Kaspersky představil vlastní super bezpečný operační systém
16.2.2017 SecurityWorld OS Vlastní specializovaný operační systém pro vestavěné systémy s přísnými kyberbezpečnostními požadavky či pro zařízení internetu věcí představila firma Kaspersky Lab. Podle výrobce výrazně snižuje šance výskytu skrytých funkcionalit a minimalizuje riziko kybernetického útoku.
Platforma programům dovolí realizovat pouze doložitelné operace. Aplikace tak budou muset být napsané v „tradičních“ kódech a splňovat přísná bezpečnostní pravidla a obsahovat standardní funkcionality. Pouze to, co bude definované těmito pravidly, bude moci být provedené, včetně funkcionalit samotného operačního systému.
Tento přístup se ukázal být v průběhu vývoje operačního systému velmi časově náročný, ale pro vývojáře aplikací nabízí jasné výhody: bezpečnostní strategie může být navržena souběžně s danou funkcionalitou.
Ta navíc může být ihned otestována – chyba v kódu totiž znamená nezdokumentované chování, které je operačním systémem zablokováno. Především však vývoj bezpečnostní strategie může být přizpůsoben konkrétním obchodním záměrům: bezpečnost může být zpracována na základě požadavků aplikace, a nikoliv opačným způsobem.
Řešení navíc klade důraz na obecně užívané bezpečnostní principy, jako jsou Separation Kernel, Reference Monitor, Multiple Independent Levels of Security nebo architektura Flux Advanced Security Kernel.
Co se týče nasazení, výrobce kromě orientace na tři klíčová odvětví - telekomunikace, automobilový průmysl a těžký průmysl – ještě navíc připravuje speciální balík zaměřený na finanční odvětví (například bezpečnost POS terminálů) a bezpečnostní vylepšení kritických operací pro běžné linuxové systémy koncových uživatelů.
KasperskyOS je dostupný ve třech verzích, každá se specifickými funkcemi -- KasperskyOS, Secure Hypervisor a Security System. Prvně jmenovaný se může použít jako základ, na němž lze postavit síťové routery, IP kamery nebo IoT ovladače.
Secure Hypervisor je schopný vytvořit aplikace s přísnými kontrolními procesy vzájemné komunikace a lze jej využít i pro všeobecné bezpečnostní účely (včetně zabezpečených operací koncových zařízení).
A konečně Security System přináší silné zabezpečení tradičním operačním systémům, vestavěným operačním systémům a operačním systémům reálného času, přičemž je nutné minimální množství dalších vývojářských zásahů.
Novinka, na jejímž vytvoření firma podle svých slov pracovala 15 let, je dostupná pro partnery typu OEM, ODM, systémové integrátory či softwarové vývojáře.
Microsoft bude lidem podsouvat desítky, nainstalují se jako aktualizace
4.2.2016 OS Společnost Microsoft nabízí už od loňského roku uživatelům některých starších verzí Windows bezplatný upgrade na nejnovější desítky. Nově se ale Windows 10 mohou lidem nainstalovat jako aktualizace i v případě, že o to nestojí. Je to dáno změnou politiky amerického softwarového gigantu. Doposud totiž aktualizace na Windows 10 byla uživatelům nabízena jako volitelná, nově ji však Microsoft označuje jako doporučenou. A právě v tom je ten zakopaný pes, který potrápí uživatele, jež o přechod z jakéhokoliv důvodu nestojí.
Dříve totiž mohli lidé pouze odkliknout okénko nestahovat a bylo vyřešeno. Nově se jim však aktualizace může automaticky stáhnout, a dokonce i nainstalovat. V defaultním režimu jsou totiž desítky nastaveny tak, aby se stahovaly a instalovaly i doporučené aktualizace.
Pomůže změna nastavení Uživatelů, kteří stále na Windows 10 nepřešli, je několik stovek miliónů. Jak upozornil server Extreme Tech, desítky se tak logicky budou nabízet jako aktualizace ještě několik následujících týdnů. Proces distribuce na takové množství strojů je totiž velmi náročný.
Pokud uživatelé nestojí o automatickou aktualizaci na nejnovější verzi operačního systému od Microsoftu, mohou jednoduše změnit nastavení systému. V Ovládacích panelech stačí zvolit nabídku Windows Update a odškrtnout políčko, aby se doporučované aktualizace získávaly stejným způsobem jako doporučené.
Případně je k dispozici také volba „Vyhledávat aktualizace, ale zeptat se, jestli je chci stáhnout a nainstalovat“. Díky této volbě se žádná s aktualizací nebude stahovat ani instalovat, pokud o to uživatel skutečně nebude stát.
Apple aktualizoval whitepaper systému iOS
31.3.2014 iOS Aktualizace dokumentu k iOS odhaluje detailní informace o propracované bezpečnostní architektuře systémů zařízení iPhone a iPad.
33stránkový whitepaper nazvaný iOS Security byl vydán v únoru 2014 a je nyní k dispozici online (ve formátu PDF). Předchozí verze je datována do listopadu 2012, přibližně do doby, kdy firma Apple začala bezpečnosti věnovat zvýšenou pozornost. Nový dokument detailně popisuje nové bezpečnostní funkce, které byly uvedeny do systémů iOS, především verze 7: Snímač otisků prstů Touch ID, integrace jednotného přihlášení do korporátních aplikací a služeb, zabezpečení spojení konektivity Airdrop (ať už Wi-Fi nebo Bluetooth), iCloud Keychain pro generování a správu silných hesel a v neposlední řadě Secure Enclave, bezpečnostní koprocesor integrovaný do 64bitového procesoru Apple A7.
