- Bezpečnost -

H  Aktualizace  Analýzy  Android  Apple  APT  Bezpečnost  BigBrother  BotNet  Cloud  Exploit  Hacking  Hardware  ICS  Incidenty  IoT  IT  Kongresy  Kriminalita  Kryptografie  Kyber  Mobilní  OS  Ostatní  Phishing  Podvod  Ransomware  Rizika  Rootkit  Sociální sítě  Software  Spam  Těžařské viry  Útoky  Viry  Zabezpečení  Zranitelnosti

Úvod  Kategorie  Podkategorie 0  1  2  3  4  5 

Postřehy z bezpečnosti: modrý odposlech

5.11.2018 Root.cz Bezpečnost
Nová dvojice kritických zranitelností v Bluetooth Low Energy (BLE) čipech, pojmenovaná BleedingBit, umožňuje vzdálenému útočníkovi spustit libovolný kód a převzít nad zranitelným zařízením plnou kontrolu. Zranitelné čipy, které vyrábí firma Texas Instruments, používají firmy Cisco, Meraki a Aruba ve svých produktech určených pro nasazení ve firmách.
První ze zranitelností (CVE-2018–16986) se týká čipů CC2640 a CC2650. Dle dostupných informací se jedná o klasický buffer overflow útok, při kterém musí útočník nejdříve zasílat řadu neškodných BLE broadcastových zpráv, zvaných advertising packets, které se ukládají do paměti zranitelného BLE čipu a slouží k zasílání reklamních sdělení na krátkou vzdálenost. Následně útočník pošle další advertising packet, který však bude mít nastaven specifický bit na ON místo OFF. Tato drobná změna způsobí, že si čip alokuje mnohem více místa v paměti, než je reálně potřeba, což vede k přepsání paměti a útočník může tuto paměť využít ke spuštění škodlivého kódu.

Druhá zranitelnost (CVE-2018–7080) se týká čipů CC2642R2, CC2640R2, CC2640, CC2650, CC2540 a CC2541. Chyba pochází z funkcionality pro update firmwaru BLE čipů zvané Over the Air firmware Download (OAD). Protože všechny AP Aruba sdílejí stejné OAD heslo, získatelné odposlechem legitimního updatu, nebo reverzním inženýrstvím, útočník může přístupovým bodům zaslat vlastní upravený update operačního systému. Již byly vydány záplaty, dobrá zpráva také je, že ve výchozím nastavení Cisco i Aruba zařízení je bluetooth vypnutý.

Nejhorší scénář každopádně vypadá tak, že cizí člověk přijde k vaší firemní kanceláři, oskenuje si Wi-Fi síť, zjistí, zda náhodou některé vaše zařízení neběží na BLE technologii a začne se pohodlně ze židle na chodbě zmocňovat firemních dat. Dosah BLE jsou desítky metrů, nemusí to být ani židle ve vašem patře.

Chyby identifikovala izraelská bezpečnostní společnost Armis, která se už loni proslavila nálezem devíti jiných zranitelností technologie Bluetooth.

Spekulujete s kryptoměnami? Pozor na e-mail!
Policie v Austrálii zatkla třiadvacetiletou ženu v australském Melbourne v souvislosti s krádežemi obrovského množství virtuální měny.

Vše začalo v lednu 2018, kdy šestapadesátiletý muž zjistil, že jeho e-mailový účet byl zablokován, jeho heslo bylo změněno a aktualizovalo se nastavení zabezpečení jeho účtu, aby jako prostředek sekundární autentizace musel použít záhadný mobil.

Po dvou dnech zajistil muž kontrolu nad svým e-mailovým účtem, ovšem zmizelo z něho sto tisíc kusů Ripple směnky (známé také jako XRP) – tedy přibližně tři sta dvacet tisíc dolarů.

Během dalšího vyšetřování se zjistilo, že virtuální měna byla zaslaná na čínskou burzu a přeměněna na Bitcoin. Vyšetřování vedlo k třiadvacetileté ženě z Eppingu v Melbourne. Během domovní prohlídky u ní policie zabavila počítače, pevné disky a mobilní telefony. Žena se podle vyšetřovatelů nabourala do e-mailového účtu a použila informace v něm obsažené, aby se nakonec dostala do digitální peněženky oběti.

Detektiv policie Nového Jižního Walesu Arthur Katsogiannis varoval, že uživatelé e-mailů si musí dávat pozor nejen na to, jak chrání svou schránku, ale musí dávat pozor i na citlivé informace ve složkách „Odeslané“ nebo „Koš“.

Autor článku Graham Cluley považuje e-mailovou adresu za křižovatku celé internetové identity. Právě u každé služby, ke které se dostanete, je nějaký typ odkazu na vaši e-mailovou adresu a uvnitř vaší schránky budou citlivé informace, které mohou být zlatým dolem pro on-line zloděje. Navíc se většinou jedná o vaši e-mailovou adresu, kterou budou kontaktovat služby, pokud vy (nebo zločinec) požádáte o obnovu hesla na on-line účet.

Většina hlavních on-line služeb, včetně e-mailových účtů, poskytuje další úrovně zabezpečení, které mohou komplikovat získání přístupu do vašeho emailu – například dvoufaktorové ověřování (2FA).

Autor rovněž zdůrazňuje nutnost silného, těžce dostupného hesla, které není opakovaně používané na různých webových stránkách. K bezpečnému ukládání hesel pak doporučuje správce hesel.

Stinná stránka umělé inteligence, inteligentní stroje pomáhají kyberzločincům

22.2.2018 Novinky/Bezpečnost Bezpečnost
Mezinárodní experti bijí na poplach před možností zneužití umělé inteligence ze strany „kriminálníků, teroristů či zločineckých států”. Stostránkovou zprávu napsalo 26 odborníků na umělou inteligenci, kyberzločiny a robotiku včetně expertů z univerzit (Cambridge, Oxford, Yale, Stanford) a z neziskového sektoru (společnosti jako OpenAI, Středisko pro novou americkou bezpečnost či Electronic Frontier Foundation).

Ve zprávě píší, že v příštích deseti letech by mohla zvyšující se efektivnost umělé inteligence posílit počítačovou kriminalitu a teroristé by mohli více využívat drony či roboty. Odborníci také zmiňují možnost snadnější manipulace voleb na sociálních sítích prostřednictvím takzvaných internetových botů, což jsou počítačové programy, které pro svého majitele opakovaně vykonávají nějaké rutinní činnosti.

Tito odborníci vyzývají vlády a další vlivové skupiny k omezení těchto možných hrozeb. "Domníváme se, že útoky, které by snadnější přístup k umělé inteligenci mohl umožnit, budou obzvlášť účinné, přesně cílené a těžko odhalitelné," píše se ve zprávě.

Vyprovokované dopravní nehody
Odborníci zmiňují i některé "hypotetické možnosti" zneužití umělé inteligence. Teroristé by například mohli uzpůsobit systémy umělé inteligence používané třeba v dronech či samořiditelných dopravních prostředcích pro vyprovokování srážek a výbuchů.

Odborníci připomínají i možnost zneužití například úklidového robota v nějakém úřadu, který by se mohl dostal mezi jiné roboty, kteří připravují třeba jídlo. Takovýto robotí vetřelec by pak mohl pomocí výbušniny zaútočit na nějakého úředníka poté, co by jej identifikoval.

Podle jednoho z autorů zprávy a ředitele střediska z Cambridgeské univerzity Seána Ó hÉigeartaigha by se mohla "s větším zneužitím umělé inteligence zvýšit zejména počítačová kriminalita".

Větší záběr by mohly představovat i útoky pomocí tzv. spear phishingu, což je podvodná technika používaná na internetu k získávání citlivých údajů (útočník zasílá e-mail konkrétní osobě; pro tradiční phishing je typické rozeslání obrovského množství mailů).

Velké nebezpečí vidí Seán Ó hÉigeartaigh "v možném zneužití umělé inteligence v politice". "Již jsme zažili, jak se jednotlivci či skupiny snažili zasahovat pomocí internetu do demokratických voleb," připomíná a dodává: "Jestliže umělá inteligence umožní, aby byly tyto útoky silné, jednoduché na zopakování a složité na odhalení, mohlo by to znamenat velký problém pro politickou stabilitu."

Umělá inteligence by mohla sloužit třeba i k výrobě falešných a velmi realistických videí, která by pak mohla být použita k diskreditaci politických činitelů. Do rozvoje umělé inteligence by se mohly zapojit i některé autoritářské státy, které by pak mohly s její pomocí snadněji sledovat své občany.

Před zneužitím varoval i Hawking
Není to poprvé, co se upozorňuje na možné zneužití umělé inteligence. V roce 2014 před tím varoval známý astrofyzik Stephen Hawking, k němuž se v poslední době přidal třeba podnikatel Elon Musk a další. Zveřejněny byly také zprávy například o možném užívání zabijáckých dronů.

Tato nová zpráva přináší "nový pohled na část umělé inteligence, která by mohla přinést nové hrozby nebo změnit existující hrozby v oblastech počítačové, politické i lidské bezpečnosti".

Umělá inteligence, která se objevila v 50. letech 20. století, je obor informatiky zabývající se tvorbou strojů vykazujících známky inteligentního chování. V posledních letech bylo dosaženo pokroku v oblastech kupříkladu vnímání, hlasového rozeznávání či obrazové analýzy.

"V současnosti ještě existuje rozdíl mezi rychlostí výzkumu a možnými aplikacemi novinek. Ještě je čas jednat," říká vědec z Oxfordské univerzity Miles Brundage. Právě na jeho pracovišti začala tato zpráva vznikat.

"Na zmírnění těchto hrozeb by měli spolupracovat vědci na umělou inteligenci, vývojáři robotů a dronů i regulační orgány a politici," říká Seán Ó hÉigeartaigh.

Stovky českých webů těžily virtuální mince

20.2.2018 Novinky/Bezpečnost Bezpečnost
Hned několik stovek českých internetových serverů zatěžovalo nadměrně výkon počítačů a chytrých telefonů svých návštěvníků, ukrývaly se na nich totiž speciální skripty pro těžbu kybernetických mincí, jako jsou například bitcoiny. Upozornil na to serveru Lupa.cz.

Kybernetické měny jsou fenoménem dnešní doby. V loňském roce nalákaly celou řadu uživatelů o stovky procent rostoucí kurzy prakticky všech kybernetických měn. Popularita nicméně rostla také díky tomu, že lidé mohou těžit virtuální mince sami, za jejich pořízení tedy nemusí platit ani korunu.

Pokud mají dostatečně výkonný počítač – případně chytrý telefon –, mohou si nainstalovat speciální software a s jeho pomocí kryptoměny doslova těžit – tento program totiž používá předem nastavené výpočty, jejich výsledkem je zisk virtuálních mincí. Za ty je pak možné nakupovat prakticky cokoliv.

Virus se nestahuje, web stačí jen navštívit
Stejným způsobem mohou těžit také hackeři, kteří internetem masivně šíří nejrůznější těžařské viry. Speciálními skripty, které pracují na stejných principech jako samotné viry, jsou dokonce hojně šířeny také prostřednictvím nejrůznějších webových stránek.

Do počítačů nebo jiných zařízení se tedy žádné škodlivé kódy nestahují. Návštěvníci dotčených webů pomáhají počítačovým pirátům vydělat peníze už jen tím, že web navštíví, neboť výkon jejich počítačů či jiných zařízení byl využíván k těžbě kybernetických mincí.

Objevily se na 950 tuzemských webech, jak vyčíslil bezpečnostní tým CSIRT.CZ.

Kolik lidí infikované stránky navštívilo, zatím není jasné. CSIRT.CZ nicméně kontaktoval provozovatele všech dotčených stránek, aby zjednali nápravu.

Nejrozšířenější těžařské viry
Z prvních třech míst v žebříčku nejrozšířenějších počítačových hrozeb obsadily hned dvě příčky právě těžařské viry. Konkrétně šlo o nezvané návštěvníky CoinHive a Cryptoloot. 

CoinHive byl navržen pro těžbu kryptoměny monero bez souhlasu uživatele. Tento škodlivý kód implantuje JavaScript, který využívá procesor koncových uživatelů a negativně ovlivňuje výkon stroje těžbou kryptoměn. Kyberzločinci mohou využít pro těžbu kryptoměn až 65 % celkových zdrojů CPU koncového uživatele, aniž by o tom věděl.

Malware Cryptoloot funguje velmi podobně. Využívá výkon procesoru nebo grafické karty pro těžbu různých virtuálních mincí, které mohou následně počítačoví piráti směnit za skutečné peníze.

„Uživatelé stále častěji nedůvěřují vyskakujícím oknům a bannerové reklamě a využívají software pro blokování reklam, takže webové stránky více a více využívají jako alternativní zdroj příjmů těžbu kryptoměn. Ale často bez svolení a upozornění uživatelů, jejichž stroje jsou pro těžbu využívané,“ prohlásil Peter Kovalčík, SE Manager ve společnosti Check Point.

„Navíc kyberpodvodníci se ve snaze maximalizovat zisk snaží využít nástroje pro těžbu kryptoměn a získat ještě více z výpočetního výkonu uživatelů ve svůj prospěch. Je pravděpodobné, že v příštích měsících bude tento trend ještě výraznější,“ dodal.

Neutopte se v bezpečnostních datech

29.1.2018 SecurityWorld Bezpečnost
Mnoho firem si myslí, že vědí, co jsou klíče k jejich království a kde se nacházejí příslušné brány. Bohužel často zjišťují, že nejzávažnější narušení jejich výsostného území se často stane úplně někde jinde. Threat intelligence jim umožní mít bezpečnostní rizika i bezpečnostní programy pod kontrolou.

Organizace mohou například sledovat aktivity v bankomatech a uniknou jim jemné varovné signály procházející přes jejich centrální počítač, říká Sharon Vardi, marketingový šéf v Securonix. „Aniž si to uvědomují, nechávají firmy své korunovační klenoty napospas.“

Chceme-li vědět, co je nutné hlídat, je potřeba sbírat data k analýze a nechat někoho takovou analýzu vykonávat. Firmy však neuspějí, pokud neshromažďují a neanalyzují úplný datový proud – úspěch vyžaduje více než jen snímek z omezeného časového intervalu. Data se musejí shromažďovat předtím, během a poté, co dojde k záškodnické aktivitě.

„Podniky také musejí zahrnout data z celé sítě, z každého jednotlivého koncového bodu a potenciálně dokonce z externích a veřejných zdrojů umístěných vně sítě,“ vysvětluje Alan Hall, ředitel strategie ve firmě Blue Coat Systems. „V opačném případě budou reakce přinejlepším limitované.“

Nutný kontext

Schopnost reakce na incidenty je místo, kde mohou vznikat problémy. To vyžaduje získat kontext – informace nad rámec toho, co se nachází v nezpracované podobě. Kontext lze použít k identifikaci pokročilého či jinak skrytého útoku nebo kompromitace a poskytuje prostředky ke zjištění nejvhodnějšího způsobu reakce.

„K řádné správě bezpečnostních incidentů potřebují firmy nejen sběr dat, ale také jejich analýzu v reálném čase a ukládání těchto dat, aby je bylo možné použít později k nalezení souvislostí s novými daty proudícími v reálném čase,“ vysvětluje Travis Smith, výzkumník ve společnosti Tripwire. „Problémem je, že ukládání dat stojí peníze a správa a využití těchto dat mohou být také skutečným problémem.“

Realitou je, že bezpečnostní týmy, jež chtějí analyzovat protokoly, jsou vydané na milost vývojářům, kteří rozhodují o tom, co protokolovat a z jakých systémů. Tyto podrobnosti se často vestavějí do systémů (nebo přesněji řečeno se opomíjejí) už při jejich vývoji.

Bezpečnostní protokoly jsou však i tak jen špičkou ledovce. Skutečná podstata spočívá v zachytávání paketů v rámci celé sítě. Překonání této bariéry tvořené jen protokoly a přechod na zachytávání síťového provozu sice přinášejí firmám velké množství bezpečnostních dat, ale také další problém: „Data zabezpečení nejsou totéž co big data,“ vysvětluje Smith. „Jsou to morbidně obézní data.“

Normální osvědčené postupy pro ukládání dat počítají se 30 dny provozu, ačkoli některé oborové zásady vyžadují více a některá vládní nařízení dokonce ještě více. „Je to téměř nedbalost, když bezpečnostní tým funguje jen v režimu pohotovosti a nedokáže analyzovat kontext,“ dodává Hall.

Někdy je to více než jen otázka jak moc – mohla by to být také otázka jak: zákazníci se snaží od svých programů pro správu zabezpečení dostat to, co chtějí. „Bezpečnostní týmy buď nedostávají žádné výstrahy či příliš málo výstrah ... Nebo trpí vážnou přemírou výstrah a následným vyčerpáním,“ říká John Humphreys, viceprezident společnosti Proficio.

„Rozhodně zachytávejte svá data protokolů, ale směřujte svou pozornost nad rámec protokolů a využívejte také informace z interní sítě. Měli byste také provázat relace dohromady, zachytávat řetězce paketů a nakonec využívat plné zachytávání paketů,“ doporučuje Smith z Tripwiru.

Podle Vardiho by podniky měly uvážit také využití externích zdrojů dat, které se tradičně nepovažují za bezpečnostní údaje. To zahrnuje například aktivity na Facebooku, vyhledávače zaměstnání a další dostupné datové zdroje.

„Za těchto okolností je férové využívat data společnosti za pomoci zpravodajských kanálů z otevřených zdrojů,“ dodává Vardi. Tyto zdroje dat nemusejí vypadat jako bezpečnostní data, ale mohou dramaticky změnit kontext bezpečnostních dat a poskytnout firmám nový způsob, jak se dívat na svůj rizikový profil.

Samozřejmě je pro užitečnost threat intelligence nutné, aby byly zpravodajské kanály věrohodné a založené na spolehlivých zdrojích, jež zahrnují i ty vlastní interní. Existuje velké množství aplikací, které generují spoustu zdánlivě neškodných interních přenosů, z nichž většina je navržena pro sdílení dat, aby mohly firemní týmy dělat svou práci. Přesto není možné zahrnutí těchto zdrojů dat a kvalitu těchto dat opomíjet.

Výhradně interní síťové přenosy se totiž často ignorují nebo nedochází k jejich detekci, pokud se sledují jen systémové protokoly pro vniknutí a úniky dat. To je obvykle způsobené tím, že takové přenosy probíhají horizontálně uvnitř sítě a nikdy neprocházejí přes systémy, které nativně monitorují vniknutí, a ani při své cestě neputují přes hraniční firewall.

„Vniknutí a úniky nastávají jen tehdy, když přenosy zařízení vstupují do podnikové sítě nebo ji opouštějí,“ vysvětluje Carmine Clementelli, manažer divize PFU Systems ve společnosti Fujitsu. „Podobně také řídicí komunikace probíhá mimo síť pomocí externích dočasných webových stránek. Ve většině případů platí, že pokud najdete problém na této vrstvě, je už příliš pozdě.“

Jaký kontext hledat?

Když přijde otázka na určení kontextu, který se použije pro vyhledání hrozeb, jimž společnost čelí, a probíhajících útoků, je nutné vybrat jednu z následujících tří možností:

Nechat systém automaticky definovat kontext a doufat, že jeho dodavatelé definovali konfigurace a pravidla, tak „aby to fungovalo dobře“.
Použít svůj vlastní naučený kontext, který jste během času získali, a doufat, že své prostředí znáte dostatečně nebo alespoň tak dobře jako útočníci.
Definovat kontext za běhu způsobem ad hoc a pokoušet se k tomu použít data o hrozbách a podpůrné informace a pak se doslova modlit, abyste měli stále náskok a nestali se obětí únavy z nadmíry varování.

Anebo lze využít výhody bezpečnostní komunity a využívat oborové sady a oborové profily definované ostatními pro výběr a následné úpravy kontextu. „Bezpečnostní týmy potřebují pozorovat svůj IT život v realitě pomocí zkušeností jiných firem,“ tvrdí Humphreys a dodává, že právě to je dobrý způsob, jak pochopit skutečný kontext.

Co se týká lidí zevnitř, kteří by mohli krást data a posílat je konkurenci, spočívá kontext ve sledování toho, zda nějací zaměstnanci či smluvní dodavatelé nepřistupují k datům mimo obvyklý rámec, například častěji. Můžete také zachytit provoz, který ukazuje, že zaměstnanci sdílejí citlivé údaje mimo organizaci, například pomocí osobního e-mailového účtu nebo vyměnitelného USB disku.

Zaměstnance, který nedávno dostal nějaké špatné hodnocení, lze označit za ještě větší riziko. A pokud se například dodavatel (třetí strana) snaží několikrát přihlásit a přistupovat k systémům firmy mimo obvyklý rámec, může to být příznak, že se buď chová zle on sám, nebo že se stal obětí phishingového útoku.

Ale nejsou to jen lidé a systémy, co poskytují kontext. „Entitou může být také dokument,“ vysvětluje Vardi. „Chování dokumentu je stejně tak důležité sledovat. Kde se nachází? Kdo k němu přistupuje? Z jaké IP adresy se k němu přistupuje? Kam se přenáší?“

Každý z těchto aspektů – při sledování společně s dalšími událostmi a varováními – může přinést dodatečný kontext k jinak nezjištěné škodlivé aktivitě. Pokud se například zaměstnanec, partner nebo zákazník obvykle přihlašují z počítače se systémem Windows a používají Firefox a najednou dochází ke stahování dokumentů z počítače Mac pomocí prohlížeče Safari, potom by to mohl být příznak probíhajícího problému.

Bankomatový podvod je dalším příkladem z reálného světa, který v současné době významně roste. Představte si klienty banky, kteří jsou jejími zákazníky 20 let a většinu této doby s bankou komunikují určitým způsobem. Můžete hledat anomálie v jejich aktivitách: výše jejich výběrů, místa výběrů, použitou kartu. Dokonce i počet použití karty během dne na různých místech.

A stejný princip můžete použít pro monitorování přístupu k podnikovým zdrojům a dalších aktivit uživatelů a systémů v síti. Zde je několik příkladů:

Koncový bod přidělený jednomu uživateli se přihlašuje do sítě několikrát pomocí více uživatelských identit. Pokud toto vidíte, existuje reálná možnost, že došlo ke kompromitaci systému.

Nešifrované přenosy typu sever-jih se souvislostí s interními přenosy východ-západ – mějte se na pozoru před síťovými aktivitami, které přijdou zvenčí a pohybují se laterálně. Takto související přenosy mohou být příznakem neautorizovaného uživatele či zařízení v síti.

Využívání metod detekce založených na chování – sledování odchozích přenosů a přenosů peer-to-peer pro zjišťování, kam přenosy směřují a jak často danou cestou putují. Zaměření na vstup by ale nemělo být jediným přístupem – musíte totiž také předpokládat, že malware je už uvnitř, a sledovat proto i výstupy.

Využijte výhodu detekce řízení a identifikace existujících útoků, které pravděpodobně odesílají data. Uvědomte si přitom, že odesílání dat často neprobíhá jako jeden přenos a může proběhnout jako řada malých akcí za dlouhou dobu. Ve středu, který představuje dlouhé období aktivity, dochází k bočním pohybům. Identifikace je v tomto případě možná na základě chování, nikoliv pouhou analýzou paketů. Uvažte, že web schválený oddělením IT nebo oddělením zabezpečení, který je však unesený a využívaný útočníkem jako úložná služba, nebudou vaše systémy pro reputaci a filtrování vůbec detekovat.

Při analýze používaných funkcí aplikací jděte nad rámec monitorování aplikací na nejvyšší úrovni. Facebook jako celek se může v případě některých zaměstnanců ještě akceptovat, ale jak a kdy se využívají řešení jako chat Facebooku nebo sledování a odesílání videa v rámci této sociální sítě? Jaká a kolik dat se přenáší při využití uvedených funkcí?

Těžba kryptoměn už potají zneužívá miliardu uživatelů. Patříte mezi ně?
1.1.2017 cdr.cz Bezpečnost
Pomáháte někomu vydělávat pomocí svého počítače bez vašeho vědomí? Pravděpodobně ano. Přehrávání videí se stalo novým terčem na poli vytěžování kryptoměn z neinformovaných návštěvníků. Zneužitých je již okolo jedné miliardy za měsíc.

Celkem alarmující množství videostreamů provozuje tajně na pozadí těžbu kryptoměn s využitím výkonu počítačů jejich návštěvníků.

V nedávné době výzkumníci ze společnosti AdGuard uveřejnili informaci, že některé stránky se snaží využít toho, že jsou vysoce frekventované právě těžbou kryptoměny. Počet zneužitých nic netušících návštěvníků je již kolem jedné miliardy. Skript je přitom umísťován tam, kde uživatelé stráví velké množství času, tedy ideální situace v kombinaci s delšími videi (např. nelegálními streamy filmú).

Bylo dokonce zjištěno, že tři ze čtyřech stránek mají kód vložený na identickém místě. Stále je největším trnem v oku situace, že nikdo neoznámí uživatelům nic o těžbě či využití výkonu jejich zařízení.

Nejznámnější ochranou jsou tzv. Ad-blokátory. Ty částečně dokáží zabránit těžbě kryptoměny, nejsou však neprůstřelné. Mnozí uživatelé dále zůstávají v ohrožení, a to díky oblíbenéCoinHive metodě. Jsou i takové názory, že se dá CoinHive využít jako jakási alternativa k reklamám. Pravdou však zůstává, že bez souhlasu majitele by neměla být využívána.

Ale jak výzkumníci AdGuard sami konstatovali: „Pochybujeme, že všichni majitelé těchto stránek jsou si vědomi, že do těchto přehrávačů je zabudována i skrytá těžba kryptoměny.“

Obliba v této činnosti, kryptojackingu, narůstá s alarmující rychlostí. Podle AdGuard se jedná o epidemii. Od doby, kdy se tento problém poprvé objevil, uplynulo pár měsíců a nyní se již jedná o miliardy poškozených měsíčně. Není však zcela jasné, jak se s tímto problémem vypořádat.

SimilarWeb statistics odhaduje, že tyto stránky navštíví každý měsíc zhruba 992 milionů návštěvníků. Díky těmto něvštěvníkům je vytěžena kryptoměna v celkové hodnotě zhruba 320 000 dolarů měsíčně.

Nedávno jsme informovali o tom, že pirátská zátoka, The Pirate Bay, je podezřelá z těžby kryptoměny. Posléze se tak potvrdilo a zástupce The Pirate Bay přiznal, že se jednalo jen o pokus, zda je tento web schopný na své náklady vydělat skrze těžbu kryptoměn. Touto těžbou si zhruba vydělají přes 12 000 dolarů měsíčně.

Výdaje na IT bezpečnost porostou

10.12.2017 SecurityWorld Bezpečnost
Mezi respondenty nejnovějšího globálního průzkumu informační bezpečnosti (EY Global Information Security Survey; GISS) vyvolává hrozba kybernetických útoků značné obavy. EY se na nejpalčivější rizika a související protiopatření dotazovala více než dvanácti set odpovědných pracovníků a manažerů předních světových organizací.

Většina oslovených organizací tvrdí, že plánují výdaje na informační a kybernetickou bezpečnost zvýšit. Až 9 z 10 dotázaných očekává růst příslušných rozpočtů ještě v tomto roce. Téměř všichni zúčastnění (87 %) počítají se zvýšením výdajů až o polovinu, což by jim mělo umožnit reagovat na vývoj relevantních hrozeb.

Tři čtvrtiny dotázaných však zároveň pokládají za nejpravděpodobnější impuls k posílení těchto nákladů výskyt incidentu, který napáchá zjevné škody. Naproti tomu 64 % je přesvědčeno, že kvůli narušení kybernetické bezpečnosti bez prokazatelných dopadů by se příslušný rozpočet neměnil, přestože ve skutečnosti nebývají důsledky kybernetického napadení často bezprostředně očividné.

„Studie ukázala, že společnosti jsou stále ještě v reaktivním módu a nepřistupují ke kybernetickým hrozbám aktivně a strategicky,“ říká Petr Plecháček, ředitel oddělení IT poradenství EY v České republice. „S navýšením rozpočtu čekají na kybernetickou událost, která ohrozí celou společnost. Ani dramatický dopad útoků prostřednictvím tzv. ransomware v minulém roce není pro řadu společností motivací pro větší investice či revizi plánů obnovy,“ dodává.

Společnosti si přitom uvědomují, že nedostatek odpovídajících prostředků je vystavuje vyšší míře rizik a v 56 % případů proto hodlají svou strategii kybernetické bezpečnosti revidovat, resp. alokaci prostředků ověřit. Celá pětina však zároveň připouští, že pro podrobné vyhodnocení veškerých dopadů nemá k dispozici dostatek potřebných údajů.

„Dnes je potřeba lépe a rychleji chápat, co se děje a snažit se útoky předvídat. Patrně jedinou správnou cestou jsou investice do bezpečnostních nástrojů pro zrychlení a zkvalitnění datové analytiky a do konvergence bezpečnostních technologií,“ komentuje Plecháček.

Organizace se obávají především malware a nedbalého přístupu zaměstnanců

Malware (64 % oproti 52 % v roce 2016) a phishing (64 %, resp. 51 %) vycházejí z průzkumu jako hrozby, v jejichž důsledku expozice organizací vůči rizikům v uplynulých dvanácti měsících vzrostla nejvíce. Mezi nejpravděpodobnější příčiny, resp. původce kybernetických útoků se pak dle oslovených společností řadí nedbalý přístup pracovníků (77 %), organizovaní kyberzločinci (56 %) a záměrné jednání vlastních zaměstnanců (47 %).
„Zaměstnanci jsou svazováni bezpečnostními pravidly a mohou tím získat pocit falešného bezpečí,“ analyzuje výsledky studie Petr Plecháček, ředitel oddělení IT poradenství EY v České republice. „Kybernetické události jsou dnes častěji zmiňovány v mediích a je možné dojít k závěru, že se jedná o skutečnost, které nelze zabránit. Adaptace jedince, potažmo celé organizace na nové a měnící se vektory a formy útoků je však nikdy nekončící proces,“ dodává.

Vrcholovému managementu pravidelně reportuje zhruba polovina firem. Osoba odpovědná za kybernetickou bezpečnost je členem vedení ani ne ve čtvrtině případů a pouze 17 % řídících pracovníků má dostatečné odborné znalosti k tomu, aby účinnost preventivních bezpečnostních opatření dokázali náležitě posoudit.

Ve spojitosti s potlačováním pokročilých kybernetických útoků – tedy takových, které lze připisovat sofistikovaným útočníkům nebo organizovaným skupinám – si je mnoho organizací vědomo možných limitů vlastních bezpečnostních opatření. Tři čtvrtiny respondentů hodnotí účinnost metod, jejichž prostřednictvím by měl podnik případné slabiny odhalit, jako „velmi nízkou až střední“. Varovným signálem jsou i některé další výsledky: 12 % společností údajně nedisponuje žádným formalizovaným programem detekce bezpečnostních incidentů, 35 % aplikuje nedůsledné nebo vůbec žádné zásady ochrany dat, a 38 % nevyužívá řádné, resp. pouze případné procesy pro správu identity či řízení přístupu uživatelů.

Schopnost čelit kybernetickým útokům mají zajišťovat tzv. centra bezpečnostního provozu (SOC). Ty by zároveň měly fungovat jako centralizovaná, strukturovaná a koordinační střediska veškerých aktivit organizace v oblasti kybernetické bezpečnosti. Zhruba polovina respondentů nicméně přiznává, že žádné takové služby nevyužívají, ať už interně nebo formou outsourcingu. Celkem 57 % nevyužívá takřka žádné analytické nástroje pro odhalování relevantních hrozeb. Pouze desetina dotázaných se domnívá, že by dokázali odhalit důmyslný kybernetický útok na jejich organizaci.

Všudypřítomné volání po konektivitě a rozmach internetu věcí (IoT) poskytují stále sofistikovanějším pachatelům kybernetických útoků nové možnosti, jak tyto moderní technologie zneužít. Ve výrobní sféře je však využití propojení strojů a technologií za využití IoT stále ještě nedoceněno. Polovina respondentů uvádí, že hlavní brzdou pro širší využití IoT je nedostatek kvalifikovaných lidí a financí.

„Jako zásadní brzdu rozvoje IoT řešení ve výrobních firmách považujeme obavu z možného napadení technologií či zneužití dat uložených na cloudu. Firmy tak často volí přístup‚ lepší nedělat nic‘, než aby čelili hypotetické hrozbě,“ říká Jan Burian, senior manažer oddělení podnikového poradenství společnosti EY. „Přitom právě využití cloudových IoT platforem umožňuje efektivní sběr, analýzu a vizualizace komplexních dat v reálném čase napříč technologiemi či jinými datovými vstupy,“ dodává.

Podle respondentů GISS je největší výzvou v oblasti bezpečnosti IoT mít přehled o všech použitých aplikacích a zařízeních, a zajistit jejich pravidelnou aktualizaci.

„IoT hraje významnou roli v rámci vytváření nových obchodních modelů, zejména u firem vyrábějící technologie, které lze na dálku monitorovat, aktualizovat jejich software či dodávat nové služby v celém průběhu životního cyklu. Tento záměr však vede k uzavírání systémů jednotlivých výrobců technologií vůči jiným IoT platformám, což v důsledku zvyšuje nároky na orientaci mezi jednotlivými platformami a významně ztěžuje orientaci potenciálním zákazníkům či uživatelům,“ uzavírá Burian.

Česko patří mezi nejbezpečnější země. Na Slovensku se počítačové viry šíří více

7.12.2017 Novinky/Bezpečnost Bezpečnost
Česko je z pohledu kybernetických hrozeb jednou z nejbezpečnějších zemí na světě. Podstatně horší je situace například v sousedním Slovensku, které podle počtu počítačových útoků naopak patří spíše mezi nebezpečné země. Vyplývá to z analýzy antivirové společnosti Check Point.
„Česká republika patřila i v říjnu mezi nejbezpečnější země, když se v Indexu hrozeb podruhé za sebou umístila na 119. příčce,“ uvedl Peter Kovalčík, SE Manager ve společnosti Check Point.

Podle něj se naopak Slovensko posunulo o kousek mezi nebezpečnější země a z 90. místa poskočilo na 75. pozici. U našich východních sousedů je tedy riziko nákazy nějakým škodlivým kódem citelně vyšší než u nás.

Zcela nejhorší je ale situace v Dominikánské republice, které patří ve sledovaném období naprosté prvenství. Mezi pět nejnebezpečnějších míst s ohledem na počet kybernetických útoků patří také Indie, Čína, USA a Hongkong.

„Největší skok mezi nebezpečné země zaznamenali Nová Kaledonie, Tanzanie a Kuvajt. Naopak Uruguay se posunula z 53. příčky na bezpečnější 118. pozici,“ doplnil Kovalčík.

Viry těží kybernetické mince
Při šíření virů jde přitom počítačovým pirátům stále častěji o zisk. Do cizích počítačů se snaží podstrčit podvodné aplikace, s jejichž pomocí budou moci těžit kybernetické mince, které pak smění za skutečné peníze.

„V říjnu se škodlivý kód CoinHive vyhoupl na 6. místo mezi nejpoužívanějším malwarem, což potvrzuje trend, na který upozornil nedávný výzkum společnosti Check Point, podle kterého mohou útočníci využít pro těžbu kryptoměn až 65 % celkových zdrojů CPU koncového uživatele, aniž by o tom věděl,“ uvedl bezpečnostní expert.

Zmiňovaný CoinHive je navržen pro těžbu kryptoměny Monero a implantuje JavaScript, který využívá procesor koncových uživatelů a negativně ovlivňuje výkon stroje těžbou kryptoměn.

„Vzestup škodlivého kódu CoinHive znovu ukazuje na nutnost pokročilých preventivních bezpečnostních technologií při ochraně sítí před kyberzločinci. Těžba kryptoměn je nová, tichá a sílící hrozba, která je pro útočníky velmi výnosná a způsobuje významný pokles výkonu koncových zařízení a sítí,“ uzavřel Kovalčík.

Kyberbezpečnost je nutné brát jako strategickou záležitost, nikoli jako investici do IT

4.12.2017 SecurityWorld Bezpečnost
Podniky se vydávají na cestu digitální transformace, která by jim měla pomoci nalézat nové obchodní příležitosti, zefektivňovat provoz a lépe uspokojovat potřeby jejich zákazníků. Digitální transformace vede podniky k zavádění cloudu, internetu věcí, velkých dat a dalších a dalších digitálních technologií a nutí je měnit zavedené postupy a automatizovat vše, od rozhodování po zákaznickou podporu.

Nové příležitosti s sebou ale nesou i nové hrozby pro kybernetickou bezpečnost. A hrozby jsou to reálné. Podle předpovědi analytické společnosti Gartner se očekává, že téměř 60 % digitálních podniků utrpí závažný výpadek kvůli neschopnosti svého bezpečnostního týmu zvládat digitální rizika. Problém částečně pramení z toho, že vyšší management a představenstvo podniků nepovažují bezpečnost z obchodního hlediska za naléhavý problém.

Na problém upozornil mimo jiné globální průzkum společnosti Fortinet (článek o průzkumu zde) zaměřený na kybernetickou bezpečnost v podnicích, jehož se zúčastnilo přes 1800 pracovníků IT s rozhodovací pravomocí. Zjistili jsme, že podle téměř poloviny respondentů není pro představenstvo podniku bezpečnost mezi hlavními prioritami.

Bylo by možné očekávat, že v důsledku kybernetických útoků z poslední doby – a jejich závažných dopadů na postižené podniky – mezi nejvyššími manažery výrazně vzroste zájem o problematiku bezpečnosti. Ti sice na bezpečnostní incidenty reagují, avšak zabývají se spíše řešením následků než prevencí.

Proti hrozbě průniku do systémů, vyděračského softwaru nebo narušení provozu není imunní nikdo. Cílem se stávají podniky všech oborů, typů a velikostí. Průzkum společnosti Fortinet to potvrzuje. 85 % dotázaných podniků se v uplynulých dvou letech stalo obětí narušení bezpečnosti, přičemž téměř polovina zaznamenala napadení škodlivým nebo vyděračským softwarem.

Proč se kybernetická bezpečnost stává prioritou vedení firem

Nejvyšší vedení podniků a manažery IT povede k zaměření na kybernetickou bezpečnost v roce 2018 řada faktorů. Uveďme si několik nejdůležitějších.

1. Narušení bezpečnosti a globální útoky. Naprostá většina podniků v uplynulých dvou letech zaznamenala nějaký druh narušení bezpečnosti nebo útoku. Po globálním útoku, jako byl např. WannaCry, začaly podniky věnovat bezpečnosti zvýšenou pozornost. Větší publicita a pozornost spolu s potenciálními dopady na pověst a provoz firmy posouvají kyberbezpečnost z problému, který by mělo řešit podnikové IT, mezi záležitosti, jimiž se musí zabývat nejvyšší vedení.

2. Prostor pro potenciální útoky. Širší využití cloudu, zavádění internetu věcí a rozvoj velkých dat vytváří nové příležitosti k útoku a zároveň komplikují obranu. S narůstajícími požadavky na objemy dat a jejich zpracování stoupá pro podniky priorita cloudové bezpečnosti. Neméně důležitým faktorem, který rozšiřuje možnosti pro útok, je internet věcí (IoT). Podle odhadů analytické společnosti Gartner vzroste do konce roku počet připojených zařízení IoT na více než 8,4 miliardy. Z nich bude 3,1 miliardy sloužit podnikovým účelům. Takové množství zařízení IoT je těžké ochránit a odborníci se shodují v předpovědích, že podíl útoků namířených proti zařízením IoT do roku 2020 přesáhne 25 % všech počítačových útoků.

3. Zákonné a regulatorní povinnosti. Nové zákony a oborové předpisy rovněž zvyšují význam zabezpečení. 34 % respondentů uvedlo, že předpisy jsou jedním z faktorů, které přispívají k tomu, že vedení firmy věnuje bezpečnosti zvýšenou pozornost. Příkladem je přijetí obecného nařízení o ochraně osobních údajů (GDPR), které nabyde účinnosti ve všech členských státech EU v roce 2018.

Tyto trendy vedou k tomu, že je kybernetická bezpečnost považována za strategickou otázku v rámci širší strategie řízení podnikových rizik, nikoli za pouhou investici do IT. Mají-li manažeři IT bezpečnosti uspět při digitální transformaci, musí přehodnotit svůj přístup k bezpečnosti, zejména získat lepší přehled o celém prostředí a možných směrech útoku, zkrátit dobu mezi detekcí a neutralizací hrozeb, zajistit dostatečný výkon bezpečnostních řešení a automatizovat sběr bezpečnostních informací a řízení.

Tajná těžba kryptoměn v prohlížečích: Zavření okna s infikovaným webem už nepomůže
2.12.2017 Živě.cz Bezpečnost
Tajná těžba kryptoměn v prohlížečích: Zavření okna s infikovaným webem už nepomůže
Bezpečnostní experti odhalili nový způsob, jak záškodníci mohou zapojit do těžby kryptoměn návštěvníky webů prostřednictvím internetových prohlížečů. Útočníci tentokrát vytvořili sofistikovaný skript, který dokáže generovat kryptoměnu i po zavření záškodnického webu. Bližší informace o hrozbě zveřejnil Bleeping Computer.

Coinhive stále populární
Těžba virtuální měny v internetových prohlížečích se těší velké popularitě mezi různými skupinami útočníků. Díky známému open-source skriptu Coinhive může zisk generovat prakticky jakýkoliv web. Není přitom potřeba žádná interakce s uživatelem.

Výrazným problémem je však délka samotné těžby, která je přímo úměrná délce procházení webu. Pokud totiž uživatel stráví na webu se skrytou těžbou 60 sekund, tak je zřejmé, že jeho počítač bude generovat zisk pouze v průběhu jedné minuty. Není proto překvapením, že útočníci začali hledat způsob, jak délku těžby prodloužit na maximum.

Sekundární okno se schová za hodinami
Výzkumníci ze společnosti Malwarebytes upozornili na nový, v principu triviální trik, díky kterému bude těžba kryptoměny pokračovat i po opuštění záškodnického webu. Ten je založen na speciálním kódu v JavaScriptu, který vytvoří vyskakovací pop-up okno v definované velikosti. Jeho součástí je i vzorec určený pro dynamický výpočet pozice tohoto okna na obrazovkách uživatelů.

Výsledkem skriptu je miniaturní okno, které se na mnoha počítačích zobrazí skryté za panelem úloh systému Windows. Uvnitř ukrytého okna se nakonec spustí samotná těžba.

Je tam! Nenápadně schované dole za hodinami. Okno prohlížeče se skriptem na těžbu kryptoměn. K odhalení stačí trochu zvětšit hlavní panel.
Běžný uživatel si nemusí všimnout nic podezřelého. Okno je skutečně dobře schované a mechanismus navíc dokáže oklamat většinu nástrojů pro blokování reklam. Navíc útočníci nastavili maximální zátěž procesoru na nižší hodnoty, aby plně vytížený počítač nebudil podezření.

Pozor v sedmičkách i Windows 10
Tento trik v současnosti funguje v nejnovější verzi internetového prohlížeče Google Chrome v prostředí operačních systémů Windows 7 a Windows 10. Skript byl odhalen na pochybných internetových stránkách pro dospělé.

Schéma útoku dokáže prozradit ikona aktivního internetového prohlížeče v hlavním panelu. V případě, že nemáte otevřenou žádnou webovou stránku, tak by neměla být v hlavním panelu zobrazena ani zvýrazněna ikona prohlížeče. Pokud tam je, zřejmě je na pozadí skryté okno.

V rámci preventivních opatření by měl být v počítači nainstalován a řádně aktualizovaný antivirový software. Většina z bezpečnostních produktů už totiž dokáže zachytit i skripty pro těžbu virtuálních jmen.

V neposlední řadě existují různá rozšíření internetových prohlížečů, která dokáží zablokovat nežádoucí skripty. Nejznámějším je asi No Script, nebo relativně nový projekt NoCoin zaměřený právě na blokování těžebních skriptů.

Postřehy z bezpečnosti: ještě pochybujete o nutnosti HTTPS?
27.11.2017 Root.cz Bezpečnost
Dnes se podíváme na jednu kontroverzní oslavu státního svátku, prozkoumáme nový seznam zranitelností webových aplikací a připomeneme si zajímavý výrok ve vývojářské konferenci linuxového jádra.

Kontroverzní oslava 17. listopadu
Pokud jste nedávný státní svátek slavili off-line, možná vám unikl poměrně kontroverzní způsob, jakým se k jeho oslavě připojil operátor O2. Při pokusu o přístup na webovou stránku nekončící českou doménou bylo HTTP spojení uneseno a místo skutečné odpovědi podvrženo přesměrování na captive portál, představující fiktivní železnou oponu. Teprve po kliknutí na odkaz na něm bylo možné pokračovat normálně.

Kromě samotného faktu, že si tak velký telekomunikační operátor něco takového dovolil, je zarážející i zjištění, že vůbec má v síti nasazené zařízení, které takovéto zásahy umožňuje. Všechny doposud hypotetické úvahy o možnosti monitorování a transparentního pozměňování nešifrovaného provozu poskytovatelem přístupu k Internetu tak nyní dostávají naprosto reálné obrysy. Došlo tak k definitivnímu vyvrácení tradičního mýtu, že HTTPS je zbytečné pro čistě informační weby, kam se nikdo nepřihlašuje. Jednoduše HTTPS by mělo být všude.

Jak píše web DSL.sk, protokol HTTPS poněkud podcenili kolegové ze slovenské pobočky O2, kteří zorganizovali obdobnou akci. Na rozdíl od českého operátora webový server toho slovenského na adrese https://o2.sk posílá hlavičku HTTP Strict-Transport-security, která po dobu dvou let vynucuje použití HTTPS na všechny subdomény. No a vzhledem k tomu, že captive portál byl provozován na takové subdoméně, ale přitom HTTPS nepodporoval, zobrazila se některým uživatelům ze Slovenska při přístupu na zahraniční stránky pouze chybová zpráva, že web není dostupný.

Jak bezpečný je Android Pay?

Autor: Dalibor Z. Chvátal
Platební karty J & T Banky v aplikaci Android Pay. (14. 11. 2017)

Služba Android Pay, která umožňuje jednoduché placení v obchodech prostřednictvím NFC, přišla i do Česka. Využívá funkci zvanou Host-based Card Emulation, která je dostupná v Androidu od verze 4.4. Tato funkce umožňuje aplikaci v telefonu přímo komunikovat s čtečkou bezkontaktních karet v poli NFC antény. Na rozdíl od předchozích řešení se tak eliminuje nutnost mít v zařízení tzv. secure element nebo speciální SIM kartu, která by prováděla kryptografické operace a bezpečně držela privátní klíče. Ty jsou nyní doručovány přes internet v podobě tzv. tokenů, kdy každý token je použitelný pouze pro jednu transakci.

Systém NFC plateb pomocí HCE není v Česku nový, představila jej už minulý rok ČSOB, následovaná Komerční bankou. Systém Android Pay se od těchto řešení liší především posunutím hranice bezpečnosti zase o něco níže. Zatímco dříve uvedené aplikace vyžadují pro platbu zadání speciálního PINu aplikace, případně použití otisku prstu a pouze jako doplňkovou službu nabízejí rychlé placení bez odemykání telefonu, Android Pay tento model obrací tak, že k platbám menších částek (zřejmě do 500 Kč) stačí pouze rozsvítit displej telefonu, pro platbu vyšších částek pak stačí pouze odemknout zámek displeje. Vzhledem k tomu, jak triviální bývají odemykací sekvence většiny uživatelů, se takové zabezpečení virtuální karty nezdá jako dostatečné.

Aplikace se také brání odcizení platebních tokenů tak, že se snaží detekovat nejen root oprávnění, ale na některých modelech telefonů i samotné odemčení zavaděče či použití alternativní ROM a v takovém případě se odmítne spustit. Uživatelé starších přístrojů, jejichž podpora ze strany výrobce už skončila, tak mají těžkou volbu, zda používat aktuální operační systém, jakým je například LineageOS a o možnost placení telefonem přijít, nebo zůstat u originálního firmwaru se známými zranitelnostmi, kde Android Pay funguje.

