Zabezpečení
Americká internetová společnost Google dostala od poloviny roku 2014 bezmála 2,5 miliónu žádostí o vymazání odkazů z výsledků hledání v rámci „práva být zapomenut”. Jak podnik uvedl ve výroční zprávě, toho využívají politici, celebrity, ale například také úředníci. Upozornil na to server The Verge.
Firma s procesem výmazu dat začala v červnu 2014.
„Právo být zapomenut" ve výsledcích populárního vyhledávače Googlu lidem před lety přiznal Soudní dvůr Evropské unie. Stalo se tak v případu jednoho Španěla, který si stěžoval na údajné narušení soukromí v souvislosti s dražební vyhláškou na jeho opětovně nabytý dům, která se objevila ve výsledcích vyhledávání.
Lidé, kteří se rozhodnou žádost podat, mimo jiné musejí předložit digitální kopii průkazu k ověření totožnosti, například platného řidičského průkazu, vybrat z nabídky 32 evropských zemí tu, jejíž zákony se na žádost vztahují, poskytnout internetovou adresu každého odkazu, jehož odstranění požadují, a vysvětlit, proč je tato adresa „ve výsledcích vyhledávání irelevantní, zastaralá nebo jiným způsobem nevhodná".
Žádost je možné podávat prostřednictvím tohoto internetového formuláře.
Kritici označují rozhodnutí soudu za cenzuru a snahu o vymazávání historie, jejímž důsledkem bude, že o vymazání nepohodlných údajů budou žádat politici a zločinci. To se do určité míry stalo, neboť zástupci Googlu přiznali, že například politici o výmaz skutečně žádají.
Zastánci verdiktu jej hájí tím, že soud vyňal ze svého rozhodnutí odkazy, u nichž právo veřejnosti na informace převažuje nad právem jednotlivce na soukromí.
Proti falešným zprávám chtějí vědci bojovat internetovou hrou
3.3.2018 Novinky/Bezpečnost Spam
Odolnost vůči falešným zprávám získáme nejlépe tak, když si je sami zkusíme vytvořit, tvrdí vědci z univerzity v Cambridgi. Ti kvůli tomu spolu s nizozemskými vývojáři jménem DROG vytvořili vlastní počítačovou hru Bad News. Vyzkoušet si ji může kdokoliv zdarma.
V nové hře se objevil i prezident Trunp – většina hráčů si patrně ani nevšimne, že jeho jméno není napsáno správně.
Vědci si díky hře mohou otestovat následující hypotézu: když je člověk vystaven očividné lži a je mu ukázáno, jak propaganda funguje, snadněji pak odhalí důmyslnější nepravdy a polopravdy.
„Když se vcítíte do někoho, kdo se vás snaží obelhat, lépe pak odhadnete toho, kdo se vás bude snažit podvést,“ říká Sander van der Linden, sociální psycholog pracující na univerzitě v Cambridgi. Hráč tak musí ve hře vytvářet falešné zprávy a manipulovat veřejným míněním.
Poplašné zprávy o mezinárodní politice
Vypouští na internet, pochopitelně pouze v rámci herního světa, poplašné zprávy o mezinárodní politice, globálním oteplování nebo o genetickém inženýrství, píše telegraph.co.uk.
V jednom z prvních úkolů například vypustí do světa zprávu pod účtem Donalda Trunpa ve znění: „Vyhlašuji válku Severní Koreji.“ Hráč, a možná i leckterý čtenář, si zprvu ani nevšimne drobného detailu ve jméně amerického prezidenta: Trunp místo Trump. Účet a zpráva jím zveřejněná vypadají na první pohled jako oficiální, ale ve skutečnosti jsou falešné. A podobných chytáků a triků pozná hráč celou řadu.
Hra Bad News je zatím jen v angličtině zdarma k vyzkoušení na fakenewsgame.org.
Za půl roku bylo v Česku zaznamenáno 1600 DDoS útoků, nejvíce jich je domácích
3.3.2018 Lupa Počítačový útok
Kybernetické útoky DDoS jsou v Česku běžnou věcí, ukazují nová čísla společnosti net.pointers. Ta analyzovala situaci mezi srpnem loňského roku a letošním lednem. Za půl roku bylo zaznamenáno 1600 DDoS útoků, což je 51 útoků denně.