Whitepaper je podle bezpečnostních konzultantů zásadní změnou v přístupu Applu a jak říká Rich Mogull: „Obsahuje více informací o bezpečnosti iOS, než kdy Apple oficiálně uvolnil. Studiem tohoto dokumentu strávíme měsíce.“ Z tohoto pohledu se Apple donedávna choval jako Microsoft před deseti lety, kdy bylo zvykem uveřejňovat co nejméně informací o bezpečnostních standardech.
Detaily bezpečnostní architektury Apple, včetně její certifikace podle normy FIPS 140-2, nepochybně dále pomohou otevírat dveře do vládních agentur nebo korporací s extrémními bezpečnostními požadavky. „Řada profesionálů dosud nepovažovala produkty Apple za dostatečně zralé pro korporátní či státní bezpečnost, ale Apple se možná pomalu stává standardem v mobilní bezpečnosti. Již nyní jsou možná zařízení Apple zabezpečenější než jakékoli jiné běžně dostupné zařízení.“
To ale neznamená, že neexistuje spousta prostoru pro zlepšení, jak to ukázala poslední bezpečnostní konference RSA, kde bylo předvedeno několik způsobů, jak se mohou aplikace běžící na pozadí nerootovaného iPhonu dostat například ke všem dotekům na obrazovce a fungovat tedy jako typický keylogger. To představuje chybu spíše systémové architektury než autorů jednotlivých aplikací, i když na ty vina za bezpečnostní nedostatky nejčastěji padá. Na analýzu bezpečnostních slabin aplikací dostupných pro iOS se zaměřil výzkum firmy HP publikovaný v listopadu 2013. Testováno bylo více než 2000 mobilních aplikací používaných 600 velkými korporacemi v 50 zemích světa a jak se ukázalo, 90 procent z nich vykazovalo nějakou bezpečnostní slabinu či chování, od nepoužívání šifrování po data ukládaná v zařízení nebo dokonce přenášená po internetu.
Apple vydal souhrn vyžádaných údajů uživatelů
7.11.2013 OS | Mobil Za první polovinu roku 2013 odtajnil Apple americké vládě obsah z účtů svých uživatelů méně než tisíckrát. Vyplývá to ze zprávy zabývající se požadavky státních organizací, kterou společnost vydala v úterý.
„Apple se sběrem informací primárně nezabývá,“ uvedla společnost ve zprávě. Dodala, že doufá, že poskytnutím detailů o svých interakcích nejen s vládou USA, ale se všemi vládami po celém světě, poskytne svým zákazníkům lepší přehled o schvalovacích procesech. Apple také oznámil, že zástupci společnosti opakovaně nadnesli návrh, že by společnost měla být otevřenější ohledně svých schůzek s vládními zastupiteli.
Stejně jako Google, Microsoft nebo Facebook, i Apple podal žádost o možnost větší transparentnosti k soudu pro zahraniční zpravodajství. „Jsme pevně přesvědčeni, že by vláda měla povolit odtajnění kompletních a přesných čísel vztahujících se k žádostem státní správy,“ napsal Apple. „Budeme pokračovat v důrazných snahách o prosazení větší transparentnosti.“
Společnost ve zprávě vysvětlila, že podle americké vlády může údaje zveřejnit pouze velmi obecně. Přesný počet žádostí, které společnost obdržela, i počet účtů, kterých se žádosti týkaly, jsou tak nedostupné, což komplikuje snahu o získání přesného obrazu akcí státu. Zpráva však naznačuje, že požadavky od americké vlády jsou pouhým zlomkem toho, co požadují ostatní země.
Během doby, kterou zpráva zahrnuje, obdržel Apple 1 000 až 2 000 požadavků, které se týkaly dvou až tří tisíc účtů. „Požadavky se nejčastěji týkají krádeží nebo jde o žádosti od policejních úředníků, kteří pátrají po nezvěstných osobách,“ zmínila zpráva. „Pouze velmi zřídka nám přijde žádost o poskytnutí uložených fotografií nebo e-mailů, tyto požadavky pak zvažujeme velmi opatrně. Takový obsah poskytujeme pouze ve velmi výjimečných případech.“
Ve Spojených státech Apple obdržel také 3 542 žádostí o poskytnutí informací o zařízení. Obvykle se jedná o ztracené či odcizené telefony, společnost vyhověla v 88 % těchto případů.
„Vládní agentura, která požaduje obsah našich zákazníků ze zařízení Applu, musí mít soudní příkaz,“ napsala společnost. „Pokud takový požadavek obdržíme, náš právní tým příkaz pečlivě přezkoumá a pokud nalezne jakékoliv sporné místo nebo se nám nezdá rozsah požadavku, tak příkaz zpochybníme. Pouze pokud jsme si jisti, že je soudní příkaz oprávněný a přiměřený informace v tom nejnutnějším rozsahu poskytneme.“
Apple také dodal, že ještě nikdy neobdržel požadavek, který by se opíral o sekci 215 protiteroristického zákona, jenž teoreticky umožňuje FBI získat veškeré záznamy jakékoliv osoby, aniž by o tom věděla. Apple také podotkl, že by takovému požadavku bez boje nevyhověl.
Plná zpráva je v angličtině na webových stránkách společnosti (ve formátu PDF).
Apple Zapíná útok BEAST Safari zmírnění ve výchozím nastavení v OS X Mavericks 6.11.2013 Počítačový útok | OS | Zabezpečení
Apple umožnil funkci ve svém nedávném OS X Mavericks aktualizaci kastrované na útoky BEAST kryptografické . BEAST je dva-rok-starý útok nástroj, který zneužívá chybu zabezpečení v protokolu TLS 1.0 a SSL 3.0 a může vést k útočníkovi krást cookies, HTTPS nebo únos prohlížeče sezení.