Nové vydání OWASP Top 10 zranitelností webových aplikací
Po čtyřech letech vydal projekt OWASP nový seznam 10 nejčastějších zranitelností webových aplikací. Na prvních dvou místech se pořadí nezměnilo, největšími problémy jsou stále Injection a chyby autentizace. Na třetí místo se ze šestého přesunulo vyzrazení citlivých dat. Obecně zpráva také hodnotí, že v poslední době jsou na vzestupu mikroslužby, které představují proti tradičním monolitickým webovým aplikacím nové bezpečnostní výzvy.

Dále je konstatováno, že dominantním jazykem se stává JavaScript, který se jednak používá na klientovi, kde často nahrazuje tradičnější zpracování požadavků na straně serveru, jednak i na serverech díky projektům jako Node.js.

Porovnání seznamu Top10 2013 a 2017

A zase ty úniky
Minulý týden vyšlo najevo, že v říjnu 2016 došlo k úniku dat společnosti Uber. Útočníci se nějakým způsobem dostali k privátnímu repozitáři na GitHubu, ve kterém objevili přihlašovací jméno a heslo pro Amazon Web Services. V tomto úložišti bylo uloženo na 57 milionů osobních údajů zákazníků a řidičů, včetně 600 tisíc čísel řidičských průkazů. Ačkoli měla společnost povinnost o takovém úniku informovat federální úřady Spojených států, namísto toho zaplatila útočníkům sto tisíc dolarů za odstranění dat a celý incident ututlala. Jakou měla záruku, že k vymazání dat skutečně došlo, můžeme jen spekulovat.

O pár dní později se k podobnému úniku přiznala společnost Czechia.com. Únik se týká 6500 zákaznických účtů a byl zřejmě způsoben jistým zákazníkem, který objevil a zneužil chybu v zabezpečení managed serverů, kterými bylo možné získat interní databázi. Kuriózní je i způsob, jakým byl únik odhalen: Michal Špaček jej objevil náhodou, když hledal na webu SHA-1 hashe často používaných hesel.

Děravý procesor v procesoru
Je známou věcí, že v procesorech firmy Intel se od jisté doby vyskytuje další kompletní počítač zvaný Management Engine, ve kterém běží operační systém MINIX. Tento počítač provádí zejména servisní činnosti pro hlavní procesor, dále pak volitelně umožňuje vzdálenou správu, včetně přístupu ke konzoli hlavního počítače. Jeho možnosti zasahovat do činnosti hlavního procesoru jsou tedy téměř neomezené a jeho napadení by mohlo v nejhorším případě znamenat i zcela nedetekovanou kompromitaci.

Intel na základě nedávného auditu vydal opravu firmware a třese se, jaké další zranitelnosti ještě výzkumníci objeví. Oprava se obvykle distribuuje jako aktualizace BIOSu, je tedy třeba sledovat informace výrobce počítače. Není divu, že s takovým stavem se spousta uživatelů nespokojí a pokouší se nahradit proprietární firmware z co největší části open source softwarem.

Čtyři devítky nabízí soukromí i bezpečnost v DNS
Společnosti IBM, Packet Clearing House a Global Cyber Alliance nedávno představily projekt Quad 9. Ten nabízí veřejný rekurzivní DNS resolver na dobře zapamatovatelné IPv4 adrese 9.9.9.9 (IPv6 varianta 2620:fe::fe už tak jednoduchá k zapamatování není), který kromě ochrany soukromí – tvrdí, že nezaznamenávají žádné informace o uživatelích – nabízí také ochranu před škodlivými doménovými jmény, která slouží například ke komunikaci botnetů.

Služba je provozovaná prostřednictvím globálního anycastu ve více než stovce lokalit, plně podporuje IPv4 i IPv6 a také provádí validaci DNSSEC podpisů. V okamžiku oznámení služba nevalidovala ECDSA podpisy, tento problém však již byl odstraněn. V zájmu ochrany soukromí uživatelů služba dle svých slov neposílá autoritativním serverům rozšíření EDNS Client-Subnet, což velmi pravděpodobně způsobí neoptimální doručování obsahu z CDN sítí; zvlášť vzhledem k tomu, že podle našeho pozorování je vnější adresa nebližšího uzlu této služby až v USA.

Je na čase vypnout SMB verze 1
Minulý týden byla také odhalena zranitelnost balíku Samba ve všech verzích od 4.0.0. Chyba se týká implementace zastaralého protokolu SMB1 a umožňuje potenciálně spustit vlastní kód na serveru. Kromě aktualizace je možné problém vyřešit také vypnutím podpory zastaralého protokolu; to ostatně radí i odborník ze společnosti Microsoft.

Jedinými legitimními důvody, proč je potřeba SMBv1 držet, může být podpora Windows XP nebo Windows Server 2003, závislost softwaru na funkci Okolní počítače, případně podpora starých kopírek s funkcí Scan-to-share. Naopak nejnovější verze Windows už přichází bez podpory SMBv1.

Linus Torvalds: bezpečnostní problémy jsou jen chyby
V e-mailové konferenci vývojářů Linuxu se Linus Torvalds svým stylem ostře ohradil proti způsobu, jakým se někteří vývojáři snaží do zdrojového kódu protlačit bezpečnostní hardening.

NENÍ MOŽNÉ, aby si bezpečáci vymýšleli nějaká nová magická pravidla a nechali jádro zhavarovat, kdykoli dojde k jejich porušení.

Zdůrazňuje, že i bezpečnostní problémy jsou jen obyčejné chyby a primární úlohou hardeningu tedy má být takové chyby najít a upozornit na ně. Teprve po určité době, kdy je zřejmé, že nově zavedená omezení nezpůsobují problémy ve všech běžných podmínkách je možné zvážit zavedení drastičtějších opatření.

Pro pobavení
Half past twelve
And I'm watchin' the late show
In my flat all alone
How I hate to spend the evening on my own
…
Gimme, gimme, gimme a man after midnight
Won't somebody help me chase the shadows away
Kdo by neznal skladbu skupiny ABBA z roku 1979. Ovšem jen málokoho při poslechu textu napadne, že osamělá hrdinka sledující noční televizní vysílání v půl jedné ráno vlastně touží po čtení unixových manuálových stránek. Nevinný žertík, který tuhle skladbu připomíná, bohužel rozbíjí neinteraktivní volání příkazu man s přepínačem -w , a tak byl nakonec odstraněn. Ostatně, ať děláte co děláte, vždycky někomu znemožníte práci.

Autor: Randall Munroe, překlad xkcz.cz, podle licence: CC BY-NC 2.5

Seznam Email bude bezpečnější. Konečně přijde dvoufázové ověření
21.11.2017 CNEWS.cz Bezpečnost
Na facebookové stránce služby Mapy.cz se objevila velmi důležitá informace. Seznam po letech nečinnosti konečně zvýší zabezpečení účtů. V „dohledné době“ by měl nasadit dvoufázové ověření, tedy další stupeň ochrany postavený za heslem.

Již to znáte z bankovních účtů nebo velkých zahraničních služeb. U Googlu, Microsoftu, Applu, Facebooku, Paypalu, Steamu apod. si můžete nastavit, že k přihlášení vám nebude stačit je jméno a heslo, ale i další prvek. Hardwarový klíč nebo častěji kód vygenerovaný v aplikaci na mobilu či doručený pomocí SMS. Pokud někdo získá vaše heslo, bez onoho druhého stupně mu bude k ničemu.

TIP: Velký seznam všech služeb s podporou tzv. 2FA najdete na twofactorauth.org.

Zatím není jasné, jaký typ 2FA bude Seznam podporovat. Aktuálně umožňuje „zabezpečit“ účet telefonním číslem, pomocí něhož ale lze pouze zpřístupnit účet se zapomenutým heslem.

Ověření účtu na Seznamu pomocí telefonního čísla
Na Seznamu je podle posledních známých informací zaregistrováno 21 milionů účtů, z toho 8 milionů je aktivních alespoň jednou za měsíc. Stejný účet se používá k e-mailu i dalším službám jako Mapy.cz, Firmy.cz, TV Program, Lidé.cz apod.

Základem úspěšného podnikání je i připravenost na kybernetické hrozby

27.8.2017 SecurityWorld Bezpečnost
Někteří odborníci již označují rok 2017 za Rok ransomware, protože se četnost a především úspěšnost ransomware útoků neustále zvyšuje. V květnu napadl WannaCry více než 230 000 počítačů a hned následující měsíc se svět musel potýkat s dalším globálním útokem v podobě ransomware Petya. Mezi obětmi přitom nebyli jen běžní koncoví uživatelé – tyto hrozby byly „úspěšné“ i v případě některých opravdu velkých organizací, a světu tak ukázaly, jak může být ransomware sofistikovaný a vyspělý. Tyto pokročilé útoky navíc potvrdily ještě jednu důležitou skutečnost: i když jsou tradiční metody ochrany dat stále velmi důležité, samy o sobě již v boji s moderními hrozbami nestačí.

Technologie hrozeb i šíře jejich záběru se vyvíjí až děsivou rychlostí. Mnohé organizace však s tímto tempem nezvládají držet krok, a navíc nemají o ochraně dat a boji s kybernetickým zločinem všechny potřebné informace. I když management firem ví o důležitosti bezpečnostních strategií, je otázkou, jak rychle si podniky s případným incidentem ve skutečnosti poradí a jak rychle zvládnou vše vrátit do normálního stavu.

Stále více firemních dat i služeb je k dispozici on-line a podnikatelské modely se tak musí spoléhat na konektivitu a pokročilé IT služby. Kdyby tak firmy nefungovaly, nemohly by reagovat na poptávku zákazníků po vysoké flexibilitě, snadné dostupnosti a pohodlí. Jenže i zde platí, že každá mince má dvě strany. Právě potřeba neustálého připojení přináší bezpečnostní rizika a hrozby, které mohou mít původ mimo infrastrukturu dané organizace.

Tradiční strategie ochrany dat se soustřeďují na tři základní komponenty podnikové informační architektury – na uživatele, na procesy a na technologie.

V případě uživatelů stojí ochrana dat na dostatečné informovanosti a na seznamování zaměstnanců s nejnovějšími hrozbami. Ale i když je neustálé vzdělávání zásadním prvkem bezpečnostní koncepce, jen touto cestou úplnou ochranu celé organizace nikdo nezajistí. Kompromitaci dat může způsobit kliknutí i na jeden jediný špatný odkaz nebo jakákoli dosud neznámá hrozba. Důležité je proto zaměřit se také na procesy, jak uživatelé informační technologie ve skutečnosti využívají. Nedávné útoky potvrdily i nezbytnost pravidelných a včasných aktualizací, případné dopady jsou pak mnohem menší. Zapomenout nelze ani na tradiční metody ochrany sítí a koncových bodů pomocí firewallů a antivirových řešení. Všechny tyto technologie a opatření jsou pro kvalitní bezpečnost zásadní a neměly by být opomíjeny. Jelikož ani tato bezpečnostní strategie není zcela dostačující, roste zájem o pojištění proti kybernetickým rizikům, či chcete-li, proti kybernetickým hrozbám.

Pojištění proti kybernetickým rizikům není novinkou, ale – v souladu se všeobecným očekáváním – roste míra jeho využívání podobným tempem jako četnost výskytu malware nebo ransomware. V roce 2015 odhadla poradenská společnost PricewaterhouseCoopers hodnotu trhu s pojištěním proti kybernetickým rizikům na 2,5 miliardy amerických dolarů s předpokládaným nárůstem na 7,5 miliardy v roce 2020. A podle výzkumné organizace Allied Market Research by mělo do roku 2022 jít dokonce o 14 miliard při impozantním 28procentním ročním růstu. Nicméně samotné tempo růstu není to nejdůležitější – podstatné je, že díky nepříznivému vývoji ve světě kybernetického zločinu (včetně dopadů na veřejnou správu) je tento typ pojištění stále více zajímavý pro management řady firem.

Na první pohled by se mohlo zdát, že náklady spojené s řešením ransomwarového incidentu jsou dané hlavně výší výkupného. Ve skutečnosti tomu tak ale není, protože samotné výkupné obvykle nepřekročí hranici jednoho tisíce dolarů. Závažnější jsou prokazatelné interní náklady, které souvisí s řešením bezpečnostních incidentů, forenzními analýzami, vyšším vytížením zákaznického centra, nutností naplnit zákonné povinnosti a v neposlední řadě i s udržením dobrých vztahů s veřejností. A stranou nemohou zůstat ani externí náklady a pojistné krytí, které jsou spojené s nedodržením závazku zajistit bezpečnou ochranu dat.

Odpovědné firmy mají pro boj s ransomware k dispozici ještě jednu základní zbraň, kterou mnozí bohužel ignorují, a tou je zálohování dat, v rámci nějž jsou vlastní zálohy izolované od provozní síťové infrastruktury. Zálohování nejdůležitějších dat na off-line úložiště doporučuje spolu s pravidelným prověřováním obnovy jako první krok v boji s ransomware dokonce i americká FBI (v příručce s názvem ‘Ransomware Prevention and Response for CEOs’). A k tomuto principu se jednoznačně hlásí i společnost Veeam, na jejíž produkty a služby se spoléhá přes čtvrt miliónů zákazníků. Zálohy a pravidelné prověřování obnovitelnosti jsou vlastně také určitým druhem pojištění proti kybernetickým rizikům a navíc takovým „pojištěním“, které nabízí nejhmatatelnější a prakticky okamžité řešení v případě problémů způsobených nejen ransomwarem.

Díky využití správných technologií a procesů lze v případě nejdůležitějších systémů významně minimalizovat cíl doby obnovy RTO. A nejde o jedinou výhodu – data lze využít i pro případné forenzní analýzy incidentu ve virtuálních laboratořích. Tento „druh“ pojištění tedy není pouze o faktickém zajištění dostupnosti, ale také o potvrzení, že je firma na kybernetické hrozby o něco lépe připravena.

Dalším, a opravdu citelným přínosem je, že využívání kvalitních řešení pro zajištění dostupnosti může vést i ke snížení pojistného, které organizace za pojištění proti kybernetickým rizikům platí. Výše pojistného se v závislosti na odvětví, obratu a velikosti firmy pohybuje od 1000 až po více než 100 000 dolarů a jedním z faktorů určujících konečnou částku jsou právě opatření, které firma v boji s počítačovým zločinem využívá. Je to podobné jako v případě pojištění automobilu nebo domu, jen místo kvalitního zámku jde o komplexní řešení dostupnosti.

S ohledem na rostoucí příležitosti sofistikovanějšího využití dat, technologií pro internet věcí, umělé inteligence, biometrických systémů, výrobních robotů z oblasti Průmyslu 4.0, propojených automobilů nebo třeba chytrých staveb musí mít firmy povědomí o tom, jak se budou kybernetické hrozby včetně ransomware v blízké budoucnosti vyvíjet. A že se budou dopady těchto hrozeb stále více přesouvat z roviny osobních počítačů do všech podnikových procesů.

Cílem posuzování aktuálního stavu ochrany dat by nemělo být ujištění o stoprocentní bezpečnosti. Ostatně, vhledem k rychlosti, jakou se útoky mění, je to takřka nemožné. Mnohem důležitější je zaměřit se na zlepšení ochrany a ověření, že zálohy jsou umístěné i někde jinde než v interní síťové infrastruktuře a jsou tudíž před případným útokem nebo poškozením v relativním bezpečí. Pokud jde o ransomware, je běžnou technikou počítačových zločinců zaměřit se při pokusech o napadení větších podniků nejprve na malé a středně velké firmy. Posouzení stavu by proto mělo zohlednit i partnery a zajistit, aby zrovna vaše organizace byla silným článkem celého řetězce.

Mnoho technologických profesionálů si myslí, že výskyt malware a ransomware klesat nebude. Doporučením a správnou cestou tak je hledat partnera, který by organizaci pomohl se zavedením moderních opatření pro ochranu dat. Tedy takových opatření, která by pro ukládání záloh využívala i off-line úložiště a zajišťovala pravidelné ověřování obnovitelnosti důležité pro řešení případného incidentu. Tento způsob ochrany je důležitý nejen z pohledu uklidnění managementu, ale podílí se i na jistotě partnerů a koncových uživatelů, že jejich digitální životy jsou dostatečně chráněné a budou vždy dostupné.

Kombinovaná ochrana zvyšuje jistotu fungování podnikových procesů a díky pravidelným aktualizacím i zálohování a bezpečnostním politikám pro ochranu dat – včetně pojištění proti kybernetickým rizikům a využívání řešení pro zajištění dostupnosti – snižuje atraktivitu pro počítačové zločince. A na to by firmy neměly zapomínat.

Bezpečnost internetového bankovnictví lidé podceňují, i když základní zásady znají

16.6.2017 Novinky/Bezpečnost Bezpečnost
Většina Čechů zná základní zásady, jak bezpečně využívat své internetové bankovnictví. Když ale dojde na uplatňování těchto zásad v praxi, jsou lidé liknaví. Používají jednoduchá hesla, mění je jen zřídka, a ještě větší mezery mají v zabezpečení svého mobilního telefonu. Vyplývá to z průzkumu ČSOB.
Tři čtvrtiny respondentů považují pravidelnou změnu hesla pro vstup do internetového bankovnictví za důležitou. Téměř 70 procent lidí neotevírá přílohy z e-mailů neznámých adresátů a přes 93 procent respondentů by nikomu prostřednictvím e-mailu neposkytlo důvěrné informace, jako je například číslo platební karty či heslo do internetového bankovnictví.

„To vše jsou pro nás velmi potěšující zjištění. Méně potěšující je, jak lidé tyto zásady dodržují v každodenním životě. Ukázalo se, že v mnoha případech upřednostňují pohodlí na úkor svého bezpečného pohybu na internetu,” uvedl člen představenstva ČSOB odpovědný za řízení rizik Tomáš Kořínek. Lidé si nepřipadají jako atraktivní terč pro hackera. To, že nemají na účtu milióny, ale podle něj neznamená, že jsou pro hackery nezajímaví.

Jednoduché heslo dává šanci hackerům
Podle 70 procent respondentů by se mělo heslo pro vstup do internetového bankovnictví měnit jednou nebo dvakrát za rok. Více než polovina dotázaných si svá hesla a PIN poznamenává na papír, který někteří nosí dokonce přímo v peněžence spolu s platební kartou. Ve věkové kategorii 55 až 85 let si hesla zapisují dokonce čtyři pětiny dotázaných. Lidé také často používají u různých služeb stejná nebo podobná hesla.

Jednoduché heslo dává hackerům zbytečně velkou šanci. Přitom se stačí jednou za čas pořádně zamyslet a vytvořit si silné heslo, které hackerovi vůbec nebude stát za to, aby se ho snažil prolomit, upozornil manažer bezpečnosti elektronických kanálů ČSOB Petr Vosála.

Falešné internetové bankovnictví
Jak ukázal nedávný experiment ČSOB s falešnou stránkou elektronického bankovnictví, klienti také často chybují v tom, že internetové bankovnictví navštěvují přes vyhledávače. Zde si pak v mnoha případech spletou falešný web se skutečnou stránkou internetového bankovnictví. V rámci této kampaně kliklo na falešný odkaz za měsíc více než 61 000 lidí, třetina z nich dokonce opakovaně.

Dalšímu riziku se lidé vystavují tím, že se k internetovému bankovnictví hlásí prostřednictvím nezabezpečené sítě. „Můžu mít zabezpečený počítač nejlepším antivirem, ale když se připojím k nezabezpečené Wi-Fi v kavárně nebo fastfoodu, je mi to k ničemu,” doplnil Vosála.

Kaspersky Lab podal antimonopolní stížnost na Microsoft. Prý zvýhodňuje svůj antivir
7.6.2017 Živě.cz Security
Kaspersky Lab na svém blogu dokazuje, jak Microsoft nabádá uživatele, aby nepoužívali nic jiného než Windows Defender Kaspersky Lab na svém blogu dokazuje, jak Microsoft nabádá uživatele, aby nepoužívali nic jiného než Windows Defender Kaspersky Lab na svém blogu dokazuje, jak Microsoft nabádá uživatele, aby nepoužívali nic jiného než Windows Defender Kaspersky Lab na svém blogu dokazuje, jak Microsoft nabádá uživatele, aby nepoužívali nic jiného než Windows Defender Kaspersky Lab na svém blogu dokazuje, jak Microsoft nabádá uživatele, aby nepoužívali nic jiného než Windows Defender 6 FOTOGRAFIÍ
zobrazit galerii
Ruský výrobce antivirů Kaspersky Lab podal antimonopolní stížnost na Microsoft. Nejprve tak udělal u ruského antimonopolního úřadu FAS, kterému tvrdil, že Microsoft zneužívá u Windows 10 svoji dominantní pozici k upřednostňování svého antivirového softwaru oproti konkurenci. Microsoft na to zareagoval určitými změnami, které ale Kaspersky Lab nestačily, a tak firma podala stížnost Evropské komisi.
Kaspersky Lab vyvinula nový operační systém - KasperskyOS
„Microsoft jasně zneužívá svoji dominantní pozici na poli počítačových operačních systému, aby zpropagoval svůj vlastní bezpečnostní software Windows Defender, a to takovým způsobem, že uživatel je nabádán opustit své předchozí bezpečnostní řešení,“ píše na blogu společnosti Eugene Kaspersky, spoluzakladatel společnosti.

Firma tvrdí, že Microsoft zachází tak daleko, že uživatelům při přechodu na Windows 10 jejich software maže a automaticky zavede jako ochranu Windows Defender. Kaspersky Lab také vadí, že Microsoft neposkytuje u každé nové aktualizace Windows 10 dostatečně dlouhý časový úsek, aby mohla společnost vyzkoušet, jak její produkty fungují.

Microsoft se v posledních letech na Windows Defender skutečně zaměřil a vylepšoval ho. U Windows 10 jej společnost zabudovala do systému jako výchozí antivirové řešení. Americká společnost tvrdí, že tak dělá proto, aby uživatele ochránila, ale podle Kaspersky Lab se jedná o antimonopolní chování. „Chceme, aby Microsoft přestal klamat naše – nejen naše – uživatele,“ stojí dále v příspěvku na blogu. „Všechna bezpečnostní řešení by na Windows 10 měla mít stejné příležitosti.“

Microsoft se domnívá, že Windows 10 žádná pravidla neporušuje. „Věříme, že bezpečnostní funkce Windows 10 se shodují s pravidly hospodářské soutěže. Na všechny otázky odpovíme,“ řekla společnost v prohlášení serveru The Verge. Nabídla také Kaspersky Lab, že se s nimi sejde a společně najdou řešení.

Nekopírujte kód z diskusních fór, jsou v něm bezpečnostní chyby
1.6.2017 Root.cz Bezpečnost
Stack Overflow je nejen pro programátory velmi důležitým zdrojem informací. Součástí odpovědí jsou často i hotové kusy kódu, které stačí zkopírovat a použít. Není to ale dobrý nápad, protože často obsahují zásadní chyby.
Facebook Twitter Google+ Líbí se vám článek?
Podpořte redakci
14 NÁZORŮ
Stack Overflow je dnes asi nejdůležitějším zdrojem informací pro vývojáře. Dozví se tam novinky, tipy i odpovědi na mnoho otázek od těch nejtriviálnějších až po velmi složité. Součástí mnoha odpovědí jsou také připravené kusy kódu, které vypadají velmi lákavě a proto je stačí prostě použít. Stiskneme „ctrl-Cizí“ a pak „ctrl-Vlastní“ a máme hotovo.

Zrada ovšem spočívá v tom, že kód sice funguje, ale velmi často má zásadní bezpečnostní nedostatky. To je dáno jednak tím, že autor odpovědi je prostě „někdo z lidu“, ale zároveň často nezná celý kontext a reaguje jen na dotaz pokrývající malou část celého problému. Pokud je kód dobře napsaný a funguje, mají pak další stovky a tisíce programátorů tendenci jej kopírovat do svých děl.

Vzniká tím velmi nebezpečná situace, kdy se chybně napsaný kód velmi rychle rozšíří do stovek projektů. Stačí taková fóra sledovat a když se na nich objeví děravý kód jako odpověď na populární problém, hned je jasné, kudy brzy povede cesta do mnohých aplikací. Někteří testeři (a nejen ti) to tak skutečně dělají.

Follow
Michal Špaček ✔ @spazef0rze
At a pentest talk, the pentester says: I read @StackOverflow to understand devs. Vulns from the verified answers will be in the apps soon.
1:20 PM - 10 Nov 2016
129 129 Retweets 148 148 likes
Twitter Ads info and privacy
Použít takto připravený kód v produkčním prostředí chce zkušenosti a odborné znalosti, jinak je to velmi riskantní procedura. Vědci ze známého Fraunhofer Institute se zaměřili na platformu Android a objevili celou řadu takto napsaných děravých aplikací, které používají miliony uživatelů. Problém se ale netýká zdaleka jen Stack Overflow a Androidu.

Patnáct procent aplikací
Ve své zprávě Stack Overflow Considered Harmful? [PDF] vědci uvádějí, že proskenovali Stack Overflow a hledali v něm ukázky kódu týkajících se bezpečnosti. Těch bylo celkem nalezeno 4019. Ty poté ohodnotili z hlediska dopadu na bezpečnost aplikace. Následně analyzovali aplikace pro Android a tyto kód v nich hledali. Výsledek je překvapivý: z 1,3 milionu zkoumaných aplikací jich 15,4 % obsahuje kód převzatý ze Stack Overflow. Drtivá většina (97,9 %) pak obsahuje alespoň jeden děravý příklad (data ke stažení).

Do výzkumu byly zařazeny jen „kódy týkající se bezpečnosti“, tedy ty, které se dotýkají jednoho z následujících témat:

Cryptography: Java Cryptography Architecture (JCA), Java Cryptography Extension (JCE)
Secure network communications: Java Secure Socket Extension (JSSE), Java Generic Security Service (JGSS), Simple Authentication and Security Layer (SASL)
Public key infrastructure: X.509 and Certificate Revocation Lists (CRL) in java.security.cert, Java certification path API, PKCS#11, OCSP
Authentication and access control: Java Authentication and Authorization Service (JAAS)
Navíc byly zahrnuty i takové ukázky, které se týkají oblíbených bezpečnostních knihoven, populární balík Apache TLS/SSL a také knihovny keyczar a jasypt, které usnadňují vývojářům přístup k bezpečnostním funkcím.

Kód byl poté roztříděn na bezpečný a nebezpečný. Bezpečné jsou ty varianty, které využívají aktuální šifrovací algoritmy a rozumnou délku klíče, případně některé parametry závisí na vývojářově dalším vstupu, ale nedovolují snadnou kompromitaci aplikace. Nebezpečné jsou pak ty, které obsahují zjevnou slabinu, typicky týkající se klíčů nebo zastaralých algoritmů.

Nebezpečné chování
Nejvíce děr bylo nalezeno v souvislosti se zpracováním TLS. Už výrazně menší skupinu pak tvoří kód týkající se symetrické kryptografie (typicky AES v nebezpečném ECB režimu) často také přímo obsahující vestavěné klíče. Dešifrovat pak data z takto vytvořené aplikace je velmi snadné:

byte[] rawSecretKey = {0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00};
String iv = "00000000";
byte[] iv = new byte[] { 0x0, 0x1, 0x2, 0x3, 0x4, 0x5, 0x6, 0x7, 0x8, 0x9, 0xA, 0xB, 0xC, 0xD, 0xE, 0xF };
Poměrně málo chyb se pak týkalo asymetrické kryptografie, hašů a podpisu nebo třeba bezpečného generování náhodných čísel. Následující kód nahrazuje seed pro generátor vlastním řetězcem:

byte[] keyStart = "this is a key".getBytes();
SecureRandom sr = SecureRandom.getInstance("SHA1PRNG");
sr.setSeed(keyStart);
Velká část aplikací je tak zranitelná man-in-the-middle útokem, používá špatně pinning veřejného klíče nebo špatně zachází s kryptografickými primitivy. Dále bylo objeveno špatné zacházení s úložištěm a obcházení systému oprávnění kvůli komunikaci mezi jednotlivými komponentami aplikace. To může ve výsledku vést k úniku uživatelských dat, sledování uživatele nebo třeba zneužití geolokace.

Byl objeven například kód vypínající ověřování hostname při sestavování TLS spojení. Akceptováno je pak cokoliv:

@Override
public boolean verify(String hostname, SSLSession
session) {
return true;
}
Zpráva uvádí, že mnoho chyb lze přičítat nedostatečným znalostem vývojářů. Byly objeveny například aplikace, při jejichž vývoji autor vypnul TLS a v ostré verzi jej zapomněl zpět zapnout. Řada vývojářů je také zmatená z množství TLS parametrů, které pak zvolí náhodně nebo špatně. V mnoha tématech je také jako řešení problémů s šifrování doporučováno jeho úplné vypnutí.

Řešením je hodnocení bezpečnosti
Součástí Stack Overflow je ale obrovské množství dobře napsaných příkladů, které vývojářům opravdu pomáhají. Není ovšem vyřešeno, jak oddělit ty dobré od těch špatných. Tradiční hodnotící systém tu zjevně selhává, jak bylo naznačeno výše. Autoři studie doporučují přidat ještě jeden druh hodnocení, které se zaměří přímo na otázku bezpečnosti.

Přidání dalšího bodování by ale jen zkomplikovalo práci s fórem a další vrstva by znepřehlednila hodnocení jako celek. Autoři dokumentu proto navrhují automatické testování bezpečnosti, které by mohlo zajistit například rozšíření do prohlížeče. To by mohlo hlídat ukázky kódů na stránce a zároveň kusy kopírované přes schránku. Takové rozšíření je už v tuto chvíli ve vývoji a mělo by být dostupné pro Firefox a Chrome.

Nekopírujte bezhlavě z webu
Viditelnost jednotlivých témat na Stack Overflow je ovlivňována hlasováním uživatelů. Vědci předpokládali, že nebezpečné kusy kódu budou mít vyšší skóre, protože vyžadují více zkoumání. Taková varianta se ale nepotvrdila a správně implementované příklady dosáhly vyššího hodnocení. Zajímavý je ale jiný postřeh: pokud je kód v otázce viditelně označen jako nebezpečný, má tendenci sbírat vyšší počet bodů. Na hodnocení ale může mít dopad celá řada dalších faktorů.

Byla ovšem nalezena přímá souvislost mezi bodovým hodnocením a zařazením problematických ukázek kódu do aplikací. Čím vyšší skóre nebo počet zobrazení, tím větší zastoupení kódu v aplikacích. Výslovné varování má ale překvapivě opět opačný efekt: jasně označené ukázky jsou kopírovány mnohem častěji.

Zajímavé také je, že drtivá většina zkopírovaných děravých ukázek pochází ze samotného dotazu. Jen zlomek je jich pak z odpovědi. To dokládá skutečně neuvěřitelně riskantní práci některých vývojářů, kteří jsou ochotni bez rozmyslu použít kód jiného člověka řešícího problém na fóru. Stack Overflow je dobrým místem pro efektivní řešení koncepčních témat, ale hůř dopadá, když dojde na konkrétní implementace.

Neplatí to jen pro Android a Stack Overflow: nekopírujte bez rozmyslu kód, který jste našli v náhodném fóru někde na internetu. On dost možná funguje, protože má třeba vysoké hodnocení dalších uživatelů. Nic to ale nevypovídá o jeho kvalitě a dopadu na bezpečnost vaší aplikace.

Zamezte ztrátám dat – co jsou nejčastější příčiny problémů?

26.5.2017 SecurityWorld Bezpečnost
Přinášíme přehled chyb, kterými jednotliví zaměstnanci a IT oddělení nejčastěji napomáhají odcizení či ztrátě citlivých podnikových dat a zároveň k nim dodáváme rady, jak se těmto přehmatům co nejlépe vyhnout.

Podle studie firmy IBM z roku 2016 týkající se nákladů vzniklých krádeží či ztrátou dat se průměrná částka vyšplhala z 3,8 milionů dolarů na 4 miliony.

Na detailnější úrovni studie odhaluje, že průměrná hodnota každého ztraceného nebo ukradeného záznamu obsahujícího citlivé a tajné informace se zvedla ze 154 na 158 dolarů. Přicházet o firemní data zkrátka není z finančního hlediska legrace, úniky navíc mohou společnost poškodit i jinak, např. zhoršením reputace u klientů a partnerů.

David Zimmerman, generální ředitel a zakladatel firmy LC Technology, přibližuje pět nejčastějších chyb.

Pokročilá nastavení

Pokročilá nastavení nejsou na počítačích jen tak pro nic za nic. Jde o varování uživateli, který by měl dobře vědět, co vlastně dělá nebo k čemu se chystá. Typickým příkladem podobných nastavení je BIOS: změna setupu v BIOSu je sice obvykle zamýšlená dobře, ale cesta do pekel je v tomto případě skutečně dlážděna dobrými úmysly.

Pokročilá nastavení, která mohou významně změnit způsob, jakým počítač pracuje i pozměnit jeho zabezpečení, by vždy měli přenastavovat zkušení IT technici v zabezpečeném prostředí. Tím se šance na ztrátu dat výrazně sníží.

Ignorování možnosti selhání hardwaru

Jak cloudová řešení postupně zaplňují trh, snižuje se riziko ztráty dat vlivem selhání počítače. HDD a SSD lze poškodit a často se zkrátka časem opotřebují; z těch je však ještě obvykle možno část dat získat zpět.

Problémy často také dělá PC zdroj. Ačkoli ten přímo data neohrožuje, přesto způsobuje dodatečné náklady – laptop nebo spíše server, na kterém se nacházejí data potřebná k činnosti firmy, nemůže jít jen tak do opravy, aniž by se to projevilo na chodu podniku.

Zabezpečená přenosná datová zařízení, například flash disky, nebo cloudová úložiště, znamenají větší míru ochrany dat před ztrátou (nikoli však krádeží).

Ignorování bezpečnostních protokolů

Mnoho „hackerských útoků“, o kterých čteme ve zpravodajství, je způsobeno chybou zaměstnance – vlastně většina. Nastavit jako heslo administrátora „12345“ nebo otevření e-mailové přílohy od neznámé adresy patří mezi podobné chyby.

Podobně špatné je klikání na reklamy na nebezpečných a neseriózních webových stránkách. Důrazná správa hesel a vynucování bezpečnostních standardů při práci s internetem vede k výraznému snížení šance úniku dat – dobře zabezpečená firma je méně lákavý cíl pro hackery.

Ačkoli odhodlaný tým kvalitních kriminálníků dokáže prolomit i velmi, velmi dobré zabezpečení, nejlákavější cíl jsou pro ně ty podniky, ze kterých získají peníze snadno; tedy ty s nejhorším zabezpečením. Dbejte i na dostatečně složitá hesla, která kombinují malá a velká písmena s čísly.

Špatné zálohování

Velmi běžným důvodem ztráty dat je jejich ukládání na lokální úložiště bez další zálohy. Jsme v roce 2017, externí datová úložiště jsou nejen velmi levná, ale také nabízí mnoho různých řešení, cloud i fyzický server. V porovnání s náklady na ztracená data je záloha v úložištích opravdu levná.

Možností je i záloha na hned několika různých cloudech nebo na cloudu a fyzickém médiu zároveň; pak jsou v případě selhání hardwaru nebo lidského faktoru cenné informace snadno nahraditelné.

Ransomware

V poslední době jsou v hackerských kruzích a kyberkriminalitě obecně velmi populární vyděračské praktiky. Nejsnazším způsobem, jak uživatele počítače vydírat, je ransomware. Ransomware převezme soubory na uživatelově počítači a zašifruje je, načež požaduje po oběti zaslání finančních prostředků, po kterých obdrží dešifrovací klíč.

Nejčastěji se ransomware do počítače dostat skrze e-mailovou přílohu nebo prolomením či uhádnutím hesla. Krádež dat přijde ve chvíli, kdy mají hackeři čas mezi infikováním počítače a zasláním platby na jejich účet. Častěji ovšem i v případě příchozí platby hackeři data neodemknou a buď je ponechají zašifrované, nebo je zničí.

Online přehrávání filmů a seriálů: hrozba, kterou ignorujeme
23.5.2017 cdr.cz Bezpečnost
Sledování filmů online se může jevit jako neškodná zábava, při které vyskakuje pouze „pár“ reklam. Nebudeme rozebírat legálnost takového počínání, ale zaměříme se na bezpečnostní aspekty, které mohou mít velice nepříjemné následky.

Nelegální kopírování filmů s námi bylo, je a nejspíše ještě nějakou tu dobu bude. Nicméně forma se postupem času mění. Z počátku jsme kopírovali z jedné VHSky na druhou, poté z DVD na DVD, stahovalo se z internetu… Forem je celá řada. Poslední dobou je však nejpopulárnější sledování filmů online. Existuje řada různých pochybných portálů, které poskytují možnost shlédnutí zdarma. Zda je obsah legální či nikoliv, necháme na někom jiném.

V hlavní roli peníze

Tyto portály musí nějak přežívat, profitují tedy z reklam. Bohužel se však jedná o ty nejhorší druhy reklam až ze sedmého kruhu internetového pekla. Neuvěřitelně otravné pop-up reklamy navíc s mládeži nepřístupným obsahem, blikající bannery s falešným varováním, že máte zavirovaný počítač, nebo phishingová tlačítka, kde je napsáno stáhnout, ale přitom vás zavedou tam, kam rozhodně nechcete.

Jedná se o malvertising, složenina ze slov malware (škodlivý software) a advertising (reklamy). Tyto „reklamy“ se vás nesnaží nalákat na nějaký nový produkt či službu. Chtějí jen, abyste na blikající banner klikli a je jedno, zda oznamuje, že jste vyhráli nový iPhone či cokoliv jiného. Všechno je to jen balast, který dokáže udělat s počítačem slušnou neplechu.

Největší problém vidíme v tom, že při kliknutí na nějakou takovou reklamu se může stát, že nevědomky či omylem odsouhlasíte některé okno a stáhnete si do počítače ransomware (či jiný druh malwaru). Ten vám zašifruje data a můžete jít obnovovat systém ze zálohy. Každopádně problematika ransomware by vydala na vlastní článek, proto se jí zde nebudeme zabývat.

Dalším způsobem, jak z vás dostat citlivé údaje, je sociální inženýrství. To se používá především u phishingu. Možná si pamatujete na kauzu, kdy se lidem zobrazilo okno s tím, že jim Policie ČR zablokovala počítači a nutila zaplatit pokutu (jinými slovy výkupné). Nejpopulárnější je stále informace o tom, že jste 1 000 000 návštěvník stránky a něco vyhráváte. Ani byste nevěřili, kolik lidí se nachytá.

Zkušení uživatelé jsou schopni se v těchto okénkách orientovat, ale dejte takový počítač do rukou dětem nebo naopak někomu staršímu, kdo ve virtuálním prostředí nevyrostl, a problém je na světě. Nezkušené oko zkrátka nepozná, zda výzva Policie ČR nebo varování o zavirovaném počítači s nabídkou odstranění hrozeb (případně cokoliv jiného), je legitimní či jen blaf ze strany útočníka.

A jak se chránit?

Pokud v prohlížeči používáte Adobe Flash, měli byste přestat. Tento plugin je v dnešní době již překonán technologiemi jako je HTML5. Navíc je děravý jak cedník, takže využít nějaké bezpečnostní chyby nemusí být zase tak těžké. Pokud jej nepotřebujete, je mnohem bezpečnější prohlížet internet bez aktivního Flashe. Naštěstí je ve většině prohlížečů již zablokován a musí být manuálně povolen.

V mnoha případech nepomůže ani AdBlock, jelikož jej většina takových stránek vycítí a uživateli brání v přehrání filmu. Případně nejsou reklamy pochybných zdrojů zaneseny v blacklistu, a proto se beztak zobrazí. Ve výsledku si tak od škodlivého obsahu nepomůžete a slušné weby připravíte o kus žvance. Abychom mu ovšem nekřivdili, od některých pop-up oken vás zachrání.

Pokud si na stránky pochybného charakteru potrpíte, nezapomeňte, že byste měli mít aktualizovaný antivirus. Dokáže relativně úspěšněji hrozby detekovat a odstranit. Problém nastává tehdy, když se jedná o „zero-day“ hrozbu, využívajíc čerstvou chybu v systému, a kterou nemají antiviry zavedeny v databázi.

Když už se vám nějaký bordel do počítače dostane, snažte se jej co nejrychleji odstranit. V tom horším případě se může škodlivý kód pokusit o povolení ve firewallu a udělení výjimky v bezpečnostním softwaru. Vzniká tak díra v rezidentním štítu systému a hacker vám může ukrást citlivá data.

Závěrem

Na závěr jedna rada nad zlato. Jestli nechcete mít problémy s počítačem a jeho bezpečností, vůbec neotevírejte takové portály, ušetříte si starosti. V dnešní době existuje již mnoho způsobů, jak sledovat filmy online, například za menší poplatek, ať už se jedná o Netflix nebo nějakou jeho českou variantu.

Ano, můžete namítnout, že když se chcete jen podívat na film, nechce se vám platit žádný poplatek. Nicméně to nebylo tématem článku, takže zda je takové jednání správné, necháme na vás.

Záznam CAA spáruje doménu a autoritu, kontrolován bude od září
18.4.2017 Root.cz Bezpečnost
CA/Browser Forum odhlasovalo, že certifikační autority musí od 8. září povinně kontrolovat u domén záznam typu CAA. Ten umožňuje provozovateli domény zvolit autoritu oprávněnou vydat pro jeho doménu certifikát.
Současný model certifikačních autorit má několik zásadních slabin. Mezi ty nejviditelnější patří fakt, že jsou si autority rovny, tedy že libovolná z nich může teoreticky vydat certifikát pro libovolnou doménu. Z hlediska uživatele bude vše v pořádku, protože pokud jeho klient nepoužívá například validaci záznamů TLSA (DANE) nebo nemá nakešované hlavičky HPKP, nedozví se, že je něco špatně.

Útočník tak může zmanipulovat některou z autorit tak, aby mu vydala certifikát s jeho vlastním veřejným klíčem. V takovém případě je pak schopen se vydávat za cizí server, protože vlastní privátní klíč k platnému certifikátu vydanému důvěryhodnou autoritou. Nedávno se takto podařilo například kvůli chybě vylákat certifikáty k doménám GitHubu.

Takto chybně vydané certifikáty jsou velkým problémem, který se v komunitě intenzivně řeší. Vývojáři Chrome například intenzivně prosazují databázi Certificate Transparency, jejíž použití bude pro autority povinné ještě během letošního roku. Umožní dodatečně odhalit, že byl neoprávněně vydán certifikát pro vaši doménu. Pokud budete tento log automatizovaně sledovat (třeba pomocí utility certspotter), certifikátu si všimnete. V tu chvíli už ale bude vydaný a může být zneužíván proti uživatelům.

CAA jako prevence
Záznam typu CAA má za úkol chybnému vydání certifikátů předcházet. Provozovatel domény pomocí tohoto záznamu v DNS určí, které autority jsou oprávněny certifikát pro danou doménu vystavovat. Kontrola tohoto záznamu je pro autoritu zatím dobrovolná, ale jde o jakousi pojistku navíc, protože chrání autoritu před chybným vystavením certifikátu. Ať už vlivem technického problému nebo úmyslnou manipulací.

Důležité je, že na rozdíl od zmíněného TLSA nejsou záznamy typu CAA určeny pro validaci koncovým klientem. Aplikace je nesmí využívat při kontrole důvěryhodnosti certifikátu. Výslovně to zakazuje RFC 6844, které tyto záznamy zavádí. Důvodem je především to, že záznamy se mohou v čase měnit a zatímco autorita se k nim dostává v čase vydání certifikátu, klient už může později vidět jiný stav. Třeba ten určený pro novou autoritu. Pro klienty zůstává platný TLSA záznam.

V případě nové žádosti o vystavení certifikátu autorita kromě dalších validačních kroků zkontroluje na doméně přítomnost CAA záznamu. Pokud existuje a povoluje dané autoritě vystavení certifikátu, proces může pokračovat. Pokud záznam odkazuje na jinou autoritu, měl by být proces vydávání zastaven.

Samozřejmě stále existuje řada scénářů, které dovolují tuto kontrolu obejít. Útočník může zcela ovládnout systémy autority a vystavit si certifikát i bez kontroly. Může také získat privátní klíče autority a pak si podepisovat certifikáty dle libosti. Ovšem viděli jsme celou řadu případů, kdy byla zneužita drobná chyba v API autority nebo byl narušen validační proces. V takové situaci by CAA záznam velmi pravděpodobně umožnil vydání certifikátu zastavit. Stejně tak může být využit jako obrana proti plně automatizovaným autoritám, které by mohl útočník zmanipulovat. Stále je tu řada situací, kdy další zámek navíc pomůže.

V současné době je kontrola CAA záznamů ze strany autorit zcela dobrovolná a některé autority s ní už začaly. Chrání tím především samy sebe před skandálem s omylem vydanými certifikáty pro důležité domény. Od 8. září ale musí záznam kontrolovat všechny autority. Správci domén tak budou mít možnost skutečně významně omezit možnosti zneužití systému PKI.

Je tu samozřejmě otázka, zda se některé autority nemohou rozhodnout CAA jednoduše ignorovat. Pokud by tak učinily, vystavují se riziku vyřazení z databází důvěryhodných autorit, protože budou porušovat jedno ze závazných pravidel. Navíc je třeba zopakovat, že je v zájmu autorit podobnou pojistku podporovat, protože tím chrání především samy sebe. Jeho nasazením nemáme v každém případě co ztratit.

V době psaní článku CAA záznam validují autority: Amazon, Certum, Comodo, DigiCert, Entrust, GlobalSign, GoDaddy, Izenpe, QuoVadis, Starfield GoDaddy, StartCom WoSign, Let’s Encrypt, Symantec/GeoTrust/Thawte, T-Telesec, Trustwave, WoSign.

Jak si ho pořídit a nasadit
CAA je záznam typu 257 a pokud máte starší utility (například dig), bude vám pod tímto označením také zobrazován. Vyzkoušel jsem, že například BIND utils 9.9.5 tento záznam ještě neznají, verze 9.11 si s ním ale už rozumí a zobrazí vám jednak samotný název záznamu, ale i jeho podobu dekódovanou do lidsky čitelné podoby.

Pro vytvoření záznamu je možné použít pěkný webový CAA Record Generator, kde stačí jednoduše vyplnit doménu a poté naklika, které autority mají oprávnění vydávat běžný či hvězdičkový certifikát pro danou doménu.

Generátor poté vygeneruje záznam ve standardním tvaru pro běžné DNS servery, případně v legacy tvaru pro starší verze. Nakonec záznam vypadá například takto:

$ dig nebezi.cz caa +short
0 issue "letsencrypt.org"
0 issuewild "\;"
Vidíte, že jsou tu záznamy dva, jeden pro běžný certifikát na konkrétní jméno, druhý na hvězdičkové certifikáty. V případě webu Neběží.cz tak signalizujeme autoritám, že jedině Let's Encrypt je oprávněna vydávat pro doménu certifikáty. Číslo v záznamu (v tomto případě nula) pak značí, zda je daný záznam kritický. Pokud by zde byla hodnota 128, nesmí autorita certifikát vydat, pokud by danému záznamu nerozuměla.

Definován je ještě záznam typu iodef, který dovoluje určit způsob, jakým autorita správci domény může ohlásit, že se někdo pokusil neoprávněně certifikát získat. Informace putují pomocí formátu IODEF (RFC 5070) a mohou být doručeny zde uvedeným e-mailem nebo na URL webové služby podle RFC 6546. Chování autority v tomto ohledu ale podléhá vnitřním směrnicím a není zaručeno, že autorita bude incidenty hlásit.

Další pojistka
Záznam typu CAA slouží jako další pojistka navíc, která nic nepokazí. Už teď ji podporuje celá řada autorit, za pár měsíců to budou dělat povinně všechny. Autority by tak už neměly neoprávněně vystavit certifikát, pokud správce domény záznam zavedl a uvádí v něm skutečně jen tu svou používanou autoritu.

Zároveň to ale umožní posílení externí kontroly například s pomocí Certificate Transparency. Bude tak možné automatizovaně kontrolovat všechny vystavené certifikáty a vyhledávat v použitých doménových jménech CAA záznamy. Přinejmenším tak bude možné velmi rychle a efektivně odhalit autority, které i přes povinnou kontrolu CAA certifikát vystavily.

Mění se pravidelné hlášení o chybách, Microsoft zahodil bulletiny

18.4.2017 SecurityWorld Bezpečnost
Desítky let vydával Microsoft pravidelné bezpečnostní bulletiny – hlášení o záplatách a aktualizacích chyb a zranitelností. Šlo o systém pohodlný jak pro uživatele, tak především pro IT administrátory, zodpovědné za zabezpečení sítě a chodu informačních technologií ve firmě.