„Nejčastěji byly údery na české počítače a další zařízení vedeny z České republiky (27,32 % z celkového počtu útoků), z Velké Británie (26,12 %), z Číny (24,14 %) a Německa (22,41 %). Nejsilnější útok byl zaznamenán v polovině ledna: jeho intenzita dosáhla 14,4 Gb za sekundu. Vzhledem k tomu, že v posledních letech nejsou výjimkou ani napadení o síle přes 100 Gb za sekundu, jednalo se v globálním měřítku spíše o slabší případ,“ uvádí net.pointers.
Společnost také uvádí, že na sousedním Slovensku bylo za stejné období evidováno pouze 64 DDoS útoků.
Certifikát na tři roky už si nepořídíte, maximální platnost se zkrátila na dva
3.3.2018 Root Zabezpečení
Počínaje dnešním dnem nesmí certifikační autority vydávat TLS certifikáty s délkou platnosti tři roky. Maximální délka platnosti DV a OV certifikátů se zkracuje na dva roky, stejně jako tomu je u EV.
Členové CA/Browser Fora už před rokem rozhodli, že se maximální doba platnosti Domain Validated (DV) a Organization Validated (OV) certifikátů k 1. březnu 2018 zkrátí z 39 měsíců na 825 dnů (přibližně 27 měsíců). Od dnešního dne tedy autority nevydávají nové certifikáty na tři roky, ale nejdéle na dva. Starší tříleté certifikáty samozřejmě existují dál a podle své životnosti běžným způsobem doběhnou.
Některé autority ke změně přistoupily s předstihem, například DigiCert vydával tříleté certifikáty do 20. února, následující den už platila nová pravidla a mohli jste pořídit jen dvouletý certifikát. Autorita o tom ovšem své zákazníky informovala s předstihem, takže pokud jste stihli certifikát získat dříve, máte jej vystavený až do roku 2021. Firma vydala ke změně infografiku, která vysvětluje, jak se platnost zkracuje a jak pak bude autorita přistupovat k vystavení duplikátů certifikátů:
DigiCert
Zkracování platnosti nových certifikátů
Průběžně zkracujeme
Potřebu zkracování platnosti certifikátů vysvětluje například autorita GlobalSign, která poukazuje na stále se měnící pravidla, která se musejí přizpůsobovat proměnlivé bezpečnostní situaci. Snížení maximální životnosti certifikátu ze tří na dva roky pomáhá omezovat přítomnost starších, zastaralých a možná i nebezpečných certifikátů, které vznikly před zavedením nových pravidel.
Když se například začalo s výměnou slabé hašovací funkce SHA1, umožňovala pravidla vydávat DV a OV certifikáty na pět let. To znamená, že některé z nich jsou stále ještě platné. Pět let je velmi dlouhá doba. Vzniká tak jakési šedivé období, ve kterém sice už neplatí stará pravidla, ale stále ještě platí staré certifikáty podle nich vydané.
Zkracování doby platnosti umožňuje omezit toto období a uvést nová pravidla do praxe výrazně rychleji. GlobalSign proto například změnu provedl o rok dříve a tříleté certifikáty přestal vydávat už 20. dubna 2017. Tlak na další zkracování platnosti tu stále je, takže se pravděpodobně za čas dočkáme dalších změn.
Od deseti let ke třem měsícům
Úpravou doby platnosti certifikátů se zabývá také známý bezpečnostní odborník Scott Hellme. Ten na svém webu podrobně vysvětluje, proč je potřeba ještě dále zkracovat. Před deseti lety, kdy ještě neexistovala žádná (samo)regulace, byla autorita GoDaddy schopna vydat certifikát třeba na deset let. Některé z nich stále ještě platí, jak se můžete přesvědčit v databázi Censys.
Certifikáty s platností 10 let
První nastavení hranice pak přišlo v roce 2012, kdy byla CA/Browser Fórem přijata první verze pravidel pro certifikační autority [PDF], která omezovala platnost certifikátů na 60 měsíců – tedy na pět let. Hned v roce 2015 ale byla maximální doba platnosti zkrácena na 39 měsíců – tedy na tři a čtvrt roku. To byl vlastně stav, který jsme tu měli až do včerejšího dne.