Apple prohlížeč Safari byl osamocený protahování mezi hlavními prohlížeči povolit implicitně 1/n-1 rozdělení, které by zmírnily útoky, další přední prohlížeče obrátil ji ve výchozím nastavení od začátku roku 2012. Kód mezitím působí od předchozího OS X Lion Mountain verzi ale nebyl zapnutý, dokud OS X 10.9 Mavericks.
Rozdělení 1/1-n technika zastaví útočníkům být schopni odhadnout, které bloky inicializační vektor bude použita k zamaskování holého data před jejich jsou zakódovány. Ivan Ristic, ředitel aplikačního výzkumu na Qualys, řekl Threatpost v září, že man-in-the-middle útok by usnadnilo schopnost předvídat tyto bloky a vliv, co jsou zakódovány. Vzdělaný Útočník s dostatkem odhady pravděpodobně přistane na správném bloku Ristic řekl.
On zapsal blogpost v době, kdy BEAST útok by pomohla získat malé datové fragmenty, které by dal útočník nějaké pokyny.
"To nemusí znít velmi užitečné, ale máme mnoho velmi cenné fragmenty celé: HTTP session cookies, přihlašovací údaje (mnoho protokolů, nejen HTTP), založené na adrese URL relace známky, a tak dále," řekl Ristic. "Proto, BEAST je vážný problém."
S vydáním Mavericks však Ristic řekl, v první chvíli si nemyslel, že rozdělení 1/1-n byl ve výchozím nastavení povolena. Safari jsem TLS podporují 1,2, což Ristic označil za důležitý update, ale to samo o sobě ani zmírnit bestie útoků, protože se zaměřili na TLS 1.0 a dřívějších protokolů.
"Klient-side podpora TLS 1.2 v současné době není dostačující, protože (1) jen asi 20 procent serverů podporu této verze protokolu a (2), všechny hlavní prohlížeče jsou náchylné k útokům protokolu downgrade, které mohou být prováděny aktivní MITM útočníci, "řekl psal minulý týden.
Ristic udělal trochu lov a kopání mimo poznámkách vydání aktualizace zabezpečení pro individualisty a podíval se na některé z Apple Zdrojový kód je uvolněn jako open source a zjistil, že rozdělení 1/1-n byla skutečně zapnutý.
"Díky tomu můžeme konečně konstatovat, že bestie dostatečně zmírněny na straně klienta, a jít dál," řekl Ristic.
BEAST nástroj byl propuštěn v září 2011 výzkumníky Juliano Rizzo a thajské Duong na Ekoparty konferenci. Útočník pomocí BEAST mohl dešifrovat TLS 1.0 a SSL 3.0 relace na mouchy a do žádného šifrované relace, čímž on-line bankovnictví, nebo e-commerce transakcí v ohrožení.
BEAST ohýbá jeho svaly konkrétně proti algoritmu AES šifrování, které se postaví TLS / SSL. Jakmile man-in-the-middle pozice je založena a oběť surfuje na jejich bankovní stránek, dřevo-in a obdrží cookie by BEAST kód poté aplikovat do prohlížeče přes iFrame nebo nakládací BEAST javascript do prohlížeče. Malware pak čichá síťový provoz hledají připojení TLS a je schopen dešifrovat HTTPS cookie, v podstatě zotavuje verzi holého textu údajů a dává útočníkovi dálkový ovladač v aktuální relaci.
Rizzo a Duong řekl, že BEAST využívá zranitelnost sahá až do první inkarnaci SSL, bug, který byl do značné míry považován za non-zneužitelné.
BEAST útoky jsou ideální pro použití v cílených útoků proti konkrétním osobám, protože útočníci by musela být v man-in-the-middle pozici, BEAST nelze provést na jakémkoliv měřítku, Ristic řekl. Také byl zdrojový kód pro BEAST nikdy propuštěn Rizzo a Duong.
iOS 7 Přidá Multipath TCP
OS | Mobil
iOS 7 přidal novou funkci, která nebyla široce inzerované. Tato funkce je vícecestných TCP (MPTCP) v současné době využívá Siri, ale mohou být použity v jiných aplikacích dolů na silnici. MPTCP je rozšíření TCP umožňuje TCP spojení mezi hostiteli pomocí více IP adres. Jeho design je zvláště zajímavý v tom, že je zpětně kompatibilní s firewally. Pokud jako brána firewall nebo jiné síťové zařízení týče, každý vícecestné TCP spojení je platný TCP připojení přes jeho vlastní pořadová čísla a vlastní handshake nastavit a zbourat. Všechny "kouzlo" signalizace se děje přes nové možnosti TCP.
MPTCP není vlastní. Je to standardní (RFC 6824 [1]), a byl implementován pro Linux například, ale dosud neviděl moc použití, což může způsobit, že zjistíte to poprvé při pohledu na provoz z iOS zařízení 7.
Stejně jako rychlý opakovací: TCP spojení ze strany klienta odesláním SYN paket na server. Server odpoví SYN-ACK a klient dokončí handshake pomocí ACK paket. Během tohoto handshake, budou hostitelé vyměňovat náhodné počáteční pořadová čísla. Pořadové číslo se zvyšuje o jednu pro každé přenášené bajtu. Pořadové číslo je velmi důležité k sestavení datového toku. Bez pořadovým číslem, může datový tok ztratit rozkaz.
Zjednodušeně by se dalo nastavit dvě spojení TCP, a jen distribuci dat mezi nimi. Ale pokud pořadové číslo proud není kontinuální, mnoho firewally narušit spojení. To je důvod, proč každý proud MPTCP má vlastní pořadové číslo. Ale to staví další problém: Jak můžeme vědět, jak proudy, nebo "subflows", jak je nazývá RFC, zapadají?