Firma nyní používá jinou verzi každoměsíčního hlášení, uživatelé však nejsou spokojeni.

„Je to jako učit se znovu chodit, běhat a řídit kolo, najednou,“ říká Chris Goettl, produktový manažer firmy Ivanti.

Microsoft mluvil o zrušení bulletinů již měsíce a jednou dokonce jejich zrušení v průběhu odvolil; vypadá to, že nyní jde skutečně o finální konec.

Bulletiny nahrazuje databáze vyhledávatelná databáze dokumentů, přístupných skrze portál Security Updates Guide (SUG). Obsah databáze lze třídit a filtrovat pomocí konkrétního softwaru, data vydání aktualizace, identifikačním CVE zranitelností, číselným nebo KB označením aktualizace, případně podpůrným dokumentem „knowledge base“.

Předchůdcem SUG byly oblíbené bezpečnostní bulletiny, existující minimálně od roku 1998. Microsoft si na nich dal tak záležet, že je mnozí považovali za laťku, které by měli softwaroví vývojáři dosahovat.

Během včerejších aktualizací, které mimo jiné opravily kritickou zero day zranitelnost ve Wordu, se bulletiny již neobjevily.

Goettl, který na posouzení nového systému počkal do konečného zrušení bulletinů, není ze SUG nijak nadšený.

Dříve se mu SUG nechtěl posuzovat, ale viděl v něm jisté „velké možnosti“. Dnes si však není jistý, zda SUG dokáže dodávat stejnou kvantitu a kvalitu informací jako bulletiny bez toho, aby zbytečně zatěžoval IT administrátory.

„Nebyl jsem si tím jistý, ale doufal jsem, že dostaneme stejné podrobnosti,“ řekl k SUGu.

Ačkoli většina dřívějších dokumentů a informací z bulletinů zůstala v SUGu dostupná, problém je v přístupnosti k těmto online dokumentům.

„Tento měsíc Microsoft vyřešil 46 zranitelností,“ vysvětluje Goettl. „Trvalo mi čtyři hodiny to objevit s pomocí SUGu. Minulý měsíc bylo vyřešeno 136 zranitelností a pomocí bulletinů jsem to zjišťoval dvě hodiny. Takže s bulletiny jsem udělal trojnásobné množství práce za poloviční čas.“

Nelichotivý obrázek.

Goettl viní Microsoft z toho, že administrátorům zbytečně přidělává práci a stěžuje jim přístup k informacím. Protože základem databáze jsou CVE – unikátní identifikátory každé zranitelnosti – musel Goettl pro zjištění podrobných informací otevírat velké množství stránek v prohlížeči.

„Dříve jste prostě navštívili bulletin, řekněme pro Windows 10, a tam byly vypsání vyřešené zranitelnosti a související stránky s KB, vše na jednom místě,“ vysvětluje. „Ale tento měsíc pro 26 vyřešených zranitelností jsem musel otevírat 26 webových stránek. Pro každou jednotlivou zranitelnost.“

„To pro mě bylo lehké zklamání.“

Goettl především nerozumí důvodům Microsoftu. „Nevím, jaký to má pro firmu smysl bulletiny rušit,“ popisuje. Goettl vedl webinář o bezpečnostních aktualizacích zdarma – běžná praxe v Ivanti – a mnozí účastníci sdíleli jeho údiv.

„Nikdo nechápal, proč se Microsoft snaží udělat vyhledávání informací těžší.“

Goettl prozatím doufá, že Microsoft bude naslouchat zákazníkům a udělá v SUGu změny. „Je potřeba další práce. Tímhle to nemůže skončit,“ věří.

Mezitím Ivanti vytvořilo, čemu Goettl říká „umělé bulletiny“, které dodávají informace ze SUGu zákazníkům využívajícím systém pro správu aktualizací Shavlik. Goettl potvrdil, že podobné starší systémy pod Ivanti budou dostávat podobné informace.

Kyberzločinci cílí na počítače i mobily. Podvody poznají jen pozorní

21.3.2017 Novinky/Bezpečnost Bezpečnost
Chytré telefony, tablety i klasické počítače – na všechna tato zařízení se v dnešní době zaměřují kyberzločinci. Útoků je navíc rok od roku více. Bránit se proti celé řadě z nich mohou uživatelé pomocí nejrůznějších bezpečnostních aplikací. Stejně tak je ale důležité být při práci na internetu ostražitý.
Triky počítačových pirátů jsou totiž neustále sofistikovanější a některé škodlivé kódy dokážou dokonce zablokovat i práci antivirových programů a firewallů. Pokud se tedy uživatel nechá napálit a stáhne do svého stroje nějakého nezvaného návštěvníka, antivirus jej nemusí vždy upozornit, že je něco v nepořádku – jednoduše kvůli tomu, že je zablokovaný.

V první řadě tak musí být pozorný samotný uživatel, aby si nevědomky nezaviroval vlastní stroj. Sluší se také podotknout, že obezřetnost není na místě pouze v případě klasických počítačů. Kyberzločinci se totiž stále častěji zaměřují také na mobily a tablety, kde si většina lidí se zabezpečením hlavu neláme.

Nezvané návštěvníky dokážou v počítači i mobilu odhalit speciální programy. Kromě klasických antivirů jde například o aplikace, které se soustředí pouze na špionážní software a hledání trojských koňů.

Velmi důležité jsou také aktualizace, protože právě chyby v operačním systému a nejrůznějších programech počítačoví piráti velmi často zneužívají k tomu, aby do něj propašovali nezvané návštěvníky. S jejich instalací by tak lidé neměli otálet.

Vhodné je také sledovat, jaké triky jsou aktuálně mezi kyberzločinci v kurzu. Právě díky tomu mohou být uživatelé krok před počítačovými piráty a minimalizovat tak šanci, že se nechají napálit. Níže přinášíme přehled pěti podvodů, se kterými se v poslední době mohli setkat tuzemští uživatelé.

Máme velmi důležitou zprávu
Za bankéře se vydávají počítačoví piráti v nevyžádaných e-mailech, které kolují v posledních dnech českým internetem. „Máte velmi důležitou zprávu ve vaší schránce. Chcete-li ji zobrazit, klikněte na odkaz níže,“ tvrdí kyberzločinci v podvodné zprávě. Snaží se přitom vzbudit dojem, že e-mail byl odeslán z České spořitelny.

Podvodníci se samozřejmě snaží donutit uživatele kliknout na odkaz ve zprávě, který vede na falešné stránky imitující službu Servis24, tedy internetové bankovnictví spořitelny. Pokud na podvodný web zadají důvěřivci svoje přihlašovací údaje, zpřístupní tak svůj účet kyberzločincům.

Ti navíc ihned po prvním přihlášení uživatelům tvrdí, že je jejich účet nutné ověřit prostřednictvím autorizační SMS zprávy. Pokud si ji důvěřivci nechají na svůj mobilní telefon skutečně zaslat a následně ji opíšou do podvodné zprávy, zpravidla tak rovnou přijdou o peníze na svém účtu – prozradit SMS kód je totiž stejné, jako kdyby útočníkům peníze naservírovali rovnou na zlatém podnosu. 

Váš účet je potřeba ověřit
Za bankéře se vydávají kyberzločinci i v dalším podvodu, tentokráte však pod hlavičkou Fio banky. Příjemce nevyžádaného e-mailu se snaží přesvědčit o tom, že je nutné ověřit jejich účet internetového bankovnictví.

Pozornější uživatelé mohou odhalit, že jde o podvod, hned na první pohled. Zpráva je napsaná sice česky, ale velmi krkolomně: „Vážený zákazníku, z bezpečnostních důvodů musíme ověřit svůj účet informace! Pro potvrzení klikněte zde.“

Pod slůvkem zde se ukrývá odkaz na podvodné webové stránky, jež imitují vzhled skutečného internetového bankovnictví Fio banky. Právě krkolomný slovosled je ale prvním vodítkem toho, že by uživatelé na odkaz v e-mailu neměli vůbec klikat. 

Bankovní malware se šíří přes SMS
Na pozoru by se měli mít lidé před SMS zprávami od neznámých zdrojů. Podle bezpečnostních expertů se totiž prostřednictvím nich mohou šířit škodlivé kódy. Kyberzločinci využívají stejnou taktiku, kterou již koncem ledna zkoušeli v Německu pod hlavičkou bank. Tehdy se soustředili výhradně na tamní uživatele. Aktuálně byla hrozba lokalizována i v češtině a šíří se v tuzemsku.

Problém představuje aplikace, kterou podvodníci prostřednictvím SMS zprávy propagují.
Jak vlastně útok probíhá? Součástí došlé zprávy je odkaz na stažení mobilní aplikace. Ta na první pohled nemusí s internetovým bankovnictvím vůbec souviset. „Tento nebezpečný malware se maskuje za údajnou aplikaci společnosti DHL, která však stáhne podvodnou aplikaci s názvem ‚Flash Player 10 Update‘ a ikonou společnosti DHL,“ konstatoval Štefanko.

Problém představuje právě aplikace, kterou podvodníci prostřednictvím SMS zprávy propagují. Jde totiž o trojského koně, který při otevření internetového bankovnictví podsune falešnou přihlašovací stránku. 

Chcete slevu 500 Kč?
I v případě dalšího podvodu zneužívali kyberzločinci SMS zprávy. Před několika týdny se vydávali za zaměstnance internetového obchodu Alza.cz a nabízeli lidem slevy. Ve skutečnosti se však snažili do jejich chytrého telefonu pouze propašovat škodlivý kód.

Podvodníkům jde nejčastěji o peníze.
Slevu? Raději ne...
„Vyhráváte nákup v hodnotě 500 Kč. Pokud do 12 hodin provedete objednávku přes naši aplikaci, bude zcela zdarma,“ tvrdí podvodníci v SMS zprávách. Součástí došlé zprávy je také přímo odkaz vedoucí a stažení aplikace Alza.cz, prostřednictvím které se má transakce uskutečnit. Pouze tak mohou lidé údajně vyhrát.

Ve skutečnosti však internetový obchod žádnou podobnou akci nemá. „Evidujeme podvodné SMS vydávající se za propagaci Alza.cz,“ varovali již dříve zástupci obchodu. Není nicméně vyloučeno, že stejný trik budou zkoušet počítačoví piráti pod hlavičkou úplně jiné společnosti – případnou slevu si je tak vhodné u avizované společnosti vždy nejprve ověřit. 

Nesrozumitelné klikyháky
V loňském roce se na internetu doslova roztrhl pytel s falešnými nabídkami na slevy a výhodné akce. Kyberzločinci se tak často vydávali za obchodníky nebo zástupce nějaké finanční společnosti a z důvěřivců lákali přihlašovací údaje či se jim snažili infikovat počítač škodlivým virem. Letos však přišli s daleko sofistikovanějším podvodem. Uživateli zobrazí jen roztodivné klikyháky.

Místo fontů si uživatel nainstaluje do svého počítače trojského koně.
„Byl zaznamenán nový trik, jak donutit uživatele k instalaci malwaru. V tomto případě je malware distribuován s pomocí webových stránek, na kterých se zobrazují nesmyslné znaky,“ uvedl Pavel Bašta, bezpečnostní analytik CSIRT.CZ.

Podobné znaky se často zobrazují například v textových dokumentech, pokud v počítači není nainstalovaný použitý font písem. Uživatel tak musí v praxi znakovou sadu manuálně doinstalovat, aby si mohl text přečíst.

A přesně na to sázejí počítačoví piráti. „Pokud uživatel na trik skočí, problémy mu teprve začnou, neboť si místo fontů nainstaluje do svého počítače trojského koně, nebo dokonce ransomware Spora,“ doplnil bezpečnostní analytik s tím, že s podobnými útoky se mohou uživatelé setkat i na legitimních webových stránkách, které se podaří počítačovým pirátům napadnout.

Tento GIF je podle FBI smrtící zbraň. Pozor, komu takový posíláte
21.3.2017 Živě.cz Bezpečnost
Ne často se stává, že předmětem kriminálního vyšetřování je tweet. Ale i takové případy existují. V polovině prosince byl novináři serverů Vanity Fair a Newsweek Kurtu Eichenwaldovi záměrně poslán tweet s blikajícím GIFem, jenž mu měl spustit záchvat, protože je o něm veřejně známo, že je epileptik. Nyní celý případ vyšetřuje FBI a odesílatel byl zatčen.
Tweet s agresivně blikajícím GIFem a zprávou „za svůj článek si zasloužíš záchvat“ odeslal uživatel @jew_goldstein a Eichenwaldovi skutečně záchvat způsobil. Novinář následně oznámil, že si od Twitteru dá pauzu a na útočníka podá trestí oznámení. O tři měsíce později FBI muže, jenž účet @jew_goldstein spravoval, zadržela.

Blikající GIF skutečně epileptickému novináři záchvat způsobil. Hvězda stroboskopicky přeblikávala do kontrastních barev.

Útočníkem byl 29letý John Rivello. Obviněn je z kyberšikany a podle tohoto soudního dokumentu z útoku smrtící zbraní. Novináři GIF poslal údajně kvůli jeho politickým názorům, a protože je Žid. V obvinění také stojí, že nabádal další uživatele, aby GIF muži posílali.

Jako důkaz byl použit Rivellův účet na iCloudu, ve kterém vyšetřovatelé našli odkazy na Eichenchaldovu stránku na Wikipedii a web o epilepsii Epilepsy.com.

Jak bezpečné jsou virtualizační kontejnery?

5.3.2017 SecurityWorld Bezpečnost
Jak organizace začínají používat virtualizační kontejnery pro zlepšení dodávek a agility aplikací, zabezpečení této přicházející technologie logicky získává mnohem více pozornosti.

Dodavatelé kontejnerových řešení – Docker, Red Hat a další – se intenzivně snaží uklidnit a přesvědčit trh o bezpečnosti kontejnerů. V srpnu loňského roku představil Docker funkci Docker Content Trust jako součást vydání verze Docker 1.8.

Využívá šifrování k zabezpečení kódu a verzí softwaru běžících v softwarových infrastrukturách uživatelů Dockeru. Záměrem je chránit uživatele Dockeru před nebezpečnými zadními vrátky obsaženými v bitových kopiích sdílených aplikací a dalšími potenciálními bezpečnostními hrozbami.

Docker Content Trust se zaměřuje na integritu dodaného obsahu kontejnerů Docker. V konečném důsledku jde o kryptografické podepisování nasazovaných bitových kopií Dockeru, tedy o přístup využívaný také při vývoji linuxového jádra a mnoha vývojáři a OEM výrobci vestavěných systémů, aby se zajistilo, že může dojít ke spuštění jen podepsaných bitových kopií (například v kódu Samsung Knox na platformě Android).

To je však jen jeden aspekt bezpečnosti kontejnerů. Existuje také výzva, jak zajistit, že je kód tvořící celou bitovou kopii bez zranitelností. Pokud organizace neudržují sady softwaru a portfolio aplikací tak, aby neobsahovaly známé zneužitelné verze kódu open source, jsou taková opatření jen částečným řešením.

Bez hygieny open source totiž tyto nástroje zajistí jen to, že bitové kopie Dockeru obsahují přesně stejné bity, jaké tam původně vložili vývojáři, včetně všech zranitelností přítomných v open source komponentách.

Holističtější přístup

Je potřeba, aby k výběru technologií open source docházelo informovaným způsobem. Uživatelé i integrátoři open source kódu by měli být opatrní a měli by se starat o průběžnou údržbu kódu. Je nutné znát svůj kód, protože nelze spravovat něco, co nevidíte.

Přehled o kódu uvnitř kontejnerů je kritickým prvkem bezpečnosti kontejnerů, dokonce hned vedle bezpečnosti samotných kontejnerů. Neustále totiž dochází k objevování nových zranitelností, které ovlivňují starší verze komponent open source.

Z tohoto důvodu je informovanost o nepřítomnosti zranitelností v době úvodního sestavení a nasazení nutná, ale zdaleka nestačí.

Zabezpečení obsahu kontejnerů je srovnatelné s libovolnou jinou záležitostí zabezpečení sady softwaru. Trik ale spočívá v tom, kdy a jak získat viditelnost uvnitř kontejneru během vývoje a po nasazení.

Bezpečnostní riziko, které představuje kontejner, závisí na citlivosti dat dostupných přes něj a na místě jeho nasazení, například za firewallem nebo v místě dostupném z internetu.

Weby dostupné z internetu a cloudové aplikace jsou primárními terči zločinců a samozřejmě představují nejvyšší potenciální expozici. Veřejně dostupný útočný prostor z nich dělá cíl řady útoků včetně skriptování mezi weby (XSS), metody injektáže SQL (SQL injection) a útoku DoS (odepření služby).

Vzhledem k rozšířenosti prostředí open source a dalších komponent cloudových a webových aplikací přitom dochází k významnému přínosu open source hygieny pro řešení zranitelností těchto komponent.

Nutná hygiena open source

S nárůstem používání softwaru open source v celém podniku a se současnými ostře sledovanými zranitelnostmi vyvolávajícími alarmy se stala hygiena open source nezbytnou součástí efektivní strategie zabezpečení aplikací.

Stejně jako tělesná hygiena zahrnuje neutralizaci zdrojů infekce, také hygiena open source s sebou nese nutnost udržovat sady softwaru a portfolio aplikací bez známých zneužitelných verzí kódu open source. Je to pro kontejnery stejně důležité jako pro každý jiný prvek softwarových sad.

Zranitelnosti se ve všech typech softwaru nevyhnutelně objevují a open source není výjimkou. Detekce a sanace zranitelností je v open source, jako v případě vysoce závažných zranitelností typu Heartbleed a Freak, se stále více považuje za nezbytnou podmínku bezpečnosti a klíčovou součást silné strategie zabezpečení aplikací.

Pro mnoho organizací je dnes zabezpečení aplikací svázané více než dříve se zabezpečením kontejnerů. Dobrou zprávou ale je, že pro firmy vyvíjející komplexní bezpečnostní strategie open source jsou dnes k dispozici inovativní nástroje pro získání určitého náskoku.

Tyto nástroje dokážou katalogizovat veškerý kód open source v portfoliích softwaru z celých platforem, jako jsou Linux, Android a Hadoop, jednotlivých komponent kódu a dále detailně až na úroveň částí kódu vložených do interně vyvíjeného kódu aplikací.

Tyto skenovací nástroje použité na vyžádání nebo integrované do pracovních postupů vývoje softwaru poskytují firmám důležité informace, na základě kterých je možné reagovat, aniž dojde ke zpomalení vývoje nebo prodloužení doby uvedení na trh.

Je velmi důležité vyvinout robustní postupy pro zjištění následujících skutečností:

Jaký přesně open source software je součástí aplikace nebo jejího nasazení?
Kde se tento open source software nachází ve stromech sestavení a architekturách systémů?
Má kód nějaké známé zranitelnosti zabezpečení?
Vytvoření přesného profilu rizik open source.

Zpomalí se přijímání kontejnerů?

Velké podniky dnes kontejnery implementují pro jejich prokázané výhody: vylepšenou škálovatelnost aplikací, méně chyb nasazení, kratší dobu uvedení na trh a zjednodušenou správu aplikací.

Stejně jako organizace během let změnily svůj pohled na open source a už ho nevnímají jako kuriozitu, ale jako podnikatelskou nezbytnost, vypadá to, že kontejnery dosáhly podobného bodu zvratu.

Watson jde do kognitivních bezpečnostních center

22.2.2017 SecurityWorld Bezpečnost
IBM Security ohlásila dostupnost kyberbezpečnostního programu Watson (Watson for Cyber Security), první inteligentní technologie v oboru navržené k využití v kognitivních bezpečnostních centrech.

V průběhu minulého roku se program Watson učil jazyk kybernetické bezpečnosti a zpracoval více než milion bezpečnostních dokumentů. Nyní bude bezpečnostním expertům pomáhat analyzovat tisíce výzkumných zpráv psaných přirozeným jazykem, které ještě nikdy před tím nebyly moderním bezpečnostním nástrojům zpřístupněny.

Podle průzkumu IBM bezpečnostní týmy důkladně analyzují v průměru více než 200 tisíc bezpečnostních událostí denně, což vede k více než 20 tisícům promarněných hodin ročně, které jsou vynaloženy na řešení falešných poplachů.

Zavedení kognitivních technologií do bezpečnostních center se ukazuje jako nutné a zásadní pro to, aby bylo možné udržet krok s bezpečnostními událostmi, jejichž počet se má podle předpokladů v příštích pěti letech zdvojnásobit.

Watson for Cyber Security bude integrován do nové platformy kognitivních bezpečnostních center společnosti IBM, kde se moderní kognitivní technologie spojí s bezpečnostními operacemi. Bude tak možné reagovat na hrozby cílené na koncové uživatele, sítě a cloud.

Jádrem této platformy je nástroj IBM QRadar Advisor with Watson, nová aplikace, která je dostupná na platformě IBM Security App Exchange, a která jako první využívá kyberbezpečnostní údaje programu Watson.

Tuto novou aplikaci již využívají například Avnet, univerzita v New Brunswick, Sogeti, Sopra Steria a 40 dalších zákazníků po celém světě s cílem zvýšit objem vyšetřovaných bezpečnostních událostí vedených jejich bezpečnostními analytiky.

Kvůli dramatickému nárůstu bezpečnostních incidentů společnost IBM také investovala do výzkumu zaměřeného na zavedení kognitivních nástrojů do celosvětové sítě ovládacího centra IBM X-Force. Součástí výzkumu je i chatbot řízený programem Watson, který se v současné době používá ke komunikaci se zákazníky IBM Managed Security Services.

IBM rovněž představila nový výzkumný projekt s krycím názvem Havyn. Jde o svého druhu ojedinělého bezpečnostního pomocníka ovládaného hlasem, který využívá konverzační technologii programu Watson a reaguje na verbální příkazy a přirozený jazyk bezpečnostních analytiků.

Auto vás může šmírovat! FBI využívá bezpečnostní systémy aut pro sledování i odposlech
23.1.2017 Živě.cz Bezpečnost
Bezpečnostní systémy automobilů umožňují získat polohu kradeného vozidla nebo dokonce vypnout motor
Ty stejné systémy ale lze použít ke sledování a odposlechu
FBI tyto možnost již několik let využívá

O tom, že operátoři ukládají metadata hovorů či SMS zpráv, aby je následně mohli zpřístupnit policii, víme všichni. S narůstajícím množstvím elektroniky, která komunikuje se vzdálenými servery, se však nabízí i další možnosti pro bezpečnostní orgány, jak sledovat podezřelé osoby. Jednou z nejdůležitějších kategorií jsou potom systémy v automobilech.

Za normálních okolností zvyšují bezpečnost pasažérů nebo chrání před krádeží, ovšem mohou posloužit i ke sledování či dokonce k odposlechu. Forbes se na toto téma zaměřil poté, co získal soudní spisy odkrývající rozsah využívání těchto prostředků.

Pod neustálým dohledem

Jeden z prvních případů, na které Forbes upozorňuje, pochází z roku 2014, kdy společnost Sirius XM obdržela požadavek na sledování podezřelého vozidla, jež bylo vybaveno právě trackovacím zařízením. To je primárně určeno pro nalezení automobilu v případě jeho krádeže a funguje stejně jako funkce Find My iPhone nebo alternativa pro telefony s Androidem. Pokud majitel nahlásí odcizení vozidla, operátor společnosti aktivuje tuto funkci a okamžitě tak získá polohu auta. Jeho následné nalezení tak není velkým problémem. Takto to funguje o Chevroletu:

Zároveň však jde o perfektní možnost, jak sledovat takto vybavené vozidlo v případě, že někdo potřebuje znát jeho polohu i za jiným účelem. A tím je v tomto případě vyšetřování federálního úřadu FBI. SiriusXM tedy v roce 2014 aktivovala funkci pro sledování vozidla Toyota 4runner a veškerá získaná data o poloze předávala bezpečnostním orgánům. Ty tak mohly podezřelého sledovat celých deset dnů a monitorovat každou jeho cestu. Nakonec došlo k jeho zatčení a obvinění ve spojitosti s hazardem. K tomu zásadní měrou pomohla i funkce Connected Vehicle původně určena k ochraně vozidla. Každoročně je potom prý k této spolupráci společnost vyzvána v asi pěti případech.

Chevrolet v plné výbavě, štěnice v ceně

Poté, co redaktoři Forbesu získali informace o případu sledované Toyoty začali pátrat také u dalších výrobců či poskytovatelů podobných služeb po četnosti spolupráce s FBI. Zaměřili se proto na General Motors, třetího největšího výrobce automobilů na světě.

Hackeři útočili na automobil. Přes web ovládli brzdy i motor
Prvním z případů, na který narazili, bylo sledování drogového dealera v automobilu Chevrolet Tahoe se zabudovaným systémem OnStar. Ten rovněž slouží pro ochranu a nalezení vozidla v případě krádeže. Zde však byl soudním příkazem využit ke sledování podezřelého, který byl zatčen po ujetí 540 km z texaského Houstonu do Ouchita Parish v Louisianě. Podobně dopadl další dealer, u kterého bylo nalezeno 43 gramů heroinu po sledování jeho vozidla GMC Envoy rovněž se systémem OnStar.

Nejzajímavějším případem byl však ten z roku 2007, který se stal osudný Garethu Wilsonovi. Ten ve svém Chevroletu Tahoe náhodou stisknul tlačítko pro rychlou pomoc, které kontaktuje operátora systému OnStar. A protože řidič nereagoval na jeho výzvy, aktivoval odposlech v automobilu, při němž vyslechnul rozhovor o obchodu s drogami. Následně jej zpřístupnil místnímu šerifovi, který kontaktoval další bezpečnostní složky a ty se postarali o zatčení.

Chevrolet Tahoe je těžké díky systému OnStar ukradnout, zároveň jej lze ale sledovat nebo odposlouchávat

Mluvčí GM dodává, že tyto prostředky využívá společnost pouze v nouzi, při požadavku zákazníka (krádež) anebo po soudním příkazu. Počet požadavků, které na GM a jeho systém OnStar vznáší vyšetřující orgány, společnost nezveřejnila. Podělila se pouze s číslem šesti stovek požadavků zákazníků na sledování kradeného vozidla každý měsíc.

Kde končí soukromí?

U žádného z popsaných případů obžalovaní neuspěli při obhajobě a za své činy, nejčastěji obchod s drogami, byli odsouzeni. Soudy trvají na tom, že při vyšetřování jde soukromí stranou a po zahájení trestné činnosti jej nelze očekávat.

Rozdílným případem byl Gereth Wilson, který obchod s drogami vyzradil nechtěně po stisknutí bezpečnostního tlačítka. Ani zde však s obhajobou neuspěl. Podle soudu plnil svoji povinnost jak operátor, jenž aktivoval odposlech v automobilu, tak zasahující šerif, který byl na pravděpodobné nezákonné jednání upozorněn.

Problémem jsou však potenciální případy sledování vozidel či dokonce odposlechů, jenž se nikdy k soudu nedostaly a mohly se týkat nevinných osob. Zda k takovým případům dochází a v jaké míře samozřejmě nelze zjistit, v každém případě by však šlo o vážné narušení soukromí.

Minimálně americké soudy a bezpečnostní orgány jsou v tomto případě neústupné. O tom se přesvědčila společnost ATX, která provozuje podobnou službu pro sledování vozidel a bylo požádána o zjišťování polohy podezřelého vozidla na dobu jednoho měsíce. Když ale FBI chtěla lhůtu sledování prodloužit o další měsíc, zástupci společnosti to odmítli, čímž ale tvrdě narazili. Soud společnosti pohrozil mařením vyšetřování a v případě neuposlechnutí hrozil výraznými sankcemi.

Tady si ale můžeme připomenout kauzu, která nejen americkými médii hýbala před necelým rokem – FBI vs. Apple. V té Apple odmítnul spolupracovat s vyšetřujícím úřadem, ačkoliv se jednalo o těžký zločin, při němž bylo usmrceno 14 lidí. FBI požadovala po Applu přístup do zamknutého telefonu, jenž patřil vrahovi a jehož zpřístupnění by vyšetřování usnadnilo. Apple si nakonec ale svoji pozici uhájil bez jakéhokoliv postihu nebo obvinění z maření vyšetřování. Z tohoto případu by se tedy mohl stát precedens, který by nemusel platit pouze v kategorii mobilních zařízení.

Bezpečí vs. soukromí

O tom, že podobných sledovacích funkcí bude přibývat, není sporu. Pomůže tomu rozšíření elektromobilů a později autonomních vozidel i všudypřítomné chytré elektronky. Její primární účel je jasný – zkvalitňovat lidem život. Zároveň s sebou ale přináší mnohá úskalí, mezi nimiž je i tenká etická linie mezi tím, co je (nejen) při vyšetřování nutnou praktikou a co narušením soukromí.

Skype i Facebook musí být bezpečnější, požaduje Evropská komise

1.1.2017 Novinky/Bezpečnost Bezpečnost
Pro internetové komunikační služby jako je WhatsApp, Facebook Messenger, iMessage nebo Skype by měla v Evropské unii platit přísnější pravidla o ochraně soukromí uživatelů. Navrhla to v úterý Evropská komise.
Poskytovatelé budou muset zajistit důvěrnost svých služeb, včetně údajů o komunikaci, tedy takzvaných metadat, a žádat zákazníky o souhlas s jejich případným využitím. Návrh také obsahuje zákaz libovolné formy uživatelem nevyžádané komunikace, označované často jako spam.

Změny jsou rozšířením pravidel, která se dnes v unii týkají jen klasických telekomunikačních operátorů také na poskytovatele internetového volání a textových služeb.

Unijní exekutiva dlouhodobě uzavírá mezery ve své legislativě, které se ve svém důsledku dotýkají především velkých amerických internetových společností jako je Google, Facebook nebo Apple. Za porušení navrhovaných pravidel by firmám hrozily sankce až do výše čtyř procent jejich celkového obratu.

Cíl? Zamezit zneužívání soukromých dat
"Naše návrhy doplňují rámec pro ochranu dat v EU. Zajistí, že soukromí elektronické komunikace je chráněno moderními a efektivními pravidly a že evropské instituce budou stejně vysoké standardy vyžadovat od všech členských zemí," uvedl místopředseda komise Frans Timmermans. O věci nyní budou jednat členské země a Evropský parlament, komise by ale ráda viděla jejich přijetí před 25. květnem 2018, tedy do začátku platnosti související obecné směrnice o ochraně dat.

Eurokomisařka odpovědná za spravedlnost a ochranu spotřebitelů Věra Jourová zdůraznila, že cílem je zamezit možnosti zneužívání soukromých dat sebraných z nejrůznějších nových komunikačních nástrojů. "Myslím si, že to je nutné doplnění stávající legislativy," poznamenala.

Souhlas s uchováváním zpráv
Podle návrhů komise bude třeba souhlas uživatelů nejen s nahráváním a zaznamenáváním hovorů, ale také s uchováváním textových a chatových zpráv či e-mailů. Přesně naopak bude stanoveno, kdy a za jakých podmínek je takové zachovávání povoleno.

Zjednodušit by se měla pravidla pro takzvaná "cookies", která se využívají například pro cílenou reklamu na internetu a nyní ve většině případů potřebují souhlas uživatele. V budoucnu by místo opakovaného potvrzování na každé webové stránce měl uživatel mít možnost věc nastavit přímo ve svém prohlížeči.

Uživatelé také budou muset výslovně souhlasit s jim určenou komerční komunikací bez ohledu na její formu - tedy ať už v případě e-mailu, SMS nebo chatových zpráv. V principu se to týká i marketingových telefonátů, byť zde komise nabízí členským zemím možnost postupu, kdy by lidé museli výslovně oznámit, že takové telefonáty odmítají.

Za nalezení jediné chyby v produktech Applu slibují desítky miliónů korun

4.10.2016 Novinky/Bezpečnost Bezpečnost
Doslova pohádkový balík peněz si mohou vydělat počítačoví experti, kteří přijdou na způsob, jak se nabourat do chytrých telefonů iPhone a počítačových tabletů iPad. Soutěž o 1,5 miliónu dolarů, tedy v přepočtu více než 36 miliónů korun, přitom nevypsalo vedení Applu, ale společnost Zerodium.
Lovci chyb se mají opravdu na co těšit. Vypsaná odměna je totiž doposud největší v celé historii počítačového světa.

Na desítky miliónů korun si přijde jeden šťastlivec, který jako první objeví chybu v novém operačním systému iOS 10. K čemu chtějí závažnou trhlinu v mobilní platformě využít, zatím zástupci společnosti Zerodium neprozradili.

Chyby prodávali vládním agenturám
Sluší se nicméně připomenout, že právě tato bezpečnostní firma stojí za francouzským podnikem VUPEN, připomněl server The Hacker News. Ten v minulosti prodával dosud neobjevené chyby v zabezpečení různých programů vládním agenturám po celém světě.

Ty pak byly prostřednictvím objevených trhlin schopné například sledovat konkrétní uživatele nebo propašovat do jejich přístrojů škodlivé kódy. O podobných chybách, které jsou tolik ceněné, totiž často nevědí ani tvůrci programů a daných zařízení. Zneužívat je tedy mohou agentury klidně i delší dobu.

Zerodium nicméně v minulosti vypisoval odměny také na chybu, díky níž by mohl být vyvinut tzv. jailbreak. Tedy speciální software, prostřednictvím kterého je možné na iPhonech a iPadech zpřístupnit i funkce a nastavení, které standardně uživatel konfigurovat nemůže.

Odměny slibuje i Apple
Lovce chyb láká na odměny také společnost Apple. Ty však nejsou tak vysoké jako v případě společnosti Zerodium. Podnik s logem nakousnutého jablka slibuje honorář za nalezenou trhlinu ve výši až 200 tisíc dolarů, tedy bezmála pět miliónů korun.

Odměny jsou přitom u amerického počítačového gigantu odstupňované podle závažnosti a podle toho, jakého operačního systému se týkají. Hledat trhliny totiž hackeři mohou například v mobilní platformě iOS, ale stejně tak v operačním systému Mac OS X.

Lákat na podobné odměny se snaží hackery i řada dalších společností. Stejnou strategii již například několik let razí společnosti Facebook a Microsoft.

Kardiostimulátory i další zařízení lze hacknout a ovládat na dálku

4.10.2016 Root.cz Bezpečnost
Různé medicínské přístroje umí pomoci zachraňovat život. Blíží se ale doba, kdy se mohou stát významným a nebezpečným bodem zájmu nebezpečných útočníků.
Zdravotnické přístroje provázejí péči o pacienta dlouhodobě. V minulosti však šlo o samostatná zařízení, jejichž výstup se musel do pacientova záznamu zapisovat ručně. Ať už šlo o popis rentgenových negativů, popis záznamů elektrické aktivity srdce (EKG) nebo anesteziologický přístroj kontrolující životní funkce pacienta během operace, všechny tyto přístroje zůstávaly autonomní.

Bezpečnost přístrojů nestíhá pokrok v medicíně
Rychlý technologický pokrok v medicíně i ve zdravotnické technice a IT způsobil, že se přístroje staly mnohem komplikovanější, získaly vlastní procesory a úložiště dat a napojily se do počítačových sítí ambulancí a nemocnic. Bezpečnost těchto zařízení však zůstala poněkud stranou zájmu a vývoj zabezpečení nebyl zdaleka tak překotný.

V posledním desetiletí jsme svědky podobného trendu i u mnohem menších zařízení, která má mnohdy pacient dlouhá léta přímo u sebe. Jedná se o kardiostimulátory, implantabilní defibrilátory, inzulinové pumpy u diabetiků, neurostimulátory a podobně. Donedávna bylo možno tato zařízení připojit buď fyzicky (kabelem), nebo bezdrátově pouze na bezprostřední vzdálenost speciální přikládací „čtečkou“ (elektromagnetické záření, rádiový signál). Nyní se i u těchto zařízení začínají používat další komunikační možnosti, aby umožnily pohodlnou správu jejich funkcí. Jedná se například o bluetooth, webové rozhraní administrace a podobně. To samozřejmě zpřístupňuje zařízení i nevítaným „správcům“, kteří pak mohou zařízení ovládat, například vypnout defibrilátor.

Problémy přístrojů
Na fyzickou bezpečnost přístrojů se klade velký důraz a probíhají certifikace a kontroly. Pokud jdete na rentgen, neměl by na vás přístroj spadnout nebo vám dát elektrický výboj. Na softwarovou bezpečnost přístrojů se již tolik nemyslí, a proto tato zařízení trpí nešvary, jež se jinde málokdy vidí.

Problémy se týkají „velkých“ přístrojů (ať už diagnostických – měření elektrické aktivity orgánů, tj. EKG, EMG, EEG, zobrazovací metody – rentgeny, CT, magnetické rezonance, ultrazvuky, či terapeutických – přístroje používané při operacích, včetně robotických zákroků) i „malých“ (již zmíněné kardiostimulátory, defibrilátory, inzulínové pumpy, neurostimulátory).

Kromě webových rozhraní administrace přístrojů s možností vzdáleného přístupu (výrobce či hackerů) a natvrdo nastavených přístupových údajů umožňujících plošné útoky, o kterých jsem psal v minulých článcích, se jedná o nešifrovanou komunikaci s počítačovou sítí. Nejenže lze takovouto komunikaci odposlechnout, ale také lze podstrčit záměrně nesprávná data, která pak budou uložena v systému u daného pacienta a ve správný čas mu mohou zkomplikovat zdravotní péči. U malých implantovaných přístrojů se často výrobci hájí tím, že šifrování komunikace by snížilo výdrž baterie a urychlilo nutnost výměny přístroje u pacienta (což s sebou nese také určitá rizika).

Přístroje často běží pod starým, neaktualizovaným operačním systémem, který ani nemá možnost instalovat bezpečnostní záplaty a chybí mu základní bezpečnostní prvky.

Navíc jsou přístroje často napojeny na „netechnické“ rozhraní – například elektrodou na srdeční sval. Biologická tkáň vydává tak nehomogenní signály, že je nelze s jistotou filtrovat od těch, které by mohl (teoreticky) podstrčit útočník.

Hrozby mohou být reálné a odzkoušené
U velkých diagnostických přístrojů jde spíše o možnost úniků dat. Nicméně u malých implantovaných přístrojů jde o život a často příklady znějí jako sci-fi s možností atentátu na dálku. Pojďme hned na příklady.

O možnosti napadení velkých přístrojů jsem psal již v prvním článku. Dva výzkumníci Scott Erven a Mark Collao pomocí vyhledávacího nástroje Shodan objevili, že nejmenovaná zdravotnická organizace ve Spojených státech má asi 68 000 medicínských přístrojů volně přístupných na veřejné IP adrese. Mimo jiné šlo o 488 kardiologických zařízení, 21 anesteziologických přístrojů, 133 infúzních pump, 97 magnetických rezonancí, 323 obrazových systémů PACS, 31 kardiostimulačních systémů, a další.

Divte se nebo ne, kardiostimulátory mají přirozený „backdoor“: aby bylo možno testovat, zdali přístroj správně vyhodnotí srdeční rytmus pacienta a zareaguje správně, správcovské rozhraní umožňuje lékaři simulovat na vstupu různé arytmie a sledovat, jak se přístroj zachová. Odtud ke zneužití přístroje je jen krůček: je možno na dálku přeprogramovat například defibrilátor tak, aby dal okamžitý a prudký výboj, který může pacienta usmrtit. Podobné příklady vyděsily dřívějšího viceprezidenta USA Dicka Cheneyho tak, že si nechal bezdrátové rozhraní svého kardiostimulátoru raději úplně vypnout.

Inzulínová pumpa je přístroj, který dodává pacientovi chybějící hormon inzulín. Ten snižuje hladinu cukru v krvi na normální hodnoty. Pumpu nemají všichni diabetici, ale určitý typ pacientů se bez něj neobejde a je na něm doslova životně závislá. Několik pokusů (na konferencích v Las Vegas, Miami, San Francisco) ukázalo, že i na vzdálenost 100 metrů se lze bezdrátově bez znalosti identifikace přístroje dostat k administraci systému inzulinové pumpy a aplikovat pacientovi smrtelnou dávku léku, který vede k bezvědomí a pravděpodobné smrti.

Jack Barnaby, mladý „white hat“ hacker, který na konferenci v Las Vegas ukázal útok na systém inzulinové pumpy, údajně vyvinul i software na napadení kardiostimulátorů na vzdálenost cca 15 metrů. Před jeho plánovanou prezentací na konferenci Black Hat v roce 2013 bohužel nešťastnou náhodou zemřel, takže jeho důležitá zjištění a přínos bezpečnější medicíně zůstaly nezveřejněny. Situaci se však dále věnují specialisté, např. Marie Moe, bezpečnostní expertka, která ve svém relativně mladém věku také dostala kardiostimulátor a od té doby bojuje za větší zabezpečení těchto přístrojů.

Závěr
V tomto krátkém článku jsem chtěl jen nastínit problémy zdravotnických přístrojů. Technická problematika je samozřejmě složitější a dalo by se mluvit o mnoha dalších zajímavostech – o motivaci útočníků, o útocích přímo na výrobce zařízení (kdy napadený výrobce do přístroje hromadně a nevědomky předává s firmwarem i vložený malware) či o možnosti šifrování dat s využitím šumu biologických tkání.

Je vidět, že útočníci mohou mít o zdravotnických přístrojích velmi dobře dostupné informace (produktové manuály, patenty), což jim samozřejmě hraje do karet. Když k tomuto základu přidáte staré a neaktualizované operační systémy přístrojů, neaktualizovaný firmware, chybějící základní bezpečnostní prvky, jednoduchá webová rozhraní pro adminy a neautorizovanou a nešifrovanou komunikaci, máte ideální koktejl, který může vést v lepším případě k ohrožení dat a v horším případě i k ohrožení života pacienta.

Bezpečnostní experti bijí na poplach. Počítačových hrozeb výrazně přibylo

4.10.2016 Novinky/Bezpečnost  Bezpečnost
Obezřetnost před škodlivými kódy není nikdy na škodu. V poslední době to ale platí dvojnásob, neboť počítačoví piráti šíří nebezpečné viry daleko více než kdy dříve. Cílí přitom nejčastěji na organizace a firmy. Vyplývá to z výroční studie bezpečnostní společnosti Check Point, která pojednává o malwaru šířícím se v průběhu uplynulých 12 měsíců.
„Neznámý malware i nadále exponenciálně roste a vyvíjí se. Výzkumníci zjistili devítinásobné zvýšení počtu neznámého malwaru útočícího na organizace. Částečně je to i vina zaměstnanců, kteří každé čtyři sekundy stáhnou nový neznámý virus,“ uvedl David Řeháček, bezpečnostní odborník ze společnosti Check Point Software Technologies.

Podle něj bylo v uplynulém roce každý měsíc objeveno téměř 12 miliónů nových variant škodlivých kódů. Za poslední dva roky tak bylo objeveno více nezvaných návštěvníků než v celém předchozím desetiletí.

Hrozby pro mobilní zařízení
Alarmující je situace především u mobilních zařízení, jako jsou chytré telefony a počítačové tablety. Na těchto platformách totiž bezpečnost zaostává za vývojem.

Riziko to představuje opět především pro organizace a společnosti. „Jeden z pěti zaměstnanců je příčinou narušení bezpečnosti podnikové sítě prostřednictvím mobilního malwaru nebo škodlivého wi-fi připojení,“ doplnil Řeháček.

Letos v létě se například ukázalo, že jsou kyberzločinci schopni ovládnout cizí smartphone na dálku. Nezvaného návštěvníka mohli na chytrý telefon propašovat kvůli chybě v ovladačích čipsetu od společnosti Qualcomm. Hrozba se tehdy týkala více než 900 miliónů mobilů. [celá zpráva]

Pozor na e-maily a multimédia
Nejčastěji přitom počítačoví piráti útočí především formou e-mailů, velmi populární jsou především nejrůznější phishingové podvody.

Propašovat nezvaného návštěvníka na cizí zařízení kyberzločinci zkoušejí také prostřednictvím multimédií. Například se důvěřivce snaží přesvědčit o tom, že pro sledování zvoleného videa potřebují nainstalovat nějaký plugin. Lidé si ale místo něj do svého stroje stáhnou virus.

Z Česka se stala internetová velmoc. Avast dokončil miliardovou akvizici

3.10.2016 Novinky/Bezpečnost Bezpečnost
Česká republika se stala velmocí na poli zabezpečovacích programů pro počítače. Je to zásluha společnosti Avast, která koupila majoritní podíl v konkurenční nizozemské společnosti AVG. Celý obchod měl hodnotu 1,3 miliardy dolarů, tedy v přepočtu 32 miliard korun.
Plánovanou akvizici obě společnosti oznámily již na začátku července, dokončena však byla podle zástupců společnosti Avast až na konci minulého týdne. [celá zpráva]

Avast měl před akvizicí 230 miliónů uživatelů. "Nový Avast má více než 400 miliónů zákazníků, pokrývá více než 40 procent domácích počítačů po celém světě s výjimkou Číny, což představuje největší uživatelskou základnu na světě v oblasti zabezpečení osobních počítačů. Kdybychom si je představili jako stát, tvořili by naši uživatelé třetí nejlidnatější zemi světa," řekl šéf Avastu Vince Steckler.

Ten zároveň připustil, že jejich největším trhem jsou Spojené státy, ze kterých pochází na 58 miliónů uživatelů. Podle něj bude převážná část manažerského a vývojářského týmu působit v České republice.

České kořeny
Historie značky Avast se datuje už od konce 80. let. Tehdy dva čeští počítačoví nadšenci Eduard Kučera a Pavel Baudiš vytvořili program, který nazvali anti-virus advanced set (AVAST). Ten se za svou existenci stal velice populárním.

Jedním z důvodů je jistě fakt, že jej firma pro domácí a nekomerční využití nabízí zadarmo. Vedle toho jsou samozřejmě k dispozici i placené verze, které nabízejí více funkcí.

Sluší se připomenout, že AVG Technologies má kořeny také v České republice. Založena totiž byla v roce 1991 v Brně, tehdy ještě pod původním názvem Grisoft. Od té doby expandovala prakticky do všech koutů světa, pobočky má nyní v USA, Velké Británii, Nizozemku, Německu a samozřejmě i v Česku.

Bezpečnostní programy od AVG jsou v současnosti nabízeny ve 22 světových jazycích. Jaký je čeká po akvizici osud, zatím není jasné.

Internetová bezpečnost: Flash vs. HTML5

25.9.2016 SecurityWorld Bezpečnost
Jste už znechuceni z bezpečnostních děr v řešeních postavených na technologii Flash? Pak vězte, že i HTML5 má své zranitelnosti.

Technologie HTML5 se propagovala jako přirozený a na standardech založený nástupce proprietárních modulů plug-in, jako jsou například přehrávače Adobe Flash Player, pro poskytování bohatých multimediálních služeb na webu. Pokud však jde o bezpečnost, která je jednou z hlavních slabin technologie Flash, ani HTML5 není všelékem.

Ve skutečnosti má HTML5 své vlastní bezpečnostní problémy. Julien Bellanger, výkonný ředitel společnosti Prevoty, která se zabývá monitorováním zabezpečení aplikací, prohlašuje že HTML5 složitost zabezpečení nesnižuje, ale naopak zvyšuje. Upozorňuje, že nad bezpečností HTML5 visel mnoho let otazník a za tu dobu se situace nijak nezlepšila.

Bellanger uvádí následující rizika přinášená technologií HTML5:

Exploity vykreslování obrazu pozadí (canvas image), které mohou způsobit přetečení zásobníku využitelné hackerem k injektáži kódu do relace.
Skriptování mezi weby (XSS), při němž mohou narušitelé ukrást informace z relace v prohlížeči.
SQL injection – záškodnický dotaz se v prohlížeči použije k získání informací z databáze.
CSRF nebo také XSRF (Cross-Site Request Forgeries) s převzetím tokenu uživatele a jeho následným použitím k vydávání se za dotyčného uživatele na webu.

Použití HTML5 také odhaluje více toho, co je k dispozici v počítači či mobilním zařízení, jako jsou například místní úložiště a poloha zařízení. „Aplikace HTML5 mohou přistupovat k těmto platformám, existuje zde možnost zneužití,“ upozorňuje Dan Cornell, technologický ředitel společnosti Denim Group, která poskytuje poradenství v oblasti kybernetické bezpečnosti.