Další návrh přišel až v únoru roku 2017, kdy Ryan Sleevi z Google navrhoval razantní omezení na 398 dnů – tedy na pouhý rok. O návrhu hlasovalo 25 autorit, ale pro byla jen jediná: Let's Encrypt. Tato otevřená autorita totiž od začátku vydává certifikáty jen na tři měsíce a její názor je v tomto ohledu naprosto jasný.
V březnu 2017 byl pak předložen další návrh, který upravoval maximální platnost certifikátů na 825 dnů – tedy na dva a čtvrt roku. Pro tuto variantu naopak hlasovaly všechny zúčastněné strany. To je právě návrh, který dnes vstoupil v platnost. Můžeme předpokládat, že se za čas opět někdo pokusí předložit další návrh, třeba opět na už jednou probíraných 398 dnů.
Proč je to potřeba
Na první pohled se zdá, že zkrácení z 10 let na tři měsíce je šíleně otravné a jen přidělává spoustu práce. Ve skutečnosti existuje ale řada praktických důvodů, proč nechceme mít na internetu certifikáty s dlouhou dobou platnosti.
V první řadě: revokace nefungují. Pokud vám unikne privátní klíč (což se opravdu stává), chcete mít možnost starý certifikát zneplatnit ještě před jeho skutečným vypršením. V opačném případě se za vás držitel klíče může zbytek doby platnosti vydávat. V současné době bohužel nemáme rozumný a široce podporovaný způsob revokace. Klasické seznamy CRL jsou obrovské, alternativní OCSP je zase problémem pro soukromí. Navíc je tu otázka, co má prohlížeč dělat, když jsou servery autority nedostupné – přestává tu tedy fungovat hlavní výhoda certifikátů, tedy možnost jejich offline ověření.
Tvůrci prohlížečů proto přistoupili k vlastnímu řešení, kdy do instalace sami vkládají seznamy neplatných certifikátů. To má také několik na první pohled viditelných úskalí – seznamy jsou tvořeny centrálně, výběrově a každý prohlížeč si to dělá po svém. Jak tedy můžete stoprocentně zajistit, že váš kompromitovaný certifikát bude revokován u všech uživatelů? Nemůžete. Nejde to.
V takové situaci je velký rozdíl, jestli máte certifikát vystavený na tři měsíce nebo na tři roky. Certifikát s krátkou platností za pár dnů vyprší a nic dalšího se nestane, nedáváte útočníkovi do ruky bianco šek, který je možné třeba dva a půl roku zneužívat.
Od dubna také bude nutné, aby byl platný certifikát v logu Certification Transparency. Ve skutečnosti bude muset být alespoň ve třech databázích od tří různých organizací. V průběhu životnosti certifikátu se ale může stát, že některý z logů bude z nějakého důvodu z prohlížečů vyřazen a jeho hlas přestane platit. V takové situaci přestane být důvěryhodný i daný certifikát, protože naráz bude mít platné potvrzení jen od dvou logů. Certifikáty s kratší dobou platnosti budou mít výhodu – včas se protočí, získají jiná potvrzení a problém nevznikne.
Musíme začít automatizovat
Správci serverů si začínají v mnoha oblastech zvykat na automatizaci, což se čím dál více týká i certifikátů a autorit. Uživatelé autority Let's Encrypt jsou na automatizaci od začátku zvyklí, postupně bude pronikat i dalším autoritám. Jelikož je protokol ACME otevřený, je možné jej použít k obsluze vlastní autority.
Je tedy pravděpodobné, že se brzy i klasické komerční autority budou snažit nabídnout automatickou cestu k získání certifikátů. Registrujete se, nabijete kredit a budete mít přístup k API umožňujícímu vystavit nové certifikáty. Odstraní to otravné ruční obnovování a zabrání lidské chybě. Let's Encrypt už navíc v praxi ověřuje, že je to velmi pohodlná a bezproblémová cesta.
Windows 7 bez antiviru, ale také s některými antiviry nepřijímá aktualizace. Co s tím?