Umožňuje první mluvit o tom, jak spojení MPTCP je nastavení:
TCP spojení začíná jako každý TCP spojení s SYN / SYN-ACK / ACK handshake. Nicméně, pokud je k dispozici MPTCP, budou tři handshake pakety zahrnují "Multipath Capable (MP_CAPABLE)" možnost volby. Na obou koncích je třeba podporovat mnohacestnému, nebo nebudou použity. MP_CAPABLE možnost obsahuje tlačítko, které budou později použity k ověření dalších subflows. Hostitel nyní může přidat nový dílčího toku, a to dílčího toku bude ověřena pomocí hash odvozený z klíčů vyměněných dříve, a nonces které jsou jedinečné pro každého bez dílčího toku. Volba MP_JOIN se používá pro přenos těchto dat. V průběhu připojení můľe hostitelé vzájemně informují o nově získaných adres a mohou využívat nové subflows. Od každého dílčího toku má svou vlastní sadu pořadovými čísly, "Pořad Signály" slouží pro komunikaci jak se pořadová čísla v mapě dílčího toku ke kombinované datový tok. Protokol má spoustu drobných detailů, které dělají to vhodný pro počítače připojené do více bezdrátových sítí. Například se mohou použít různé subflows mít různé priority. Jedno použití scénář je mobilní telefon připojen k WiFi, stejně jako mobilní sítě, a roaming mezi nimi. Například spuštění TCP spojení doma, a nadále používat, až budete odcházet z domu a telefon se přepne do celulární sítě. Dokud obě sítě jsou k dispozici na chvíli může spadnout MPTCP připojení WiFi a výhradně používat mobilní datové připojení telefonu dokud nedorazíte k jiné WiFi sítě. Ale dost o tom, jak funguje protokol, zde jsou některé pakety. Rychlé BPF zachytit tyto pakety (například s tcpdump):
tcp [12] a 0xF0 => 0xE0 Není to dokonalé, ale protože se podílejí možnosti jsou poměrně velké, najdete MPTCP pakety hledají větší velikosti záhlaví TCP. Tento filtr vyhledá záhlaví velikosti 56 a výše, přičemž 60 je maximální (nemáte opravdu potřebují bitovou masku na filtru). Wireshark a tshark řešit poměrně dobře s MPTCP. Například tshark displeje pro TCP možností:
Multipath TCP: Multipath Schopný Druh: Multipath TCP (30) Délka: 12 0000 .... = Multipath TCP podtyp: Multipath schopnost (0) .... 0000 = Multipath TCP verze: 0 Vícecestné TCP příznaky: 0x01 0 ... .... = Kontrolní potřeby: 0 .... ... 1 = Použít HMAC-SHA1: 1 MultiPath TCP odesílatele Legenda: 8848941202347829228 tcpdump na druhé straně má mnohem těžší: 16:44:15.681318 IP 70.91.145.11.57799> 17.174.8.5.443: Vlajky [S], seq 847601216, výhra 65.535, možnosti [mss 1460, nop, wscale 3, Unknown Možnost 3000017acdc123cc42a7ec, nop, nop, TS val 102569696 s. 0, sackOK, EOL], délka 0
se zobrazí pouze surový možnost jako "Neznámý Option" Option "0x30" náhodou "Multipath Capable" možnost.
Další možnosti: 0x31: MP_JOIN 0x32: DSS - Údaje Sekvence signálu 0x33: ADD_ADDR - přidat novou adresu 0x34: REMOVE_ADDR - Odstraňte adresu 0x35: MP_PRIO - změna dílčího toku prioritou 0x36: MP_FAIL - Záložní (slouží ke komunikaci s kontrolním součtem selhání zpět odesílateli) 0x37: MP_FASTCLOSE - Fast Close (jako TCP reset, ale pouze pro dílčího toku)
[1] http://tools.ietf.org/html/rfc6824
Chraňte vysoké hodnoty transakcí na iOS a Android 30. září 2013. Mobil | OS | Zabezpečení SecureKey představila svůj rozšířené cloud-based briidge.net Připojte multi-faktorovou autentizaci služby. Tato nejnovější verze briidge.net Connect zahrnuje novou briidge.net Connect Mobile SDK, které umožňuje vývojářům snadno přidávat robustní multi-faktorovou autentizaci do funkce iOS a Android mobilních aplikací.