Nezabezpečené prohlížeče

„Problém spočívá v tom, že prohlížeče jsou ve své podstatě nezabezpečené,“ vysvětluje Kevin Johnson, výkonný ředitel konzultační firmy Secure Ideas. Poznamenává, že HTML5 například neposkytuje žádnou ochranu prostřednictvím tzv. sandboxu, jako může poskytnout Flash v prohlížeči Chrome.

„Dalším problémem je, že do HTML5 přidáváme významnou složitost, aniž přidáváme stejnou úroveň kontroly pro uživatele,“ upozorňuje Johnson. Flash si alespoň mohou uživatelé vypnout. HTML5 ale vypnout nelze.

Stále slibující

Navzdory chmurným vyhlídkám nabízí HTML5 naději pro lepší bezpečnost, pokud tvůrci prohlížečů udělají správnou věc, tvrdí Cornell z Denim Group. „Dodavatelé browserů musejí přemýšlet o svých plánech podpory HTML5 a integrovat zabezpečení do svých implementací již od začátku,“ vysvětluje Cornell.

Podle něj mnoho nových funkcí představených v jazyce HTML5 aplikacím poskytuje přístup k citlivému vybavení, takže je potřebné to odpovídajícím způsobem ošetřit.“

A Johnson dodává, že dodavatelé prohlížečů by měli poskytnout uživatelům možnost vypínat funkce, které nechtějí nebo jim nevěří.

Počet používaných prohlížečů také přináší určitou bezpečnost, protože zranitelnosti přítomné v jednom prohlížeči nemusejí existovat v ostatních browserech, uvádí Cornell. To snižuje riziko univerzálně zneužitelné chyby, jaké existuje v případě technologie Flash.

Vývojáři prohlížečů rovněž pracují na celkovém zlepšení zabezpečení, tvrdí Richard Barnes, vedoucí zabezpečení Firefoxu v Mozille. Konkurence mezi Googlem, Microsoftem, Mozillou a Applem znamená ohrožení jejich pověsti v případě problémů se zabezpečením. Všichni hlavní tvůrci prohlížečů proto mají silné bezpečnostní týmy, poznamenává Barnes.

Existuje také celooborové úsilí s cílem zlepšit zabezpečení pro všechny, zmiňuje Barnes. Například ve vývoji je univerzální metoda šifrování a tvůrci prohlížečů se snaží poskytovat uživatelům více informací a kontroly nad tím, co o nich web ví.

Na cestě je také pomoc standardizačního orgánu. Konsorcium W3C (World Wide Web Consortium), které dohlíželo na vývoj HTML5, má svůj návrh specifikace CSP (Content Security Policy, zásady zabezpečení obsahu).

Wendy Seltzerová z W3C uvádí, že nabízí jazyk zásad pro autory webů k omezení aktivního obsahu na jejich webech a ochranu proti injektáži skriptů. Existuje také snaha o vytvoření specifikace bezpečného obsahu (Secure Content), která by měla zajistit, aby výkonné webové funkce pracovaly jen v zabezpečených a ověřených kontextech.

Bezpečnost však nakonec musejí zajistit zejména aplikace, ať už běží v prohlížeči nebo v operačním systému. Bellanger ze společnosti Prevoty doporučuje, aby vývojáři používali návod vytvořený Microsoftem pro životní cyklus bezpečného vývoje, který je určený k zesílení odolnosti aplikací vůči narušením.

„Vývoj aplikace, tak aby byla co nejbezpečnější, je stále odpovědností samotných vývojářů,“ uzavírá Bellanger.

Gartner: výdaje na bezpečnost dosáhnou 81,6 miliard USD

17.8.2016 securityworld Bezpečnost
Celosvětové výdaje v oblasti informační bezpečnosti v letošním roce podle analytiků společnosti Gartner porostou o 7,9 %. Největší část peněz půjde do oblasti konzultací a IT outsourcingu, v následujících letech nicméně nejvíce poroste oblast bezpečnostního testování, společně s outsourcingem a prevencí ztráty dat (DLP).

Oblast bezpečnostní prevence bude nadále vykazovat silný růst, neboť řada manažerů bezpečnosti preferuje právě pořizování preventivních opatření. Nicméně řešení jako je správa bezpečnostních informací a událostí (SIEM) či bezpečné webové brány (SWG) nabízejí stále více možností jak bezpečnostní hrozby detekovat a reagovat na ně.

Oblast SWG podle analytiků tak do roku 2020 poroste tempem 5 až 10 procent ročně s tím, jak se organizace budou stále více zaměřovat na detekci a reakci na útoky.

„Rostoucí zájem o řešení pro detekci a odražení útoků je důsledkem neúspěšnosti preventivních opatření při ochraně před agresivními útočníky,“ vysvětluje analytička společnosti Gartner Elizabeth Kimové. „Jednoznačně proto organizacím doporučujeme, aby rovnoměrně investovaly do obou oblastí.“

Podle Kimové budou výdaje na bezpečnost stále více inklinovat směrem ke službám, zejména v důsledku nedostatku vhodných odborníků na pracovním trhu. Objevují se služby jako řízená detekce a odražení útoků (MDR), o něž je zájem zejména mezi organizacemi, které bojují s efektivním nasazením a správou řešení v této oblasti – zejména v případě pokročilých cílených útoků nebo interních hrozeb.

Stále více poskytovatelů MDR se zaměřuje také na středně velké organizace a analytici proto očekávají, že právě tato oblast přispěje k růstu výdajů na bezpečnost jak u velkých, tak u středních a menších podniků.

Naopak růst výdajů v oblastech, jako je bezpečnostní software a řešení pro koncové zákazníky, zabezpečení emailových bran nebo ochrana koncových zařízení, postupně zpomaluje zejména kvůli jejich komoditizaci.

Analytici Gartneru vydali pro oblast informační bezpečnosti také několik předpovědí:

Průměrná prodejní cena firewallů poroste v následujících dvou letech o 2-3 % ročně. Souvisí to zejména s vyšší poptávkou po špičkových modelech ze strany poskytovatelů cloudových i jiných služeb.

Do roku 2018 nasadí 90 procent organizací (tedy o polovinu více než dnes) alespoň jeden typ integrovaného řešení typu DLP. Tato řešení byla doposud nasazována zejména proto, že je vyžadovala legislativa či předpisy, případně pro ochranu duševního vlastnictví, monitoring a zvýšení viditelnosti dat. Nová generace DLP nicméně nabízí analýzu uživatelských entit a chování, analýzu obrazu, strojové učení či techniky pro porovnávání dat.

Rostoucí využívání veřejného cloudu v nejbližších třech letech výrazně neovlivní výdaje na nákup firewallů, následně se ale začne výrazněji projevovat. V minulém roce byly služby SaaS „první“ volbou jen pro 16 % dotazovaných CIO. Přesun do cloudu bude tedy probíhat pozvolna - oblast bezpečnosti SaaS (ale také IaaS a PaaS) budou postupně pokrývat poskytovatelé služeb CASB (zprostředkovatelé zabezpečeného přístupu do cloudu). Výrobci firewallů budou také muset vyřešit otázku „masivního“ dešifrování SSL.

Polovina středních a větších organizací bude do roku 2019 u svých firewallů požadovat pokročilé funkce monitorování provozu. Požadavky na výkon a propustnost už nebudou pro velkou část zákazníků jediným kritériem: mezi stále častěji požadované funkce budou patřit nejen filtrování webových paketů či prevence průniku, ale také izolace (sandboxing) malware.

Na hackery si došlápnou i vojenští zpravodajci

9.5.2016 Bezpečnost
Konflikty na Ukrajině a v Sýrii ukazují, že útok hackerů může ohrozit obranu státu stejně jako cizí armáda. Vojáci kybernetickou válku už zařadili na roveň pozemním a leteckým operacím.
Podle informací Práva už začali zpravodajci budovat v Praze centrálu, z níž budou sledovat podezřelé pohyby na síti. Ilustrační snímek
Zbraně proti hackerům mají po policii nově získat i armádní špióni. Ti by podle novely zákona o Vojenském zpravodajství, které ministerstvo obrany už poslalo do připomínkového řízení, měli dostat možnost používat např. sledování a odposlouchání i na poli kybernetické obrany.

Návrh zákona nařizuje pod hrozbou finanční sankce operátorům a poskytovatelům internetu umožnit armádním špiónům napojit se na počítačovou síť a monitorovat ji. Za tuto službu a za poskytnutá data by měla obrana platit.

Podle informací Práva už začali zpravodajci budovat v Praze centrálu, z níž budou sledovat podezřelé pohyby na síti. V případě, že zjistí nepravosti, budou moci proti hackerům zasáhnout.

„Konkrétní nasazování a používání technických prostředků bude stanovovat vláda jako kolektivní orgán, čímž bude zajištěna nezbytná míra kontroly nad činností Vojenského zpravodajství v této oblasti,“ stojí v materiálu.

Útočníky odstřihnou
Jaké konkrétní prostředky budou moci zpravodajci nasadit, obrana z bezpečnostních důvodů nezmiňuje, aby neodkryla své slabiny. Je ale jasné, že v případě podezření budou zpravodajci moci sledovat nejen formální znaky datového toku, ale i jeho obsah.

V nedávném rozhovoru pro Právo šéf Vojenského zpravodajství Jan Beroun naznačil, co jeho podřízení budou dělat.

„Nejdříve budeme muset poznat, jací jsou protivníci a jaké mají chování. Nejjednodušší obrana samozřejmě je, že budeme mít schopnost vypnout elektronický tok, odkud útok bude přicházet. Ale musíme mít dopředu analyzované, jaké dopady takový krok bude mít, aby nepřinášel větší škody než samotný útok,“ prohlásil Beroun.

Dodal, že ochrana by se měla týkat především útoků, které „míří na srdce, na klíčové systémy státu“, a to nejen ministerstva, ale třeba i na jaderné elektrárny.

Také počítačový odborník Tomáš Přibyl předpokládá, že zpravodajci dostanou možnost útočníky odpojit. „Určitě budou mít možnost zjistit maximum informací o zdroji i o detailech komunikace, aby útok mohli odrazit, tedy odstřihnout od sítě,“ řekl Právu Přibyl, který v Řitce u Prahy provozuje výcvikové centrum proti kybernetickým útokům.

Neumím si představit, že by vláda byla tak rychlá, aby se v případě potřeby okamžitě sešla, aby věc schválila
Andor Šándor, bývalý šéf vojenských zpravodajců
Podle odborníků jde zákon dobrým směrem, ale může přinést řadu komplikací a pokušení. „Těžko něco proti takovému návrhu namítat,“ řekl Právu bývalý šéf vojenských zpravodajců Andor Šándor. Podle něj ale zní alibisticky ustanovení, kdy by o použití technických prostředků k zabránění kyberútoku měla rozhodovat vláda.

„Neumím si představit, že by vláda byla tak rychlá, aby se v případě potřeby okamžitě sešla, aby věc schválila,“ uvedl. Expert na kybernetickou bezpečnost Vladimír Lazecký má obavy, aby špióni nedostali větší pravomoci, než potřebují.

„Tento návrh mi nevadí, ale za velmi nebezpečné bych považoval to, o co se snaží v USA či v Británii, kdy nutí lidi, kteří si komunikaci šifrují, aby jim poskytli dešifrovací klíče, a když to neudělají, tak je kriminalizují,“ řekl Právu.

Dnes má podle zákona na starosti kybernetickou bezpečnost Národní bezpečnostní úřad (NBÚ). V Brně provozuje centrum, které pomáhá státním institucím i důležitým podnikům bojovat proti hackerům.

Podle mluvčího NBÚ Radka Holého nevnímají plány resortu obrany jako konkurenci. „Určitě to nebude kolidovat. Od počátku jsme s obranou ve spojení a pomáháme si,“ sdělil Právu.

ESET: útočníci používají stále více druhů zranitelností
6.5.2016 Zdroj:Živě Bezpečnost

Podívejte se, jak to vypadá ve slovenské centrále společnosti ESET zaměřené na IT bezpečnost
Na co si dát pozor, abyste nepřišli o data na Windows, OS X nebo Androidu?
Největším trendem je ransomware
ESET: útočníci používají stále více druhů zranitelností
Společnost ESET založenou v roce 1992 (reálně už zakladatelé vyvíjeli produkt od roku 1987) asi v našich končinách netřeba díky produktu NOD32 nebo Smart Security příliš představovat, stejně jako například konkurenční Avast nebo AVG. ESET je stále soukromou společností, ale daří se jí růst po celém světě.

Momentálně už má téměř 1 200 zaměstnanců, třetina z nich přitom tvoří inženýry. Software pro koncové uživatele i firmy je distribuován po celém světě a s tím souvisí i šíře podpory a získaná data. Jak to vypadá přímo v centrále ESETu, jaké jsou trendy a další spoustu zajímavostí, to se díky reportáži dozvíte v článku.

NOD: Nemocnice na Okraji Disku

Trochu vtipným začátkem je původ značky prvního produktu NOD, který vycházel z tehdy populárního seriálu „Nemocnice na kraji města“. Protože původní tvůrci viděli jasnou spojitost s viry, se kterými se musí potýkat i živé organismy.

ESET se může pochlubit velkou spoustou ocenění v mnoha testech antivirů a bezpečnostního softwaru po celém světě, i když je konkurence v této oblasti poměrně velká. Podle IDC je ESET pětkou v celosvětovém srovnání, ale třeba v Japonsku je ESET nejoblíbenějším řešením a tvoří jeden z největších trhů. Software používá přibližně 100 milionů uživatelů, ale pokud jde o rozdělení mezi koncovými řešeními a firemními, je to přibližně 50 na 50.

Počet zaměstnanců ESETu se v rámci celého světa dostane brzy na k 1 200, třetina tvoří R&D

Pokud jde o vývoj, ESET má týmy u nás v Praze a Jablonci nad Nisou, několik dalších pak i v ostatních zemích. Ve všech zemích kde je ESET k dispozici jde ale hlavě o distributory. Zástupci se vyjádřili i k problému dostupnosti mladých „mozků“, které je stále těžké získat. Obory zaměřené na kyberbezpečnost teprve začínají a po letech ve školách je situace na trhu stejně zcela jiná. Realitou je tak většinou jediné řešení - je nutné si nadané studenty „vychovat“.

Houston aneb hlavní kontrolní centrum

Vývoj antiviru se dělí na dvě části – JAK detekovat (jádro) a CO (viruslab). Detekce se točí kolem velkého množství vzorků virů pro zlepšení přesnosti rozpoznání i s možností univerzálního použití (už nejde o hashe jako v historii). Cílem je, aby bylo možné signaturou pokrýt desítky tisíc virů ze stejné třídy, ale zároveň aby nedocházelo k falešné detekci.

Houston - centrální místnost

Denně na servery ESET chodí 300 tisíc unikátních souborů, které ještě nikdy předtím nebyly rozpoznané a dále se automaticky zpracovávají. Tvůrci škodlivých programů totiž často používají právě polymorfismus, který automaticky generuje obrovská kvanta verzí souborů (virů) které se liší a nějaký jednoduchý systém rozpoznání pomocí hashů tak už není možný. Jádro malwaru zůstává většinou zachované nebo se v rámci verzí mění velmi málo, ale co se mění hodně, jsou různé „ochranné vrstvy“ binárních souborů.

Hlavní obrazovky v „Houstenu“ ukazují detekce malwaru na jednotlivých místech planety, kde uživatelé zároveň používají ESET. Čím červenější, tím větší počet

V rámci viruslabů mezi sebou jednotlivé společnosti spolupracují, konkurence je hlavně v technologii a marketingu. Po automatickém zpracovávání se do zajímavých souborů a zkoumání pouští i lidští analytici, kteří mají k dispozici dva počítače – jeden pro běžnou práci napojený na firemní síť a druhý počítač, který je na oddělené síti a může se na něm infikovaný soubor pouštět pro sledování jeho chování v reálném čase. Zkoumání může probíhat klidně i hodiny či dny, pokud jde o podrobnější vyšetřování většího nebezpečí či útoku, tak i měsíce.

Karel JavĹŻrek
Zvětšit video
Masivní nástup ransomware na desktopu i Androidu

Ransomware je druh malwaru, který různým způsobem blokuje přístup k zařízení nebo k vašim datům a pro odemknutí vyžaduje různě vysoké výkupné, které musíte zaplatit. Moderní ransomware používá i techniky pro urychlení zaplacení, například časový odpočet, po kterém odmaže tisíc souborů a podobně. Některé už jsou vychytané na takové úrovni, že po infekci uživatel nějakou dobu nic nepozná, potichu vyčkávají a objeví se například až po týdnu a podobně.

Často se využívá sociálního hackingu a cílem je přesvědčit uživatele, aby souboru důvěřoval

Nejhorším problémem je, že propracovaný malware dokáže simulovat na Windows i na Androidu například přihlašovací obrazovky, díky čemuž dokáže donutit uživatele zadat administrátorské heslo do falešného pole a tak ho získat. Vzhledem k tomu, že ransomware soubory zašifruje nebo přístup do systému zahesluje, takřka neexistuje systém „vyčištění“. I když některé starší lze už dnes odšifrovat, moderní už používají silné šifry, takže zašifrované soubory nelze rozšifrovat.

Ukázky ransomwaru a požadavků na výkupné pro dešifrování dat

Uživateli tak nezbývá než zaplatit nebo přijít o data. Tvůrci ransomware díky tomu získávají obrovské množství peněz, což jim umožňuje ještě dále vylepšovat tento typ malwaru a celého systému. Už se dokonce objevují i ransomware nejen s návodem, ale i podporou, která vám poradí, jak pomocí bitcoinu zaplatit a získat dešifrovací klíč. Vše je pochopitelně řešené přes TOR a darknet.

Tvůrcům ransomwaru nechybí ani kreativita a klidně si zahrají hru, kdy vám smažou tisíc souborů za 24 hodin nebo po každém restartu počítače

Podle statistik už jedna z pěti organizací zažila útok pomocí ransomware, problém ale je, že se většinou vše tají, protože by to znamenalo ztrátu reputace, takže často raději zaplatí. Útočníci tak z tohoto přístupu začínají mít skvělý byznys, protože některý ransomware má schopnost šifrovat i data na vzdálených discích, zálohách a dalších zařízení na síti a v takovém případě firmě nezbývá nic jiného, než zaplatit. Výsledek je přitom nejistý, ani poté totiž nemají jistotu, že dešifrovací klíč dostanou a útočník může klidně požadovat ještě větší výkupné.

Jak se vyvarovat infekci?

Mezi hlavní kanály, jak se malware dostane na počítač, patří stažení aplikací z internetových stránek, stažení infikovaných aplikacích z „oficiálních“ webů známých aplikací, infikovaná příloha v emailu a trojan, který dodatečně stáhne škodlivý soubor. Samostatnou kapitolou je pak ruční vzdálená instalace přes vzdálenou plochu na daný počítač.

Základ tak je nestahovat nejen aplikace „třetích“ stran do operačních systémů, ale také si dát pozor i na ty, které se tváří jako oficiální. Jeden z případů ukázal, že útočníci vytvořili duplicitní web na stažení běžně používaného zdarma dostupného softwaru, přičemž po kliknutí na odkaz se většinou začal stahovat oficiální soubor. Pro počítače s vybranou ip adresou však došlo ke stažení upravené infikované verze, která se však tvářila zcela normálně a uživatel nic nepoznal ani po instalaci.

KeRanger se dostal do OS X přes infikovanou aplikaci Transmission přímo na oficiálních stránkách, protože měl i legitimní vývojářský certifikát. Došlo tak ke třem úspěšným podvodům v jednom až k finální instalaci na počítač uživatele

V případě desktopu to platí pro Windows i pro OS X. Na Androidu se rovněž vyvarujte stahování a instalací aplikací třetích stran, vždy používejte pouze oficiální obchody - App Store, Play Store, Windows Store a kontrolujte recenze, zda nejsou podezřele negativní.

Aktualizujte vše, zálohujte vše a používejte antivirus

Dalším problémem, který se rozmáhá, je že záškodníci dokáží do počítače nejdříve dostat neškodný program a s kódem, který žádný antivirus nedetekuje, protože nic škodlivého nedělá.

Avšak i taková aplikace může například prohledat systém a zjistit slabinu například v neaktualizované verzi Acrobat Readeru a podobně, dodatečně získá zvýšená práva a zajistí funkční malware skrze tuto díru. Proti tomuto se nelze ochránit žádnou databází a detekcí, proto moderní antiviry prohledávají počítač na programy, které jsou staré a neaktualizované a jsou tak potenciálním nebezpečím.

Další důležitou částí je zálohování, ideálně velmi často a v nejlepším případě do offline zálohy, která tak nemůže být zašifrovaná pomocí ransomware. Třetí základní radou je pochopitelně používání antiviru nebo podobného bezpečnostního řešení.

ICT technologie mění budoucnost bezpečnosti

27.4.2016 Bezpečnost
Ericsson přišel se studií, která se zabývá problematikou a využitím informačních technologií v souvislosti s budoucností veřejné bezpečnosti. Ke zlepšení efektivity a pruduktivity mohou významnou měrou přispět právě technologie, přičemž základním východiskem je pochopení a řízení systému toku informací.

Klíčovým faktorem výsledku zásahu je vždy čas, který uplyne mezi momentem nahlášení mimořádné události a reálným příjezdem pohotovostních složek. Například ze studie Skotské záchranné služby a Glasgow University vyplynulo, že zkrácení doby odpovědi zdravotní záchranné služby z patnácti na pět minut zdvojnásobilo míru přežití pacientů se srdečním infarktem.

Organizace, jejichž úlohou je zachraňovat životy lidí by mimo jiné měly být schopné koordinovat všechny ostatní složky zapojené do zásahů v případě ohrožení.

„Tuto schopnost podporuje celá škála systémů. Každý z nich je možný implementovat samostatně, ICT technologie však umožňují sdílení informací a zdrojů, což přispěje ke zvýšení jejich efektivity,“ říká Jiří Rynt ze společnosti Ericsson.

Proces vývoje efektivních řešení na bázi ICT začíná u jejich struktury a vychází z úlohy, kterou má organizace plnit. Každý zásah pohotovostních složek sestává z hierarchicky uspořádaných kroků zahrnujících vybavení, systémy nebo lidské zdroje.

Jednotlivé organizace musí individuálně vyhodnotit, jakým způsobem mohou ICT technologie změnit každou úroveň této hierarchie. Patří sem faktory jako jednoduchost a dostupnost zavádění, které by měly vést organizace k využívání řešení založených na otevřených standardech.

Viry terorizují počítače i mobily

22.4.2016 Bezpečnost
S novými viry se v posledních týdnech doslova roztrhl pytel. Tyto škodlivé kódy se přitom již nezaměřují pouze na klasické počítače, stále častěji se je kyberzločinci snaží propašovat také do chytrých telefonů.

Důvod je jasný. Zatímco na zabezpečení počítačů si většina uživatelů dává již velký pozor, u mobilů řeší riziko kybernetických útoků málokdo. A to platí i o počítačových tabletech.

Přitom právě na zmiňovaných zařízeních uživatelé velmi často uchovávají citlivé osobní údaje, přístupová hesla a v neposlední řadě je používají také k obsluze svých bankovních účtů. Právě poslední zmiňovaná činnost je pro počítačové piráty patrně nejatraktivnější.

Pokud se počítačoví piráti dostanou k přihlašovacím údajům do internetového bankovnictví, jsou jen krůček od vybílení účtu. Stačí, aby se jim podařilo na telefon propašovat dalšího nezvaného návštěvníka, který dovede odchytávat SMS zprávy pro potvrzení plateb.

Důležitá je prevence
Před podobnými nezvanými hosty dokážou počítače, tablety i chytré telefony ochránit speciální programy. Kromě klasických antivirů jde například o aplikace, které se soustředí pouze na špionážní software a hledání trojských koňů.

Jiné programy zase dokážou v operačním systému nalézt tzv. keyloggery, které jsou schopné zaznamenávat stisk každé klávesy a nasbíraná data odesílat útočníkovi.

Na PC i mobilu by měl být nainstalován vždy jen jeden bezpečnostní program svého druhu. Dva antiviry na disku dokážou udělat pěknou neplechu. Samotný antivirus ale zárukou bezpečí není.

Velmi důležité jsou také aktualizace, protože právě chyby v operačním systému a nejrůznějších programech počítačoví piráti velmi často zneužívají k tomu, aby do přístroje propašovali nezvané návštěvníky.

Nebezpečný trojský kůň číhá na lechtivých webech
Řada uživatelů používá tablety a chytré telefony nejen k přístupu na internet, ale také ke sledování filmů a dalších videí. A právě toho se snaží zneužít počítačoví piráti, kteří za aktualizaci populárního přehrávače Flash Player schovají trojského koně.

Nezvaný návštěvník se jmenuje Marcher a zpravidla se ukrývá na webech s erotickým obsahem. Útok přitom probíhá prakticky vždy stejně. Ve chvíli, kdy se uživatel pokusí spustit video, je vyzván k aktualizaci Flash Playeru, místo ní si přitom do svého přístroje stáhne trojského koně.

Právě na pornostránkách se ukrývá Marcher nejčastěji. Stejným způsobem ale může být šířen také prostřednictvím webů pro sledování virálních videí a pro šíření nelegálních kopií nejrůznějších filmů a seriálů.

Bezpečnostní experti ze společnosti Zscaler doposud zachytili tohoto trojského koně na zařízeních s operačním systémem Android. Není ale vyloučeno, že se bude vyskytovat také na počítačových tabletech a chytrých telefonech postavených na jiných platformách.

Uživatelé si přitom ani nevšimnou, že bylo jejich zařízení infikováno, protože trojský kůň vlastně na první pohled nic nedělá a jen vyčkává na svou příležitost. Pokud se uživatel bude prostřednictvím oficiální aplikace Google Play snažit stáhnout nějakou aplikaci, vyskočí mu falešné okno se žádostí o vložení platební karty. Tak se podvodníci poté dostanou k cizím penězům.

Útočí přes SMS zprávy, pak vybílí účet
Nový trik začali v posledních dnech zkoušet počítačoví piráti na tuzemské uživatele. Vylákat přihlašovací údaje k internetovému bankovnictví se snaží prostřednictvím SMS zpráv. Poté jim už zpravidla nic nebrání v tom, aby lidem vybílili účet. Před novou hrozbou varovali zástupci České spořitelny.

SMS zprávy se snaží vzbudit dojem, že je odesílá Česká spořitelna. Ta přitom s klientem skutečně touto formou v některých případech komunikuje. I jinak velmi ostražití uživatelé se mohou nechat relativně snadno napálit.

Jedna z podvodných zpráv informuje o zablokování internetového bankovnictví, tedy služby Servis 24. „Vážení kliente České spořitelny, dosáhli jste maximálního možného počtu pokusů o přihlášení do služby Servis 24. Pro odblokování Vašeho účtu se přihlaste zde. Vaše Česká spořitelna,“ tvrdí podvodníci.

Pod slovem zde se přitom ukrývá odkaz na podvodné webové stránky, kde chtějí počítačoví piráti po uživateli zadat přihlašovací údaje k internetovému bankovnictví. Pokud to důvěřivci skutečně udělají, dají kyberzločincům přímý přístup ke svému bankovnímu účtu.

Nová hrozba se logicky týká pouze majitelů chytrých telefonů. Starší mobily bez webových prohlížečů a přístupu k internetu totiž nedovedou odkazy v SMS zprávách otevírat.

Flash Player nahrává vyděračským virům
Oblíbený program Flash Player od společnosti Adobe, který slouží k přehrávání videí na internetu, má kritickou bezpečnostní chybu. Tu už začali zneužívat počítačoví piráti k šíření vyděračských virů. Vývojáři z Adobe už naštěstí vydali aktualizaci na opravu nebezpečné trhliny.

Chyba se týká operačních systémů Windows, Mac OS X či Chrome OS. K infiltraci škodlivého kódu stačí, aby uživatel navštívil podvodné stránky, na kterých mu bude nabídnuto video k přehrání. Právě prostřednictvím něj se na pevný disk dostane vyděračský virus zvaný Cerber.

Na napadeném stroji tento nezvaný návštěvník zašifruje všechna data. Za jejich zpřístupnění pak útočníci požadují výkupné, a to klidně i několik tisíc korun.

Ani po zaplacení výkupného se uživatelé ke svým datům nedostanou. Místo placení výkupného je totiž nutné virus z počítače odinstalovat. Zpřístupnit nezálohovaná data je už ale ve většině případů nemožné.

Na routery – brány do světa internetu – se zaměřují kyberzločinci stále častěji. Využívají toho, že zabezpečení těchto internetových zařízení uživatelé především v domácnostech velmi podceňují, někdy to ale platí i o firmách. Na routery například cílí nový virus Kaiten, před kterým varovala antivirová společnost Eset.

„Kaiten představuje hrozbu pro všechny, kdo mají router či jiný přístupový bod, na který se dá připojit z internetu. Během samotného útoku virus hledá skulinu, kde je firmware hardwaru zranitelný. Pokud uspěje, stáhne škodlivý kód shodný pro všechny platformy a snaží se jej spustit,“ uvedl Pavel Matějíček, manažer technické podpory společnosti Eset.

Právě s pomocí staženého škodlivého kódu pak útočníci dokážou router na dálku ovládnout a dělat si s ním prakticky cokoliv, co je napadne. Mohou například odposlouchávat komunikaci nebo přesměrovávat internetové adresy.

Přesně to udělali už v minulosti díky zranitelnosti známé jako „rom-0“. Místo serverů, jako jsou například Seznam.cz nebo Google.com, se poškozeným zobrazila hláška o nutnosti instalace flash playeru. Místo té se ale do PC stáhl další virus. Útočníci tak rázem měli přístup nejen k routeru, ale i k připojenému počítači. Hlavní problém je v tom, že routery není možné chránit antivirovými programy, jako je tomu u počítačů.

Ověřte e-mailovou schránku, hlásá nevyžádaný e-mail
Platnost vaší e-mailové schránky brzy vyprší, je potřeba ji ověřit. Nevyžádané e-maily podobného znění kolují v poslední době internetem, podvodníci se tak snaží z důvěřivců vylákat citlivé osobní údaje. S jejich pomocí pak mohou osnovat další útoky.

V anglicky psaném e-mailu podvodníci tvrdí, že schránka přestane do 24 hodin fungovat. „Doporučujeme vám ověřit a aktualizovat vaši schránku, jinak dojde k její deaktivaci,“ stojí v nevyžádané zprávě.

Snaží se tak uživatele vystrašit, aby klikl na odkaz ve zprávě. Ten směřuje na podvodné webové stránky, kde uživatelé mají vyplnit informace týkající se jejich účtu. Kyberzločinci chtějí název e-mailu, heslo, a dokonce i telefonní číslo.

Lidem nemusí na první pohled přijít ani divné, že po nich někdo chce zadat takto citlivé údaje. Vždyť k e-mailu se normálně připojují prostřednictvím hesla a pomocí mobilu se internetové účty běžně zabezpečují.

Nevědomky tak útočníkům dají do rukou vše, co potřebují. Na e-mail jsou totiž velmi často navázány různé další služby na webu – například sociální sítě, seznamky či cloudová úložiště, kam si lidé ukládají svá data. Právě pomocí poštovní schránky mohou piráti zpravidla všechna tato hesla restartovat a získat tak přístup k dalším citlivým údajům.

Centrum pro boj s kyberzločinem zprovoznilo O2

19.4.2016 Bezpečnost
Nové centrum kybernetické bezpečnosti, tzv. Security Expert Center (SEC), otevřela ve svém sídle v Praze firma O2. Má firmám i státním organizacím pomocí eliminovat rizika spojená s kybernetickými hrozbami. Novinka podle provozovatelů odpovídá potřebám zákona o kybernetické bezpečnosti závazného pro firmy a státní instituce pracující s citlivými daty.

Služby SEC umožňují podle provozovatele identifikovat klíčová aktiva společnosti (např. informační aktiva, lidské zdroje, procesy nebo systémy) a nastavit vhodný model jejich ochrany.

SEC vykonává bezpečnostní dohled, který umožní identifikovat zranitelnost IT infrastruktury. Potenciální kybernetické hrozby rozpozná SEC na základě anomálií chování jednotlivých infrastrukturních prvků. Služba zároveň zajišťuje komplexní nasazení bezpečnostních nástrojů, dohledových zařízení a ochrany včetně průběžného reportingu, analýz a návrhů nápravných opatření.

Službu si lze objednat jako jednorázovou nebo dlouhodobou. Na základě požadavků a potřeb zákazníka je možné implementovat celé řešení, nebo jen některou z částí, která je pro zákazníka kritická.

Jen v loňském roce podle O2 kybernetické útoky způsobily evropským firmám ztráty ve výši 62 miliard dolarů. Průměrný kybernetický útok přitom stojí firmu asi 1,2 procenta jejich příjmů.

Podle Jiřího Sedláka, ředitele SEC v O2 ITS, mají firmy a organizace často nasazené nástroje, vypracované postupy a bezpečnostní politiky, ale přesto účinnost ochrany nenaplňuje jejich představy. Důvodů je mnoho - od chybně nastavených cílů, nesprávné architektury, špatné implementace, chybějících zdrojů a know-how až po chybné časování nebo neschopnost kontrolovat a vymáhat tato opatření.

Windows bude na BSOD zobrazovat i QR kód. Ulehčí hledání chyby
12.4.2016 Zrdroj: Živě Bezpečnost
Modré obrazovky smrti se největší změny dočkaly s příchodem Windows 8, kdy je Microsoft převlékl do modernějšího vzhledu a přidal smutného smajlíka. Vyhledání problému, který pád systému způsobil, stále spočívá v ručním vyhledání chybového kódu. To by se mohlo v budoucích sestaveních Windows 10 změnit. V testovacím buildu se objevila funkce QR kódů, které by mohly odkazovat na řešení.

Podoba QR kódu na modré obrazovce smrti (zdroj: Reddit)

Informaci o nové možnosti modrých obrazovek poprvé zveřejnil web MicrosoftInsider.es, následně ji potvrdili i uživatelé Redditu. QR kód zatím odkazuje na stejnou stránku windows.com/stopcode. Snadno si však můžeme představit, že by odkaz vedl na web Microsoftu s popisem a řešením konkrétního problému.

Zádrhelem však mohou být nepřipravení uživatelé, kteří nemají v telefonech nainstalované čtečky QR. Těm nezbyde nic jiného než rychlé opsání kódu chyby.

Bez antiviru a firewallu platební kartu na internetu používat nesmíte

16.3.2016 Bezpečnost

Četli jste podmínky používání vaší platební karty? Možná budete překvapeni, co všechno podle nich musíte nebo nesmíte dělat při platbách na internetu.
Vlastně to vypadá jako docela dobrá absurdita – kdyby ovšem nešlo o tak důležitý dokument, jako jsou obchodní podmínky pro používání platebních karet. Svá pravidla nedávno aktualizovala tuzemská Fio banka (pro nové smlouvy platí od 8. března, pro dříve uzavřené začnou platit od 9. května). A když se do desetistránkového materiálu začtete, nestačíte se divit, co všechno musíte udělat, abyste jejím podmínkám vyhověli.

Podivil se i bezpečnostní expert Michal Špaček, který jinak obvykle volá po tom, aby se lidé na internetu chovali bezpečněji. „Dozvěděl jsem se například to, že když na počítači nemám antivir, tak ty obchodní podmínky porušuju. A taky bych je porušoval, kdybych nesledoval informace o virech a spyware. Ale to trochu sleduju, takže cajk. Jenže kvůli tomu občas navštěvuju i neznámé stránky, různé blogy nebo články, ostatně, takhle vlastně funguje tenhleten web, že. A tím už zase ty podmínky porušuju,“ upozornil na podmínky Fio banky na svém facebookovém profilu.

Kompletní podmínky najdete na webu banky (PDF) a novinkou v nich je zejména oddíl IVa, který si stojí za to přečíst. Začíná totiž výslovným upozorněním, že všechny v něm napsané věci jsou pro klienta povinné a musí se jimi řídit. Jenže pokud byste je vzali doslova, asi byste kartu spíš vrátili, protože se z jejího používání stává noční můra.

Firewall, antivir a anti-spyware

Některé povinnosti vypadají docela rozumně: klient třeba nesmí používat kartu na veřejně přístupných počítačích (třeba v internetových kavárnách). Jenže pak začne přituhovat: podle Fio banky má klient povinnost „legálně zabezpečit zařízení, prostřednictvím kterého se rozhodne používat platební kartu, firewallem, antivirovou a anti-spyware ochranou, a tyto ochranné prvky pravidelně aktualizovat.“ Ano, pokud nemáte na počítači, kde kartou platíte, firewall, antivir a antispyware, které pravidelně neaktualizujete, porušujete obchodní podmínky.

Ty ovšem porušujete i v případě, že na onom zařízení nemáte „legálně pořízený a pravidelně aktualizovaný operační systém“. Stačí tedy zmeškaná aktualizace a… porušujete podmínky. Máte také „povinnost pravidelně sledovat zprávy výrobce operačního systému o opravách chyb a nedostatků tohoto operačního systému a tyto opravy včas instalovat“.

Nainstalovali jste si někdy nějaký na internetu volně dostupný program? Pokud si nemůžete „…být s dostatečnou mírou jisti, že neobsahují viry nebo spyware“, porušujete podmínky. Smíte také „navštěvovat pouze známé, důvěryhodné a bezpečné stránky na internetu a neotvírat nevyžádané emaily, emaily od neznámých adresátů a emaily s podezřelým názvem nebo obsahem“. A v e-mailové schránce musíte používat spam filtr.

Povinnost mít nainstalovaný antivir, firewall a anti-spyware u Fio banky kupodivu platí i u „vyspělejších mobilních zařízení“ – tedy smartphonů a tabletů „s operačním systémem iOS, Android, Windows Phone a jiným operačním systémem“ (vypadá to, že někdo zkopíroval podmínku z části o PC, aniž by uvažoval o odlišnostech těchto zařízení). Stahovat aplikace z jiných než oficiálních obchodů je podle banky nežádoucí, ale i když se chováte žádoucím způsobem (tedy nestahujete mimo oficiální místa), Fio banka vás upozorní, že je to k ničemu, protože „klient nemůže spoléhat na kontrolu prováděnou provozovatelem operačního systému ve vztahu ke všem aplikacím.“

Zajímalo by mě také, jak si obyčejný laický uživatel poradí s následujícím odstavcem: „Klientovi se doporučuje, aby si před každým zadáním důvěryhodných údajů ověřil, že zařízení používá DNS překladače podporující DNSSEC, a prohlížeč si nastavil tak, aby sám prováděl DNSSEC ověřování.“ I když jde tady jen o doporučení, podle úvodního odstavce i tohle patří mezi povinnosti klienta. A pokud DNS nerozumí, ukládá mu Fio banka v následujícím odstavci další povinnost: doporučuje (tak je to povinnost, nebo doporučení?) „…obrátit se s požadavkem na zabezpečení zařízení a jeho případného komunikačního příslušenství na odborníka.“

Kdo zaplatí škodu

Abychom si dobře rozuměli: skoro všechna výše uvedená opatření skutečně mohou zvýšit vaše bezpečí na internetu, o tom není pochyb. A podle toho, co říká mluvčí Fio banky Zdeněk Kovář, je cílem podmínek přimět klienty chovat se obezřetně při používání platebních karet. „Domníváme se, že rozdělení odpovědnosti podle sféry vlivu je spravedlivé. Banka zajistí své systémy, servery, bankomaty atd. A klient zajistí svá zařízení. Jistě nelze od banky (a zejména od nízkonákladové banky) očekávat, že zajistí dostatečné zabezpečení všech počítačů, tabletů či mobilních telefonů, které klient využívá pro přístup do banky nebo k provádění internetových transakcí platební kartou. Toto musí zajistit sám klient. Proto naše obchodní podmínky obsahují specifikaci toho, co považujeme za dostatečné zabezpečení,“ argumentuje Kovář.

Problém je v tom, že tady nejde o tradiční bezpečnostní doporučení, jejichž dodržování záleží na klientovi. Fio banka všechna výše popsaná opatření dává klientovi jako povinnost a zahrnula je do závazných všeobecných obchodních podmínek. Kromě toho, že jde o materiál, který si málokdo přečte, takže jeho dopad na změnu chování uživatelů bude pravděpodobně limitně blízký nule, jde taky o součást smlouvy, a to, co je v něm napsané, nelze brát na lehkou váhu.

Podle sekce VII, odstavce 4, totiž „majitel účtu odpovídá za škodu způsobenou porušením svých povinností uvedených ve smlouvě nebo podmínkách, není-li stanoveno jinak.“ A v dalším odstavci se dozvíte, že „majitel účtu odpovídá za škodu z neautorizovaných platebních transakcí v plném rozsahu, pokud škodu způsobil svým podvodným jednáním nebo úmyslně či z hrubé nedbalosti porušil některou z jeho povinností vyplývající z čl. III, IV a V podmínek…“

Pokud tedy výše popisovaná opatření doslova nedodržujete a někdo vaši kartu zneužije, máte zaděláno na potenciální problém: banka se může snažit zbavit své odpovědnosti za ztrátu z neautorizovaných (čili podvodníky provedených) plateb. Není samozřejmě jisté, že by banka případný soudní spor s vámi vyhrála, ale vyloučené to také není.

Kontrola jednou denně

Podle zákona o platebním styku (284/2009 Sb.) nese klient v případě zneužití ztracené nebo ukradené karty na případné škodě spoluúčast do výše 150 eur (platí to pro všechny transakce do chvíle, než krádež nebo ztrátu karty bance oznámíte – proto je důležité podobné události nahlašovat co nejdříve).

Podle §116 odstavce 1 b) ale tento limit neplatí, pokud klient „…tuto ztrátu způsobil svým podvodným jednáním nebo tím, že úmyslně nebo z hrubé nedbalosti porušil některou ze svých povinností stanovených v § 101.“ A paragraf 101 říká, že uživatel má povinnost „používat platební prostředek v souladu s rámcovou smlouvou, zejména je povinen okamžitě poté, co obdrží platební prostředek, přijmout veškerá přiměřená opatření na ochranu jeho personalizovaných bezpečnostních prvků.“

Nové podmínky Fio banky se přitom v českém prostředí zdají být poměrně unikátní. Nezkoumali jsme všechny banky, ale v obchodních podmínkách asi desítky těch, které jsme prostudovali, na povinné používání antiviru apod. nenarazíte (Komerční banka jej doporučuje ve svém Průvodci k platebním kartám).

Doplnění 12:00: Jak nás upozornil jeden ze čtenářů, podobné požadavky na své klienty používající internetové bankovnictví ve všeobecných podmínkách klade i Equa bank (PDF).

Obvyklé jsou povinnosti chránit PIN a nikomu ho neříkat a „…zejména nepsat PIN na platební kartu, její obal nebo jiný předmět, který nosíte společně s platební kartou, chránit zadávání PIN před odpozorováním z okolí apod." (Česká spořitelna, PDF) nebo chránit kartu před krádeží a „před přímým působením magnetického pole, mechanickým a tepelným poškozením“ (ČSOB, PDF).

Banky také obvykle trvají na povinnosti, že uživatel musí pravidelně kontrolovat, že kartu pořád má a že ji nikdo nezneužil – podle Komerční banky (PDF) to má dělat „soustavně“, podle ČSOB nebo Fio banky to musí dělat minimálně jednou denně.

Jde o celou řadu požadavků, u kterých banka za normálních okolností nemá šanci ověřovat, že je skutečně děláte. „Kontrolu minimálně jednou denně považujeme za rozumný požadavek. Banka nekontroluje ani nevyžaduje, aby to držitel karty jakkoli prokazoval,“ uvádí na dotaz mluvčí Kovář. Nicméně opět ve spojení s tím, že případnou krádež karty musíte nahlásit bezodkladně, se tu rýsuje zajímavá možnost: co když na ni přijdete později a nahlásíte ji třeba až za dva dny? Banka to může považovat za porušení podmínek a tím pádem vám může zkusit upřít ochranný 150eurový limit.

Stejně tak podle něj Fio banka neověřuje, jestli její klienti dodržují zásady na ochranu svých počítačů a smartphonů. V případě, že dojde na krádež, zneužité nebo podvodné transakce, ale může být vše jinak. „Banka nemá možnost kontroly. Pokud ale fraud vyšetřuje Policie ČR, tak je možné, že v rámci vyšetřování počítač postiženého zkontroluje,“ dodává mluvčí.

Chrání EU dostatečně naše data? Podle muže, který „porazil Facebook“ ne…

2.3.2016 bezpečnost
Evropská komise zveřejnila detaily dohody o ochraně dat, uzavřené s USA, tzv. Privacy Shield. „Štít“ nahrazuje dohodu známou jako Safe Harbor, kterou loni v říjnu smetl ze stolu Soudní dvůr Evropské unie, a nastavuje rámec pro přenos osobních dat Evropanů do USA.

Dohoda má zajistit, že osobní data občanů Evropské unie budou v zámoří chráněna stejným způsobem jako v Evropě, tedy jako dle unijního práva. Než nabude platnosti, mohou se k ní ještě členské státy EU, jakož i zástupci států pro ochranu dat, vyjádřit.

Její součástí je mimo jiné závazek k vytvoření postu ombudsmana pro stížnosti občanů EU v souvislosti se sledováním jejich komunikace a internetových aktivit ze strany USA.

Na dohledu nad dodržování pravidel se přitom mají podílet i společnosti sdružené pod hlavičkou DigitalEurope, jako jsou Apple, Google či Microsoft.

„Naše společnosti se zavazují k vysokému stupni ochrany dat během zaoceánských přenosů a také k rychlému zavedení nových pravidel,“ uvedl John Higgins, generální ředitel DigitalEurope.

„Privacy Shield poskytne silnou ochranu soukromí a zákonné jistoty pro podnikatele, a zároveň prohloubí vzájemnou důvěru mezi Amerikou a Evropou,“ uvádí za „druhou stranu“ pro změnu Computer and Communications Industry Association.

Ne každého však nová dohoda uspokojuje. Výhrady má například rakouský právník Max Schrems, který ochranu osobních dat kritizuje dlouhodobě a jehož soudní bitva s Facebookem, ve finále vedla ke konci Safe Harbor.

„Evropská unie a USA se snaží zkrášlit prase vrstvami rtěnky, ovšem klíčové problémy zůstávají nevyřešené,“ nebere si servítky.

A upozorňuje například na to, že i navzdory dohodě mohou zámořské tajné služby sledovat evropské občany v celkem šesti vymezených případech, například při podezření z terorismu či špionáže.

„USA tak vlastně otevřeně přiznávají, že porušují pravidla Evropské unie přinejmenším v šesti případech,“ poukazuje Schrems.

Dokument k Privacy Shield je zatím přístupný pouze anglicky, v případě zájmu si jej však můžete přečíst zde.

Policie si došlápla na nelegální weby. Razie proběhla v sedmi zemích

1.3.2016 Bezpečnost
Rozsáhlou razii proti provozovatelům a uživatelům nelegálních internetových stránek provedla minulý týden policie v sedmi evropských zemích. Prohledala 69 bytů a firem a zadržela devět podezřelých. S odvoláním na německý Spolkový kriminální úřad (BKA) o tom informovala agentura DPA.
Koordinovaná akce se uskutečnila minulé úterý a středu kromě Německa také v Bosně a Hercegovině, Švýcarsku, Francii, Nizozemsku, Litvě a Rusku. Policisté se při akci zaměřili na obchod se zbraněmi, drogami, falšovanými penězi a dokumenty provozovaný prostřednictvím internetových platforem.

Někteří ze zadržených jsou kromě obchodování podezřelí rovněž z toho, že záměrně infikovali cizí počítače škodlivými programy, kradli důvěrná data jako například informace k bankovním účtům a že nabízeli ilegálně streamovací služby či návody na páchání trestných činů.

Hlavním podezřelým je podle německé policie 27letý občan Bosny a Hercegoviny, který je od minulé středy ve vazbě. Od roku 2012 hrál údajně klíčovou roli při provozu nelegálních stránek. Tři Němce a dva Syřany, kteří s ním spolupracovali, zadrželi policisté v Německu. Zabavili u nich množství počítačů a zbraní, celkem téměř 40 kilogramů drog a značnou hotovost.

Telemetrie ve Windows 10, co se posílá Microsoftu?
25.2.2016 Bezpečnost
Telemetrie ve Windows 10 je některými nazývána šmírování, jinými posílání nevinných diagnostických dat. Ve skutečnosti lze ve Windows 10 nastavit čtyři úrovně telemetrie a tím ovlivnit, co je Microsoftu posíláno.
Na serveru The Register vyšel článek o nastavení telemetrie ve Windows 10. Telemetrie může být nastavená na jednu ze čtyř úrovní: Security, Basic, Enhanced a Full.