3.3.2018 CNEWS.cz Zabezpečení
Proč se v některých případech automaticky nestahují aktualizace pro Sedmičky? Co se s tím dá dělat?
Microsoft byl nucen zastavit distribuci letošních lednových a únorových opravných balíčků pro Windows 7. Situace je však dočasná a týká se jen některých zařízení, nejedná se o dlouhodobou paušální změnu politiky, jak by se mohlo zdát. Aktualizace aktuálně nepřijímají stroje s některými antiviry. Ve výsledku však aktualizace nepřijímají ani zařízení bez antivirových systémů.
Proč? To si hned vysvětlíme.
Dostupnost letošních aktualizací pro Windows 7
Byl identifikován problém s kompatibilitou s některými antiviry po aplikaci lednových, ale později také únorových opravných balíčků. Konkrétní jména nepadla, takže nevíme, jakých antivirů a v jakých verzích se jich situace týká. Některé antiviry provádí nepodporovaná volání do jádra Windows – jsme opět u problematiky, kdy mnohé antiviry vzhledem ke hlubokým a možná necitelným zásahům do systému působí potíže.
Tato volání mohou způsobovat pády operačního systému. Situace může eskalovat až do stavu, kdy systém není schopný nastartovat. Microsoft to přímo neuvádí, ale podobná situace nastala také ve Windows 10, přičemž nekompatibilita vznikla po implementaci ochranných opatřeních proti dírám Spectre a Meltdown.
Bezpečnost
Také v případě Desítek proto platí, že během ledna a února vydané aktualizace nemusí být nainstalovaný na systémech s nekompatibilními antiviry. Klíčová je otázka, jak se Microsoft rozhodl ověřit kompatibilitu. Pokud je antivirus kompatibilní, musí v registru provést určitou úpravu, jež slouží jako signál. Bez tohoto signálu je distribuce aktualizací pro daný počítač pozastavena, viz např. článek Únorové záplatovací úterý nabídlo dávku oprav pro Windows.
Ačkoli se jedná jen o můj odhad, řekl bych, že to stejné platí na sestavách s Windows 7. jinými slovy Microsoft kompatibilitu systému s novými aktualizacemi zatím ověřuje kontrolou příslušné hodnoty v registru. Pokud není nastavena antivirem, do systému nejsou vpuštěny nové aktualizace – aspoň ne automatizovaně skrze Windows Update.
Windows 7 bez antiviru
Patrně jste se dovtípili, kde leží zakopaný pes. Zatímco Desítky v základní výbavě obsahují antivirus Windows Defender, Windows 7 obsahuje jen antispyware Windows Defender. Ten se proměnil v plnohodnotný antivirový nástroj až ve Windows 8, přičemž byl odvozen ze samostatně stojícího produktu Microsoft Security Essentials mj. pro Sedmičky.
Redmondští tento antivirový systém zdarma ke stažení stále nabízí, jenže stažení je volitelné – ve výsledku základní instalace Windows 7 antivir neobsahuje. Je proto možná trochu zvláštní, že Microsoft kontrolu kompatibility s posledními systémovými aktualizacemi nastavil tak, že pokud nemáte antivirus žádný, nikdo příslušnou hodnotu v registru nenastaví a zařízení nebude přijímat aktualizace.
Řešení
Situace se může změnit, do té doby ale můžete podniknout kroky k nápravě. Pakliže jste si do Sedmiček žádný antivir nepřidali, můžete si nějaký stáhnout. Jak jsem již uvedl, např. Microsoft nabízí zdarma svůj Security Essentials. Pokud antivirus používáte, ujistěte se, že máte poslední verzi. Případně se informujte u výrobce, zda je produkt kompatibilní s posledními aktualizacemi pro Windows.
Pakliže žádné antivirové řešení používat nechcete, je doporučeno, abyste manuálně vytvořili v registru příslušnou hodnotu, aby Windows mohl nadále automaticky přijímat aktualizace. V Editoru registru nastavte hodnotu:
Klíč: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\QualityCompat
Hodnota: cadca5fe-87d3-4b96-b7fb-a231484277cc
Typ: REG_DWORD
Data: 0x00000000 (Údaj hodnoty = 0)