S Connect SDK mohou vývojáři vložit schopnosti jako QuickCode zabezpečené PIN a nula-touch zařízení autentizace do aplikací s vysokou přidanou hodnotou, jako je retailové bankovnictví, mobilní platby, obsah objednání, sociálních médií a dalších, což zjednodušuje uživatelský komfort a snižuje uživatelskou správu hesel zátěž pro poskytovatele služeb. SecureKey software-jediné řešení je modeled po hardwarového bezpečnostního prvku a používá stejné standardní GlobalPlatform bezpečnostní protokoly, aby zajistily, že každý přístroj může být jednoznačně identifikovány a ověřeny briidge.net Připojte Service pomocí out-of-band kanál. Nová Connect SDK nabízí všudypřítomné silné zabezpečení pro všechny mobilní aplikace pro Android a iOS platformy, včetně nového iPhone 5S a 5C zařízení, a poskytuje bezproblémový přechod do hardwarového zabezpečení. Se zvýšenou mobilní bezpečnostní aplikace, mohou poskytovatelé služeb zavést další služby s vysokou přidanou hodnotou, přilákat více zákazníků a získat konkurenční výhodu. briidge.net Connect Service zahrnuje rovněž briidge.net Connect Mobile App - ke stažení z iTunes a Google Play App Obchody- který podporuje single-click, out-of-band webové ověřování na mobilních zařízeních pro jednoduché a bezpečné online účtu přihlašovacích údajů a transakce konfirmací. Jak Connect SDK ke stažení Connect mobilní aplikace zaměstnanosti briidge.net DNA technologie poskytují jedinečné ID zařízení pro širokou škálu aplikací podporovaných službou briidge.net Connect. SecureKey briidge.net DNA technologie je již zakotvena v Intel IPT-dát notebooky, počítače a Ultrabooks dodávané spotřebitelům od roku 2012. Tím, že poskytuje spolehlivé unikátní ID zařízení přes mobilní platformy, Connect SDK umožňuje vývojářům vytvářet mobilní aplikace s jednotnou zařízení na bázi ověřování. To také umožňuje připojit briidge.net služby, které mají být použity v kombinaci se stávajícím třetích stran, na platformě specifických řešení zařízení otisky prstů jako součást celkového rizika na základě ověření systému. Nová QuickCode rys v Connect SDK umožňuje organizacím nahradit těžké k typu jména a hesla ve svých mobilních aplikací se rychle, snadno vstoupit serveru ověřený PIN. Silnější než jeden mobilní app PIN nebo online heslem, uživatel QuickCode působí jako multi-zařízení PIN - synchronizovaný napříč všemi uživatele zapsaných zařízení, které poskytují konzistentní zážitek přes zařízení, které používají pro přístup ke službám. "Musíme se dostat zbavit hesel. Potřebujeme silný multi-faktor autentizace pro většinu internetových a mobilních případech transakcí použití. Vzhledem k tomu, kapaliny ohrožení životního prostředí a naší vlastní průmyslu se vyvíjející technologie krajina, klientský software a cloud-based služeb přístup může poskytnout silnou autentizaci, kterou potřebujeme a nezbytnou pružnost reagovat na nové požadavky, "řekl George Peabody, ředitel s Glenbrook partnery. "Koncových zařízení, oblačnosti, a bezpečnostní hardware bude kaše vstříc řadu autentizačních potřeb. SecureKey Schopnosti spojit ty uzly v transakci řetězce. "
Apple DDOS? Ne, jen aktualizace sestupuje!
18. září 2013. Aktualizace | OS
Množství tisku, že Jablka IOS 7 aktualizace dostali dnes má nezamýšlený důsledek - každý se zdá být tahem dolů v okamžiku, vidí, že je to k dispozici.
To je spouštění IPS senzorů a způsobuje skutečné DOS podmínky v důsledku dotčené provozu - nezamýšlené "Apple - zooka"
SWA, jeden z našich manipulátory, znamená, že to může být snadno vyřešen jeden vysílací domény tím, že Apple ukládání do mezipaměti služby na jediném Serveru OSX v síti. Klienti si jej Bonjour a jednu stahovat služby všem klientům. (Díky za screenshot SWA)
Nejsem si jistý, jak to ovlivňuje se s funkcí zjišťování služeb v mDNS - pokud má někdo informace na toto téma bychom ocenit váš pohled na pole poznámky pro tento příběh!
Obecně platí, že právě umožňuje to je dost, ale pokročilá nastavení pro ukládání do mezipaměti serveru najdete zde ==> http://support.apple.com/kb/HT5590
Android 4.3 a SELinux
Publikováno 20.8.2013 OS
Není mnoho týdny Google vydala nové verze svého vlajkového mobilního operačního systému Android 4.3. I když někteří říkají, že tentokrát Tyto aktualizace byly docela vzácný, z hlediska bezpečnosti tam byly některé nesporné zlepšení (mj. se "MasterKey" zranitelnost nakonec oprava). Jedním z nejvýznamnějších je SELinux. Mnozí jásali událost jako dlouho očekávaný krok, zatímco jiní kritizovali jeho provádění. Osobně si myslím, že dopad není tak jednoduché posoudit, zvláště pokud bychom měli zpochybňovat výhody pro koncové uživatele. Aby se vrhnout nějaké světlo, můžeme si pomoci, ale analyzovat trochu víc, co je SELinux, a jaká je jeho model ohrožení.
Android 4.3 Jellybean logo. Začněme od základů: bezpečnost každé linuxové systém je postaven na konceptu volitelný Access Control (DAC), což znamená, že každý uživatel rozhodne, které z jeho vlastních souborů je přístup (čtení, písemné, nebo popraven), od ostatních uživatelů . Samotný systém je chráněn před zásahy mají všechny systémové soubory vlastněné správního uživatele 'root'. Android je založen na velmi stejné pojmy, ale s malým, ale přesvědčivé navíc: každý app je přiřazen jiný ID uživatele (určité výjimky jsou možné i když), a tím izolovat a chránit aplikačních dat ze všech ostatních aplikací. To je důvod, proč na un-zakořeněné zařízení je poměrně obtížné, ne-li nemožné, legit aplikaci ukrást soukromá data využíván jinou aplikací (pokud, samozřejmě, je to, že datový soubor svět-čitelný).
Gattaca Uživatelé $ ls-las celkem 0 0 drwxr-xr-x 6 kořen admin 204 24 srpna 2012. 0 drwxr-xr-x 31 Kořen kola 16.srpna 1122 12:56 .. 0-rw-r - r -. 1 root kola 0 20 červen 2012 lokalizovány 0 drwxr-xr-x + 11 Hodnocení _guest 374 24.srpna 2012 Host 0 drwxrwxrwt 7 kořen kola 238 9.dubna 15:58 Společná 0 drwxr-xr-x + 87 Stefano personál 11.srpna 2958 10:35 Stefano DAC znamená, že přístup ke spisu a zdroje je definován uživatelem a soubor / adresář režimu. SELinux staví na vrcholu, že (a na 15 let OS NSA výzkumu v oblasti bezpečnosti) a zavádí další bezpečnostní vrstvu, nazývané Povinné Access Control (MAC). Tato vrstva, konfigurovat celý systém politiky, dále upravuje způsob, jakým uživatelé (a tedy aplikace na zařízení se systémem Android) přístup jak jejich a systému poskytovaných údajů, a to vše v transparentním způsobem. Ve více technického hlediska je možno navrhnout takové postupy, které jsou schopny určit typy interakcí proces nakonfigurován tak, aby být součástí kontextu zabezpečení může a nemůže dělat. Jednoduchý, ale přesto účinný příkladem je případ z démona systémového protokolu běží s právy roota (ouch). S SELinux můžeme nastavit celý systém tak, aby tento proces nemůže získat přístup nic jiného než soubor protokolu: budeme prostě muset přiřadit určitý štítek do souboru protokolu, a napsat politiku umožňující log daemon přístup pouze ty soubory, tak označeny (jako vždy, se domnívají, že věci jsou trochu složitější než to :)). Všimněte si dvě výhody plynoucí z tohoto způsobu myšlení: (1) politika je něco, co může být vykonáno celého systému (a dokonce i kořen se jím řídit), (2) jsou oprávnění mnohem více jemnozrnný, než ty, na které prosazována Výborem pro rozvojovou pomoc.