Při úrovni Security se posílá minimum informací, jen ty, které mají za cíl bezpečnost Windows, tedy třeba výstup Malicious Software Removal Tool, Windows Defender, Connected User Experience a nastavení telemetrie. Bohužel úroveň Security si mohou nastavit pouze uživatelé Windows 10 Enterprise, Windows 10 Education, Windows 10 Mobile Enterprise a IoT Core.

Úroveň Basic přidává informace o hardware a software. Enhanced doplňuje informace o tom, jak jsou Windows a aplikace používány. Toto je výchozí úroveň Windows 10 Enterprise, Windows 10 Education a IoT Core.

Definice úrovně Full je trochu ošidná. Jestli vaše Windows například oznámí pád aplikace a specialisté v Microsoftu si s tím nebudou vědět rady, mohou požádat o automatické zaslaní doplňujících informací. To mohou být výstupy programů msinfo32.exe, powercfg.exe a dxdiag.exe, dále klíče v registru a také soubory, které můžou pád způsobovat. A právě Full je výchozí nastavení pro Windows 10 Home a Pro.

The Register tedy doporučuje nastavit úroveň na Basic, nebo lépe na Security, jestli máte příslušnou verzi Windows. Nastavení úrovně telemetrie je v Feedback & Diagnostics a je také popsáno v dokumentu od Microsoftu.

Nedávno jsme přinesli vlastní analýzu odesílané telemetrie ve Windows 10, která nepřinesla žádnému překvapivé odhalení. Možná také právě pro to, že podle obrázků k článku byla úroveň telemetrie nastavena jako Basic, tedy základní.

Obama: USA nejsou připraveny na boj kybernetickými hrozbami

18.2.2016 Bezpečnost
Spojené státy nejsou dostatečně připraveny na obranu před kybernetickými hrozbami, ale tento úkol bude z větší části už záležitosti příštího prezidenta. Prohlásil to ve středu prezident Barack Obama na bezpečnostní poradě v Bílém domě.
Prezident před nedávnem rozhodl o zřízení speciální komise pro posílení národní kybernetické bezpečnosti, jejímiž šéfy se stali bývalý poradce Bílého domu pro otázky národní bezpečnosti Tom Donilon a bývalý šéf společnosti IBM Sam Palmisano.

Obama na středeční poradě s oběma experty konstatoval, že internet sice lidem přinesl spoustu příležitostí a bohatství, "mnohé o našich životech je ale stahováno a ukládáno". Otázka kybernetické bezpečnosti je složitá a dlouhodobá záležitost. Úkolem nově zřízené komise bude zajištění bezpečnosti vládních databází a datových úložišť organizací působících v kriticky důležitých sektorech ekonomiky, uvedl prezident.

Donilon a Palmisano mají podle agentury Reuters z Obamova pověření do konce roku předložit návrh na dlouhodobou strategii internetové bezpečnosti USA.
Americká vláda počátkem roku oznámila, že vytváří novou protiteroristickou skupinu, jejímž úkolem bude boj s propagandou Islámského státu a dalších teroristických skupin na internetu. Skupinu budou řídit ministerstva vnitra a spravedlnosti za pomoci ministerstva zahraničí.

Gmail bude bezpečnější. Pokusí se lépe detekovat phishing
10.2.2016 Bezpečnost
Google vylepší svůj Gmail o dvě bezpečnostní novinky. Ta první se týká šifrovaného spojení. Pokud bude příjemce (nebo odesílatel) zprávy používat poštovní službu, která nepodporuje šifrované (TLS), Gmail na to upozorní drobnou stavovou ikonou, taková zpráva totiž mezi oběma službami putuje v prostém textu.

Druhá drobná úprava se týká identifikace odesílatele. Pokud se bude Googlu zdát, že se odesílatel vydává za někoho jiného, upozorní na to příjemce symbolem otazníku u jeho avataru. V opačném případě se pokusí zobrazit v případě firem logo aj.

Autentizovaný a nautentizovaný příjemceu

Zatím však není jasné, jestli už jsou novinky skutečně nasazené, při interních testech mě totiž zatím Inbox a Gmail při komunikaci s testovacím poštovním serverem na nic podobného neupozornily.

Jak v informačním systému (ne)zjistit bezpečnostní chybu

3.1.2015 Bezpečnost
Třívrstvá architektura využívající webový prohlížeč jako tenký klient pro informační systémy výrazně roste. Nesporné výhody (široké spektrum zařízení, snadná dostupnost, standardizace apod.) vyvažují rizika v podobě bezstavové HTTP/HTTPS komunikace, využívání skriptů/úložiště či nedůslednosti mnohých programátorů. A to je nutné vhodně ošetřit.

Celkově by se daly známé zranitelnosti shrnout např. podle metodiky z dílny OWASP Foundation, a to nejčastěji používaný OWASP Top Ten (dostupný je díky Csirt.cz a CZ.NIC i v českém jazyce). Pod křídly této otevřené a svobodné organizace vzniká řada slibných projektů, které mohou testování bezpečnosti webových aplikací výrazně pomoci.

Za zmínku jednoznačně stojí kromě již uvedeného OWASP Top Ten i špičkový OWASP Zed Attack Proxy Project. Existuje samozřejmě mnoho dalších volně dostupných i placených testovacích nástrojů s rozdílnou kvalitou konfigurace a výstupů, ale takový výčet by přesahoval rozsah tohoto článku.

Před testováním zranitelností (penetračními testy) je nutné vytvořit testovací strategii, která popíše jednotlivé aktivity, jejich dopady a časování.

Samotný průběh testování webové aplikace je možné rozdělit na tři základní fáze (analýzu prostředí, detekci zranitelností a exploitaci – tedy zneužití nalezené chyby).

Příprava a strategie testování

Každé penetrační testování začíná přípravou dokumentace a popisem prostředí a integrace s dalšími podpůrnými a závislými systémy (využitím grafického znázornění např. UML diagramů).

Identifikují se slabá místa a veškerá testovatelná rozhraní (webové služby podle specifikace WSDL, uživatelská rozhraní, správcovské konzole apod.).

Při této identifikaci nebo při podrobné specifikaci zadání je v případě, že není zadavateli tato problematika blízká, vhodné spolupracovat s odbornými pracovníky – správně popsaná a kompletní specifikace poptávaného penetračního testování může výrazně zkvalitnit a zpřesnit nabídkovou cenu, a přitom nezapomenout na žádnou důležitou komponentu.

Výstupem této činnosti je přesná představa o tom, jak, co, kdy a čím se bude testovat (je tedy připravená strategie). Tu bychom v podobě návrhu průběhu penetračních testů měli získat i od dodavatele a testovací tým by se jí měl držet.

Analýza prostředí

Na základě strategie dochází vždy v počátku k „průzkumu terénu“ formou sběru a roztřídění informací o prostředí. Důležité jsou např. typy a verze databází, webových a aplikačních serverů a vzájemná interakce/integrace mezi těmito systémy.

Jde o naprostý základ pro identifikaci reálných slabých míst a úzkých hrdel (definující vektor zátěžového testování) apod.

Mnoho mohou prozradit i program nmap a „švýcarský nůž penetračního testéra“ – Kali Linux se svou excelentní výbavou testovacích nástrojů (samozřejmě nejenom pro analýzu prostředí).

Detekce zranitelností

Oblast odhalování zranitelností je tou největší a nejzásadnější částí v rozsahu aplikačního testování bezpečnosti. Typicky obsahuje jak manuální, tak automatizovanou činnost a výrazné preferování jedné či druhé formy bývá velkou chybou.

Automatizované nástroje jsou schopné zkontrolovat obrovské množství testovatelných elementů vůči velkému počtu útoků, mohou tak poskytnout testérovi základní představu o případných slabých místech, na které se lze poté více zaměřit.

Manuální testování přichází na řadu později nebo např. v oblasti integrace s dalšími systémy (modifikace XML datových souborů apod.), v případě využití JAVA appletů, v částech aplikace vyžadující přesný procesní přístup (vyplňování hodnot ve formulářích ve snaze postoupit na další testovanou stránku/pohled, případně ruční modifikace dotazů) nebo při obcházení bezpečnostních kontrol na straně klienta (JavaScript apod.)....

Kterak lidská chyba způsobí kolaps celého IT

19.12.2015 Bezpečnost
IT služby mohou zcela zhavarovat i na základě jediné lidské chyby. A zatím to nevypadá, že by se podařilo zajistit, aby lidé chyby nedělali.

Existuje pramálo důkazů, že by zlepšování procesů, bezpečnostní školení či pokroky technologií nějak omezovaly lidské chyby v IT provozu. Když nic jiného, tak roste riziko technologických katastrof navzdory veškerým snahám, které se v tomto odvětví udělají.

Narušení bezpečnosti a výpadky IT se dějí stále častěji a navíc se jejich dopad stále zhoršuje: Roste totiž počet lidí, u nichž je riziko, že budou každým novým incidentem ovlivnění, protože stoupá vzájemná provázanost uživatelů.

Příčiny problému

Jaký je společný bod selhání u téměř každého incidentu? Lidská chyba. Lidé jsou nějakým způsobem zodpovědní za většinu IT katastrof. To vedlo (samozřejmě kromě dalších technologií) ke zvýšenému zájmu o nástroje umělé inteligence (AI) v naději, že se tím posílí zabezpečení a spolehlivost.

Nové technologie a metody však přinášejí další, zatím neexistující rizika. Stephen Hawking nedávno jako fyzik a kosmolog poznamenal: „Vývoj plné umělé inteligence by mohl znamenat konec lidské rasy.“ A zničení lidstva, řízené umělou inteligencí, by samozřejmě bylo největší selhání IT vůbec.

Vzhledem k pokračujícím a zdánlivě nezastavitelným řetězům selhání zabezpečení informací to však může být riziko, které se vyplatí.

Důkazy jsou totiž neúprosné: Jen za posledních několik měsíců došlo například ke gigantickému narušení systémů řetězce Home Depot, kdy unikly informace o 56 milionech platebních karet, a z finanční instituce JPMorgan Chase bylo ukradeno 76 milionů jmen a adres. Firma Hold Security vloni odhadla, že gang ruských zločinců se jménem CyberVors ukradl více než 1,2 miliardy unikátních kombinací e-mailových adres a hesel ze 420 tisíc webů a serverů FTP.

A ještě jednou – ani nejsilnější bezpečnostní ochrany IT při ochraně dat nic nezmohou, když někdo udělá chybu: Ve své analýze „Security Services 2014 Cyber Security Intelligence Index“ analytici IBM zjistili, že lidská chyba je jednou z příčin v 95 % zkoumaných případů.

Ohrožení doby provozu

Výpadky IT sice nezpůsobují tak velký rozruch jako úniky dat, ale mohou být podobně ničivé. Datová centra mohou tvrdit, že nabízejí 99,999% dostupnost (tedy s prostojem za rok omezeným na pouhých 5 minut a 26 sekund), hlavní poskytovatelé cloudových služeb pak proklamují dostupnost nejméně 99,99 % (to znamená, že výpadek nesmí přesáhnout 52 minut a 56 sekund za rok), ale výpadky se stále objevují.

Celková rizika z těchto nefungujících služeb rostou proto, že se nyní mezi hrstku poskytovatelů cloudu koncentruje příliš mnoho kritických IT služeb. Malé lidské chyby mohou snadno způsobit velké problémy, které ovlivní velký počet uživatelů.

Například Amazon uváděl, že jeho nedávný výpadek způsobila změna konfigurace, která byla „vykonána nesprávně“. Microsoft zase podotkl, že nedávný problém s jeho platformou Azure způsobila aktualizace systému. A není výjimkou, že dochází i k výpadkům služeb Google Gmail, Facebook nebo Yahoo Mail.

Uptime Institute uvádí, že analýza dat o abnormálních incidentech za dobu 20 let ukazuje, že lidská chyba je na vině ve více než 70 % všech výpadků datových center. Tato selhání jsou nyní navíc dražší než v minulosti.

Když společnost Kroll Ontrack, poskytovatel služeb pro obnovu dat, udělala průzkum mezi svými zákazníky ohledně ztráty dat, uvedla třetina respondentů, že hlavní příčinou byly poruchy desktopů a serverů, zatímco pouze 14 % uvedlo, že by ztráty mohly způsobit lidské chyby. To druhé číslo však není tak malé, jak by se mohlo zdát.

Jeff Pederson, manažer obchodu pro obnovu dat ve společnosti Kroll, poznamenává, že 25 až 30 % obratu jeho firmy tvoří obnova dat ztracených v důsledku lidské chyby.

Trocha prevence

Standardní odpovědí, když se něco pokazí, je připomenout uživatelům, že obnova po havárii je sdílenou odpovědností. Existují však konkrétní kroky, které uživatelé, dodavatelé a poskytovatelé služeb IT mohou udělat, aby předcházeli výpadkům a narušením.

Jedním z kroků je používání osvědčených postupů. Například CenturyLink, globální poskytovatel datových center, nedávno obdržel od konsorcia Uptime Institute certifikát Management and Operations Stamp of Approval pro svých 57 datových center. Tento certifikační program uznává zařízení s přísnými procesy řízení provozu.

Drew Leonard, viceprezident CenturyLink, uvedl, že snaha udržet bezchybný provoz je zásadní, protože výpadek může poškodit pověst datového centra na celá léta.

Dodavatelé se také obracejí k novým bezpečnostním nástrojům, které se spoléhají na prediktivní analýzy a strojové učení, aby umožnily uživatelům „pokusit se zasáhnout před vznikem evidentních škod“, uvádí John McClurg, ředitel zabezpečení v Dellu.

Myšlenkou je využívat strojovou analýzu incidentů, a interpretaci přitom nechat na lidi, říká Kevin Conklin, viceprezident pro marketing a strategie ve společnosti Prelert, která se specializuje na systémy strojového učení. „Lidé jsou ale velmi nepředvídatelní,“ dodává Conklin.

Bezpečnost v roce 2020? Intel se podíval do křišťálové koule

15.12.2015 Bezpečnost
Pětiletý výhled se pokouší předpovědět, jakým způsobem se budou měnit povahy hrozby, jak se bude měnit chování a cíle útočníků a jak bude odvětví na tyto výzvy v horizontu příštích pěti let reagovat.

Útoky pod OS. Útočníci by se mohli zaměřit na slabá místa ve firmwaru a hardwaru, neboť aplikace a operační systémy jsou proti konvenčním útokům stále lépe zabezpečené. Lákadlem nepochybně bude široká míra kontroly, již mohou útočníci prostřednictvím těchto útoků získat, neboť se tak budou moci dostat k neomezenému počtu zdrojů a zmocnit se administrativních i kontrolních funkcí.
Vyhýbání se detekci. Útočníci se pokusí vyhnout zjištění zaměřením na jiné cíle, přičemž budou používat sofistikované metody útoku a aktivně se budou vyhýbat bezpečnostní technologii. K obtížně zjistitelným stylům útoku budou patřit bezsouborové hrozby, šifrované infiltrace, malware zajišťující vyhýbání se sandboxům, zneužívání vzdálených skořápek a protokolů vzdálené kontroly, stejně jako výše zmíněné útoky pod OS zaměřené na MBR, BIOS a firmware.
Nová zařízení, nové plochy pro útok. I když zatím nedošlo k nárůstu útoků přes IoT a elektroniku integrovanou do oblečení, lze očekávat, že do roku 2020 dosáhne instalovaná základna dostatečné úrovně na to, aby přilákala útočníky. Dodavatelé technologií a poskytovatelé vertikálních řešení budou společně usilovat o vytvoření návodu pro bezpečné používání a vytvoření osvědčených postupů, stejně jako zabudování bezpečnostních funkcí do architektury zařízení tam, kde to jen bude možné.
Kybernetická špionáž v korporátním hávu. McAfee Labs očekává, že černý trh s malwarem a službami pro hacking by mohl umožnit použití malwaru pro kybernetickou špionáž ve veřejném sektoru a že korporátní útoky mohou být použity pro shromažďování finančních informací a manipulace trhů ve prospěch útočníků.
Ohrožení soukromí, příležitost. Objem a hodnota osobních digitálních dat bude nadále vzrůstat, což bude dál lákat kybernetické zločince a potenciálně povede k novým regulacím soukromí po celém světě. Současně s tím budou jednotlivci vyhledávat a též získávat kompenzace za sdílení svých dat a kolem této „hodnotové výměny“ se vytvoří trh, přičemž prostředí utvářené tímto trhem by mohlo změnit to, jak budou jednotlivci a firmy přistupovat k digitálnímu soukromí.
Odpověď bezpečnostního odvětví. Bezpečnostní odvětví bude vyvíjet efektivnější nástroje k detekci nepravidelných uživatelských aktivit, které by mohly indikovat narušené účty. Sdílení informací povede k rychlejší a lepší ochraně systémů. Bezpečnostní zařízení integrovaná s cloudem nabídnou lepší viditelnost a kontrolu. Technologie automatizované detekce a korekce slibuje ochranu firem před nejběžnějšími typy útoků, což uvolní IT oddělení ruce zaměřit se na kritické bezpečnostní incidenty.

Darknet: Temná stránka internetu

15.12.2015 Bezpečnost
Prostor pro obchodování se zbraněmi, drogami, dětskou pornografií či nelegálními sázkami. To všechno nabízí podsvětí na internetu obecně označované jako darknet -- a zapojují se do něj i Češi.

Darknet funguje jako skrytá vrstva klasického internetu, operuje na principu anonymního připojení skrze šifrované decentralizované sítě komunikující přímo mezi jednotlivými uživateli (peer-to-peer).

Požadavky, které normálně odesíláte ze své IP adresy, jdou přes náhodně vybrané uzly a vy jste tak laicky řečeno neviditelní. K přístupu na darknet slouží řada prohlížečů, nejoblíbenějšími jsou např. Tor, I2P nebo Freenet.

„Tor je založen na přeposílání komunikace přes síť serverů zapojených do systému, kde internetové adresy odesílatele a příjemce nejsou obě najednou čitelné v žádném kroku cesty, takže příjemce zná pouze adresu posledního zprostředkujícího stroje a není tedy možné určit, kdo s kým komunikuje. Data jsou zasílaná od odesílatele šifrovaně k prvnímu onion routeru v řetězci a veškerá další komunikace mezi routery je taktéž šifrována (každé spojení jiným sdíleným klíčem),” tvrdí Vladimír Smejkal, autor knihy Kybernetická kriminalita.

Podle něj každý router má informaci jen o tom, od koho data přijal a kam je má přeposlat. Obsah dat nebo jejich zdroj tedy nelze vysledovat. Navíc přístup do této utajené sítě je možný jen pro její uživatele a zvenčí, pro běžné uživatele Internetu, je síť nepřístupná.

Je proto prý ideální pro všechny, kdo chtějí cíleně nebo blíže neurčenému okruhu účastníků zasílat informace a sdílet je s nimi při minimálním riziku odhalení.

Příkladem hanebného chování může být aktivita on-line tržiště označovaná jako Hedvábná stezka, která fungovala v podstatě jako eBay pro drogy. Burza s obratem 1,5 miliardy dolarů je již nefunkční a její provozovatel Ross Ulbricht dostal doživotí. Takových tržišť je však celá řada a boj autorit s nimi tak je sisyfovskou prací. Případ ale ukázal, že ani darknet není neprolomitelný.

Mezi nejvýznamnější darknety patří příklad Alphabay, Ramp či German Plaza. Podle expertů v česku jejich obdoba zřejmě neexostuje, nicméně čeští uživatelé využívají ty zahraniční.

Největší boom v počtu denních přístupů tuzemských uživatelů nastal na konci září 2013, kdy přesáhl hranici 40 000. Od té doby přišel značný pokles a udržuje se tak lehce pod hranicí 15 000 denních přístupů.

Ve srovnání s ostatními státy jsme tak darknetovým trpaslíkem, v celkovém umístění podle počtu denních přístupů se řadíme někam mezi Řecko a Saudskou Arábii. Žebříčku kralují Rusko, Německo, a zejména USA, které mají až 400 000 denních přístupů.

„Ač se Česko jeví z pohledu těchto statistik jako zanedbatelný hráč, je naopak velmocí co se prosazování technologií s darknetem spojovaných týče. Konkrétně ve zmiňované síti Tor, hojně využívané po celém světě pro anonymní přístup k informacím v i mimo darknet, patříme na špičku z pohledu počtu hostovaných tzv. „exit nodů“ na území České Republiky. Jedná se o servery, přes které vede komunikační cesta všech uživatelů dané sítě,” říká Jiří Slabý, Senior Manager v oddělení Consultingu společnosti Deloitte.

Co se obsahu týče, má česká darknetová komunita spíše povahu nadšenců, kteří se zajímají o moderní technologie, než kriminálníků se zálibou v IT.

Dokladem toho může například například hackerspace Brmlab, jenž má sídlo v pražských Holešovicích. Jde o otevřenou komunitu, jejímž cílem je sdílet informace a nápady s podobně zaměřenými nadšenci, pořádá také četná společenská setkání a workshopy pro zájemce.

Co vyžadují nové předpisy EU o kybernetické bezpečnosti?

9.12.2015 Bezpečnost
Do konce roku 2017 by měly vstoupit v platnost dva nové právní předpisy EU, které upravují informační bezpečnost a ochranu dat. Zásadním způsobem ovlivní, jak organizace v členských státech EU řeší svou ochranu a jak reportují narušení bezpečnosti a ztrátu dat.

Kyberbezpečnostní směrnice o bezpečnosti sítí a informací (Network and Information Security, NIS) a Nařízení o obecné ochraně údajů (General Data Protection Regulation, GDPR) nějakým způsobem zasáhnout všechny organizace v rámci EU bez ohledu na jejich velikost.

Stanoví standard pro zabezpečení informací a ochranu údajů a sjednotí předpisy v rámci jednotlivých členských států. Snahou je snížit počet bezpečnostních incidentů a úniků dat a osobních údajů.

Kyberbezpečnostní směrnice o bezpečnosti sítí a informací bude vyžadovat zapojení celé řady společností ze soukromého sektoru, které pomohou s realizací nových požadavků na zabezpečení a reporting incidentů.

Směrnice stanoví, že „provozovatelé kritických infrastruktur“ (organizace z oblastí veřejných služeb, dopravy, veřejného sektoru a finančních služeb) nasadí odpovídající opatření pro správu bezpečnostních rizik a hlášení závažných incidentů na vnitrostátní orgány nebo speciální nouzový kybertým.

Nařízení o obecné ochraně údajů (GDPR) sjednotí stávající nařízení o ochraně údajů v zemích EU do jednoho zákona, takže budou jednotné pokyny, jak organizace musí zacházet s osobními identifikačními údaji (Personal Identifiable Information, PII), tedy veškerými informacemi, které umožní přímo či nepřímo identifikovat nějakou fyzickou osobu.

To se bude týkat všech organizací působících v Evropě, a to bez ohledu na to, zda jsou údaje umožňující identifikaci osob uložené uvnitř hranic Evropské unie či nikoliv. Dojde také k rozšíření definice „osobních údajů“, součástí budou i e-mailové adresy, IP adresy a obsah zveřejněný na sociálních sítích.

Co to znamená pro organizace?

Klíčové je, že se tyto směrnice a nařízení stanou vymahatelnými, takže pokud organizace nesplňují NIS nebo GDPR, riskují v případě narušení bezpečnosti přísné sankce. Navrhované pokuty jsou 5 % z celosvětového ročního obratu (v závislosti na segmentu) nebo až 100 milionů EUR.

Nové právní předpisy zvýší odpovědnost organizací, ale zároveň je to pro ně příležitost k přehodnocení stávajících bezpečnostních postupů. Změny v oblasti kyberbezpečnosti mohou ve výsledku pomoci otevřít nové obchodní příležitosti a získat konkurenční výhodu.

Některé z návrhů GDPR odráží směrnici NIS, speciálně pokud jde o zabezpečení systémů a dat, podobně je to i u některých sankcí. Ale GDPR má mnohem více detailů souvisejících s regulací a manipulací s osobními identifikačními údaji (PII) občanů EU.

Na koho se bude GDPR vztahovat?

Podléhat právním předpisům GDPR bude každá organizace nabízející zboží nebo služby v rámci členských států EU. Odstraní se tím současné nejasnosti, zda právní předpisy na ochranu údajů platí v dané zemi nebo regionu. Každá organizace podnikající v rámci EU a manipulující s osobními údaji subjektů EU by měla přijmout taková opatření, která zajistí soulad s předpisy.

„Pokud chtějí organizace minimalizovat rizika, měly by shromažďovat a zpracovávat pouze pro daný účel opravdu nezbytné informace. Nutné je také neuchovávat osobní údaje déle, než je nutné. K tomu mohou pomoci různé automatické politiky, které zajistí, že nepotřebná data jsou ihned bezpečně zničena a vymazána, a nehrozí tak žádný postih,“ říká David Řeháček, marketingový šéf pro Jižní a Východní Evropu ze společnosti Check Point Software Technologies.

Oznámení o narušení bezpečnosti a únicích dat

Aktuální bezpečnostní předpisy pouze navrhují, aby organizace implementovaly „vhodná“ technická bezpečnostní opatření a zvolily odpovídající obchodní postupy, ale už není konkrétně uvedeno, jak přesně postupovat a jak konkrétně by takové bezpečné řešení mělo vypadat. Nicméně ochrana by měla obsahovat uznávaná opatření, jako jsou šifrování dat a firewall, a procesně by organizace měly oznamovat narušení bezpečnosti regulátorům a postiženým jednotlivcům do 72 hodin.

„Počet kyberútoků neustále roste, zvyšuje se jejich sofistikovanost a masivní úniky dat jsou bohužel poměrně časté, takže je pravděpodobné, že počáteční pokuty podle nových nařízení budou velmi vysoké. Proto není možné brát kyberbezpečnost na lehkou váhu,“ dodává Řeháček.

Sankce a jejich vymáhání

V současnosti jsou v zemích Evropské unie velké rozdíly v sankcích a v jejich vymáhání. GDPR tyto rozdíly odstraní a zavede přísné tresty. Navrženy jsou sankce až 100 milionů eur nebo až 5 % celosvětového ročního obratu organizace.

Ochrana osobních údajů bude nedílnou součástí organizace. Organizace musí implementovat bezpečnostní opatření do všech technických a organizačních procesů a postupů hned do samého začátku. S bezpečností je potřeba pracovat už během přípravných fází, aby byla nedílnou součástí firmy na všech úrovních.

Změna v přístupu k dodavatelům

V rámci nové legislativy bude celý dodavatelský řetězec - od dodavatelů k zákazníkům - společně zodpovědný za ochranu dat. Nebude tedy možné převádět odpovědnost za zabezpečení dat. To znamená, že organizace zpracovávající velké množství informací identifikujících osoby, budou muset použít opatření pro zabezpečení dat a kontrolovat i své partnery, aby bylo zaručeno, že také oni zpracovávají osobní údaje bezpečně.

Inspektoři ochrany údajů

Zatím není zřejmé, jestli budou muset organizace podle GDPR jmenovat inspektora ochrany údajů (Data Protection Officer, DPO), který by byl zodpovědný za správu a ochranu interních dat a shodu s předpisy a procesy.

V každém případě musí být organizace připravené, že budou muset interně řešit další zabezpečení, správu dat a reporting. Vzhledem k důležitosti těchto úkolů by takový člověk měl být na vedoucí pozici a měl by být připraven věnovat těmto úkolům většinu svého času.

Nové právní předpisy EU, které upravují oblast kyberbezpečnosti a ochrany dat, budou mít zásadní vliv na způsob, jak mnoho organizací v členských státech EU řeší své zabezpečení a jak informují o incidentech a ztrátě dat. Nicméně organizace by měly brát nové právní předpisy jako příležitost přepracovat svůj přístup ke kyberbezpečnosti, a to nejen v souladu s předpisy, protože posílením bezpečnosti mohou získat konkurenční výhodu.

Red Hat vylepšuje ve svém Linuxu podporu kontejnerů i bezpečnosti

30.11.2015 Bezpečnost
Dostupnost řešení RHEL (Red Hat Enterprise Linux) 7.2 oznámil Red Hat. Nové vlastnosti a funkce se týkají zejména bezpečnosti, síťových propojení a správy systému.

Platforma Red Hat Enterprise Linux 7.2 je kromě funkčního vylepšení nově kompatibilní i se službou Red Hat Insights pro provozní analýzy, která podle tvůrců díky identifikace známých rizik a technických problémů omezí prostoje či výpadky.

Nový RHEL například nabízí podporu pro OpenSCAP, implementaci protokolu Security Content Automation Protocol umožňující analýzu systému z pohledu dodržování bezpečnostních politik a pravidel. Nový zásuvný modul Open SCAP pro instalátor Anaconda umožňuje tento protokol využívat pro bezpečnostní analýzu konfigurace již během instalačního procesu a zajistit tak bezpečný výchozí bod pro nasazení systému.

Zabezpečení informací poskytovaných systémem doménových názvů zase umožňuje rozšíření DNSSEC, které vytváří tzv. řetězce důvěry -- nově toto rozšíření pro DNS zóny podporuje i systém pro správu identit Red Hat Identity Management system (IdM).

RHEK 7.2 se prý může pochlubit také značným zvýšením síťového výkonu včetně zdvojnásobení propustnosti v řadě situací využívajících virtualizaci síťových služeb (NFF) a softwarově definované sítě (SDN).

Mezi další rozšíření síťového subsystému jádra patří vyladění síťového zásobníku jádra, které výrazně zrychluje zpracování paketů. RHEL 7.2 tak lze využít i v síťově velmi náročných virtuálních i kontejnerových prostředích.

Součástí nové platformy je i Data Plane Development Kit (DPDK) pro rychlý vývoj zákaznických aplikací, které umožňují přímé zpracování síťových paketů jak v uživatelském prostoru NFV, tak i v dalších typech reálných situací.

Nový systém přichází i s řadou vylepšení pro infrastruktury využívající kontejnery. Aktualizací se dočkal mechanismus pro kontejnerový formát docker, podpora atomických kontejnerů i Kubernetes nebo Cockpit. Součástí většiny předplatných je navíc i RHEL Atomic Host 7.2, nejnovější verze hostitelské platformy optimalizované právě pro provoz kontejnerových aplikací.

Nově je v režimu betatestování k dispozici i Container Development Kit 2. Součástí této vývojové sady je kolekce obrazů, nástrojů a dokumentace zjednodušující vytváření kontejnerových aplikací, které jsou certifikovány pro nasazení v hostitelských kontejnerových prostředích společnosti Red Hat. Mezi tato prostředí patří jak Red Hat Enterprise Linux 7.2 a Red Hat Enterprise Linux Atomic Host 7.2, tak i OpenShift Enterprise 3.

Platforma RHEL přichází také s řadou nových i vylepšených nástrojů, které umožňují tyto administrátorské procesy výrazně zefektivnit. Mezi hlavní vylepšení verze 7.2 patří systémový archivační nástroj Relax-and-Recover, díky kterému mohou administrátoři vytvářet lokální zálohy ve formátu ISO. Tyto zálohy lze centrálně archivovat i vzdáleně replikovat a zotavení v případě selhání nebo havárie je tak mnohem jednodušší.

Útočníci z Paříže používali ProtonMail. Ten odmítá omezit šifrování
24.11.2015 Bezpečnost
Google umí obejít zámek telefonu. Pomůže leda kompletní šifrování
Po teroristických útocích v Paříži se do popředí dostávají některé šifrované komunikační služby, které měli útočníci používat při vzájemné domluvě. Jednou z takových služeb je i poštovní služba ProtonMail, která používá kompletní end-to-end šifrování, takže k obsahu se nedostane nikdo včetně samotného provozovatele – obsah není v žádné fázi k dispozici v prostém textu; jen při psaní a dešifrování ve webovém prohlížeči příjemce.

Dešifrovaná zpráva v prohlížeči a její zašifrovaná podoba, která dorazila ze serveru do prohlížeče. ProtonMail používá rozšířenou technologii OpenPGP.

ProtonMail je nyní po asociaci ITI (Google, Microsoft aj.) další, který se brání, že rozhodně nenese žádnou vinu a že odpovědí nemůže být to, aby přeci jen umožnil úřadům za určitých okolností pohled do schránek svých uživatelů.

Politické hlasy po snižování šifrování webových služeb nyní skutečně sílí, ProtonMail ale správně poukazuje na to, že by toho záhy zneužili útočníci i vlády samotné při špehování těch, kteří s terorismem nemají nic společného.

Teroristé zároveň ke komunikaci nepoužívali pouze švýcarský ProtonMail, ale také hromadu dalších prostředků, čili by si jednoduše našli jiný způsob.

Bezpečnost bezplatných wi-fi kontroluje jen pětina Čechů

24.11.2015 Bezpečnost
Bezpečnost bezplatných internetových wi-fi sítí kontroluje jen pětina Čechů. Dalších 33 procent přiznává, že se o zabezpečení stará jen někdy. Uživatelé tak riskují zneužití osobních dat. Vyplývá to z průzkumu výrobce mikročipů Intel v ČR a na Slovensku.
Každý, kdo využívá internetového připojení zdarma, by měl vyhodnotit důvěryhodnost konkrétního poskytovatele této služby, protože tak činí na vlastní nebezpečí.
Nedostatek bezplatného bezdrátového připojení je podle 48 procent uživatelů největší překážkou toho, aby mohli svá počítačová zařízení používat na cestách. Více palčivý je tento problém pro mladé od 18 do 29 let a pro muže.

„Češi mají obecně velkou důvěru k bezplatnému internetovému připojení, vnímají je pozitivně, současně si ale ve své většině nejsou vědomi bezpečnostních hrozeb, které plynou z nedostatečného zabezpečení sítí. S tím spojená rizika nijak neřeší bezmála polovina uživatelů. Nejvíce důvěřivé jsou ženy a nejmladší generace ve věku 18 až 29 let," uvedl manažer pro maloobchodní prodej Intelu Martin Vařbuchta.

Každý, kdo využívá internetového připojení zdarma, by měl vyhodnotit důvěryhodnost konkrétního poskytovatele této služby, protože tak činí na vlastní nebezpečí. U nedůvěryhodných provozovatelů free wi-fi hotspotů se uživatel vystavuje nebezpečí odposlechu či zneužití dat. Stejné riziko mu hrozí tam, kde je zabezpečení wi-fi sítě nedostatečné, nebo dokonce zcela chybí. Základním pravidlem v síti, která je nedůvěryhodná nebo nezabezpečená, je nezadávat žádné údaje, u nichž nechceme, aby se dostaly do nepovolaných rukou.

Citlivé údaje včetně hesel
„Dbát pokynů bezpečného chování ve veřejných sítích by měli zejména uživatelé, kteří pravidelně ale i třeba jen příležitostně mimo domov, na cestách či na dovolené zadávají své citlivé údaje včetně hesel, osobních identifikačních údajů (PIN) pro online bankovnictví či platby kartou přes internet. Z průzkumu Intelu vyplynulo, že se takto chovají čtyři z deseti respondentů v ČR. Mezi Slováky je situace velmi podobná a týká se více než třetiny dotázaných," dodal Vařbuchta.

Odcizené osobní údaje bývají předmětem nelegálního obchodování. Obchoduje se především s údaji typu rodných čísel, daty narození, fyzickými i e-mailovými adresami nebo daty používanými v ověřovacích otázkách.

Nejcennější jsou údaje umožňující online řízení jednotlivých účtů, tedy například pro správu platební karty. Ceny za online přístupové údaje k bankovním účtům na černém trhu začínají kolem 190 dolarů (zhruba 4831 korun). Ceny za kreditní a debetní karty se také pohybují ve velmi širokém rozpětí, od pěti do 30 dolarů, a to v závislosti na typu karty nebo zemi, kde byla vydána.

Jaké triky zkoušejí piráti před Vánocemi

24.11.2015 Bezpečnost
Nejdůležitějším obdobím v roce jsou pro kybernetické zločince Vánoce. Před samotnými svátky jde totiž často obezřetnost stranou a lidé jsou schopni se nachytat i na nejrůznější phishingové podvody, kterých by si za jiných okolností ani nevšimli.
Scénáře phishingových útoků jsou si velmi podobné. Podvodníci lákají na předvánoční půjčky či na slevy elektroniky a šperků – od uživatelů se snaží vylákat hotovost, stejně jako jejich citlivé údaje, které pak na černém trhu mají cenu zlata.

Velké oblibě se mezi kyberzločinci těší také slevové kupóny. Na podvodných stránkách se často objevuje možnost bezplatného získání kupónu, pokud se uživatel zaregistruje. Místo skutečné slevy ale lidé v podobných případech pouze riskují zneužití svých osobních údajů.

Internetem samozřejmě kolují i desetitisíce nejrůznějších virů. Ty dokážou odposlouchávat uživatele na dálku, monitorovat jeho práci, ale klidně i šikovně obejít ověřovací mechanizmy v internetovém bankovnictví.

Takové nezvané návštěvníky bylo možné v počítači ještě před pár lety rozeznat, protože první škodlivé programy byly naprogramovány tak, aby mazaly data nebo dokonce zablokovaly celý operační systém.

Jde to i zadarmo
Moderní viry se ale snaží zůstat co nejdéle v anonymitě a potají otevírají zadní vrátka pro kybernetického útočníka.

Odhalit takové smetí pomáhají programy, z nichž každý se specializuje na něco jiného. Některé si dovedou poradit s trojskými koni či spywarem, další zase detekují takzvané keyloggery (programy zaznamenávající stisk kláves).

Cena takovýchto aplikací se zpravidla pohybuje od 500 do několika tisíc korun. Vedle toho ale existují také bezplatné alternativy, které nejčastěji firmy nabízejí pouze k vyzkoušení a zaplatit chtějí až za pokročilejší verzi. Ale i proto, aby v nich mohly zobrazovat reklamu a tím vydělávat peníze.

Výsledky testů bezplatných a placených aplikací se různí, v některých dokonce zdarma dostupné aplikace vyhrávají nad placenými.

Na PC by měl být nainstalován vždy jen jeden bezpečnostní program svého druhu. Dva antiviry na disku dokážou udělat pěknou neplechu. To samé platí také o firewallech i antispywarech.

Místo nového iPhonu připraví lidi o peníze
Jako lavina se v posledních dnech šíří internetem reklamy, ve kterých se podvodníci vydávají za zaměstnance společnosti UPC. Důvěřivce se snaží přesvědčit, že mají šanci vyhrát chytrý telefon Apple iPhone 6. Ve skutečnosti je však zaregistrují k odběru placených SMS zpráv.

FOTO: repro Facebook UPC

„Společně s Facebookem vybíráme jednoho šťastného zákazníka, který získává speciální cenu od našeho sponzora jako poděkování, že jste zákazníkem UPC Ceska Republica,“ lákají podvodníci a zastřešují se poskytovatelem kabelových služeb a internetového připojení.

Pozornější čtenáři si mohou všimnout, že jde o podvod už podle špatného názvu společnosti, který neobsahuje diakritiku. Při proklikávání výherní nabídky navíc uživatel v jednom bodě musí odsouhlasit zasílání placených SMS zpráv.

Žádného nového telefonu ani jiné výhry se tak důvěřivci samozřejmě nedočkají, místo toho jim každý týden bude z účtu mizet 99 korun za příjem prémiové SMS zprávy, dokud službu opět neodhlásí. Zástupci UPC se již od soutěže distancovali. [celá zpráva]

Vyděračský virus terorizuje uživatele Linuxu
Ransomware je škodlivý kód, který se zabydlí v počítači, zašifruje uložená data a po uživateli požaduje následně výkupné. Doposud se podobné viry soustředily především na stroje s Windows. Nejnovější verze však dokáže potrápit také majitele platformy Linux.

Vyděračské viry se často šíří přes nevyžádané e-maily.

„Byl objeven nový druh ransomwaru pro Linux, pojmenovaný Linux. Encoder.1,“ podotkl analytik Pavel Bašta z Národního bezpečnostního týmu CSIRT, který je provozován sdružením CZ.NIC. Podle serveru Security Week se už tomuto nezvanému návštěvníkovi podařilo nakazit více než tisíc počítačů s Linuxem.

Útok přitom probíhá úplně stejně jako na platformě Windows. Útočníci se tak snaží v majiteli napadeného stroje vzbudit dojem, že se k zašifrovaným datům dostane po zaplacení pokuty. Ta byla údajně vyměřena za používání nelegálního softwaru apod.

Ani po zaplacení výkupného navíc nemají uživatelé jistotu, že se ke svým datům skutečně dostanou. Virus je nutné z počítače odinstalovat. [celá zpráva]

Letenky zadarmo? Nenechte se napálit
S novým trikem se snaží uspět kyberzločinci na sociálních sítích. Prostřednictvím nich šíří lákavé nabídky na letenky zadarmo. Zastřešují se přitom renomovanými leteckými společnostmi, jako jsou British Airways či Emirates. Cestovat bez placení ale samozřejmě lidé moci nebudou.

Ukázka podvodných nabídek na letenky zadarmo na sociálních sítích

„Facebookem se šíří nový podvod nabízející bezplatné letenky na lety British Airways či Emirates. Stránka nutí uživatele ke sdílení,“ uvedl bezpečnostní analytik Pavel Bašta z týmu CSIRT. Nabídky na letenky zadarmo jsou šířeny prostřednictvím smyšlených účtů, zároveň ale také prostřednictvím skutečných přátel. Ti nejspíše věří, že díky sdílení mají šanci letecký výlet skutečně získat.

Podle bezpečnostních expertů mohou být lidé, kteří sdílí podobné nabídky, sami terčem útoků. „Ač to zatím vypadá neškodně, může být stránka později zneužita například k přesvědčování uživatelů k instalaci škodlivého softwaru,“ konstatoval Bašta. [celá zpráva]

Zabijácká USB flashka zničí počítač
Ani slavný agent 007 by se nemusel stydět za speciální flash disk, který vytvořil ruský hacker vystupující na internetu pod přezdívkou Dark Purple. Na toto médium nejdou zapisovat žádná data, ale už pár sekund po připojení do USB portu zničí daný počítač.

Zařízení je to bezesporu velmi zákeřné. USB Killer, jak samotný tvůrce novinku nazývá, se totiž na první pohled nijak neliší od obyčejného flash disku. Uživatel si jej tak může snadno splést se záznamovým médiem a sám si počítač zničí.

Na krátkém videu, které Dark Purple zveřejnil, je vidět, jak si USB Killer poradil s notebookem společnosti IBM. Ten po pár sekundách od zasunutí zařízení do USB portu zhasl a všechny oživovací pokusy již byly marné.

Hackerská „hračka“ dokáže notebooky nebo klasické počítače zničit kvůli tomu, že je místo paměťových čipů vyzbrojena kondenzátory. Ty jsou schopny na USB port poslat až 220 V, a tím v podstatě desku nenávratně zničí, kromě ní samozřejmě mohou po tomto procesu odejít do věčných lovišť také další komponenty. [celá zpráva]

Zaznamenali jsme podezřelou platbu, tvrdí piráti
S důmyslným phishingovým podvodem přišli v posledních dnech počítačoví piráti. Vydávají se za zaměstnance České spořitelny a příjemcům nevyžádaného e-mailu tvrdí, že z jejich účtu byla provedena podezřelá transakce. Z uživatele se touto cestou snaží vylákat informace o platební kartě, díky kterým pak budou schopni odčerpat finanční prostředky z účtu.

„Tímto Vám oznamuji, že jsme zaznamenali podezřelou platební transakci na Vašem bankovním účtu, který máte vedený v České spořitelně. Tímto elektronickým dopisem Vás vyzývám o zaslání níže vyplněných parametrů, které potvrdí Vaši totožnost a disponenční právo k Vašemu účtu,“ tvrdí kyberzločinci v podvodném e-mailu.

Kromě jména a příjmení požadují zadat také rodné číslo i bydliště. Hlavní problém je v tom, že důvěřiví uživatelé by mohli vyplnit i poslední tři okénka tabulky, tedy informace o platební kartě. Ty mohou útočníkům sloužit k provádění plateb na internetu.

„Podvodník žádá po držiteli platební karty citlivé údaje – číslo platební karty, platnost karty a kód CVV2/CVC2, tedy trojčíslí uvedené na zadní straně platební karty VISA/MasterCard,“ uvedli zástupci České spořitelny.

Windows 10 verze Threshold 2 je venku – co přináší?

13.11.2015 Bezpečnost
Windows 10 verze Threshold 2 je venku – co přináší?Včera, Michal Hala, aktualitaDnes (12. listopadu) Microsoft vypustil do oběhu první velkou aktualizaci pro Windows 10 nazvanou November Update známou už dříve spíše pod kódovým jménem Threshold 2. Pojďme se podívat, co přináší pro všechny uživatele a speciálně pak pro podniky.
Windows 10 byla uvolněna 29. července letos v létě a zatím dostávala jen drobné aktualizace. Teď tedy nadešel čas na větší upgrade. Číselně jde o verzi 1511, sestavení 10586, která už byla dříve uvolněna Insiderům v rámci testování. Upgrade je dostupný prostřednictvím Windows Update, nebo je možné stáhnout ISO.

Aktualizace přináší řadu vylepšení systému Windows 10 a to zejména tato, která se týkají všech uživatelů:
Vyšší rychlost systému – například bootování má být o 30 % rychlejší než ve Windows 7 na stejném zařízení (nekamenujte mě v diskusi).
Vyšší stabilita systému – na základě rozšiřující se uživatelské základny Windows 10 bylo možno odladit chyby na exotičtějších zařízeních.
Virtuální asistentka Cortana – rozpozná ručně psané poznámky (tedy pokud máte elektronické pero), nově je podporována japonština a kanadská, australská a indická angličtina.
Prohlížeč Edge – má být rychlejší a bezpečnější, přibyly náhledy stránek v záložkách, funguje synchronizace oblíbených položek mezi různými zařízeními. Bohužel původně slíbená rozšíření Microsoft nestihl implementovat a budou (snad) až v příštím upgradu příští rok v červnu.
Změny rozhraní (GUI) systému – jde nastavit barva titulku, změnil se vzhled kontextových menu a pár dalších změn, které ovšem nejsou nijak zásadní.

Logo Windows

Vylepšení pro podniky se týká:
Windows Store for Business – je zpřístupněno tržiště aplikací určené pro podniky, které by mělo vyhovovat potřebám podnikových uživatelů i administrátorů podnikových IS.
Windows Update for Business – týká se edic Pro, Enterprise a Education a nabízí vylepšený mechanismus aktualizací pro podniky, kterému se budeme věnovat podrobněji dále.
Windows Update for Business dělí updaty to tří skupin a podle toho je možné je spravovat:
Upgrady OS - mohou být odloženy až o osm měsíců v intervalech po měsíci.
Updaty (Security updates, Critical updates) - mohou být odloženy až o čtyři týdny v intervalech po týdnu.
Updaty definic (Definition updates) - nemohou být odloženy.
Zatím není implementována funkce Enterprise Data Protection, které bude umožňovat v rámci režimu Bring Your Own Device (tj. využití vlastního zařízení v práci) zašifrovat podniková data na takovém zařízení, bez dopadu na osobní aplikace a data. Na druhou stranu Windows 10 Enterprise v aktualizační větvi Long Term Servicing Branch teď mohou kompletně vypnout telemetrii, byť to Microsoft nedoporučuje.

Když už mluvíme o novinkách pro podniky, tak prý ze 120 miliónů (Mary Jo Foleyová v původním článku uvádí 110 miliónů) je 12 miliónů podnikových PC. To není úplně málo, ale ani to nesignalizuje bůhvíjakou ochotu podniků přecházet na nový systém. A je otázka jestli to aktualizace Threshold 2 nějak výrazně změní. Já bych spíš sázel až na příští upgrade Redstone. A i to je možná příliš optimistický odhad.

Redstone má být k dispozici počátkem června příští rok. Zatím se neví, co přesně přinese, kromě odložených rozšíření pro prohlížeč Edge a vylepšení mechanismu spolupráce mezi PC a mobilními zařízeními s Windows 10, které se inspirovalo u Applu a jeho funkce Continuity.