Schopnost omezit to, co super-uživatel může dělat (bez ohledu na jeho výsad) je rozhodující pro ochranu systému před útoky eskalaci práv. To je ve skutečnosti, kde vyniká SELinuxu. Vezměme si případ Gingerbreak, široký-rozšířil využití vykořenit Gingerbread na bázi zařízení. Využít odešle pečlivě budovaný netlink zprávu objemu démona (vold) běží jako root. Vzhledem k některým chybí vázaný kontrolami, zda zpráva může vést k úspěšné vložení kódu a provádění. Vzhledem k tomu, proces běží jako root, ve skutečnosti je triviální, aby se třeli setuid root shell a tam při ovládání přístroje. SELinux by se zastavil, které využívají tím, že popírá ten samý zprávu: výchozí politiky (alespoň v původním patch-set) popírá otevření tohoto typu zásuvky, takže problém je vyřešen. Pokud to nestačí, můžete realizace nesystémové dvojhvězd prostřednictvím tohoto démona procesu dále zakázáno jiným SELinuxu.
shell @ tilapie :/ # ls-Z / system / drwxr-xr-x root root u: object_r: unlabeled: s0 app drwxr-xr-x root shell u: object_r: unlabeled: s0 bin drwxr-xr-x root root u: object_r: unlabeled: s0 atd. ... Nepotištěné FS po OTA aktualizaci. Skvělé, ne? Bohužel, realita je ještě docela daleko od toho. SELinux implementace, která je v současné době nasazen na obrázky Android 4.3 chybí několik důležitých funkcí. Za prvé, je SELinux nakonfigurován v povolujícím režimu pouze, což znamená, že politiky, které nejsou prosazovány, a porušení se právě přihlášen (ne že by užitečné, ale pro testování). Také, jak je uvedeno výše, OTA aktualizace není označit systémový oddíl správně (moje zkušební zařízení opustil mě zmateně na nějakou dobu, až jsem zjistil, že výzkumník Pau Oliva publikoval přesně stejný nález na DEF CON 21 ), což znamená, že populace -obnovení je povinné, pokud developer je vyzkoušet. Konečně, kromě toho, že poskytnuté politika jsou všechno, jen ne omezující, ne MAC je k dispozici pro Android middleware (funkce namísto součástí NSA patch-set ).
Co to znamená pro koncového uživatele, a pak? Bohužel, jak již nyní, nic moc. SELinux jako nasazen na Android 4.3 může být testován a politiky rozvíjet. Tam je také žádný bezpečný způsob, jak vymáhat. Nyní je v čase skutečnosti prodejců OEM. Google intenzivně podporuje vývoj SELinux provedení (BYOD někdo?) Založených na skladě funkcí, spíše než na špatně sestavené doplňky (viz opět mluvenému projevu na DEFCON 21 pro komplexní vysvětlení toho, co "otázky týkající se provádění" může znamenat). Vývojáři, na druhé straně, se důrazně doporučuje, aby si zvykli s výchozím souborem politik a testovat své aplikace pro rozbití. Uvidíme ještě někdy k uvolnění Android se sadou SELinuxu, aby mohly prosadit režim? To, že můžeme jen doufat :)
Android App Chyba zabezpečení Umožňuje únos
23.července 2013 OS | Zranitelnosti | Mobil | Hacking
Vážná zranitelnost Android, připravený být zveřejněny na konferenci blackhat, nyní veřejně známá. Tato chyba zabezpečení umožňuje útočníkům vložení škodlivého kódu do legitimních aplikací bez zrušení platnosti digitálního podpisu.
Android aplikace musí být digitálně podepsán. To umožňuje, aby jeden zajistila kódu v aplikaci nebylo manipulováno s, a také zajišťuje kódu byla poskytnuta úředním vydavatele. Navíc Android využívá app úrovni oprávnění systému, kde každá aplikace musí přiznat a přijmout oprávnění k provedení citlivé úkoly. Digitální podpis brání aplikací a jejich doprovodné oprávnění od uneseno.
Tento závažný Android chyba zabezpečení umožňuje útočníkovi skrýt kódu v legitimní aplikace a využití stávajících oprávnění k provádění citlivých funkcí prostřednictvím těchto aplikací. Podrobnosti o zranitelnosti lze nyní nalézt na internetu a jsou velmi snadno implementovat.
Injekční škodlivého kódu do legitimních aplikací byla obyčejná taktika se zlými úmysly app tvůrci na nějakou dobu. Nicméně, oni předtím potřeba změnit i aplikace a název vydavatele, a také podepsat Trojanized aplikace s vlastním digitálním podpisem. Někdo, kdo zkoumal app údaje mohly okamžitě realizovat aplikace nebyl vytvořen legitimní vydavatele. Nyní, když útočníci již není nutné měnit tyto podrobnosti digitálního podpisu, mohou volně unést legitimní aplikace a dokonce i chytrý člověk nemohl říct, že žaloba byla v novém obalu pomocí škodlivého kódu.
Přidali jsme logika zjišťování pro zranitelné stavu naší backend Norton Mobile Insight systémů a ze čtyř milionů aplikací, ještě neobjevili škodlivý využití zranitelnosti. Objevili jsme několik aplikací, které neúmyslně zneužívají křehkosti, nicméně. Tyto aplikace jsou postaveny na společné sestavení populární nástroj řetěz, který může mít za následek chybu poškozených souborů APK. Bohužel, tato chyba zabezpečení se týká 99 procent zařízení se systémem Android, a obvykle záplaty trvat nějakou dobu být nasazeny výrobců mobilních telefonů a dopravci, pokud vůbec.
Pokud byl škodlivý aplikace je zjištěna zneužití této chyby zabezpečení, budou uživatelé moci chránit instalací aplikace Norton Mobile Security . Po nainstalování aplikace Norton Mobile Security také pravidelně aktualizovat sám přidat více robustní ochranu proti této a budoucích chyb.
Bezpečnostní experti antivirové společnosti Bitdefender odhalili škodlivé programy maskované za regulérní aplikace. Ty zneužívají kritickou bezpečnostní chybu operačního systému Android, kterou mohou počítačoví piráti využít k ovládání počítačových tabletů a chytrých telefonů na dálku.
Viry se ukrývají v aplikacích Rose Wedding Cake Game a Pirates Island Mahjong Free. „Mezi uživateli Androidu jsou tyto programy poměrně populární. První má více než 10 000 stažení a druhý přes 5000,“ uvedl bezpečnostní expert z Bitdefenderu Bogdan Botezatu.
Podle něj však není důvod k panice, protože zatím nebyl zaznamenán případ, kdy by trhlina byla těmito aplikacemi zneužita. Navíc telefony a tablety s nainstalovanou bezpečnostní aktualizací dokážou podvodné programy odhalit.
Zneužita může být jakákoliv aplikace „Oprava již byla poskytnuta našim partnerům. Někteří výrobci, jako například Samsung, již aktualizaci pro svá zařízení vydali,“ uvedla již dříve pro server ZD Net produktová manažerka Androidu Gina Sciglianová.
Právě rychlost je podle bezpečnostních expertů to nejdůležitější, co ovlivní, v jaké míře bude chyba zneužívána. Doposud nebyl evidován podle tvůrců Androidu evidován ani jeden případ.
Uživatelé by tak měli kontrolovat aktualizace u výrobců svých zařízení. „Lze předpokládat, že dostupnost oprav se bude velmi lišit podle toho, o jakého výrobce se jedná,“ podotkl Jeff Forristal, šéf bezpečnostní společnosti Bluebox, která chybu v Androidu odhalila.
Chyba se týká přístrojů s Androidem, které přišly na trh v posledních čtyřech letech. Útočník může s její pomocí ovládat přístroj stejně, jako by jej držel v ruce. Může telefonovat, posílat textové zprávy, ale například i prohlížet uložená hesla. Na dálku dokonce může klidně zapnout i zabudovanou webkameru.
Zranitelnost umožňuje počítačovým pirátům proměnit originální programy v trojské koně, aniž by to byl uživatel schopen při instalaci poznat. Takto zneužita může být prakticky jakákoliv aplikace, upozornily servery VentureBeat a SecurityWeek.
S nejnovější verzí Androidu klesá riziko zneužití
Poslední verze systému Android obsahuje pokročilé nástroje pro ochranu uživatelů. Problém je v jejím pomalém přijímání.
OS | Bezpečnost
Více než tři čtvrtiny malwaru pro Android tvoří škodlivé aplikace, které z uživatelských zařízení posílají prémiové SMS. Této hrozbě by se přitom dalo snadno předejít přechodem na poslední verzi 4.2 Jelly Bean, která obsahuje účinnou ochranu. Poslední verze Androidu však v současné době běží asi jen na 4 procentech zařízení s operačním systémem od Googlu. A to od jejího uvedení uplynulo již 6 měsíců. Podle dat společnosti Juniper Networks, dodavatele síťových řešení, vzrostl mezi březnem 2012 a březnem 2013 počet mobilní hrozeb o 614 %. Výzkumníci do března letošního roku identifikovali celkem 276 259 vzorků škodlivého softwaru. 92 % z nich bylo určeno pro operační systémy Android. Závěry výzkumníků z Juniper Neworks se shodují s informacemi jiných bezpečnostních firem. Rostoucí množství malwaru pro Android jde ruku v ruce s rostoucí popularitou této platformy. Většina škodlivého softwaru určeného pro Android má podobu aplikací, které své oběti obírají o peníze posíláním SMS na drahá telefonní čísla. Malware se obvykle tváří jako legitimní aplikace nebo je součástí pirátské verze nějakého programu. Výzkumníci odhadují, že útočníci si šířením tohoto typu malwaru přijdou v průměru na 10 dolarů za jediného uživatele. Pokud se uživatelé nechtějí stát jednou z obětí, pak by měli provést aktualizaci na poslední verzi systému Android. Součástí Androidu 4.2 je totiž nástroj, který rozpozná snahy o odeslání prémiových SMS a požádá uživatele o potvrzení operace. Touto funkcí jsou však chráněna pouze 4 % uživatelů. Jde o odhad založený na 14denním sběru dat z oficiálního obchodu Google Play. Nejpoužívanější verzí je podle výzkumníků z Juniperu Android 2.3.3 až 2.3.7. Systém s kódovým označením Gingerbread prý běží na 36,4 % všech zařízení s Androidem. Druhým nejpoužívanějším je Android 4.0.3 a 4.0.4 Ice Cream Sandwich s 25.5 procenty. K rostoucímu množství malwaru podle výzkumníků velmi přispívá především absence pravidelných aktualizací pro zařízení s Androidem. Poslední ochranné nástroje se tak k uživatelům dostanou se zpožděním nebo vůbec. Druhým nejčastějším typem hrozeb pro uživatele Androidu jsou podle Juniperu spywarové aplikace, prostřednictvím kterých útočníci získávají citlivá uživatelská data. Spyware tvoří 19 % všech škodlivých vzorků nashromážděných výzkumníky. Tato hrozba se podle výzkumníků stále častěji týká i firemních uživatelů a obecně se očekává, že „zapojení“ firem bude časem růst.