Kybernetická bezpečnost zůstane v rukách CZ.NIC. Vybral si ho NBÚ

27.8.2015 Bezpečnost

Národní bezpečnostní úřad vybral jako provozovatele Národního bezpečnostního týmu CSIRT.CZ opět sdružení, které se o bezpečnost staralo už od roku 2011. Sice je CSIRT.CZ provozován sdružením CZ.NIC už od roku 2011, kdy se domluvil s ministerstvem vnitra. Teď dostává pověření od NBÚ.

„Během více než čtyř let se CSIRT.CZ stal stabilní součástí mezinárodní bezpečnostní komunity, o čemž svědčí i členství v organizacích Trusted Introducer a FIRST sdružující bezpečnostní týmy z celého světa. V případě druhé jmenované organizace jsme dokonce první a jedinou organizací reprezentující Českou republiku,“ uvedl v tiskové zprávě Ondřej Filip, výkonný ředitel sdružení CZ.NIC.

„Je to další splněný úkol, který nám ukládal zákon o kybernetické bezpečnosti. Podpisem veřejnoprávní smlouvy se formálně dokončí navrhovaná dělba kompetencí a práce mezi vládní CERT a národní CERT. Z mého pohledu je tato varianta pro současnou Českou republiku optimálním řešením,“ řekl k výběru Dušan Navrátil, ředitel NBÚ.

Bezpečnost zaměstnanecké identity

21.8.2015 Bezpečnost
Zaměstnanci mají obvykle zřízeno mnoho účtů do řady firemních aplikací a správa vysokého počtu uživatelů představuje bezpečnostní riziko. Jak vyřešit centrální správu uživatelských identit a jejich propagaci do aplikací?

Digitální schizofrenici

V současnosti má většina lidí více identit, přitom se nemusí nutně jednat o osoby duševně nemocné nebo zařazené do programu na ochranu svědků. Řeč je totiž o našich digitálních identitách.

V digitálním světě vlastní každý uživatel více účtů pro přístup do různých služeb, např. sociálních sítí. V profesním životě zase používáme různé účty pro přístup do aplikací svého zaměstnavatele.

Když více neznamená lépe

S rostoucím počtem účtů rostou nároky na jejich správu nejen námi uživateli, ale zejména administrátory aplikací. Ti mají odpovědnost za správné přidělování přístupových oprávnění a řízení životního cyklu uživatelských identit v systému.

Správa vysokého počtu uživatelů představuje možné bezpečnostní riziko. Hrozbou jsou tzv. zapomenuté účty. Byly zaměstnanci s ukončeným pracovním poměrem zablokovány všechny existující účty? Bylo administrátorovi sděleno, že nějaká osoba odešla z firmy?

Koncept jediné identity

Zaměstnanci mají obvykle zřízeno N účtů do N firemních aplikací. Mohou si zjednodušit život tím, že jim administrátor zřídí účty se stejným uživatelským jménem a oni sami si pro každý účet nastaví stejné heslo. Pokud je ale vyžadována změna hesla po určitém počtu dní, uživatelé jsou nuceni změnit si heslo u všech svých účtů, jestliže chtějí nadále používat jedno heslo do všech aplikací.

Ruční změna hesel je jako stvořená pro zautomatizování v systému pro řízení identit (Identity Management, IDM). Ten je založen na principu, že jedna osoba je držitelem pouze jednoho uživatelského účtu, jedné identity. Identity jsou uloženy v centrálním úložišti v rámci IDM, které je obvykle realizováno LDAP adresářem.

IDM zajišťuje, aby identity a všechny jejich změny byly propagovány do napojených aplikací. Zaměstnanec si tak změní heslo pouze jednou ke svému účtu v centrálním úložišti. IDM se následně postará o to, aby se nové heslo „propsalo“ do firemních aplikací. Zaměstnanec se tak může přihlásit svým novým heslem do cílové aplikace.

Práci mají ulehčenou také administrátoři. Uživatelské účty zakládají pouze na jednom místě a IDM se postará o jejich založení v příslušných integrovaných aplikacích. Podobným způsobem fungují také reset hesla nebo zablokování účtu.

Správa identit

A co to ještě vylepšit?

Nyní by se mohlo zdát, že jediným (správným) zdrojem identit je IDM. Identity ale ve skutečnosti vznikají a mění se v personálním systému organizace. Systém řízení identit lze ještě vylepšit propojením IDM s personálním systémem.

IDM bude z personálního systému přebírat informace o nových zaměstnancích, změnách či ukončení pracovního poměru. Tyto informace následně transformuje do centrálního úložiště identit založením, změnou či zablokováním uživatelských účtů. Na základě přiřazené pracovní pozice může IDM dokonce automaticky přiřadit přístupová oprávnění účtu příslušného zaměstnance.

Jednotný přístup

IDM vyřeší centrální správu uživatelských identit a jejich propagaci do aplikací. Uživatelé se však budou do aplikací přihlašovat stále „postaru“. V rámci IDM máme vybudováno centrální úložiště identit a bylo by škoda jej nevyužít pro další účely.

Můžeme vybudovat systém jednotného řízení přístupu. Ten umožňuje mít pod kontrolou komunikační kanál, po kterém uživatelé přistupují do aplikací, a způsob přihlašování uživatelů do aplikací.

Základem systému je centrální přístupová brána fungující jako jediný bod, přes který uživatelé přistupují do aplikací. Brána provádí autentizaci uživatelů právě vůči centrálnímu úložišti identit v IDM a aplikaci je předán již ověřený uživatel.

Nasazení systému řízení přístupu přináší různé výhody a zjednodušení správy a údržby IT prostředí firmy. Lze vynucovat šifrované SSL spojení na přístupové bráně pro zabezpečení přístupů uživatelů. Nebo se na přístupové bráně mohou aktivovat pokročilé metody přihlašování (certifikáty, OTP), aniž je firemní aplikace musejí podporovat.

Pokročilé autentizační metody přitom mohou být nasazeny jen u aplikací, které zpracovávají kritická data (finanční systém, personální systém). Standardní přihlašování jménem a heslem může být nadále požadováno u méně významných systémů.

Centrální přístupová brána může podporovat další funkci, která uživatelům usnadní život. Technologie Single Sign On (SSO) umožní uživateli zadat přihlašovací údaje pouze při přístupu do první aplikace. Pokud ale přistoupí do jiné aplikace, je do ní ihned vpuštěn, aniž je mu zobrazena přihlašovací stránka, protože byl již jednou ověřen.

Přístupová brána však také představuje kritický bod v IT infrastruktuře. Při jejím výpadku by totiž uživatelé nemohli přistupovat do aplikací, a chod firmy by se tak přinejmenším omezil. Proto je nezbytné zajistit vysokou dostupnost této komponenty. Provoz na více strojích bude mít rovněž pozitivní vedlejší efekt v podobě vyššího výpočetního výkonu, který bude při vyšším počtu uživatelů potřeba. Přístupová brána totiž nezajišťuje pouze přihlášení uživatele do aplikace, ale procházejí přes ni všechny klientské požadavky.

Bezpečnostní přínosy

Centrální systém řízení identit se nestará pouze o správu identit, ale také zajistí audit všech činností spojených se životním cyklem identity. Je tak např. možné zjistit, kdo a kdy založil příslušný účet a kdo a kdy mu přiřadil přístupová práva. Je možné zavést schvalovací workflow, kdy příslušnou aktivitu (založení účtu) musejí nejprve odsouhlasit jmenované osoby. Na přidělování přístupových práv může být aplikována funkcionalita SoD (Separation of Duties), která sleduje, zda v jednom účtu není soustředěno příliš mnoho oprávnění.

Také systém řízení přístupu provádí audit, v tomto případě to jsou přístupy uživatelů. Je tedy známo, kdy přistupoval jaký uživatel do jaké aplikace. Kromě podpory pokročilých autentizačních metod a šifrované komunikace s klientskými stanicemi lze pomocí systému řízení přístupu např. omezit přístup do aplikací jen z určitých IP adres nebo definováním doby, po kterou mohou uživatelé do aplikací přistupovat.

Na bezpečnost IT prostředí firmy lze nahlížet z několika úhlů pohledu. Systémy řízení identit a přístupu pomohou zvýšit zabezpečení jedné oblasti, která bývá často opomíjena, přestože se v ní nachází v současnosti snad ta nejzranitelnější část informačních systémů – jejich uživatelé. A kromě toho umožňuje řízení identit a přístupů zjednodušit správu uživatelů.

Nový Red Hat Enterprise Linux slibuje vyšší bezpečnost

20.8.2015 Bezpečnost
Red Hat Enterprise Linux 6.7 přináší podporu nových bezpečnostních prvků, provozních analýz i kontejnerů.
Nový Red Hat Enterprise Linux slibuje vyšší bezpečnost

Dostupnost další verze platformy Red Hat Enterprise Linux 6 (RHEL) -- s označením 6.7 – oznámil Red Hat. Přináší řadu nových vylepšení, jako třeba větší zabezpečení systémů, aktivní identifikaci či přijetí některých nových open source technologií jako jsou linuxové kontejnery.

RHEL umožňuje například připojovat výměnná média určená pouze pro čtení, čímž předchází případnému úniku dat. Nová verze navíc obsahuje snadno použitelný nástroj Security Content Automation Protocol (SCAP) Workbench, který zastává roli SCAP skeneru a přináší funkcionalitu protokolu SCAP přizpůsobenou na míru konkrétním požadavkům.

SCAP Workbench je postavený na stávající funkcionalitě tohoto protokolu dostupné v platformě RHEL 6 a umožňuje podnikům zjišťovat soulad jejich systémů využívajících RHEL s vlastními firemními bezpečnostními směrnicemi a kritérii.

RHEL 6.7 je také kompatibilní s hostitelskou službou Red Hat Access Insights. Tato nová služba pomáhá s proaktivní identifikací a s vyřešením problémů, které by mohly negativně ovlivnit jejich podnikové operace.

Access Insights využívá ke zjištění možných problémů, jako jsou například záležitosti nebo zranitelnosti spojené s konfiguracemi, znalosti certifikovaných specialistů Red Hatu a týmu zákaznické podpory. IT administrátoři mají k dispozici nástěnku, která prý pomáhá identifikovat, pochopit a vyřešit problémy ještě před tím, než dojde k nějakému incidentu nebo narušení.

Platforma RHEL 6.7 rovněž obsahuje řadu nejnovějších open source technologií, které firmám umožňují bezpečné moderní inovace napříč fyzickými, virtuálními i cloudovými prostředími. Jedním z příkladů je nástroj clufter určený pro analýzu a transformaci konfiguračních formátů clusterů.

Systémoví administrátoři mohou pomocí něj aktualizovat stávající prostředí s vysokou dostupností tak, aby mohla využívat nejnovější nástroje Red Hat právě z oblasti vysoké dostupnosti. Plně podporovanou vlastností je nyní LVM Cache, která umožňuje s minimálními náklady využít výhod úložišť založených na technologii SSD.

Základní obraz platformy RHEL 6.7 je již k dispozici prostřednictvím zákaznického portálu Red Hat a zákazníci tak mohou transformovat svá tradiční výpočetní řešení do aplikací založených na kontejnerech. Ty jsou vhodné pro nasazení na kontejnerových hostitelích certifikovaných společností Red Hat, mezi které patří RHEL 7, RHEL Atomic Host i OpenShift Enterprise 3 by Red Hat.

Podmínky Windows 10 umožňují Microsoftu zablokovat třeba pirátské hry

17.8.2015 Bezpečnost

Fanoušci pirátského softwaru a zejména her by mohli mít ve Windows 10 smůlu, součástí nových podmínek je totiž i hojně citovaný bod 7b, ve kterém se mimo jiné píše:

„Můžeme automaticky kontrolovat vaši verzi softwaru, který je nezbytný k poskytování služeb, a stahovat aktualizace nebo změny konfigurace softwaru (zdarma) k aktualizaci, zdokonalení a dalšímu rozvoji služeb, včetně aktualizací a změn, které vám zabrání v přístupu ke službám, v hraní padělaných her nebo používání nepovolených hardwarových periferních zařízení. K dalšímu používání služeb může být také nutné aktualizovat software.“

Tento bod dává Microsoft zelenou k tomu, aby zablokoval libovolný software a připojený hardware ve Windows 10. Nabízí se zmíněné pirátské hry a další software, případně třeba nějaké ilegální hardwarové zařízení – třeba odposlouchávací, případně rušící (třeba radiový jammer, který ruší okolní GSM, GPS aj.).

Hackery klepnou přes prsty speciální kybertýmy

17.8.2015 Bezpečnost
Do kybernetické bezpečnosti v době olympiády 2020 hodlá japonská vláda zapojit na 50 tisíc nově vyškolených státních zaměstnanců, pracovníků soukromých firem a podnikatelů. Jak uvádí deník Nikkei, tamější Ministerstvo vnitra a komunikací už předložilo vládě řadu návrhů, jak zajistit v zemi do konání největšího sportovního svátku světa účinnou kybernetickou bezpečnost.
Nepůjde o zrovna levnou záležitost – po tokijském kabinetu požadují ministerští úředníci na čtyři roky, červencem 2016 počínaje, celkem 20 miliard jenů (v přepočtu 3,9 mld. korun).

Peníze daňových poplatníků mají sloužit důkladnému školení zaměstnanců obecních úřadů, žáků a učitelů škol a pracovníků malých a středně velkých soukromých firem. „Absolventi kurzů dozorovaných ministerstvem by měli být připraveni na kybernetické útoky související s olympiádou, jako je napadení webových stránek hackery nebo podvody s prodejem lístků na internetu,“ potvrdil.

Mají rovněž vytvořit týmy, jejichž úkolem bude zlepšit bezpečnost informačních technologií v jiné instituci nebo společnosti než v té, v níž sami pracují. Ministerstvo chce také ustavit celostátní fórum, v němž by se firmy v době přípravy na olympiádu pravidelně dělily o své kladné i záporné zkušenosti v kybernetické bezpečnosti.

Experti berou útoky jako hotovou věc
Odborník, který hrál klíčovou roli v zajištění kybernetické bezpečnosti před hrami v Londýně i během nich a který si nepřál být jmenován, se domnívá, že tokijská vláda nedělá z komára velblouda.

„Ke kybernetickým útokům při olympiádě určitě dojde. Hackeři berou jako výzvy akce, které na sebe strhnou pozornost celé světa,“ zdůrazňuje zmiňovaný britský expert. „Japonci zkrátka vzali přípravu vskutku důkladně. Nelitují ani peněz, ani úsilí,“ podotýká.

V Londýně se odborníci na kybernetickou bezpečnost soustředili zejména na to, aby návštěvníkům chodily do chytrých telefonů včas výsledky sportovního soutěžení. „Dá se předpokládat, že útoky na chytré telefony v Tokiu ještě zesílí. Vždyť je používá stále více lidí,“ uzavírá nejmenovaný odborník ze Spojeného království.

Využijte virtualizaci pro zvýšení bezpečnosti (1)

8.8.2015 Bezpečnost
Organizace zjišťují, že velmi významným motivujícím faktorem pro přijetí virtualizace sítí je zlepšené zabezpečení.

Když lidé přemýšlejí o virtualizaci sítí, uvažují obvykle o rychlejším provisioningu, networkingu, snadnější správě a dalším efektivnějším využití prostředků. Virtualizace sítí však přináší také další velkou výhodu, která není často příliš zmiňovaná – a tou je vyšší úroveň bezpečnosti.

VMware je jednou ze společností, které se snaží uvádět virtualizaci sítí na trh. Jejím produktem považovaným za vlajkovou loď v této oblasti je NSX. Na nedávné konferenci VMworld padla informace, že tato softwarová platforma má už stovky zákazníků a roční prodeje dosahují výše stamilionů dolarů.

Snad nejvíce překvapující ale je, že až 40 % z těchto instalací nebylo motivovaných agilitou NSX a výhodami správy sítí. Namísto toho byla hlavním faktorem pro implementaci právě bezpečnost.

Schopnost NSX dělat mikrosegmentaci síťového provozu a možnost nasadit všudypřítomné virtuální firewally v datovém centru se organizacím zjevně velmi líbí, prohlásili zástupci společnosti VMware.

Hodnotu agility a schopnosti zrychlit vytváření sítě a snadnější správu sítě získá každý, tvrdí Chris King, viceprezident produktového marketingu obchodní divize Sítě a zabezpečení ve VMwaru. „Problém ale spočívá v tom, že jde o poměrně velké sousto.“

Větší organizace, jako jsou například banky nebo některé úřady, používají NSX především k usnadnění správy sítě. Jiné, zejména menší firmy, nalezly výhodu vyplývající z vyšší úrovně zabezpečení. Ochrana dat se tak může stát důvodem pro prvotní využití NSX, uvádí King.

Ochrana vnitřku

Použití virtuální sítě vytváří celou řadu nových příležitostí pro bezpečnostní postupy, které se zaměřují nikoli na ochranu hranice, ale na zabezpečení provozu uvnitř datového centra.

Jedním ze způsobů, jak to NSX dělá, je mikrosegmentace. Část technologie NSX umožňuje snadnější vytváření nových sítí. Dovoluje také přiřadit sítím zásady a povolit v dané síti jen některé typy přenosů.

Pokud se tedy vyskytne hrozba a objeví se pokus o napadení sítě, nebude to možné, protože atak nebude mít potřebná oprávnění. Protože jsou sítě rozdělené do segmentů, tak i v případě, že se útočníkovi podaří dostat se do sítě, nezíská v rámci datového centra úplnou kontrolu a bude limitovaný jedním segmentem sítě.

Další bezpečnostní výhodou, která je spojená s virtuální sítí, je možnost mít virtuální firewally distribuované po celém datovém centru. V tomto nastavení se fyzické nebo virtuální firewally stále používají jako obrana hranice pro tzv. severojižní provoz – data přicházející do prostředí a odcházející z něj.

Pomocí NSX je možné umístit virtuální firewally kdekoliv v celém datovém centru, takže východozápadní provoz mezi servery se také chrání pomocí firewallů.

NSX také umožňuje využívat zabezpečení specifické pro virtuální stroje, při kterém se pravidla firewallů nastaví nejen pro sítě, ale také pro virtuální stroje. Když se tedy změní umístění virtuálních strojů v síti, přesunou se s nimi i odpovídající bezpečnostní zásady.

Konfigurace virtuálních firewallů pro východozápadní přenosy v datovém centru je v tradičnějších konfiguracích technicky možná, ale v praxi je to v podstatě neproveditelné.

Pokaždé, když dojde k vytvoření nové sítě nebo k umístění nového virtuálního stroje do sítě, musel by se hraniční firewall zaktualizovat o nové zásady. Pokud za den dojde ke stovce přesunů virtuálních strojů, muselo by se změnit velké množství pravidel firewallů.

Řešením je obvykle buď neaktualizování pravidel firewallů, nebo najmutí doslova armády správců firewallů. Druhou variantu si ale může dovolit jen velmi málo organizací, takže většina volí první možnost, popisuje King.

Využijte virtualizaci pro zvýšení bezpečnosti (2)

8.8.2015 Bezpečnost
Organizace zjišťují, že velmi významným motivujícím faktorem pro přijetí virtualizace sítí je zlepšené zabezpečení.

Takhle může v praxi vypadat nasazení virtualizace sítí pro zajištění vyššího zabezpečení firemní infrastruktury.

Příklad z praxe

Exostar je středně velký poskytovatel bezpečných hostingových prostředí, který je nadšený potenciálem virtuálních firewallů uvnitř jejich nové infrastruktury vytvořené v pronajatém datovém centru.

Tato společnost má komplexní systém virtuálních sítí LAN a firewallů, které řídí síťový provoz mezi zákazníky společnosti a datovými centry Exostar. V současné době, když přijde nový uživatel, nakonfiguruje Brandon Marrs, inženýr infrastruktury, novou virtuální síť LAN pomocí rozhraní příkazového řádku (CLI), přiřadí jí zásady zabezpečení a nakonfiguruje síťový hardware a fyzické firewally.

Jako součást nové technologie NSX nyní Exostar ověřuje koncept, který by dramaticky zjednodušil celý proces. Nové sítě by se v rámci softwaru NSX snadno vytvářely jen pomocí několika kliknutí prostřednictvím grafického rozhraní.

Jakmile se zprovozní, lze virtuální stroje provozující síť umístit do bezpečnostních skupin s jim přizpůsobenými zásadami. Namísto toho, kdy by se použily fyzické firewally, kterými by procházely přenosy, umožňuje NSX firewally připojit k jednotlivým sítím.

Marrs a jeho tým budou mít díky NSX centrální přehled o všech sítích, budou moci jednoduše spustit nové, přiřadit jim zásady zabezpečení a v případě potřeby je zase vypnout. Už žádná správa pomocí příkazového řádku, jak říká Marrs.

Exostar podle svých slov doufá, že se jí podaří vše postavit na hardwaru Cisco UCS společně se softwarem VMware NSX.

Zaujal vás tento článek? Přehled nejzajímavějších zpráv získáte odebíráním našeho newsletteru »
Možná že největším přínosem této implementace bude flexibilita sítě, předpokládá Marrs. Pokud bude Exostar potřebovat větší kapacitu sítě, potom lze přidat další procesory a paměť a vytvořit více virtuálních sítí.

Alternativou k tomuto přístupu by bylo koupit sadu nových firewallů a umístit je do infrastruktury. Marrs odhaduje, že by jen za hardware jejich firma utratila 100 tisíc dolarů a jejich manuální řízení by si vynutilo další východozápadní přenosy v datovém centru.

„S touto novou infrastrukturou jsme chtěli také snadnější správu a garanci, že budeme mít v případě potřeby bezproblémovou škálovatelnost,“ prohlašuje Marrs.

Brad Casemore, analytik IDC, který sleduje síťové inovace, si myslí, že není nic překvapujícího vidět, že zabezpečení získává na síle jako klíčová hodnota virtualizace sítí.

Některé z prvních význačných nasazení virtualizace síťových technologií se týkaly rozdělování sítí z bezpečnostních důvodů. Když vznikala společnost Nicira (VMware ji nedávno převzal a z jejích technologií udělal základ pro produkt NSX), začalo tuto technologii mnoho poskytovatelů služeb využívat pro její výhody agility.

„Teď se kruh uzavírá,“ popisuje Casemore a dodává, že bezpečnost se znovu stává hnací silou virtualizace sítí.

„Na širším trhu bezpečnost skutečně otevírá dveře pro produkty VMwaru,“ uvádí Casemore. Je to potenciální příklad implementace, která může pomoci technologii NSX překonat propast sahající od raných osvojitelů a poskytovatelů služeb směrem k širšímu spektru podnikového nasazení, uzavírá Casemore.

Google investuje do bezpečnosti Androidu, chystá se vypustit dosud největší záplatu

7.8.2015 Bezpečnost
Google se chystá vypustit jednu z dosud největších záplat pro Android, podle zástupce společnosti Adriana Ludwiga dokonce tu vůbec největší.
Google investuje do bezpečnosti Androidu, chystá se vypustit dosud největší záplatu

„V následujících dnech aktualizujeme stovky milionů zařízení. To je neuvěřitelné,“ říká.
A co má aktualizace řešit?

Předně riziko, že se vám do systému někdo nabourá prostřednictvím takzvaného Stagefrightu, bezpečnostní chyby systému, která umožňuje jeho ovládnutí bez jakékoliv interakce uživatele.

Stačí, aby někdo odeslal speciálně upravenou multimediální zprávu, jejíž spuštění umožní škodlivému kódu získat kontrolu nad telefonem. A vzhledem k tomu, že u mnohých aplikací, jako je například Hangouts, je automatické stahování obsahu nastaveno jako výchozí, je podle odborníků Stagefrightem ohroženo až pětadevadesát procent zařízení pracujících na systému Android.

Z tohoto důvodu Google například v nedávné době aktualizoval aplikaci Messenger, která už po uživateli vyžaduje interakci, chce-li přehrát obdržené video. Další bezpečnostní aktualizace mají následovat v nejbližších dnech, Google na nich spolupracuje přímo s výrobci chytrých telefonů jako jsou Sony, Samsung, LG či HTC.

Společnosti se zavázaly, že svým zákazníkům budou posílat bezpečnostní patche každý měsíc a to po dobu přinejmenším tří let od vydání daného modelu. Ludwig za Google zároveň přislíbil, že společnost chystá výrazné investice do bezpečnosti Androidu, který by tak měl být v budoucnu ještě důkladnější v blokování potenciálně škodlivých aplikací.

Aktualizace Windows 10 budou automatické a většina uživatelů je nevypne

17.7.2015 Bezpečnost

Nejnovější testovací build Windows 10 přinesl velkou změnu v tom, jak chce Microsoft udržovat systém aktuální. Týká se hlavně uživatelů verze Home.
Už žádné vypínání aktualizací nebo jejich odkládání na později. Ve Windows 10 pro domácí uživatele budou s největší pravděpodobností aktualizace systému povinné a nepůjdou zrušit.

Na základě nejnovější verze systému, kterou Microsoft tento týden poskytl testerům, o tom píše například Ars Technica. O této verzi se neoficiálně mluví jako o té, která už má být připravena k vydání a kterou budou do svých zařízení předinstalovávat OEM výrobci hardwaru.

V této verzi si uživatel podle Ars Technicy u aktualizací může vybrat jen ze dvou možností: zkontrolovat, stáhnout, nainstalovat a restartovat počítač automaticky, nebo automaticky zkontrolovat, stáhnout a nainstalovat a poté restartovat manuálně. Tedy žádné odmítnutí nebo odložení aktualizací na později, nebo výběr, které aktualizace instalovat a které ne.

Změna má logiku v jedné věci: Windows domácích uživatelů tak budou automaticky udržovány v nejaktuálnější podobě, včetně všech bezpečnostních záplat.

Na druhou stranu ale může přinést problémy, pokud některá aktualizace změní systém takovým způsobem, že uživateli přestane fungovat nějaký hardware nebo používaný software. Dnes stačí dotyčnou aktualizaci odinstalovat a pak se jí uživatel může vyhýbat. To už v budoucnu nebude možné.

Změna se ovšem týká jen uživatelů verze Home. Ve variantách Pro a Enterprise budou mít klienti více možností, jak s aktualizacemi zacházet. Budou je moci například oddálit, aby mohli svá zařízení na změnu připravit.

Odhalení uživatelům Tor: kde anonymita končí v darknet
20.6.2015 Bezpečnost

CYBER ​​ŠPIONÁŽ JAVASCRIPT ONION TOR
Na rozdíl od běžných World Wide Web technologie, se cibule směrovacích technologie Tor darknet poskytují uživatelům reálnou šanci zůstat v anonymitě. Mnoho uživatelů si skočil na tomto šanci - takže někteří dělali, aby se ochránili nebo ze zvědavosti, zatímco jiní vyvinuli falešný pocit beztrestnosti, a viděl příležitost udělat tajné podnikat anonymně: prodej zakázaného zboží, distribuci nelegálního obsahu, atd. Nicméně, další vývoj, jako je například zadržení tvůrce webu Silk Road, přesvědčivě prokázala, že tyto podniky byly méně anonymní než většina předpokládal.

Zpravodajské služby nebyly zveřejněny žádné technické podrobnosti o tom, jak oni zadrželi zločinci, kteří vytvořili Tor stránky k distribuci nelegálního zboží; zejména proto, že neposkytují žádné vodítko, jak se identifikují zločinci, kteří se chovají anonymně. To může znamenat, že realizace Tor darknet obsahuje některé slabiny a / nebo konfigurační vady, které umožňují odhalit každý uživatel Tor. V tomto výzkumu, budeme prezentovat praktické příklady ukazují, jak mohou uživatelé Tor ztratí svou anonymitu a bude čerpat z těchto příkladů závěry.

Jak jsou uživatelé Tor přišpendlený dolů?

Historie Tor darknet viděl mnoho pokusů - teoretické a praktické - identifikovat anonymní uživatelé. Všechny z nich mohou být podmíněně rozdělit do dvou skupin: útoky na straně klienta (prohlížeče), a útoky na spojení.

Problémy ve webových prohlížečích

Tyto dokumenty unikly NSA nám říkají, že zpravodajské služby nemají žádné výčitky pomocí exploitů na Firefox, což bylo základem pro Tor Browser. Nicméně, jak NSA vykazuje ve své prezentaci, používat k využívání zranitelnosti nástrojů neumožňuje trvalý dohled nad uživateli darknet. Využije mají velmi krátkou životnost, takže v určitém okamžiku času existují různé verze prohlížeče, z nichž některé obsahující konkrétní zranitelnost a jiné ne. To umožňuje dohled nad jen ve velmi úzkém spektru uživatelů.

Odhalení uživatelům Tor: kde anonymita končí v darknet

Unikly NSA dokumenty, včetně přehledu o tom, jak uživatelé Tor může být de-anonymizovány (Zdroj: www.theguardian.com )

Stejně jako tyto pseudo-oficiální dokumenty, Tor komunita je rovněž vědoma dalších zajímavých a naivní útoky na straně klienta. Například, vědci z Massachusetts Institute of Technology založena , že Flash vytvoří vyhrazený komunikační kanál pro zvláštní serveru cybercriminal, která zachycuje skutečné IP adresy klienta, a naprosto diskredituje oběť. Nicméně, vývojáři Tor Browser je pohotově reagovala na tento problém vyloučením Flash manipulátory obsahu z jejich produktu.

Odhalení uživatelům Tor: kde anonymita končí v darknet

Flash jako způsob, jak zjistit skutečnou IP adresu oběti (Zdroj: http://web.mit.edu )

Další, tentokrát moderní způsob ohrožení webového prohlížeče je realizováno pomocí WebRTC DLL. Tato knihovna je navržena tak, aby uspořádat přenosový video stream kanál podporující HTML5, a, podobně jako kanál Flash je popsáno výše, je používán k tomu, aby skutečné IP adresy oběti, které mají být stanoveny. Takzvané požádá STUN WebRTC jsou zaslány ve formátu prostého textu, a tak obcházet Tor a všemi nevyhnutelnými důsledky. Nicméně, tento "nedostatek" byl také okamžitě opraveno Tor vývojáři prohlížeče, takže teď bloky prohlížeče WebRTC ve výchozím nastavení.

Útoky na komunikační kanál

Na rozdíl od útoků prohlížeče, útoky na kanálu mezi klientem a serverem Tor nacházející se uvnitř nebo vně darknet zdají nepřesvědčivé. Zatím většina konceptů byly výzkumníky prezentovány v laboratorních podmínkách a žádné "in-the-pole" důkazy konceptu zatím nebyly předloženy.

Mezi těmito teoretických pracích, jeden zásadní textu si zaslouží zvláštní zmínku - je založen na analýze provozu využívající protokol NetFlow. Autoři tohoto výzkumu, se domnívají, že útočník strana je schopen analyzovat NetFlow záznamy, směrovače, které jsou přímými uzly Tor nebo jsou umístěny v jejich blízkosti. NetFlow záznam obsahuje následující informace:

Číslo verze protokolu;
Číslo záznamu;
Příchozí a odchozí síťové rozhraní;
Čas toku hlavy a proud koncem;
Počet bajtů a paketů v toku;
Adresa zdroje a určení;
Port zdroje a určení;
Číslo protokolu IP;
Hodnota druh dopravy;
Všechny vlajky pozorované během TCP spojení;
Gatway adresa;
Masky zdrojové a cílové podsítí.
Z praktického hlediska všech těchto identifikaci klienta.

Odhalení uživatelům Tor: kde anonymita končí v darknet

De-anonymity klienta Tor na základě analýzy provozu
(Zdroj: https://mice.cs.columbia.edu )

Tento druh analýzy založené na vyšetřování provozu vyžaduje obrovské množství přípojných bodů uvnitř Tor, v případě, že útočník chce, aby bylo možné k de-anonymitu každému uživateli v každém časovém období. Z tohoto důvodu se tyto studie nemají žádný praktický význam pro jednotlivé výzkumníky, pokud mají obrovský bazén výpočetních zdrojů. Také z tohoto důvodu budeme mít jiný směr, a zváží další praktické metody analýzy aktivita a Tor uživatele.

Pasivní monitorovací systém

Každý obyvatel v síti mohou sdílet jeho / její výpočetních zdrojů uspořádat uzlu serveru. Uzel server je uzlový prvek v síti Tor, který hraje roli zprostředkovatele v oblasti informačních provozu sítě zákazníka dané. V tomto darknet, existuje několik druhů uzlů: relé uzly a Konec uzly. Uzel výjezd je konec odkaz v provozu dešifrování provozu, takže jsou koncový bod, které se mohou stát zdrojem úniku zajímavé informace.

Naším úkolem je velmi specifická: musíme sbírat stávající a co je nejdůležitější, relevantní cibule zdroje. Nemůžeme spoléhat výhradně na motory s vnitřním a / nebo webové stránky katalogů, protože tyto nechat hodně být vyžadováno z hlediska relevance a úplnost obsažených informací.

Nicméně, je zde jednoduché řešení problému agregace příslušných internetových stránkách. Chcete-li seznam cibule zdrojů, které byly v nedávné době navštívili pomocí darknet uživatelem, je třeba sledovat každé instance přístupu k nim. Jak víme, uzel výjezd je koncový bod dráhy, které šifrované pakety následovat v rámci darknet, takže můžeme svobodně zachytit HTTP / HTTPS protokol pakety v okamžiku, kdy jsou dešifrovány v uzlu výjezdu. Jinými slovy, v případě, že uživatel používá darknet jako prostředník mezi jeho / její prohlížeči a webovým zdroj se nachází v pravidelném Internetu, pak výstupní uzel Tor je umístění, kde paketů v nešifrovaném formátu a mohou být zachyceny.

Víme, že paket HTTP mohou obsahovat informace o webových zdrojů, včetně zdrojů, cibule, které byly navštíveny dříve. Tato data je obsažen v požadavku záhlaví "Referrer", který může obsahovat adresu URL zdroje žádosti. V pravidelném internetu, tyto informace pomáhají určit, web mistři žádosti, které vyhledávače nebo weby přímé uživatelé směrem webového zdroje, které spravují.

V našem případě, to je dost skenovat výpis zachycené provozu s regulární výraz, který obsahuje řetězec "cibule".

K dispozici je velké množství dostupných článků o konfiguraci výstupních uzlů, takže nebudeme trávit čas o tom, jak konfigurovat uzlu výstupu, ale místo toho poukázat na pár detailů.

Za prvé, je nutné nastavit výstupní politiku, která umožní dopravní komunikaci napříč všech portech; to by mělo být provedeno v konfiguračním souboru torrc, který se nachází v instalačním katalogu Tor. Tato konfigurace není stříbrná kulka, ale to přece nabízejí šanci vidět něco zajímavého, na non-triviální portu.

>> ExitPolicy přijímat *: *

Pole "Přezdívka" v souboru torrc nemá žádný zvláštní význam, takže jediný doporučení v tomto případě není použít některý viditelný (např 'WeAreCapturingYourTraffic "), názvy uzlů, nebo ty, které obsahují čísla (" NodeNumber3 "), které by mohly navrhnout celou síť těchto uzlů.

Po spuštění serveru Tor, je nutné počkat, dokud se nahraje souřadnic na server adresářů - to pomůže náš uzel prohlásí, že všem účastníkům darknet.

Odhalení uživatelům Tor: kde anonymita končí v darknet

Uzel výstup v provozu

Poté, co jsme spustili režim ukončit, a to začalo předávat provoz Tor uživatelů přes sebe, musíme zahájit paket sniffer provozu a zachytit pomíjivou provoz. V tomto případě, tshark působí jako sniffer, poslech rozhraní # 1 (obsazený Tor) a uvedení výpis do souboru "dump.pcap":

>> Tshark -i 1 -w dump.pcap

Odhalení uživatelům Tor: kde anonymita končí v darknet

Tshark zachycuje pakety, které procházejí uzlu výstupu v nešifrované podobě

Všechny výše uvedené akce musí být provedeno na tolik serverů, jak je to možné shromáždit co nejvíce informací o zájmu jako je to možné. Je třeba poznamenat, že skládka roste velmi rychle, a to by mělo být pravidelně sbírány k analýze.

Takže, jakmile se dostanete obrovskou výpis, to by měly být analyzovány pro cibule zdrojů. Skimming přes skládce pomáhá roztřídit všechny prostředky na uživateli Tor podle typu obsahu.

Je třeba poznamenat, že 24 hodin nepřetržitého provozu zadržení (na pracovním dni) vyrobit až 3 GB skládky pro jeden uzel. Proto nemůže být jednoduše otevřít pomocí Wireshark - nebude možné ji zpracovat. Pro analýzu výpis stavu, musí být rozdělena do menších souborů, ne větší než 200 MB (tato hodnota byla určena empiricky). Chcete-li tak učinit, utility "editcamp" se používá spolu s Wireshark:

>> Editcap - c 200.000 input.pcap output.pcap

V tomto případě, 200000 představuje počet paketů v jediném souboru.

Při analýze výpis, úkolem je hledat řetězce obsahující podřetězec ".onion". To s největší pravděpodobností bude najít vnitřní zdroje Tor. Nicméně, takový pasivní sledování není nám umožní de-anonymizovat uživatele v plném smyslu toho slova, protože výzkumník může analyzovat pouze ty údaje síťové pakety, které uživatelé dělají dispozici "z vlastní vůle".

Aktivní systém monitorování

Chcete-li se dozvědět více o darknet obyvatel musíme je vyprovokovat rozdávání některé údaje o jejich prostředí. Jinými slovy, potřebujeme aktivní systém sběru dat.

Odborník na Leviathan Security objevil velké množství výstupních uzlů a představil živý příklad aktivního monitorovacího systému při práci v terénu. Uzly byly odlišné od jiných výstupních uzlů v tom, že injekcí škodlivý kód na toto binárních souborů, která v nich. Zatímco klient stažený soubor z Internetu, pomocí Tor zachovat anonymitu, škodlivý výstupní uzel provedl MITM-útok a zasadil škodlivý kód do binární soubor ke stažení.

Tento incident je dobrým příkladem konceptu aktivního monitorovacího systému; Nicméně, to je také dobrým příkladem jeho rubu: jakákoliv činnost při uzlu přesunů (jako je manipulace dopravy) se rychle a snadno identifikovat automatické nástroje, a uzel je ihned na černé listině Tor komunitou.

Pojďme začít znovu s čistým štítem

HTML5 nám přinesla nejen WebRTC, ale také zajímavý tag "plátno", který je navržen tak, aby vytvářet bitmapové obrázky pomocí JavaScriptu. Tato značka má zvláštnost v tom, jak to skýtá obrázků: každý internetového prohlížeče poskytuje obrazy odlišně v závislosti na různých faktorech, jako jsou:

Různé grafických ovladačů a hardwarové komponenty instalované na straně klienta;
Různé sady softwaru v operačním systému a různých konfiguracích softwarového prostředí.
Parametry poskytnutých snímků lze jednoznačně identifikovat webového prohlížeče a jeho softwarové a hardwarové prostředí. Na této zvláštnosti základě tzv otisku prstu může být vytvořen. Tato technika není nová - se používá, například tím, že některé on-line reklamní agentury pro sledování zájmů uživatelů. Avšak ne všechny jeho metod může být realizován v Tor Browser. Například, supercookies nelze použít v Tor Browser, Flash a Java je ve výchozím nastavení zakázána, použití písma je omezeno. Některé jiné metody, zobrazí upozornění, které mohou upozornit uživatele.

Tak, naše první pokusy o plátna z otisků prstů a s pomocí funkce getImageData (), který extrahuje obrazová data, byly blokovány Tor Browser:

Odhalení uživatelům Tor: kde anonymita končí v darknet

Nicméně, některé mezery jsou stále otevřené v této chvíli, s níž otisků prstů v Tor může být provedeno bez vyvolání upozornění.

Svými písem my jim musí vědět

Tor Browser lze identifikovat pomocí funkce measureText (), který měří šířku textu vyneseným v plátně:

Odhalení uživatelům Tor: kde anonymita končí v darknet

Použití measureText () pro měření velikosti písma, který je jedinečný pro operační systém

Pokud je výsledný šířka písmo má jedinečnou hodnotu (to je někdy plovoucí bodová hodnota), pak můžeme identifikovat prohlížeče, včetně Tor Browser. Jsme si vědomi, že v některých případech se mohou výsledné hodnoty šířky písma je stejná pro různé uživatele.

Je třeba poznamenat, že se nejedná pouze funkce, která může získat jedinečné hodnoty. Další taková funkce je getBoundingClientRect (), který může získat výšku a šířku textu hraničního obdélníku.

Když problém snímání otisků prstů uživatelů stala známou ke komunitě (to je také důležité, aby uživatelé Tor Browser), odpovídající žádost byla vytvořena. Nicméně, Tor vývojáři prohlížeče jsou v žádném spěchu, které vyřeší tuto nevýhodu v konfiguraci s tím, že černé listiny takové funkce je neúčinná.

Odhalení uživatelům Tor: kde anonymita končí v darknet

Oficiální odpověď Tor vývojáře k problému vykreslování písmo

Polní pokusy

Tento přístup byl aplikován výzkumníkem přezdíval "KOLANICH". Pomocí obě funkce, measureText () a getBoundingClientRect (), napsal scénář, testováno ve lokálně v různých prohlížečích a získat jedinečných identifikátorů .

Použitím stejné metodiky, jsme uspořádali testovací postel, zaměřené na snímání otisků prstů Tor Browser v různých softwarových a hardwarových prostředí.

Pro řešení tohoto problému, jsme použili jeden autor blog a vložené si JavaScript, který používá measureText () a getBoundingClientRect () funkce pro měření písma poskytované ve webovém prohlížeči uživatele návštěvě webové stránky. Skript pošle naměřené hodnoty v požadavku POST na webový server, který, podle pořadí, šetří tento požadavek ve svých protokolech.

Odhalení uživatelům Tor: kde anonymita končí v darknet

Fragment protokolu webového serveru s viditelnou Tor Browser otisků prstů

V této době jsme sbírání výsledky tohoto skriptu operačního. K dnešnímu dni jsou všechny vrácené hodnoty jsou jedinečné. Budeme zveřejňovat zprávu o výsledcích v řádném termínu.

Možné praktické dopady

Jak lze tento koncept být použit v reálných podmínkách k identifikaci uživatelů Tor Browser? Kód JavaScript popsané výše může být nainstalován na několika objektech, které se podílejí na datový provoz v darknet:

Konec uzel. MITM-útok je implementován, během kterého je kód JavaScript vstříkne do všech webových stránek, které o darknet rezidentní návštěvy ve vnějším webu.
Vnitřní zdroje cibule a externích webových stránek ovládané útočníků. Například útočník zahajuje "dveře", nebo webové stránky speciálně vytvořené s konkrétní publikum v zobrazení, a otisky prstů všem návštěvníkům.
Vnitřní a vnější webové stránky, které jsou náchylné k cross-site scripting (XSS) zranitelnost (nejlépe skladovat XSS, ale to není podstatné).
Odhalení uživatelům Tor: kde anonymita končí v darknet

Objekty, které by otisk prstu uživatele Tor

Poslední položkou je obzvláště zajímavé. Máme naskenované asi 100 cibulové zdroje pro webové zranitelnosti (tyto prostředky byly v protokolech z pasivního monitorovacího systému) a odfiltrovány "falešně pozitivních". Tak, jsme zjistili, že asi 30% analyzovaných zdrojů darknet jsou náchylné k cross-site skriptování útoky.

To vše znamená, že uspořádání farmu výstupních uzlů není jedinou metodou, útočník může použít k de-anonymizovat uživatele. Útočník může také ohrozit www stránek a zajistíme vchody, umístěte kód JavaScriptu tam a sbírat databázi unikátních otisků prstů.

Odhalení uživatelům Tor: kde anonymita končí v darknet

Proces de-anonymity pro uživatele Tor

Takže útočníci nejsou omezeny na vstřikování javascriptový kód do legálních internetových stránkách. Existuje více objektů, kde je možné kód JavaScript injekčně, který rozšiřuje počet možných bodů přítomnosti, včetně těch, které v rámci darknet.

Na základě tohoto přístupu, útočník by mohl, teoreticky, zjistit, například, místa na jaká témata jsou v zájmu uživatele s jedinečným otisků "c2c91d5b3c4fecd9109afe0e", a na které stránky, které uživatel přihlásí. Výsledkem, útočník ví, že profil uživatele na webové zdroje a historii surfování uživatele.

V místě uzavření

Na oficiálních internetových stránkách Tor projektu, vývojáři zaslali odpověď na otázku "proč je povolen JavaScript Tor Browser?":

Odhalení uživatelům Tor: kde anonymita končí v darknet

Tor Browser oficiální odpověď na otázku o JavaScriptu

Zdá se, z této odpovědi, že bychom neměli očekávat, že vývojáři zakázat kód JavaScript v TorBrowser.

Liché HTTP User Agents

19.6.2015 Bezpečnost
Mnoho webových aplikací firewally blokují liché uživatelských agentů. Nicméně, slušné zranitelnosti skenery se bude snažit vyhnout tyto jednoduché ochranu a snaží se napodobit uživatelského agenta řetězec běžně používaných prohlížečů. Chcete-li zjistit, jestli mohu rozlišit špatné od dobrého, jsem porovnal některé protokoly z našich honeypots do protokolů z normálního webového serveru (isc.sans.edu). Mnoho z nejlepších uživatelských agentů dopadajících na Honeypot jsou jen stěží vidět na běžných internetových stránkách, že mi k identifikaci možných zranitelnosti skenery.

Za prvé: Existuje řada legitimních skriptů, které Anketa naše data na isc.sans.edu. Zatímco například "Python" je používán mnoha zranitelnosti skenery, máme dobrý počet python skriptů pomocí našeho API. Pokusil jsem se odstranit některé těchto požadavků.

Liché oprávněný uživatel látky:
První umožňuje začít s pár podivných uživatelských agentů z našeho běžného stránkách:

User-Agent: Mozilla / 5.0 (Windows NT 6.1; WOW64, rv: 17,247) Gecko / 20100101 Firefox / 17,247
Ano, řetězec "User-Agent:" je součástí řetězce User Agent. Verze Firefoxu je také stará ... (pokud legit vůbec. Nemám Firefox 17 kolem ověřit). Tento user agent řetězec je používán službou monitorovací uptime webových stránek. Předpokládám, že developer ne zcela pochopit, jak nastavit uživatelského agenta, a skončil s extra "User-Agent:" text.

Mozilla / 5.0 (compatible; MJ12bot / v1.4.5; http://www.majestic12.co.uk/bot.php?+)
Nevidím žádné skutečné útoky "Majestic", ale oni jsou jistě agresivní bot. Jak bylo vysvětleno na svých stránkách, můžete si stáhnout bot a cílem je vybudovat distribuované sítě obsahu založené bot spidering web.

Zranitelnost skenery
Následující uživatel agenta řetězce jsou mnohem častější v naší honeypot pak v naší běžné webové stránky, což naznačuje, že tyto uživatelské agenti jsou používány zranitelnosti skenery. Nicméně, tito jsou (v některých případech) oprávněný uživatel agenti.

Mozilla / 5.0 (Windows NT 6.1; WOW64, rv: 8,0) Gecko / 20100101 Firefox / 8.0
Starou verzi Firefoxu. # 1 uživatel agenta právě teď v naší honeypot. Firefox / 8.0 nezobrazuje v top 1.000 uživatelských agentů používá na isc.sans.edu.

Mozilla / 5.0 (X11, Ubuntu, Linux x86_64, rv: 37,0) Gecko / 20100101 Firefox / 37,0
# 2 na našem honeypot. Jistě ... tam může být někteří lidé procházení internetu používáte Firefox 37 (poslední verze) na Ubuntu. Ale rozhodně ne vaše # 2 nejčastější prohlížeč. Na našem reálném systému, tento uživatel agenta přijde jako # 220.

masscan / 1.0 (https://github.com/robertdavidgraham/masscan)
# 3 v naší honeypot je masscan. Samozřejmě je to bezpečné blokovat Vulnerability Scanner.

Opera / 9.80 (X11; Linux x86_64) Presto / 2.12.388 Version / 12.16
Po několika zjevných botů (např Baidu), máme Opera, prohlížeč, který nezobrazuje vůbec v Top 100 uživatelských agentů používaných na našich webových stránkách ISC.

Takže co můžete dělat s touto informací?

- Některé blokování na firewallu webových aplikací je asi dobrý nápad pro nástroje jako masscan. Možná budete chtít, aby jim povolit, pokud jsou používány legitimními pentesters či zranitelností, které používáte k testování svých webových aplikací.