OS X Mavericks mít 200 + nové funkce
10. června 2013. OS
Apple dnes vydala vývojáře náhled OS X Mavericks, 10. hlavní verze nejvyspělejší operační systém.
S více než 200 novými funkcemi, OS X Mavericks přináší Mapy a iBook na Mac, představuje Finder tagy a posuzování, zvyšuje Podpora více displejů pro náročné uživatele, přináší nové klíčové technologie pro efektivitu průlomový výkon a výkonnost a zahrnuje všechny nové verzi Safari. Náhled verze OS X Mavericks je k dispozici pro Mac program developer členů začíná dnes. Mac uživatelé budou moci stáhnout Mavericks z obchodu Mac App Store letos na podzim. Mapy přináší pokročilé mapové technologie z iOS na Mac, včetně ostré vektorové grafiky, ohromující 3D zobrazení a interaktivní nadjezd. V aplikaci Mapy si můžete naplánovat cestu z vašeho počítače Mac, pak poslat na váš iPhone pro hlasovou navigaci na cestách. Mapy integrace celé Mavericks poskytuje uživatelům užitečné mapy zevnitř Mail, můžete kontakty a kalendář, a vývojáři integrovat stejné výkonné mapování funkce do svých aplikací pomocí Mapa Kit API. S iBooks máte okamžitý přístup k vaší stávající iBooks knihovně, stejně jako více než 1,8 milionu titulů v obchodě iBooks, z učebnic a klasiky na nejnovějších bestsellerů. iBooks také funguje bez problémů přes vaše zařízení, takže si můžete přečíst knihy na vašem počítači Mac, dělat si poznámky nebo zvýraznění, a pak zvednout přesně tam, kde jste skončili na iPad. OS X Mavericks přináší nové funkce pro zkušené uživatele a dokonalý zážitek Mac. Značky jsou nové výkonné způsob, jak uspořádat a najít soubory kdekoliv na vašem počítači Mac nebo iCloud. Můžete snadno označit libovolný soubor ve Finderu v iCloud, nebo při ukládání nového dokumentu. Tagy se zobrazí v postranním panelu Finderu, které vám umožní zobrazit soubory podle projektu nebo kategorie. Vyhledávač Záložky snížit nepořádek na ploše konsolidací více Finder okna do jednoho okna s několika záložkami. Můžete si přizpůsobit zobrazení pro každé kartě přesouvat soubory mezi kartami, a dokonce i spustit Finder s více otevřených záložek na celé obrazovce. Mavericks také umožňuje použití více displejů ještě jednodušší a silnější. Lišta menu a dock jsou k dispozici na žádném displeji, a uživatelé mohou nyní snadno spouštět okně, nebo v celoobrazovkové aplikace na kterékoliv zobrazení oni si vyberou, bez nutnosti konfigurace. S Mavericks můžete také použít vaše HDTV jako druhý displej pomocí Apple TV a rádiích. Nové klíčové technologie v OS X Mavericks zlepšit energetickou účinnost a odezvu vašeho počítače Mac. Časovač Koalescenční inteligentně sdružuje nízkoúrovňové operace tak, že CPU může trávit více času s nízkou spotřebou elektrické energie, úspory energie bez vlivu na výkon nebo rychlost reakce. Nap App snižuje energie spotřebované aplikací, které jste nepoužívají. Stlačený Memory technologie udržuje váš Mac rychlý a citlivý. Když váš systém paměť začíná naplnit, Stlačený paměti automaticky komprimuje neaktivní data. Jsou-li tyto položky znovu zapotřebí, Mavericks okamžitě dekomprimuje je. Nová verze Safari přináší Úžasný výkon, inovativní funkce a průlomových technologií. Safari překonává ostatní prohlížeče v oblasti energetické účinnosti, efektivity paměti a JavaScript výkon. Safari nový proces-per-tab architektura umožňuje prohlížeč citlivější, stabilní a bezpečný. Safari také zavádí inovace jako sdílené odkazy, které umožňují snadné objevit, číst a sdílet zajímavý nový obsah z Twitteru a LinkedIn, vše na jednom místě. Mezi další funkce v OS X Mavericks patří:
iCloud Keychain, který bezpečně uloží vaše webové stránky přihlašovací údaje, čísla kreditních karet a hesla Wi-Fi, a tlačí je do všech vašich zařízení, takže si nemusíte pamatovat. Informace jsou vždy chráněny šifrováním AES-256, když je uložen na vašem počítači Mac, a když to tlačí na vašem zařízení Aktualizovaný kalendář, který přidává integraci s Mapami, průběžné rolování, takže můžete pomocí zipu týdnů nebo měsíců, a nový inspektor zjednodušit vytváření a editaci událostí interaktivní Oznámení, která vám umožní odpovědět na zprávu, odpovědět na volání FaceTime nebo dokonce odstranit e-mail, aniž byste opustili aplikaci, kterou používáte. Webové stránky lze nyní používat oznámení, aby vás aktuální informace o novinkách, skóre a další informace. Když jsi byl pryč Upozornění ujistěte, že vidíte, co se stalo, zatímco váš Mac spal, a Xcode 5, se silnými, intuitivní nové nástroje pro vývojáře, které měří každý aspekt app výkonu a využívání energie, jakož as aplikací Testování.