- Pokud se některé z těchto uživatelských agentů mají legit použití, ale jsou častěji používány ve zlém úmyslu, jejich použití pro vaše hodnocení protokolu. Podívejte se, co druh žádostí naleznete více pravděpodobný od lichých (většinou zastaralé) uživatelských agentů. Mnoho nástrojů použít aktuální uživatelský agent, když jsou vytvořeny, ale pak uživatel agent nikdy aktualizovány tak, že skončí s zastaralými řetězců uživatelský agent, které začínají na "vystrčit" jako většina vašich uživatelů upgrade.

- Slušná web aplikační firewally bude hledat jiné artefakty, jako je cílem záhlaví, k ověření uživatelského agenta. Vidíme také uživatelských agentů jako Googlebot zneužil (zobrazit předchozí deník o identifikaci falešných google roboty).

RFC 7540 - HTTP / 2 protokol

16.6.2015 Bezpečnost
RFC 7540 byl venku na měsíc teď. Co bychom měli očekávat, že s touto novou verzí?

1. Nový rám: HTTP / 2 implementuje binární protokol s následující strukturou rámu:

Délka: Délka rámu užitečného zatížení vyjádřené jako bez znaménka 24-bitové celé číslo. Hodnoty vyšší než 2 ^ 14, nesmí být odeslána, pokud je přijímač nastaven větší hodnotu pro parametr SETTINGS_MAX_FRAME_SIZE.
Typ: typ 8-bitové rámu. Určuje formát a sémantiku rámu. Implementace musí ignorovat a zrušit jakýkoli snímek, který má typ, který je unknow. Následující typy jsou definovány:
Délka: Délka rámu užitečného zatížení, vyjádřená jako 24 bitové celé číslo bez znaménka. Hodnoty vyšší než 2 ^ 14, nesmí být odeslána, pokud je přijímač nastaven větší hodnotu SETTINGS_MAX_FRAME_SIZE.
Typ: typ 8-bitové rámu. Typ rámu určuje formát a sémantiku rámu. Implementace musí ignorovat a zlikvidujte jakýkoliv snímek, který má typ, který je neznámý. Následující typy jsou povoleny:
Údaje: Druh 0x0, který se používá pro přenos dat pravidelně v souvislosti.
Záhlaví: Typ 0x1, který se používá k otevření proudu a navíc nese fragment záhlaví bloku.
Priorita: Typ 0x2, určuje odesílatele-radil prioritu proudu
RST_STREAM: Typ 0x3, umožňuje okamžité ukončení proudu. RST_STREAM je poslán požadovat zrušení proudu nebo uvést, že došlo k chybě podmínku
Nastavení: Typ 0x4, který se používá k přenosu konfiguračních parametrů, které ovlivňují, jak koncové body komunikace, jako jsou preference a omezení na vzájemné chování. Rám nastavení se používá také pro potvrzení přijetí těchto parametrů.
PUSH_PROMISE: Typ 0x5, který se používá k oznámit vzájemného koncový bod před potoků odesílatel hodlá zahájit.
Ping: Typ 0x6, který se používá jako mechanismus pro měření minimální dobu zpáteční od odesílatele, jakož i zjištění, zda je nečinné připojení je stále funkční.
GOAWAY: 0x7, který se používá k iniciaci vypnutí o připojení nebo pro signalizaci závažných stavů chyb. GOAWAY umožňuje koncový bod, aby elegantně přestane přijímat nové proudy a přitom konečné obrábění dříve zavedených toků.
WINDOW_UPDATE: type = 0x8, který se používá k implementaci řízení toku.
Pokračování: type = 0x9, který se používá pro pokračování sekvenci záhlaví bloku fragmentů. Jakýkoliv počet Pokračování snímků může být odeslán, pokud předchozí snímek je na stejném proudu a je hlavičkovém, PUSH_PROMISE, nebo pokračování rám bez END_HEADERS nastaveným příznakem.
Vlajky: 8-bitové pole vyhrazené pro boolean značky, které jsou specifické pro typ rámu
R: rezervovaný 1-bitové pole.
Stream Identifikátor: identifikátor tok vyjádřený jako nepodepsané 31-bitové celé číslo. Hodnota 0x0 je vyhrazena pro rámy, které jsou spojeny s připojením jako celku na rozdíl od jednotlivého proudu.
2. Bezpečnost:

Implementace HTTP / 2, musí používat TLS verze 1.2 nebo vyšší pro HTTP / 2 přes TLS. Je třeba dodržovat obecné pokyny Využití TLS v RFC 7525.
Implementace TLS musí podporovat Name Server Indikace (SNI) rozšíření TLS. HTTP / 2 klienti musejí uvádět název cílové domény při vyjednávání TLS.
3. Podpora prohlížečů: Následující Podpora prohlížeče seznam resumé pro HTTP / 2 v této době:

Chrome podporuje HTTP / 2 ve výchozím nastavení, od verze 41.
Google Chrome Canary podporuje HTTP / 2 ve výchozím nastavení, ve verzi 43
Chrome pro iOS podporuje HTTP / 2 ve výchozím nastavení, ve verzi 41
Firefox podporuje HTTP / 2, která byla ve výchozím nastavení povolena, od verze 36.
Internet Explorer podporuje HTTP / 2 ve verzi 11, ale pouze pro systém Windows 10 beta, a je ve výchozím nastavení povoleno.
Opera podporuje HTTP / 2 ve výchozím nastavení, od verze 28.
Safari podporuje HTTP / 2 ve verzi 8.1, ale pouze pro OS X v10.11 a iOS 9.

Aplikace ve Windows 10 budou poprvé nativně propojené s antiviry

12.6.2015 Bezpečnost
Microsoft oznámil, že nový operační systém Windows 10 umožní vývojářům přímo propojit jejich aplikace s antivirovým systémem, který je už na počítači uživatele nainstalovaný.

Jak uvedli představitelé amerického gigantu, nová funkce s názvem Antimalware Scan Interface (AMSI) umožní aplikacím odesílat obsah přímo do antivirového programu nainstalovaného na počítači uživatele.

To se může podle bezpečnostních expertů hodit především při práci se skripty, které útočníci často využívají k tomu, aby obešli kontrolu prováděnou antivirovými programy. Skripty jsou většinou spouštěny přímo v paměti aplikace, tudíž se na disku nevytváří samostatný soubor, který by antivirový program mohl skenovat.

„Aplikace nyní mohou volat novou Windows AMSI API a vyžádat si od ní sken potenciálně nebezpečného obsahu,“ uvedl na oficiálním blogu Microsoftu Lee Holmes s tím, že skripty nejsou tím jediným, co lze pomocí nové funkce skenovat.
Aplikace určené pro chatování například mohou v reálném čase hledat odkazy na škodlivé webové stránky v odesílaných zprávách a zablokovat je ještě před tím, než se uživateli zobrazí. A skenovat bude podle Holmese možné i různé plug-iny.

Technická příručka k AMSI uvádí, že nová funkce umožňuje „skenování souborů a paměti, či streamu dat a další obsah.“

Jak však uvedl Catalin Cosoi ze společnosti BitDefender, podle jeho názoru nebude mít nová funkce v příštích několika letech na bezpečnost uživatelů příliš velký dopad, jelikož pokud má být opravdu efektivní, bude třeba, aby se ji tvůrci aplikací naučili používat. A otázkou také je, kolik z nich bude mít o AMSI zájem.

Podle Cosoie to navíc tvůrci aplikací nebudou mít vůbec snadné, jelikož jejich software bude muset odpovědi antivirového enginu korektně vyhodnocovat, což může být občas obtížné. Jasné zatím není ani to, jak moc bude Microsoft novou funkci propagovat a vývojářům „nutit“.

Microsoft předal NBÚ zdrojové kódy svých klíčových programů

22.5.2015 Bezpečnost
Smlouvu o vládním bezpečnostním programu (Government Security Program - GSP) podepsaly Microsoft a Národní bezpečnostní úřad (NBÚ). V jejím rámci poskytne Microsoft NBÚ a jeho organizačním složkám přístup ke zdrojovému kódu a dokumentaci svého softwaru.

Smlouvu za Českou republiku podepsal NBÚ jakožto gestor problematiky kybernetické bezpečnosti a zároveň národní autorita pro oblast kybernetické bezpečnosti. Dohoda umožňuje čtyři oblasti přístupu k poskytovaným informacím:

Autorizace „Online přístup ke zdrojovému kódu“. Tento modul dává Národnímu centru kybernetické bezpečnosti (NCKB, organizační složka NBÚ) a dalším určeným orgánům státní správy přístup ke zdrojovému kódu formou zabezpečeného dálkového přístupu, a to v interaktivním čtecím režimu. Cílem je hodnocení bezpečnosti a integrity kódu Microsoft Windows, Office a dalších běžně používaných softwarových produktů. Dále umožňuje analýzu a vývoj vlastních zabezpečovacích nástrojů vč. využití národní šifry v prostředí Microsoft Windows.

Autorizace „Transparentní centrum“. Tento modul poskytuje NCKB prostředky Transparentního centraMicrosoftu, které je v rámci Evropy umístěno v Bruselu. Dosud tuto možnost NCKB nemělo. Oproti přístupu ke zdrojovému kódu umožňuje přístup do Transparentního centra také hlubší rozbory a strojové (automatizované) testování softwarových produktů společnosti Microsoft včetně jejich dokumentace. Cílem je prověření kvality zdrojového kódu produktů Microsoftu vč. kontroly proti tzv. „zadním vrátkům“.

Autorizace „Technické údaje“. Účelem tohoto modulu je sdílení technických údajů o produktech, službách a technologiích Microsoftu. Jde např. o plné hodnocení softwarových produktů pro certifikaci Common Criteria, dále přístup k dokumentaci ISO 27001 cloudových služeb, či přístup k auditním zprávám bezpečnosti a soukromí cloudových služeb.

Autorizace „Sdílení a výměna informací“. Tento modul umožňuje NCKB přijímat v reálném čase informace o možných infekcích počítačů v teritoriu České republiky. NCKB dle původní smlouvy o „Botnet feeds“ z roku 2013 již zhruba 18 měsíců dostává a využívá data společnosti Microsoft o možných infekcích počítačů v ČR. NCKB tyto informace zpracovává a dále předává či ověřuje s národním CERT (CSIRT.CZ), nebo je v případě ohrožení orgánů veřejné moci ČR přímo předává dotyčným organizacím. Dále tento modul umožňuje NCKB předávat hlášení o nových hrozbách, dotazy na možné zranitelnosti v softwarových produktech Microsoftu a obecně dotazy a žádosti o analýzu škodlivého kódu.

Zvládněte zálohy virtuálních strojů

22.5.2015 Bezpečnost
V předvirtualizační době se zálohování stavělo na tom, že bylo nutné data ve formě souborů či databází ukládat na nějaká zálohovací média. Bez ohledu na ukládací médium se každé zálohování setkávalo s problémem velkého objemu dat, zálohovací okno bylo většinou v noci a zálohovanému počítači se výrazně snižoval výkon. V případě virtuálních strojů se ovšem tyto problémy ještě násobí v podobě dalšího nárůstu množství zálohovaných dat.

Jak tedy zajistit, aby se servery nenamáhaly, zálohování bylo spolehlivé a náklady akceptovatelné?

Hlavní problém zálohování spočívá v tom, že je potřeba udržovat zálohy v čase, často alespoň 30 dní dozadu. Každodenními zálohami pak velmi rychle narůstá jejich objem.

Dosavadním běžným řešením jsou tzv. rozdílové zálohy, kdy se jednou za týden (např. o víkendu) udělají plné zálohy a pak se každý další den zálohují pouze ty soubory, které se změnily.

Obnova dat z požadovaného dne pak probíhá tak, že se rekonstruuje plná záloha plus rozdílové zálohy z dalších navazujících dnů.

Avšak v případě zálohování virtuálních strojů přichází jedno velké „ALE“. Disky virtualizovaných strojů vytvářejí z celého virtuálního počítače jeden velký soubor o velikosti desítek či stovek gigabytů, takže když existují například na jednom hardwaru čtyři virtuální stroje, často se uloží v pouhých čtyřech extrémně velkých souborech.

Z toho vyplývá, že se tyto soubory sice velmi snadno zálohují, avšak špatnou zprávou je, že pokud se přírůstková záloha aplikuje na změněné soubory, pak se tato ve své podstatě rovná záloze plné – soubor se změní vždy ihned po udělání zálohy.

A v případě, že bychom se mělo zálohovat 30 dní zpátky, tak například u virtualizovaných strojů v běžné středně velké firmě soubor o velikosti 500 GB znamená mít úložiště 15 TB, což je fyzicky i finančně neúnosné.

Proto je potřeba mít nástroj, který dokáže poznat, které části souboru se změnily a přírůstkově zálohovat pouze je a nikoliv celé obrovské soubory. Pokud je změna pouze například desetiprocentní, pak se měsíční zálohy vejdou třeba do 1,5 TB, což už je celkem zvládnutelné.

Jak na zálohy

Jaké dnes mají podniky možnosti? Tradičně se naskýtá Windows Backup, který dokáže zálohovat všechno, ale neumožňuje rozdílové zálohy na síťový disk a ani nastavit individuální plán záloh.

Pak lze použít zálohovací nástroje „ze staré školy“, které ale nebyly primárně vytvořeny pro zálohování virtuálních strojů a způsob jejich licencování do značné míry eliminuje úspory, kvůli kterým podniky využívají virtualizaci.

A nebo se zákazníci mohou obrátit na specializované zálohovací aplikace určené pro virtualizované prostředí, jehož představitelem je například Altaro Hyper-V Backup.

Jakmile ale firmy zjistí, že vestavěné zálohování ve Windows jejich požadavkům přestává stačit, či standardní zálohovací nástroje prakticky eliminují finanční výhody virtualizace, je třeba ohlédnout se po specializovaném řešení, které by mělo:

• být snadno použitelné a vysoce spolehlivé v oblasti zálohování virtuálních strojů

• podporovat off-site ukládání záloh

• poskytovat velmi rychlou obnovu včetně možnosti nabootovat virtuální stroj přímo ze zálohy

• možnost obnovit jednotlivé položky z Exchange, či jednotlivé soubory z virtuálního stroje

• pravidelně testovat obnovu
 

• šetřit úložný prostor a zkracovat zálohovací okna díky rozdílovým zálohám

Obnova souborů a ReverseDelta

Pokud se podíváme na jednotlivé body podrobněji (bez nároku na pořadí), tak zjistíme, že specializovaný software umožňuje plánovat oddělené zálohy více a méně důležitých dat, umí nezávisle na virtuálním stroji plánovat retence dat (týden, měsíc dozadu apod.) podle potřeby a umí rozdílové zálohy na úrovni bloku souborů.

Navíc, umožňuje obnovit i jednotlivé soubory (to není samozřejmostí, uvědomme si, že se zálohují celé virtuální stroje) včetně jednotlivých e-mailů.

A to je velmi důležité, protože nejčastějším důvodem obnovy není katastrofické zničení systému, jak si mnozí myslí, ale obnovení konkrétního, omylem smazaného soboru ze zálohy.

Druhým nejčastějším důvodem je obnova databáze, třetím je v případě selhání systému obnova posledního funkčního stavu a teprve až na čtvrtém místě je kompletní obnova celého hardwaru několik dní či týdnů zpátky.

Proto například drží specializovaný software plnou zálohu vždy tu poslední a rozdílové zálohování probíhá zpětně (tzv. ReverseDelta), protože takto poskytuje nejrychlejší obnovu.

Offsite zálohy a bootování ze zálohy

Většina starších zálohovacích systémů umí zálohovat na dvě hlavní média – pásky a disková úložiště. Nové moderní systémy naopak podporu pro pásky už vůbec nezavádějí a rovnou zálohují do souborů na disku.

Hlavním důvodem je poměrně složitá manipulace s páskami a vysoké náklady na takové řešení pro SMB společnosti. Výhodou pevných disků je vyšší rychlost ukládání, nicméně na druhou stranu existuje vyšší riziko v tom, že tyto disky jsou většinou umístěné ve stejné lokalitě jako virtuální stroje.

Je tedy dobré přemýšlet o umístění mimo lokalitu – pásky je sice možné fyzicky přenést někam jinam, ale takto přenášet disky je poměrně nepraktické. Proto se často dělá tzv. offsite záloha: Již zálohovaná data se přenášejí do jiné lokality, nejčastěji po internetu.

Pokud jsou v záloze celé virtuální disky, pak je velmi užitečná možnost nabootovat server přímo ze záložního média, což velmi urychluje obnovu systému.

A konečně -- kromě pravidelného zálohování virtuálních strojů se vždy doporučuje tyto zálohy testovat na funkčnost, což samozřejmě neznamená jen kontrolu obsahu zálohy, ale čas od času udělat obnovu a ověřit si schopnost nastartovat zálohovaný virtuální stroj.

Většina administrátorů to ale sama od sebe nedělá, a proto moderní systémy umožňují realizovat testovací obnovy automatizovaně -- například jednou týdně vytvoří klon serveru, zkusí ho nastartovat, a pokud se to nepovede, tak se vygeneruje automatizované chybové hlášení.

Virtualizace přinesla do oblasti zálohování nové výzvy a pro řadu SMB podniků možná i těžko řešitelné situace. Dobrou zprávou je, že dnes již i pro tyto společnosti existují specializované nástroje umožňující efektivní a cenově dostupné zálohování virtuálních počítačů.

Odlehčená bezpečnost internetu věcí

22.5.2015 Bezpečnost
Rozmach „internetu věcí“ (Internet of Things, IoT) před nás postaví zcela nové bezpečnostní výzvy.

Gartner tvrdí, že v roce 2020 bude k internetu připojeno 30 miliard zařízení. Cisco dokonce uvádí skoro dvakrát tolik – 50 miliard. A Morgan Stanley jde přitom ještě výš -- zařízení prý bude 75 miliard. Kdo z nich bude blíže realitě, ukáže až čas.

Pokud se podíváme na různé žebříčky typu „X technologií, které v nejbližších Y letech změní náš svět“, nikdy tam právě IoT nechybí. Jde o svět, kdy budeme komunikovat přímo s jednotlivými zařízeními a kdy tato budou komunikovat navzájem (M2M, Machine To Machine).

Hacknutý záchod

Loni se objevila informace, že díky bezpečnostní chybě lze luxusní chytrý záchod společnosti Satis ovládat jakýmkoliv mobilem na dálku skrze Bluetooth. Lze tak zvedat či spouštět prkénko, splachovat nebo zvyšovat či snižovat teplotu vzduchu určeného k usušení.

Zpráva působí úsměvně a vyvolává otázku, jakouže asi má tato informace hodnotu pro hackery. Staré a prověřené bezpečností poučky nám ovšem říkají, že „nemusíme chápat celý rozsah problému, oni útočníci už něco vymyslí“ a že „každý zranitelný bod se může stát odrazovým můstkem k útoku na další místa“.

Napadení chytrých televizorů Samsung a ovládnutí disku, možnost přepínání kanálů, změny nastavení, instalace malwaru nebo dokonce ovládnutí instalované webové kamery (jak se o chybě informovalo v prosinci 2012) je z hlediska názornosti přece jen jasnější.

Symantec zase loni upozornil na linuxového červa Darlloz, který se zaměřuje na starší (leč často neopravenou) chybu v php. Speciálně se přitom zaměřoval na IoT: bezpečnostní kamery, set-top boxy, chytré měřiče...

V závěru loňského roku pak společnost Proofpoint detekovala tisíce infikovaných chytrých zařízení, která byla připojená do sítě zajišťující rozesílání spamu. Šlo o multimediální centra, televizory, domácí směrovače a dokonce i o jednu ledničku!

Ovšem nejen útoky ve smyslu, v jakém se nejčastěji vnímají (malware, rozesílání spamu, krádež dat...), představují v IoT nebezpečí. Potenciální útočník si totiž data může „vyrobit“. Stačí mu zjistit, kolikrát otevřete mikrovlnku, ledničku nebo zda vůbec zapnete televizní přijímač – a má odpověď na otázku, jestli jste vůbec doma. Těžko dnes předvídat, zda tyto okruhy nakonec budeme řešit, nebo se s nimi prostě smíříme.

Další směry vývoje napoví třeba nedávné patentování technologií, které dokážou s pomocí chytrých televizorů určit počet osob v místnosti, jejich velikost (dítě vs. dospělý) a třeba i vzájemnou polohu.

Následně jim promítá reklamy „šité na míru“: Něco jiného tak v komerční přestávce uvidí dvojice zamilovaná sedící blízko sebe ruku v ruce, něco jiného pak matka za žehlícím prknem.

Obecně obecně se ale dá říci, že na nás v IoT čekají zcela nové hrozby, které dnes ani nedokážeme kvantifikovat.
Jak na to?

Na pořadu dne tak nebude otázka, zda to je bezpečné. Spíše se budeme ptát, jak IoT řádně zabezpečit.

„Žádné samostatné řešení nedokáže plně ochránit zařízení před útočníky, kteří využijí několika odlišných vektorů,“ uvádí Steve Hoffenberg z M2M Embedded Software & Tools.

V tom má bezpochyby pravdu a lze jen dodat, že nejspíše nikdy nebudeme schopni zajistit takovou míru bezpečnosti na všech frontách, jakou bychom si představovali.

Hoffenberg jedním dechem sice dodává, že pro maximalizaci bezpečnosti bude třeba zařízení vybavit technologií detekce malwaru, whitelisty i blacklisty, kontrolou přístupu, šifrováním dat, autentizací uživatele či analýzou hrozeb v reálném čase.

Což je sice také pravda, ale jde především o technický pohled na věc: dokážete si byť jen část těchto systémů představit v inteligentním měřiči spotřeby tepla, rotopedu nebo v zubním kartáčku?

Technologie zabezpečení tak bude zřejmě ležet jinde: Indický výzkumník Shahid Raza ze švédského institutu SICS, který se o IoT dlouhodobě věnuje, používá poměrně trefný termín Lightweight Security (odlehčená bezpečnost).

Řeší tři základní oblasti. Jednak bezpečnou komunikaci, kterou navrhuje ošetřit skrze komprimované (byť stále bezpečné) protokoly IPSec (síťový), DTLS (Datagram Transport Layer Security; transportní) a IEEE 802.15.4 (linkový).

A také pomocí detekce útoků pomocí zcela nové koncepce IDS a firewallů (Raza dokonce vytvořil nástroj, který nazval SVELTE). A konečně zajistit ochranu dat uvnitř uzavřených uzlů.

„Odlehčení“ přitom spočívá jak ve vytvoření nových algoritmů, tak v orientaci se jen na určité skupiny rizik. To znamená, že aplikace by nebyly všeřešící, ale spíše než zajišťovat bezpečnost by ji měly zvyšovat. Raza podotýká, že platformy musí zůstat dostatečně otevřené, aby byly schopné reagovat na aktuální vývoj.

Dále dodává, že jde především o modely a že bude třeba vytvořit nové standardy -- jak technické, tak organizační. Stejně jako v dnešním světě bude i v IoT zapotřebí reagovat na nové objevované hrozby – třeba i v podobě zranitelností.

Pravdou se ale asi stane to, že budeme muset přehodnotit naše vnímání toho, co je ještě bezpečné a co už ne - a tomu přizpůsobit naše požadavky.

Ať tak či onak, velká příležitost IoT zkrátka přinese i velkou zodpovědnost. Jinak se realitou stane tvrzení některých zlých jazyků, kteří nehovoří o IoT, ale o IoHT – Internet of Hackable Things.

Česko je testovací laboratoří bankovních elektronických útoků

22.5.2015 Bezpečnost
ČR je na 8. místě s největším rizikem útoku na bankovní účty s přepočtem na počet obyvatel. Situaci komplikuje i rozvoj mobilních platforem a mobilního bankovnictví. I sociální sítě jsou zdrojem, odkud mohou útočníci útočit. Komerční banka chce proto ve spolupráci s IBM chránit počítače klientů.

Česko je testovací laboratoří bankovních elektronických útoků, tvrdí Tomáš Strýček, výkonný ředitel společnosti AEC, která se specializuje již více než 20 let na zabezpečení dat. Jsme prý na 8. místě s největším rizikem útoku na bankovní účty s prepoctem na počet obyvatel. Důvodů je proto několik.

„Je zde extrémní tlak klientů na expresní platby mezi účty, čímž se zkracuje doba, kterou má banka na odhalení případného podvodu. Situaci komplikuje i rozvoj mobilních platforem a mobilního bankovnictví, protože mobily mají lidé zabezpečené výrazně méně než PC. Také sociální sítě jsou zdrojem, odkud mohou útočníci útočit. Poskytují totiž útočníkům o lidech tolik informací, které jim usnadňují napadení jejich účtů,“ vysvětluje Strýček.

I proto Komerční banka zpřístupnila klientům zdarma speciální software IBM Trusteer Rapport, který podle IBM vytváří zabezpečený tunel mezi prohlížečem uživatele a navštívenou stránkou (v tomto případě on-line bankovnictví), odráží případné útoky i pokusy o podvržení falešných stránek. Klienti si řešení IBM na ochranu svého počítače instalují z bezpečného prostředí internetového bankovnictví MojeBanka. Bezpečnostní software si dosud stáhlo více než 25 tisíc klientů Komerční banky.

Již dlouhou dobu jsou to totiž právě počítače klientů, které internetoví útočníci ke zneužití internetového bankovnictví využívají.
Komerční banka zároveň vyzývá klienty, aby se při práci s počítačem, ze kterého se přihlašují do prostředí internetového bankovnictví, chovali maximálně obezřetně. Zejména doporučuje používat výhradně legální software, pravidelně aktualizovat operační systém i další programy (např. internetový prohlížeč, čtečku PDF dokumentů) a používat antivirové programy. Na místě je zejména obezřetnost při otevírání e-mailů i SMS, které se tváří, že jsou odeslány z banky klienta či jiného, na první pohled, důvěryhodného zdroje.

„Nechceme pasivně vyčkávat, až na naše klienty někdo zaútočí a bude se je pokoušet připravit o jejich peníze. Pokud klienti dodrží jednoduché, ale velmi důležité zásady bezpečného chování a dále si nainstalují doporučený nástroj, sníží významně riziko napadení svého počítače a tím i ohrožení svých financí,“ uvedl Albert Le Dirac’h, předseda představenstva a generální ředitel KB.

Bezpečnostní řešení IBM na ochranu počítače klienta funguje na operačních systémech Windows a Mac OS. Klienti Komerční banky si jej mohou instalovat zcela zdarma a bez jakýchkoli podmínek ze zabezpečeného prostředí internetového bankovnictví MojeBanka. Stačí, aby se standardním způsobem přihlásili a program si bezpečně stáhli.

„Jde o technologii, která je schopna reagovat i na nejnovější formy útoků,“ uvedl Branislav Šebo, generální ředitel IBM Česká republika.

Zajištění bezpečnosti vyžaduje stálé změny – nezapomeňte na tyto

12.2.2014 Bezpečnost
Plán odezvy na bezpečnostní incidenty je potřeba aktualizovat. Žádný plán, zvláště v ochraně dat, totiž není vytesaný do kamene.

Manažeři bezpečnosti vždy vytvářejí k procesům a plánům nějakou dokumentaci. Je to úkol bez reálného konce, protože se musí každou chvíli oprašovat a přemýšlet o možnostech aktualizace příslušných reakcí. Také potřeby organizace se neustále mění a stejně je tomu i u technologií – takže to, co bylo ještě před pár lety skvělým řešením, může mít v současné době už vážné nedostatky.

To byl i případ našeho plánu reakcí na incidenty. Nedávno jsem měl důvod ho zkontrolovat a zjistil jsem, že jednoznačně vyžaduje nějakou modernizaci.

Během let jsem se naučil, že tyto plány není dobré vytvářet úplně od nuly. Když vytváříte bezpečnostní program podle standardu, je pravděpodobnější, že při auditu obstojíte, protože bude mít podobu, která je v rámci oboru známá a akceptovaná.

Základ od expertů

To je důvod, proč jsem se rozhodl jako náš výchozí bod použít doporučení reakcí na incidenty, který vypracovala agentura NIST (National Institute of Standards and Technology). Každá organizace bude samozřejmě chtít svůj plán přizpůsobit pro své vlastní potřeby, ale vybudovat ho na základě široce používané a solidní struktury může být velkou pomocí do začátku.

S využitím doporučení NIST jsme rozdělili náš proces reakcí na bezpečnostní incidenty do čtyř fází: příprava, detekce a analýza, omezení a vymýcení a konečně analýza po incidentu.

Příprava je v mnoha směrech nejdůležitější částí. Zahrnuje určení členů krizového akčního týmu CAT (Crisis Action Team). Kromě zástupců z oblasti zabezpečení informací jsme v týmu CAT chtěli mít také inženýry znalé platforem Windows a Unix, síťové techniky, personál linky technické podpory a také právníky.

Po výběru těchto lidí jsme si sehnali jejich úplné a záložní kontaktní informace, abychom měli jistotu, že se s nimi dokážeme spojit při výskytu nějakého incidentu. Potom jsme určili některé konferenční místnosti, aby sloužily jako velitelská centra, a zabezpečili jsme pro ně vyhrazenou příchozí telefonní linku a e-mailový distribuční seznam.

V této fázi jsme také udělali souhrn všech relevantních nástrojů, které bychom mohli potřebovat k detekci incidentů a reakci na ně včetně zachytávání paketů, analýzy malwaru a systémů pro sledování událostí a také forenzních nástrojů. Nakonec jsme zjistili důvěryhodné třetí strany, kterým bychom mohli zavolat v případě, že bychom potřebovali pomoc nějakého experta.

Nikdy nemůžete vědět, jak se bude bezpečnostní incident vyvíjet. S tím na mysli jsme se ve fázi detekce a analýzy nepokoušeli vyjmenovat všechny možné scénáře. Namísto toho jsme udělali seznam obvyklých událostí, které považujeme za největší hrozby. Patří mezi ně napadení malwarem, phishingové útoky, neautorizovaný přístup, ztráta dat, útoky odepřením služby a krádež.

Akční tým „v akci“

Stanovili jsme také druhy událostí, které by měly vyvolat aktivaci týmu CAT. Například infekce jednoho počítače malwarem pro to nestačí, ale detekce malwaru, který se rychle šíří, už by mohla vyžadovat plnou odezvu týmu CAT. Abychom dokázali zodpovědně rozhodnout o nutnosti povolat naši bezpečnostní kavalerii, vytváříme matici pro záznam kritérií pro eskalaci problémů.

Pro třetí fázi – omezení a vymýcení – vytváříme pokyny k tomu, zda událost vyžaduje shromažďování důkazů, hodnocení škod a identifikaci útočníků. Připravujeme také kontrolní seznamy, jejichž cílem je zajistit řádné vymýcení, případně omezení libovolné škodlivé aktivity incidentu. Kontrolní seznam může například řešit, co dělat, když dojde ke kompromitaci serveru se systémem Windows.

A konečně pro fázi „po incidentu“ popisujeme, jak zajistit shromáždění všech informací, jež jsou potřeba k podání trestního oznámení či jiného správního řízení, a přidáváme doporučení pro následné analýzy, abychom dokázali identifikovat to, co fungovalo dobře, a to, co je třeba zlepšit.

Jakmile bude dokument pro odezvy na incidenty kompletní, zahájíme plánování školení a pravidelně budeme plán i testovat, abychom si udrželi jistotu, že dokážeme efektivně reagovat na jakýkoli incident.

Zaměstnanci s implementovaným čipem? Ve Švédsku už realita

12.2.2014 Bezpečnost
Některým zaměstnancům firem, které využívají švédský high-tech kancelářský komplex ve Stockholmu, byly do jejich rukou implantovány RFID čipy, které jim umožňují přistupovat k bezpečnostním dveřím a celé řadě dalších služeb bez zadávání PINu a používání speciálních karet.

Lidé pracující v budově Epicenter ve Stockholmu mohou díky svým implantátům zaplatit například i za oběd. „To, že si někteří lidé v kancelářích Epicentra zvolili výměnu svých přístupových karet za NFC implantáty, je jejich svobodné rozhodnutí“ uvedl zakladatel švédské asociace Bionyfiken Hannes Sjoblad. „Čipy má zatím malé procento zaměstnanců, ale noví rychle přibývají.“

Podle Sjoblada je ve Stockholmu řada dalších kanceláří, firem, fitness center a vzdělávacích institucí, do nichž mohou lidé díky implantovaným RFID/NFC čipům vstupovat. Implantáty RFID jsou jen o něco větší než zrnko rýže a Sjobladova skupina je testovala v omezeném okruhu uživatelů celý minulý rok, přičemž nyní začala s veřejným testováním.

Cílem projektu Bionyfikenu je vytvořit komunitu minimálně sta lidí s NFC implantáty, která bude technologii testovat a experimentovat s možnostmi jejího využití. Účastníci projektu za své implantáty musejí zaplatit.

„Čipy je snadné implantovat i odstranit. Jejich životnost je dlouhá. Očekávám, že ten můj vydřží minimálně deset let. Do té doby však budu nejspíše chtít nový model.“ Podle Sjoblada je implantování RFID čipu věcí každého jedince. „Já osobně si však myslím, že chytré implantáty jsou technologií budoucnosti,“ dodal Sjoblad. Ne všichni však souhlasí s tím, že implantace čipu pod kůži je dobrý nápad.

Podle Johna Kindervaga ze společnosti Forrester Research jsou RFID implantáty jednoduše „děsivé“, jelikož představují obrovskou hrozbu. I když jsou RFID/NFC čipy pasivní a aktivují se až jakmile se člověk dostane na několik centimetrů k elektronické čtečce, čtečka může být jednoduše "hacknuta" a z čipu mohou být vytažena citlivá osobní data. Zloději mohou navíc čtečky umístit tam, kde je nikdo nebude čekat a krást data bez vědomí uživatelů.

Na druhou stranu podle Sjoblada mají implantáty potenciál zvýšit efektivitu a zjednodušit provádění úkonů. RFID čipy jsou již využívány v klíčích k automobilům a v členských kartách a používají se také k ukládání hesel a PIN kódů pro přihlašování do smartphonů, tabletů a počítačů.

„To je však začátek. Věřím, že během jednoho či dvou let bude možné díky těmto čipům cestovat hromadnou dopravou. Provádět platby pomocí těchto implantátů pak bude možné do dvou let,“ uvedl Sjoblad. „Během tří let by pak implantáty mohly nahradit fitness trackery. A i to je pořád ještě začátek.“

Zajištění bezpečnosti vyžaduje stálé změny – nezapomeňte na tyto

8.2.2015 Bezpečnost
Plán odezvy na bezpečnostní incidenty je potřeba aktualizovat. Žádný plán, zvláště v ochraně dat, totiž není vytesaný do kamene.

Manažeři bezpečnosti vždy vytvářejí k procesům a plánům nějakou dokumentaci. Je to úkol bez reálného konce, protože se musí každou chvíli oprašovat a přemýšlet o možnostech aktualizace příslušných reakcí. Také potřeby organizace se neustále mění a stejně je tomu i u technologií – takže to, co bylo ještě před pár lety skvělým řešením, může mít v současné době už vážné nedostatky.

To byl i případ našeho plánu reakcí na incidenty. Nedávno jsem měl důvod ho zkontrolovat a zjistil jsem, že jednoznačně vyžaduje nějakou modernizaci.

Během let jsem se naučil, že tyto plány není dobré vytvářet úplně od nuly. Když vytváříte bezpečnostní program podle standardu, je pravděpodobnější, že při auditu obstojíte, protože bude mít podobu, která je v rámci oboru známá a akceptovaná.

Základ od expertů

To je důvod, proč jsem se rozhodl jako náš výchozí bod použít doporučení reakcí na incidenty, který vypracovala agentura NIST (National Institute of Standards and Technology). Každá organizace bude samozřejmě chtít svůj plán přizpůsobit pro své vlastní potřeby, ale vybudovat ho na základě široce používané a solidní struktury může být velkou pomocí do začátku.

S využitím doporučení NIST jsme rozdělili náš proces reakcí na bezpečnostní incidenty do čtyř fází: příprava, detekce a analýza, omezení a vymýcení a konečně analýza po incidentu.

Příprava je v mnoha směrech nejdůležitější částí. Zahrnuje určení členů krizového akčního týmu CAT (Crisis Action Team). Kromě zástupců z oblasti zabezpečení informací jsme v týmu CAT chtěli mít také inženýry znalé platforem Windows a Unix, síťové techniky, personál linky technické podpory a také právníky.

Po výběru těchto lidí jsme si sehnali jejich úplné a záložní kontaktní informace, abychom měli jistotu, že se s nimi dokážeme spojit při výskytu nějakého incidentu. Potom jsme určili některé konferenční místnosti, aby sloužily jako velitelská centra, a zabezpečili jsme pro ně vyhrazenou příchozí telefonní linku a e-mailový distribuční seznam.
 

V této fázi jsme také udělali souhrn všech relevantních nástrojů, které bychom mohli potřebovat k detekci incidentů a reakci na ně včetně zachytávání paketů, analýzy malwaru a systémů pro sledování událostí a také forenzních nástrojů. Nakonec jsme zjistili důvěryhodné třetí strany, kterým bychom mohli zavolat v případě, že bychom potřebovali pomoc nějakého experta.

Nikdy nemůžete vědět, jak se bude bezpečnostní incident vyvíjet. S tím na mysli jsme se ve fázi detekce a analýzy nepokoušeli vyjmenovat všechny možné scénáře. Namísto toho jsme udělali seznam obvyklých událostí, které považujeme za největší hrozby. Patří mezi ně napadení malwarem, phishingové útoky, neautorizovaný přístup, ztráta dat, útoky odepřením služby a krádež.

Akční tým „v akci“

Stanovili jsme také druhy událostí, které by měly vyvolat aktivaci týmu CAT. Například infekce jednoho počítače malwarem pro to nestačí, ale detekce malwaru, který se rychle šíří, už by mohla vyžadovat plnou odezvu týmu CAT. Abychom dokázali zodpovědně rozhodnout o nutnosti povolat naši bezpečnostní kavalerii, vytváříme matici pro záznam kritérií pro eskalaci problémů.

Pro třetí fázi – omezení a vymýcení – vytváříme pokyny k tomu, zda událost vyžaduje shromažďování důkazů, hodnocení škod a identifikaci útočníků. Připravujeme také kontrolní seznamy, jejichž cílem je zajistit řádné vymýcení, případně omezení libovolné škodlivé aktivity incidentu. Kontrolní seznam může například řešit, co dělat, když dojde ke kompromitaci serveru se systémem Windows.

A konečně pro fázi „po incidentu“ popisujeme, jak zajistit shromáždění všech informací, jež jsou potřeba k podání trestního oznámení či jiného správního řízení, a přidáváme doporučení pro následné analýzy, abychom dokázali identifikovat to, co fungovalo dobře, a to, co je třeba zlepšit.

Jakmile bude dokument pro odezvy na incidenty kompletní, zahájíme plánování školení a pravidelně budeme plán i testovat, abychom si udrželi jistotu, že dokážeme efektivně reagovat na jakýkoli incident.

Windows 10 Preview a bezpečnost
1.2.2015 Bezpečnost

Microsoft představil ukázku jejich nejnovější "zkušenosti", Windows 10, přes live stream dnes ráno. Vydání se očekává, že v průběhu letošního roku. Nejedná se představil jen jako OS pro stolní počítače, ale to přináší podporu jako skutečně široký výpočetní platformy. Tvrdí, že si vybudovali systém Windows 10 se "více osobních počítačů" na mysli, a to je ambiciózní tlačit do hladce spojuje s desktopy, holografické výpočetní (awesome !!!), mobilní zařízení, hraní her a internetu věcí, přesun do "Store ", aplikace produktivity, velké datové služby a sdílení, nové hardware partnerské technologie a cloud computing pro" mobilitu zkušenosti ". Oni odstředěné přes "Důvěra", pouze s ohledem na otázky ochrany osobních údajů. Z toho, co jsem viděl, odstrčil bezpečnosti je poněkud zklamáním téma pro všechny prodejců na jejich náhledy, ne jen Microsoft. Tam je, nicméně, velmi dlouhý seznam vylepšených bezpečnostních prvků vyvinutých do tohoto nového základním kódu spolu s masivním množstvím nových napadení zavedené s touto novou platformou.

Microsoft se snaží lépe utáhněte novou verzi systému Windows operačního systému tím, že zamítne nedůvěryhodných aplikací z instalaci a ověření jejich důvěryhodnost svým digitálním podpisem. Tento důvěryhodný modelu podpis je zlepšení, nicméně, tento aktivní manipulace není dokonalá. APT jako útoky Winnti je na hlavních obchodů rozvoje a jejich více, dalších významných probíhajících projektů útoku ukazují, že digitální certifikáty jsou snadno ukraden a znovu použít při útocích. Nejen winnti útoky jejich základní skupiny, ale certifikáty jsou distribuovány po celém mnoha APT herci, sdílení těchto vysoce oceňují aktiva, rozbití modelu s věřit, se podporovat jejich úsilí špionáže.

S bezproblémovou integraci všech těchto údajů pro sdílení služeb v rámci výpočetních zdrojů, ověřování a souvisejících pověření a žetony nelze úniku přes služeb, aplikací a zařízení. Pass-the-hash útočné techniky často používané cílenými útočníky straší firemní organizace používající Windows téměř deset let. Tyto typy pověření technik krádeži budou muset být lépe chráněni před. A Flame představil celou novou úroveň pověření útoku , takže můžeme vidět Hyper-V a nejnovější model kontejneru pro systém Windows 10 zaútočil na získání přístupu k zneužívání těchto prvků pro boční pohyb a přístup k datům. Obranné snahy nebyly strašně úspěšný v jejich schopnost reagovat v minulosti, a Active Directory pokračuje vidět nové útoky na ověřování celou organizaci s "kostry tlačítek". Takže, jejich realizace pověření rezerv a přístupového tokenu zacházení zaslouží 'pozornost - Hyper-V technologie a komponenty "Bezpečnostní výzkumníci útoku přijde pod novým zaměřením pro nadcházející roky. A implementace DLP pro sdílení firemních dat je pevně povzbudivé také, ale jak silný může být v rámci energetické omezen mobilní hardware?

Vzhledem k tomu, že 2014 přinesl s sebou více než 200 patch-hodné zranitelností pro různé verze aplikace Internet Explorer, minimalistické aktualizaci tohoto kódu s prohlížečem "Project Spartan", by byla vítána. Jednoduše řečeno, webový prohlížeč IE byl kladivem v roce 2014 na všech platformách Windows, včetně jejich poslední. Naše AEP a další technologie byly chrání proti využití těchto zranitelností ve vysokém objemu minulý rok. Nejen její model, kterým se provádí ActiveX komponenty a jeho design byl pod silným přezkumu, ale zabil novější kódu a funkčnosti, umožňující "use-after-free" zranitelnosti vedly ke kritickému vzdálenému spuštění kódu. Nový Spartan prohlížeč s sebou přináší velké množství nového kódu pro komunikaci a sdílení dat, což s sebou přináší Microsoft historii zavedení stovky záplat-hodné zranitelností každoročně do svého prohlížeče kódu. Doufejme, že jejich tým nepřinese že zavazadla s nimi, ale zatížení zdá docela těžký s novými funkcemi. Neviděl jsem žádné nové bezpečnostní funkce, vývojové postupy, nebo karantény popsané pro něj a bude čekat, aby viděli, co je v obchodě zde.

Spartan-2

Neobvykle velké množství času, byla odložena, aby předložily své "inteligentní asistent" Cortanu, která začala s poněkud odpojené a bizarní rozhovor mezi moderátorem a skutečným Cortana asistent například na pódiu. Ďábel je v detailech při provádění podpory zabezpečení pro přístup k datům přes poměrně nepředvídatelné služeb, jako je tento.

Samozřejmě, že naše výrobky je připraven jít. Kaspersky Lab spotřebního zboží bude podporovat Windows 10 po jeho oficiálním zahájením. Bude existovat žádná potřeba pro zákazníky přeinstalovat řešení společnosti Kaspersky Lab pro migraci na novou platformu. Všechny tyto produkty budou podle toho oprava a bude poskytovat stejnou výjimečnou úroveň ochrany na novém operačním systému Windows.

Jste Piratebay? thepiratebay.org Řešení na různých hostitelích
13.1.2015 Bezpečnost

Díky našemu čtenáři Davida za zaslání této detekovat (anonymizovány):

GET HTTP / 1.0
Host: a.tracker.thepriatebay.org
User-Agent: Bittorrent
Přijmout: * / *
Připojení: zavřeno

Webový server, David byl hit s dostatečným počtem žádostí, jako jedna nad způsobit odmítnutí služby. Žádosti pocházel z tisíců různých IP adres, všichni se zdají být umístěny v Číně. Rychlé vyhledávání Google ukázal, že on nebyl sám, ale další webové servery se objevily podobné útoky.

Vzhledem k tomu, hlavičku hostitele (a David zjistil různé "thepriatebay.org" jména hostitele), vypadá to, že některé DNS servery odpověděl s IP adresou Davidova, pokud dotazovaný pro "thepiratebay.org".

Udělal jsem rychlou kontrolu pasivních systémů DNS, a nenašel Davida IP. Ale když jsem dotazován čínské servery DNS pro název hostitele, obdržel jsem mnoho odpovědí. Každá odpověď byla jen opakuje párkrát, pokud vůbec. Tak nějak vypadal, jako by se všichni vrátili různých IP adres. Založené na US DNS servery na druhé straně obvykle nemají přeložit název hostitele, nebo reagují s 127.0.0.1, typické černé listiny technikou. Jen hrstka odpověděl s směrovat IP adresu.

Celkově lze říci, nejsem si jist, co se děje. Vypadá to, že "čínský firewall" problém pro mě. Ale pokud máte nějaké nápady či pakety, prosím dejte mi vědět.

Argument pro pohyb SSH off portu 22
6.1.2014 Bezpečnost

Zajímavá diskuse se děje na Reddit na tom, zda Secure Shell (SSH), by měly být nasazeny na jiném základě než 22 přístavu, aby se snížila pravděpodobnost, že bude ohrožena. Jedna zajímavá poznámka je, že bezpečnost by neznáma není bezpečnostní opatření, ale způsob, jak oddálit útočníka, takže poskytuje jen malou hodnotu. I když je pravda, že je obtížné zastavit rozhodný útočníkovi, který je cílení vás, žádné opatření, které zastaví náhodné skript kiddies a skenery z tropit si SSH není úplně k ničemu.

Pravdou je, že jsem byl nasazení SSH na nestandardním portu (typicky 52222) za více než 15 let na internetu čelí servery se mi podaří. Samozřejmě, že to není jen bezpečnostní opatření I zaměstnat. I náplast denně; použijte hosts.allow kde praktické, klíče a fráze místo hesel a nasazení DenyHosts . Mám nasadit na nestandardním portu, protože z bezpečnostních výhod, aby se měl o bezpečnosti by zapomnění? Ale vůbec ne! Nasadit SSH na nestandardním portu, protože eliminuje hluk, který je každý přítomný na portu 22. kontinuální skenování a pokus o brutální nutí SSH, který byl na internetu od počátku času, a zdá se zhorší každý rok, vytváří spoustu hluku v protokolech a je v nejlepším případě obtíž, a v nejhorším služby týkající se pro server. Proč se smířit s tím, pokud nemáte to?

To snižuje hlasitost natolik, že jsem se často vyzkoušet své obrany, aby se ujistili, že jsou funkční. Někdy se dokonce nasadit HoneyPot na portu 22, aby viděli, co protivníci jsou až.

Nový zákon o kybernetické bezpečnosti vstupuje v platnost

30.12.2014 Bezpečnost
Již 1. ledna 2015 v České republice nabyde účinnosti nový zákon o kybernetické bezpečnosti. Jedním z úkolů nové legislativy je sjednocení elektronické komunikace, a to nejenom ve státní správě, ale částečně i v soukromé sféře.

Mnoho lidí určitě má v živé paměti masivní útoky hackerů z března roku 2013, které byly namířeny proti webovým stránkám zpravodajských serverů, telekomunikačních operátorů nebo serverů bankovních společností v ČR. Tyto hackerské útoky poukázaly na velkou zranitelnost internetového prostředí

Nový zákon se přece jen ale týká především státní správy. Díky němu by měla být státní sféra i další klíčové počítačové systémy v zemi odolnější vůči potenciálním útokům.
Česká republika přitom není v zavádění této nové legislativy osamocena. Kybernetický zákon vychází ze směrnice Evropské unie, podle které mají všechny členské země zvyšovat svoji schopnost bránit se kybernetickým útokům.

„S rychlým rozvojem IT sektoru narůstá hrozba kybernetického útoku, která se může týkat každého člověka. A je třeba mít na paměti, že útoky hackerů jsou častější a čím dál masivnější,“ říká Nick Feifer, manažer společnosti Fortinet pro střední a východní Evropu (CEE).

Zajištění kybernetické bezpečnosti státu je tak podle něj zásadní otázkou současnosti a nový zákon je jedním z prostředků, jak jí docílit.

Co je špatného na přemostění datacenter spolu DR?
28.12.2014 Bezpečnost
Se dvěma příběhy na téma překlenovacích datových center, budete si myslet, že jsem opravdový věřící. A ano, myslím, že jsem se pár důležitých výhradami.

První z nich je zapouzdření nad hlavou. Jakmile překonat pomocí zapouzdření, bude maximální povolená přepravována velikost paketu zmenšit, pak zmenšit znovu, když zašifrovat. Pokud váš server OS nejsou chytrý o tom, budou předpokládat, že vzhledem k tomu, že je to všechno ve stejné vysílací domény, plný paket je samozřejmě v pořádku (1500 bajtů ve většině případů, nebo až do 9K, pokud jste jumbo frames povoleno) , Budete muset vyzkoušet na to - a to jak pro replikaci a konfiguraci neúspěšně po - jako součást svého návrhu a testovací fáze.

Druhý problém si, že pokud můstek datová centra mailem DR nebo druhý (aktivní) datacenter místě, jste v dobré pozici k převzetí celé serverové farmy, tak dlouho, jak můžete selhání připojení WAN a Internet uplink s nimi. Pokud ne, můžete skončit s tím, co Greg Ferro volá "síťového provozu trombón". ( http://etherealmind.com/vmware-vfabric-data-centre-network-design/ )

Pokud se vám nepodaří jeden server přes, nebo pokud se vám nepodaří přes farmu a nechte WAN za sebou, zjistíte, že data do a ze serveru budou procházet odkazující inter-site vícekrát pro jednu zákazníka transakce.

Například, řekněme, že jste se přestěhovali aktivní instanci vašeho poštovního serveru do DR stránek. Chcete-li zkontrolovat e-mail, bude paket dorazí na primárním serveru, traverz k poštovnímu serveru na místě B, pak se vraťte do místa A najít odkaz WAN vrátit klientovi. Stejně tak budou příchozí e-mail přijde na internetový odkaz, ale pak budou muset přejít na tento odkaz mezi sítěmi najít aktivní poštovní server.

Vynásobte, že typického objemu e-mailové ve středně velké společnosti, a můžete vidět, proč tento pozoun problém může přidat až rychle. I s odkazem 100 MB, budou lidé, které byly použity na výkon GB nyní vidět jejich šířka pásma zkrátit na 50 MB, nebo pravděpodobně nižší, než to, že se comensurate dopad na dobu odezvy. Pokud nakreslíte na to, vy dostanete pěknou reprezentaci pozoun - odtud název.

Co to znamená, že nemůžete navrhnout DR stránky pro replikaci a zastavit. Vy opravdu potřebujete, aby ji design pro použití během nouzových případech se chystáte na. Vezměme si dopady na šířku pásma, když se vám nepodaří přes malou část serverové farmě, a také to, co se stane, když se vaše hlavní stránky byly vyřazeny (krátký nebo delší dobu), požár nebo úraz elektrickým akce - vaše uživatelská komunita být spokojeni s výsledky ?

Dejte nám vědět v naší sekci komentáře, jak jste navrhl kolem tohoto "trombon" problém, nebo pokud (jak jsem viděl na některých místech), vedení se rozhodlo NOT utrácet peníze na účet za to.

Překlenovací Datová centra pro obnovu po havárii - Prakticky
28.12.2014 Bezpečnost
Už je to nějaký čas, co jsme mluvili o problémech Disaster Recovery - poslední deník posta jsem o tom byl na používání L2TPv3 překlenout vašem datovém centru / server VLAN na "stejné" VLAN na DR místě, přes libovolné vrstvy 3 síti ( https: //isc.sans.edu/diary/8704 )

Od té doby se věci změnily. Je tu skutečný tlak pohybovat DR stránek ze stojanu na vzdáleném místě kanceláře uznávaným IaaS cloudu umístění. S touto změnou přichází nové problémy. Pokud používáte své vlastní servery v kolokace zařízení, nebo pomocí IaaS instancí VM, stojan prostor pro fyzické router může být buď přijít s cenovkou, nebo jestli je to všechno virtuální, může docházet k racku místo vůbec.

V mém případě jsem měl dva klienty v této poloze. Prvním zákazníkem prostě chtěl přesunout své DR stránky z pobočky na kolokace zařízení. Druhý Zákazník je Backup-as-a-Service Provider Cloud Service, který vytváří "DR jako servisní" produkt. V prvním případě, nebyl žádný prostor rack být měl. V druhém případě, to poslední, co chce, je CSP muset vzdát fyzického místa v racku pro každého zákazníka, a pak nasadit CSP ve vlastnictví hardwaru na webu klienta - to prostě není měřítko. V obou případech, VM běžící instanci směrovače byl jednoznačně dává přednost (nebo pouze) volba.

Virtuální směrovače s podnikovými funkcemi byly po nějakou dobu - zpět v den, mohli jsme se podíval na Quagga či zebry, ale ty, které byly složeny do vyspělejších produktů v těchto dnech. V našem případě jsme se dívali na Vyatta (nyní ve vlastnictví společnosti Brocade), nebo open-source (zdarma jak u piva) vidlici Vyatta - Vyos (vyos.net). Cisco je také ve hře, jejich produkt 1000 podporuje IOS XE - jejich "most přes L2 L3" přístup používá OTV, spíše než L2TPv3 nebo GRE. Zjistíte, že většina směrovačů prodejci mají nyní virtuální produkt.

Každopádně, Práce s Vyatta / Vyos konfigurační soubory není jako Cisco vůbec - jejich configs vypadat mnohem více jako můžete vidět v Junos. Při Vyos podporuje L2TPv3 protokol, jak ji známe a lásku, to je zbrusu nová funkce, a je dodáván s poznámkou od developera "pokud najdete nějaké chyby, pošlete mi e-mail" (důvěru inspirující, že). Vyatta zatím nemá tato funkce implementována. Tak jsem se rozhodl použít GRE tunely a most je na ethernet rozhraní. Vzhledem k tomu, tunel se chystá spustit přes veřejný internet, šifrované I / zapouzdřený celou věc pomocí standardního site-to-site IPSec tunel. Konečné řešení vypadá takto:

Příslušné configs vypadat (pouze jeden konec je znázorněno), pod jedním Všimněte si, že to není celá konfigurace, a všechny IP adres byly zmenšován.

Prosím - použijte náš komentář formulář a dejte nám vědět, pokud jste použili jinou metodu přemostění Layer 2 po 3. vrstvě, a to, co úskalí, které by vás mohly museli překonat na cestě!

rozhraní {
bridge br0 {
stárnutí 300
ahoj-time 2
max-age 20
priorita 0
stp false
}
Za prvé, definovat rozhraní mostu. Ne, že STP (Spanning Tree Protocol) je zakázána. Ty pravděpodobně chtít tato volba zakázána, pokud máte paralelní druhý překlenul odkaz (možná tmavé vlákna nebo něco podobného)
ethernet eth0 {
bridge-group {
bridge br0
}
Popis BRIDGE
duplex auto
hw-id 00: 50: 56: b1: 3e: 4F
MTU 1390
smp_affinity auto
rychlost auto
}
Rozhraní eth0 je na serveru VLAN (nebo portu skupiny, pokud používáte standardní ESXi vSwitches.) - To je VLAN, že jste přemostění na DR webu je přidána k mostu, a nemá žádnou IP adresu.
ethernet eth1 {
adresa 192.168.123.21/24
duplex auto
hw-id 00: 50: 56: b1: 1d: A8
smp_affinity auto
rychlost auto
}
ETH1 je správa IP tohoto routeru, a je také terminátor pro tunel GRE a IPSec VPN.
Můžete rozdělit toto nahoru, mnozí by raději ukončit tunely do loopback například, nebo přidat další Ethernet, pokud dáváte přednost.
tunel tun0 {
Popis přemostěna
zapouzdření GRE-bridge
local-ip 192.168.123.21
multicast umožnit
parametry {
ip {
bridge-group {
bridge br0
}
tos dědí
}
}
remote-ip 192.168.249.251
}
}
GRE tunel je přemostěna, a také nemá IP adresu. zapouzdření GRE-mostu je stejný jako GRE (IP protokol 47), ale "GRE-bridge" zapouzdření umožňuje přidat toto rozhraní k mostu ,
.....
Systém věci, jako je AAA, NTP, časové pásmo, syslog, SSH, ACL a tak dále najdete zde
......
Tohle všechno je důležité pro vaši bezpečnost držení těla, ale není relevantní pro tunelování nebo přemostění, tak jsem redigován to.
vpn {
IPSec {
ESP-group PRL-ESP {
komprese disable
životnost 3600
Režim tunel
PFS zakázat
Návrh 1 {
šifrování AES256
hash SHA1
}
}
IKE-group PRL-IKE {
Životnost 28800
Návrh 1 {
šifrování AES256
hash SHA1
}
}
IPSec rozhraní {
rozhraní eth1
}
přihlášení {
log-režimy všechny
}
nat-traversal umožňují
site-to-site {
peer abcd {
ověřování {
idCUSTOMER
Režim předběžně sdílený tajný
pre-shared-tajný demo123
remote-idCLOUD
}
Připojení typu zahájit
default-esp-group PRL-ESP
IKE-group PRL-IKE
místní adresy 192.168.123.21
tunel 0 {
allow-nat-sítě zakázat
allow-veřejné sítě zakázat
ESP-group PRL-ESP
místní {
prefix 192.168.123.21/32
}
Protokol gre
dálkový {
prefix 192.168.249.251/32
}
}
}
}
}
}
Příslušné části v konfiguračním VPN jsou:
Všimněte si, že peer IP je veřejný / NAT'd IP na druhém konci
ID mají být vytvořen pro každý konec - tyto směrovače používají Xauth při definování předem sdílený klíč, tak aby se předešlo nutnosti je používat úplný název, je to bezpečnější definovat uživatelská jména
"Provoz match" pro šifrování je definován zdroj prefix + cílové prefix + protokol. V našem případě je to "řízení IP routeru zákazníka AND odpovídající IP na cloud routeru A GRE ".
NAT-T je povoleno, protože oba konce jsou za NAT firewall
. Udělejte si pozor při definování předem sdílený klíč Dojde-li slovo na firemní webové stránky, stránku na Facebooku, nebo LinkedIn (nebo ve slovníku), je to špatná volba, Leet-mluvit, nebo ne. Podívejte se na https: // ISC .sans.edu / fórum / diář / 16643
· Stanovili jsme oba konce "iniciovat", která umožňuje jak init i odpovědět. To umožňuje buď konec spustit tunel
===============

Grown Up Security vánoční seznam
28.12.2014 Bezpečnost
Moje žena je vánoční hudební narkoman. Počínaje hned po Remembrance Day každý okamžik v našem domě nebo v autě je plná zvuků vánoční hudby, a to buď z vlastního kolekce iTunes (v současné době 623 písní a rostoucí ročně), nebo streamované z internetu nebo satelitního rádia. Každý rok se zdá, že jedna píseň, která se stane, že ušní červ a drží se mnou po celou vánoční sezónu. Před několika lety to bylo " Oh Holy Night ", další, že je" já chci hrocha na Vánoce ", letos objevil jsem nový, alespoň pro mě. " Můj Grown Up Christmas seznam ". Píseň byla napsána kanadským David Foster a jeho tehdejší manželka Linda Thompson-Jenner. To bylo původně zaznamenaný David Foster s vokály od Natalie Cole, v roce 1990, ale pravděpodobně nejslavnější verze byla zaznamenána od Amy Grant v roce 1992, i když to bylo od té doby se vztahuje mnohokrát. Jist písně je, že bychom se ptát Santa Claus Další věci na Vánoce, ale že bychom náš seznam Vánoce se měli zeptat na řešení společnosti a světové problémy. Rozhodně dobrý sentiment v těchto nejistých časech.

Dnes jsem se přemýšlet ... v případě, že ISC měla mít Grown Up seznam Security vánoční, co by se na to?

Prosím, pošlete své nápady prostřednictvím fóra připomínky, nebo prostřednictvím naší kontaktní stránky .

- Rick Wanner - rwanner na ISC tečka sans dot edu - http://namedeplume.blogspot.com/ - Twitter: namedeplume (Protected)

Zajištění vyšší bezpečnosti nemusí stát spoustu peněz

25.12.2014 Bezpečnost
Ani jedna ze dvou nejvyšších bezpečnostních priorit našeho manažera bezpečnosti pro nadcházející fiskál nebude představovat velké investice.

Je období rozpočtů, což znamená, že jsem začal vytvářet seznam svých přání ohledně bezpečnostních specialit, které bych chtěl pořídit. Dávám přednost tematickému seznamu přání. Před rokem to byla ochrana dat. Do prevence ztráty dat a šifrování souborů jsme díky tomu významně investovali.

Pro nadcházející rok mám témata dvě: Zvýšit odolnost našeho ochranného jádra a vzdělávat uživatele. A nebudu ani muset pro žádný z těchto cílů žádat moc peněz.

Za posledních pár let jsme vybudovali docela slušný arzenál nástrojů pro zabezpečení dat. Máme firewally, které nejen omezují provoz, ale také chrání před malwarem, zajišťují prevenci narušení, filtrují URL a omezují přístup na aplikační vrstvě.

Máme také pokročilou prevenci úniku dat, správu událostí zabezpečení, ochranu koncových bodů, šifrování souborů, řízení přístupu k síti atd.

Přetrvávající rizika

Zranitelnosti v naší infrastruktuře však stále existují. Například pravidla našich firewallů lze zpřísnit. Sítě by šlo více segmentovat. Odolnost základu bitové kopie našeho serveru je možné dále zvýšit.

Musíme zlepšit i správu oprav a ochranu koncových bodů a je nezbytné nějak zvládnout i tzv. nemanagovaná zařízení. Mohli bychom zpřísnit i filtry pro URL, zablokovat riskantní aplikace a dělat více kontrol.

Chtěl bych také zavést plné šifrování disku pro všechny koncové body. To bude snadnější uskutečnit, protože zajímavé řešení Microsoft BitLocker je již součástí naší podnikové licence.

Ke zvýšení odolnosti klíčové infrastruktury bychom měli využít naše současné technologie. Další úspory můžeme dosáhnout rozšiřováním funkcí zabezpečení delegovaných do zahraničí.

Technologie jsou pro zajištění bezpečnosti samozřejmě skvělá pomoc, ale nikdy se jim nepodaří eliminovat všechny incidenty. Mezi problematické patří phishingové útoky, sociální inženýrství, stahování nepřátelských programů mimo síť či nežádoucí úniky dat.

Co to všechno má společného? Uživatele. Řekl bych, že by se asi čtyři pětiny našich bezpečnostních incidentů nemusely stát, kdyby někdo prostě myslel na bezpečnost. To je také důvod, proč očekávám, že se nám v následujícím roce vyplatí větší zaměření na povědomí a školení o bezpečnosti.

Přínosná školení

Už nyní máme povinné školení pro zvýšení obecného povědomí a všichni zaměstnanci se ho musejí zúčastnit jednou ročně a musejí potvrdit, že mu rozumějí. Chci však tento program pozvednout na vyšší úroveň.

Za prvé to bude znamenat rozšíření obsahu. Uživatelé se budou s materiály seznamovat pomocí krátkých informativních kurzů o konkrétních tématech z oblasti zabezpečení i dodržování předpisů. Spolupracovat chci s výukovým týmem na poskytování doplňkového povinného školení pro některé zaměstnance na základě jejich pracovního zařazení.

Například divize výzkumu a vývoje by měla mít školení ohledně zabezpečení aplikací, technici linky technické podpory by se zase měli zúčastnit kurzů o sociálním inženýrství a reakci na incidenty.

Členové právního oddělení by naopak měli dostat kurzy o tom, jaké jsou důsledky předpisu PCI pro oblasti soukromí a zabezpečení, a zaměstnanci komunikující se zákazníky by se měli vzdělat v oblasti nakládání s daty.

Budu také usilovat, aby se povědomí o bezpečnosti dostalo do našeho orientačního programu pro nové zaměstnance, a bude-li to možné, budu mít na svých cestách po externích pracovištích přednášky o zabezpečení.

Kromě rozšířeného školení bych rád pracovníky bombardoval připomínkami zvyšujícími jejich znalosti o bezpečnosti, protože častá připomenutí posilují přínos školení, které se koná jen jednou ročně.

Například mám v plánu prosadit spořiče obrazovek obsahující bezpečnostní témata do všech koncových bodů s operačním systémem od firmy Microsoft. V našich oddechových prostorách máme monitory, které zobrazují prodejní kvóty, marketingové materiály a další oznámení společnosti. Proč k tomu čas od času nepřidat obrazovku s připomenutím zásad ochrany dat?

Nakonec hodlám kvůli vyhodnocování efektivity školení jednou za čas rozesílat e-maily maskované jako phishingové útoky a potom dělat statistiky, kolik zaměstnanců se na návnadu chytilo.

Pokud budu svou práci dělat dobře, měl by se tento počet časem zmenšovat.

Tento příspěvek do Zápisníku manažera pro bezpečnost napsal skutečný manažer bezpečnosti, který zde vystupuje jako Mathias Thurman. Jeho pravé jméno ani jméno zaměstnavatele z pochopitelných důvodů neuvádíme.

Bezpečnostní logy jako noční můra? Zbavte se jí

23.12.2014 Bezpečnost
Správci sítě i bezpečnostní manažeři z nich mají respekt a nezbytně je potřebují. Vedoucí pracovníci ale obvykle netuší, o co přesně jde, a systém pro zpracování logů nepodpoří, dokud nezazní klíčové slovo – shoda s regulacemi a zákonnými požadavky. Systémy na správu a vyhodnocování logů však neslouží jen k zaškrtnutí políčka „Zákon o kybernetické bezpečnosti – splněno“, přináší i pomoc při řešení provozních problémů.

Existují odbory a pracovníci, kteří zpracované a vhodně archivované logy ke své činnosti nezbytně potřebují, i když každý z trochu jiného důvodu. Například správci systémů (sítí, bezpečnostních prvků, serverů a aplikací) potřebují logy prohledávat při analýze a řešení provozních problémů.

Pro bezpečnostní manažery zase představují klíč pro vyhodnocování bezpečnostních událostí. A nově, s účinností zákona o kybernetické bezpečnosti, potřebují mít logy kdykoliv připravené pro předložení organizacím zabývajícím se bezpečností – Cesnet Cerst a Cirst nebo Policii ČR.
Společné potíže

Obě skupiny však narážejí na společné problémy. Logy jsou uložené na různých zařízeních, kam mají správci rozdílně omezená přístupová práva, jsou v rozličných formátech, mají různou retenci anebo zařízení mají pro ně vyhrazenou omezenou kapacitu, takže logy jsou k dispozici jen pár dní zpět.

Logy uložené na různých místech lze zpochybnit, modifikovat nebo třeba také záměrně smazat. Právě mazání či pozměnění logů je jednou z činností, které útočník při průniku do systému vždy udělá, aby svoji činnost zakryl.
Centrální úložiště

Řešení spočívá ve vytvoření centrálního úložiště, kam všechna zařízení, servery, systémy, aplikace a databáze své logy ukládají. Jenže ty přicházejí v různých formátech. Síťová a bezpečnostní řešení obvykle posílají logy ve formátu Syslog, který ale není jednotný.

RFC 5424 zase popisuje pouze transportní protokol. Logy z aplikací a operačních systémů pak mají formát „file-based log“ a pro něj není žádný standard. První, co tedy musí centrální úložiště tohoto typu udělat, je normalizace logů.

Ty přicházející se proženou tzv. parsery, které ze surové podoby logu rozdělí všechny informace do příslušných polí v databázi – destination IP, source port, time a další. Tím se to celé sjednotí a je možné s tím dále pracovat.

Parsování logů je ale činnost velmi náročná na výkon systému. Před parsovacím strojem musí být buffer, kam se ukládají data při příjmu. Síťová zařízení a systémy totiž v naprosté většině nemají implementovaný způsob ověření doručení logů. Logy se tak odesílají do „černé díry“ a zařízení se nijak nestarají, zda se i doručí.

Centrální úložiště tedy musí mít dostatečný výkon pro nepřetržitý příjem – daný množstvím událostí za sekundu (EPS, Events Per Second). Definovat, kolik EPS všechna zařízení a systémy v síti vygenerují, je tak trochu jako věštění z křišťálové koule – záleží na typu produktů, množství přenesených dat, počtu přihlášených uživatelů, jestli zařízení zrovna náhodou nečelí útoku a na dalších parametrech.

Pro efektivní sběr logů z celé sítě je potřeba v běžných českých podmínkách tisíce EPS. A pokud to příslušné úložiště nezvládne, musí se zapojit do clusteru, a tím zvýšit výkon.

Centrální úložiště logů také musí podporovat režim vysoké dostupnosti. Ten se obvykle implementuje přímo v databázovém stroji a řeší se prostým přidáváním dalšího stroje do skupiny.

V síti existuje mnoho různých zařízení, a proto je důležité si ověřit, zda se právě ta důležitá plně podporují. Ale pozor, parser musí opravdu rozluštit všechny údaje příchozího logu, nikoliv jen základní, jako jsou čas nebo IP adresy, přičemž to ostatní uloží v nezpracované podobě.

Bez vhodného zpracování bude možné data ve vyhodnocovacím a reportovacím subsystému využít jen ve velmi omezené míře.

Analytické a prezentační rozhraní

V podmínkách tuzemské střední a větší počítačové sítě se vygeneruje zhruba 1,5 miliardy událostí za měsíc, přičemž pro jejich uložení je potřeba nejméně 10 TB. To už jsou big data, nad nimiž se dále pracuje – musejí se prohlížet, třídit, analyzovat či korelovat. Aby uživatelé nemuseli při zadání dotazu do databáze čekat na odpověď hodiny či dny, je nutné, aby úložiště logů mělo opravdu výkonný databázový stroj.

Prezentační rozhraní úložiště logů je to, s čím se pracuje – tady se třídí data, filtrují, vytvářejí dotazy. Je vhodné mít co nejvíce dotazů už připravených, aby je uživatelé nemuseli opakovaně sami vytvářet. A k informacím je dobré se dostat na několik kliknutí.

Praktické rady z oblasti bezpečnosti: Audit firemních firewallů

15.12.2014 Bezpečnot
Síťový tým narazil na důkaz o útoku DDoS. Akční plán: Najít zdroj problému v síti a potom zkontrolovat všechny firemní firewally, aby už k žádným podobným incidentům nedocházelo.

Komplexní audit našich firewallů se v mém seznamu priorit přesunul na přední místo. Tato naléhavost vyplývá z nedávného incidentu, který naštěstí nebyl tak zlý, jak by ve skutečnosti mohl být.

Po celém světě provozujeme více než 60 firewallů. Používáme centralizovanou platformu pro správu pravidel a výchozí konfiguraci, ale stále je nutné tato zařízení kontrolovat, aby se zjistily případné nesrovnalosti. Měli jsme audit naplánovaný na konec letošního roku, ale nyní to měníme na mnohem dřívější termín.

Minulý týden se náš tým při odstraňování problémů s výkonem sítě na naší jedné velké pobočce rozhodl, že bude monitorovat přenosy, které z ní odcházejí. Špatnou zprávou bylo, že protokoly firewallu a směrovače ukázaly obrovské množství transportu dat určených pro jednoho hostitele ve Vietnamu.

Přenosy pocházely ze stovek externě adresovatelných IP adres v naší interní síti. To bylo velmi podezřelé, protože pro chráněnou síť používáme pouze interní privátní IP adresy.

Hledání zdroje

Svolal jsem náš krizový akční tým, protože to vypadalo jako distribuovaný útok odepření služby (DDoS – Distributed Denial of Service). Samozřejmě že jsme ihned upravili pravidla firewallů, abychom zablokovali přístup k cílové IP adrese.

Dále jsme zapnuli pravidla antispoofingu pro rozhraní dotčeného firewallu, aby se zablokovaly přenosy pocházející z veřejných IP adres v naší interní síti. Následně jsme spustili anti-DDoS profily, které nám umožňují řídit „datovou záplavu“ a nastavit maximální počet současných relací. Poslední dvě jmenované konfigurace mimochodem už měly být zapnuté, ale o tom později.

Vypátrali jsme postižené zařízení prostřednictvím zjištění portu přepínače, ke kterému bylo připojené. Ukázalo se, že jde o server podnikové třídy, který měl inženýr z oddělení výzkumu a vývoje připojený k ethernetovému portu na svém stole, což je zcela nepřípustné.
Zaujal vás tento článek? Přehled nejzajímavějších zpráv získáte odebíráním našeho newsletteru »

Na tento server jsme následně použili přístup správce kvůli instalaci forenzního vyšetřovacího nástroje EnCase. To, co jsme našli, bylo v souladu s chováním malwaru, který předtím navazoval spojení k serveru ve Vietnamu z více falešných IP adres.

Vypnuli jsme tedy malwarovou službu a nechtěné přenosy ustaly. Po tomto úkonu jsme zahájili důkladné forenzní zkoumání – odposlechem síťových přenosů pocházejících z infikovaného serveru jsme zjistili, že k žádnému úniku dat ani k neoprávněnému přístupu naštěstí nedošlo. Takové kompromitace jsem se skutečně bál.

Kontrolou celopodnikového inventáře jsme odhalili stejný malware i na některých dalších strojích a našli jsme ho dokonce i v našem ústředí. Naštěstí nebyl žádný z nich kompromitován tak zásadně jako onen první server.

Prevence budoucích incidentů

Škodám se tedy podařilo předejít a já jsem si vytvořil nový seznam úkolů. Zaprvé je zcela zřejmé, že musíme zkontrolovat naše firewally, abychom ověřili, zda je základní konfigurace jako například antispoofing či anti-DDoS funkční.

Chci se však také podívat na to, proč nás nástroj SIEM nevaroval, že server komunikuje se známým malwarovým hostitelem. Z incidentu rovněž jasně plyne, že musíme řešit i některé nesrovnalosti v oblasti dodržování pravidel ochrany koncových bodů, protože infikované servery neobsahovaly nejnovější signatury.

A konečně jsme v poslední době také zprovoznili některé pokročilé funkce detekce malwaru, které mají kontrolovat všechny stažené spustitelné soubory a spustit je v izolovaném prostředí kvůli zjištění, zda jsou ve své podstatě škodlivé. Rád bych stanovil, proč právě tato technologie v našem případě selhala.

Mojí nejvyšší prioritou však je audit firewallů. Jsem si jistý, že kromě několika základních konfigurací rozhraní existují v základně pravidel firewallů také mezery.

Tento příspěvek do Zápisníku manažera pro bezpečnost napsal skutečný manažer bezpečnosti, který zde vystupuje jako Mathias Thurman. Jeho pravé jméno ani jméno zaměstnavatele z pochopitelných důvodů neuvádíme.

Forenzní analýzy pro IT bezpečnost nabízí veřejnosti Cesnet

4.12.2014 Bezpečnost
Laboratoř FLAB, která nabízí služby v oblasti prevence a testování IT bezpečnosti i forenzní analýzy s využitím znalostí svého bezpečnostního týmu CERTS a jeho výzkumného zázemí, zprovoznil Cesnet.

FLAB je schopná dělat analýzy proběhlých událostí (typicky bezpečnostních incidentů) v kybernetickém světě, ale také penetrační a zátěžové testy k preventivnímu prověření integrity, důvěrnosti a dostupnosti testovaných systémů.

Jako doplňkové služby FLAB nabízí organizaci bezpečnostních školení a seminářů, odborné konzultace, odborné analýzy technologií, obnovu dat a podobně.

FLAB čerpá ze zkušeností provozu řady bezpečnostních systémů v rámci páteřní sítě Cesnet2 a sítí vysokých škol a výzkumných pracovišť. Jde například o „pasti“, do nichž jsou odchytávány útoky hackerů pro další rozbor (tzv. honeypots) a monitorování abnormálních jevů v síti.

Tým specialistů prý také pomáhá při rychlém informování o bezpečnostních incidentech a jejich nápravě.

Služby laboratoře jsou dostupné nejen účastníkům e-infrastruktury Cesnetu, ale ve volné kapacitě i dalším zájemcům.

Eset a Facebook nabízí bezpečnostní službu zdarma

3.12.2014 Bezpečnost
Eset se spojil s Facebookem a nabízejí všem uživatelům Facebooku službu skenování počítače na přítomnost malware.

Když se uživatel Facebooku připojí ke svému účtu, Facebook analyzuje, zda účet nevykazuje podezřelé aktivity jako je rozesílání spamu nebo infikování linků na stránky přátel. Pokud tento sken chování účtu ukáže možnou přítomnost malware, uživateli se zobrazí doporučení provést test s využitím služby Eset Online Scanner for Facebook.

Jde o free službu odvozenou od služby Eset Online Scanner, kterou Eset dosud nabízel pouze na svých stránkách; za pozornost stojí, že z dosavadních víc než 44 milionů skenů byla přítomnost malware detekována ve víc než polovině případů.

Test Eset Online Scanner for Facebook je zdarma a jeho výhodou je, že proběhne - bez přerušení – na úrovni Facebooku, tedy bez ohledu na to, jaký prohlížeč uživatel používá. Po dokončení testu dostane uživatel přes Facebook zprávu a může si výsledky testu prohlédnout a vyhodnotit. Pokud dojde k nálezu malware, odstraňování začne hned po skončení testu. Na konci celé operace dostane uživatel zprávu s výsledkem.

Google zdroje otevřeného střelnici, testovací nástroj pro webové aplikace bezpečnostních skenerů
3.12.2014 Bezpečnost
Google má OPEN SOURCE jiný nástroj zabezpečení:. Je to tzv střelnici, a to je efektivní testovací prostor pro řadu automatizovaných webových bezpečnostních aplikací skenerů "střelnice je Java aplikace postavená na Google App Engine a obsahuje širokou škálu XSS a, v menší míře, dalších webových zranitelných míst, "Claudio Criscione, Security Engineer společnosti Google, je vysvětleno v oznámení. Na rozdíl od jiných testů aplikací, které jsou již k dispozici, ten je zaměřen na automatizované řešení, a nikoli lidské testerů. "Náš testbedu není snažit napodobit skutečné aplikace, ani vykonávat funkce prolézání skeneru: je to soubor unikátních chyb vzorů čerpaných ze zranitelností, které jsme viděli v divočině, zaměřené na ověření schopnosti detekce bezpečnostních nástrojů, "dodal. "Použili jsme střelnici i jako průběžné testování podpory, a jako řidič pro náš vývoj, definování tolik typů chyb je to možné, včetně některých, že nemůžeme zjistit (zatím!)." Nástroj byl vytvořen výzkumníky od společnosti Google a Polytechnic University of Milan, protože potřebovali způsob, jak otestovat inkvizici, webové aplikace, bezpečnostní skenovací nástroj společnost vytvořila pro použití v dílně. Zdrojový kód pro střelnici lze nalézt na GitHub . K dispozici je také veřejný instance otevřené pro použití. "Doufáme, že ostatní zjistí, že je užitečné při hodnocení detekční schopnosti svých vlastních automatizovaných nástrojů, a my samozřejmě uvítáme jakékoliv příspěvky a zpětné vazby od širší výzkum bezpečnostní komunity," Criscione uzavřena. To je Nástroj druhý bezpečnostní testy, které Google má open source v posledních dvou týdnech. Začátkem tohoto měsíce se vydala nogotofail , síť testování bezpečnosti nástroj určený k testování zařízení a aplikace pro otázky ověření certifikátu SSL, HTTPS a TLS knihovny chyb / SSL, SSL a STARTTLS odstraňování problémů, a tak dále.

Cisco zdroje otevřeného Big data rámec analytics zabezpečení
1.12.2014 Bezpečnost
"Technicky pokročilé útočníci často zanechávají ponětí, na základě důkazů o jejich činnosti, ale je odhalení obvykle zahrnuje filtrování přes hory protokolů a telemetrii. Použití velkých analytických údajů k tomuto problému se stalo nutností," upozornil Cisco Security Solutions manažer Pablo Salazar před oznámil, že společnost je otevřená získávání jeho OpenSOC Big data rámec pro analýzu bezpečnosti.

"Rámec OpenSOC pomáhá organizacím, aby velkou část dat jejich technické bezpečnostní strategie, neboť poskytuje platformu pro použití detekce anomálií a incidentů forenzní k problému ztráty dat," řekl vysvětlil . OpenSOC integruje prvky Hadoop ekosystému, jako jsou bouře, Franz Kafka a ElasticSearch, a nabízí následující možnosti:. full-paket zachytit indexování, uchovávání, obohacení dat, zpracování stream, dávkové zpracování, real-time vyhledávání, a telemetrie agregace fakt, že všechny tyto údaje jsou poskytovány prostřednictvím centralizovaná platforma umožňuje zabezpečení Analytici odhalit problémy a reagovat rychle. Důraz je kladen na poskytování údajů popraven "rychle" - v reálném čase, ve skutečnosti - a to vše na jednom místě, takže analytici nemusí se podívat na četné zprávy a zdrojů a drahocenný čas procházením nestrukturovaných dat. "Jako open source řešení, OpenSOC otevírá dveře pro každou organizaci vytvořit detekce incidentů nástroje specifické pro jejich potřeby, "Salazar poukázal. "rámec je vysoce rozšiřitelný:. Každá organizace, která může přizpůsobit jejich proces incidentu vyšetřování může být přizpůsobena spolknout a zobrazit jakýkoliv typ telemetrie, zda je pro specializované lékařské zařízení nebo na zakázku postavený pokladních zařízení. Díky využití Hadoop, OpenSOC má také foundational stavební kameny vodorovně měřítko množství dat, shromažďování, ukládání a analýzy založené na potřeby sítě. " Další informace o nástroji, vyzvednout kód, a uvidíte, jak může přispět k tomu, podívejte se na oficiální projekt a jeho strana GitHub .

Máte datové Porušení plán odezvy?
1.12.2014 Bezpečnost

Ponemon Institute provedla a zveřejnila dokument v září na svém druhém ročníku studie o narušení dat. Některé z údajů shromážděných ukazuje zajímavé výsledky. Na jejich základě průzkumu, 68% respondentů nevěří v jejich společnosti by vědět, jak se vypořádat s negativním veřejným míněním a 67% myslí, že jejich organizace není chápe, co dělat poté, co dojde k porušení dat. [Strana 3] Pokud dojde buď jedna , obvykle dopad na značku, může to vést ke ztrátě zákazníků a třepe důvěry ve společnosti obchodních partnerů.

Také zjistili, že více společností nyní máme plán odezvy na narušení dat 73% v roce 2014 ve srovnání s 61% v loňském roce. Podle tohoto průzkumu, jen ~ 30% plánů reakce jsou účinné a velmi efektivní. [Strana 4] Zpráva navrhnout, aby byly účinné, musí organizace poskytnout školení svým zaměstnancům, aby si byli vědomi svých povinností o tom, jak chránit informace o zákaznících, kdy dojde k porušení dat.

Existuje několik šablona porušení dat plánu volně k dispozici, jak začít odezvy. Pokud máte na svém místě, jak často je to přezkoumáno a vykonávat? Do vašeho absolvovat školení o tom, jak správně chránit citlivá data zákazníků? Studie si můžete stáhnout zde .

[1] http://www.experian.com/assets/data-breach/brochures/2014-ponemon-2nd-annual-preparedness.pdf [strana 3,4]
[2] https://privacyassociation.org/resources / article / security-porušení odezva-plán-toolkit /
[3]
http://www.justice.gov/sites/default/files/opcl/docs/breach-procedures.pdf
[5] http://www.securingthehuman.org

Současný stav: Síťová zařízení Tváří v tvář terče
26.11.2014 Bezpečnost

Dlouhá doba uplynula od té doby jsme vydali naši analýzu hrozeb pro domácí síťová zařízení . Od té doby se situace výrazně změnila - bohužel, ne k lepšímu. Již v roce 2011 jsme byli znepokojena zejména bezpečnost SOHO routery, modemy DSL a WIFI body. Dnes hovoříme o celých Internet-of-věcí, která zahrnuje každý stroje, zařízení nebo gadget, který je schopen komunikovat přes internet.

Připomeňme si, jaké nebezpečí pro síťových zařízení jsme si byli vědomi na konci roku 2011:

Otrava DNS, drive-by pharming a SOHO pharming: využívání zranitelností ve webovém rozhraní routeru / modemu změnit jeho nastavení DNS za účelem přesměrování uživatele na nebezpečné webové servery
UPnP a SNMP útoky založené na: využívání zranitelností a problémech při provádění široce používaných protokolů s cílem získat přístup k zařízení
Škodlivé binárky: DDoS založené na Linuxu (Distributed Denial of Service) nástroje, zejména přizpůsobit tak, aby provoz na routery; router botnety, schopné vedení širokou škálu útoků; červi, infikování směrovače a šíří po síti
A teď, pojďme se podívat na rok 2014, a zjistit, které z našich předpovědí přišel pravda ...

Více SOHO Pharming útoky

Pravda . Tam byly četné útoky s využitím nastavení DNS směrovač k získání uživatelé bankovních pověření a přesměrovat uživatele na škodlivé webové stránky. Jen abychom jmenovali alespoň některé z největších incidentů:

Ledna 2014: obrovský SOHO pharming kampaň ovlivňuje celou řadu routerů od různých výrobců celého world.The útočníci využívaných řadu slabých míst pro změnu nastavení DNS více než 300 000 zařízení, které se nacházejí především ve Vietnamu, Indie a Thajska, ale také v několika zemích v Evropě, a to jak Ameriky a Afriky. Výsledkem je, že veškerý provoz zpoza napadených routery byl přesměrován na škodlivých serverů, což umožňuje zločinci se rozhodnout, zda uživatelé by měli uvést do původní verzi webových stránek, které požadované, nebo na phishing / škodlivého jeden.
Únor 2014: další rozsáhlé kampaně pomocí otravy DNS techniku ​​. Tentokrát útok byl vysoce cílené a cíle těchto zločinci se v pravém slova smyslu: útok byl navržen tak, aby ukrást bankovní pověření od uživatelů pěti populárních polských bank. V tomto případě, že počet nakažených routerů bylo asi 100 a většina z nich byla v Polsku a Rusku. Když uživatelé pokusil přihlásit do internetového bankovnictví, byli přesměrováni na modifikované webu, který je požádán, aby poskytl důvěrné informace.
Září 2014: klasická drive-by pharming útok zaměřený domácích routerů v Mexiku a Brazílii. Tento útok začal s nebezpečným e-mail, nevyžádanou poštou k velkému počtu portugalsky mluvících uživatelů, v němž zločinci pokusil nalákat příjemce kliknout na odkaz na škodlivý webové stránky. HTML skript na této webové stránce byl navržen tak, aby vyzkoušet několik kombinací výchozích pověření pro přístup k nastavení routeru a změnit jeho nastavení DNS. Pokud se tento přístup selhal, skript zobrazí pop-up, s dotazem uživatele k zadání pověření směrovače ručně.
Binární malware pro ARM a další platformy

Pravda . Objevili jsme více vzorků malwaru, které ovlivňují MIPS routery, a - co je důležitější - vzorky vyvinuté tak, aby mohly být shromažďovány pro různé platformy (MIPS, ARM, Intel, PPC, hrdina, atd) a spustit na různých druzích Linux-založené zařízení. Pár příkladů:

Aidra - open source DDoS nástroj, určený pro skenování Modem / Router a vytvořit botnet z využitelných zařízení. V současné době existuje několik Aidra binární soubory ve volné přírodě, sestavené pro různé platformy (MIPS, ARM, PPC, SuperH), což znamená, že tento červ byl upraven tak, aby bylo možné se nakazit Internet-of-věcí zařízení.

Obrázek 1 - Aidra - open source nástroj DDoS

Darlloz - Linux červ a bot určený pro MIPS, ARM a Intel architektury, šíření prostřednictvím PHP, CGI zranitelnosti na náhodně generované IP adresy a schopný stáhnout a spustit další kód. Komunikuje s škodlivého operátora otevřením backdoor na TCP portu 58455 a čeká na příkazy. To infikováno více než 30 000 zařízení, především v USA a Číně, a - jak se ukázalo později - byl použit k instalaci krypto měn důlní software (cpuminer), alespoň na zařízeních Intel x86.

Obrázek 2a - Darlloz worm, kód zkompilovaný pro ARM architekturu

2b - Darlloz worm, stejný kód přestřihl, sestaveny pro x86 architekturu

Měsíc Červ - tajemný červ, šíření prostřednictvím vzdáleného obtokem ověřování využívat při realizaci HNAP protokolem routery Linksys E-Series. Tento malware shromažďuje informace o zařízení a komunikuje s jeho C & C (Command and Control) servery s citáty a obrázky z 2009 sci-fi film s názvem "Moon". IP rozsahy, že červ vyšetření, aby jejich využívání, jsou pevně v binární a zahrnuje asi 670 sítí, z nichž většina patří k určitým DSL a kabelového modemu ISP v různých zemích.

Obrázek 3 - Měsíc červ, řetězce ve vztahu k Moon film

Trvalé úpravy firmware

Pravda . Příběh zveřejněné v německém časopise c't odhalil první směrovač malware, který se snažil provést trvalé změny firmware routeru. Malware se skládal z několika Linux shell skriptů, které byly zodpovědné za stažení upravenou verzi firmwaru, přepsání původní obraz a restart routeru. Škodlivý firmware přišel s upraveným init skriptu, kterou byla zahájena čichání nástroj (dsniff) na infikovaném počítači, zachycovat provoz a odesláním všech zachycených dat na server C & C FTP. Tento malware bylo zjištěno, že ovlivňují nejen směrovače, ale i jiné linuxové embedded zařízení, jako je Dreambox DVB přijímačů.

Obrázek 4 - Flasher, skript který nahradil původní firmware

Obrázek 5 - Flasher, skript spuštěn sniffer a nahrávání dat na FTP server

Cross-platform a multi-platformní malware

Pravda . Malware a botnety tradičně spojené s počítačích se systémem Windows pouze nyní začít používat směrovače a další internetové povolených zařízení pro různé nekalým účelům:

Bylo zjištěno, že virus Sality aby do svého procesu replikace obsahovat SOHO routery, pomocí metody otravy DNS přesměrovat uživatele na infikované soubory. V tomto případě, škodlivý software byl použit systém Windows malware podobný DNSChanger Trojan.
Black Energie 2 botnet také dostal upgrade internetu věcí: začala používat další pluginy, které jsou navrženy tak, aby provoz na bázi Linuxu MIPS a ARM zařízení. Tyto moduly jsou schopny vykonávat DDoS útoky, krádeže hesel, skenování portů v síti a čichání provoz. Jsou komunikaci s C & C servery a jsou schopni vykonávat zadané příkazy shellu a stáhnout a spustit další binárky. Nedávno jsme zveřejnili hloubkovou analýzu Black Energie 2 , kde můžete najít mnohem více informací o něm.
Více zranitelnosti v firmware objeven a využívány

Pravda . Několik kritických chyb ohrožujících Internet-of-Věci zařízení byly objeveny a hlášeny prodejců letos. Jen abychom jmenovali alespoň některé:

Rom-0 zranitelnost v ZyXEL routerů, která umožňuje útočníkovi stáhnout konfigurační soubor routeru bez ověření
CVE-2014-2719 zranitelnost v bezdrátové směrovače ASUS, která umožňuje útočníkovi získat pověření routeru
15 zero-day zranitelnosti v 10 různých modelů SOHO router, odhalil na Defcon 22 let SOHOpelessly Broken soutěž
Náš kolega, David Jacoby, našel zajímavé nulové dní v zařízení , které používá doma.
Musíme také pamatovat, že Heartbleed a Shellshock chyby ovlivňují některé linuxové zařízení v síti a internet-of-Věci zařízení stejně.
Ale co je ještě děsivější než růst zjištěných chyb zabezpečení, je skutečnost, že některé dodavatelé Zdá se, že zavést napevno zadní vrátka firmware ve svých produktech, které poskytují zločinci s jednoduchým způsobem-in, a to zejména na zařízení, které již přijímat žádné aktualizace.

Jak můžeme vidět, bezpečnostní situace síťových zařízení nebylo moc zlepšení, protože 2011. Většina našich předpovědí se stalo skutkem: hrozby jsou na vzestupu a útočníci rozšířit svůj zájem nejen na domácí routery a modemy, ale k celku Internet-of-věcí. I když jak vendos a poskytovatelé internetových služeb se pomalu uvědomil hrozbu, a snaží se, aby jejich zařízení bezpečnější, je stále hodně co dělat. Například, jeden z velmi vážných problémů je, že většina starších zařízení se nedostávají aktualizace firmwaru už, takže v případě, že je nějaký nový způsob útoku objevil, mohou uživatelé dělat doslova nic, chránit se proti němu, pokud se rozhodnete pro nákup (často drahé) novější verze zařízení, která je stále podporován. Tento problém není snadné opravit: pro dodavatele, bylo by to opravdu efektivní z hlediska nákladů na podporu každého z přístrojů, které nabízejí po dlouhou dobu; a bez oprav softwaru, není moc co dělat, aby zajištění těchto zařízení ze strany zákazníka. Časy se změnily, a musíme přijít s novým modelem zabezpečení pro internet věcí, protože starý člověk nepracuje správně už ne.

Pokyny pro zabezpečení vašeho domova
26.11.2014 Bezpečnost

Naše domovy dnes vypadají spíše jako malé kanceláře. Máme spoustu různých zařízení připojených k naší síti, vše od zařízení pro ukládání dat a síťových zařízení pro bezdrátové síťové tiskárny. Celá "domácí zábavy" průmysl je stále připojen: to je velmi obtížné koupit TV, DVD nebo Blu-ray přehrávač, který to nemá WIFI ... totéž platí i pro herní průmysl: všechny nové herní konzole vyžadují připojení k Internetu.

Já rád, že jsme se ucházíte novou technologii staré koncepty, a zlepšení funkce. Já osobně ani své staré retro počítačů připojených k internetu - a mluvíme o starých počítačích, jako Commodore 64, Amiga 500 a Atari - protože mám rád skutečnost, že přidávání nových funkcí starým věcem.

A jak víme, s velkou mocí přichází i velká zodpovědnost. Ale to není něco, co prodejci spotřebního zboží skutečně přijímají a přidává další funkce pro jejich "staré" výrobky. Udělal jsem nějaký výzkum, kde jsem se podíval do zařízení, které byly připojeny k mé domácí síti, a výsledek byl velmi děsivé! Za pár minut jsem byl schopen plně kompromisu některé z mých zařízení, a proměnili je v zombie strojů botnetů, obcházet všechny bezpečnostní a přístup k souborům na úložných zařízeních, která jsem neměl oprávnění pro přístup.

Mnoho lidí stále věří, že tyto útoky jsou náročné a vyžadují někoho sedět na stejné síti jako zařízení, například na své soukromé připojení WIFI, ale je to falešný dojem. K dispozici jsou velmi jednoduché a účinné způsoby, jak ohrozit síť připojených zařízení za vaším osobním firewallem na dálku přes internet.

Můj kolega, Marta Janus, také dělal některé velmi zajímavé výzkum , kde se podíval do (ne) bezpečnosti domácích modemy a routery, a oba jsme přišli ke stejnému závěru. Musíme jednat hned! To není problém, futuristický, tento problém existuje nyní. Počítačoví zločinci se využívají tyto nedostatky hned teď a průmysl se nedělá dost o tom.

To není jen technický problém, který lze vyřešit pomocí náplastí. Spotřebitelé jsou obecně velmi špatné pochopení toho, jak by měly být nainstalovány tyto sítě připojené zařízení. Všechny tyto zařízení mají různé využití, a díky tomu také vyžadují různé konfigurace sítě. Jsme velmi líný, a bez řádného návodu k montáži jsme jednoduché připojení zařízení do naší sítě; a když to bude hotové, považujeme instalace dokončena.

To, co se děje, je to, že sdílejí stejné konfigurace sítě mezi všemi zařízeními. Tato výsledky, například v tom, že TV, Blu-ray přehrávač a síťové úložné zařízení ve stejné síti, jako je notebook, který používáte k tomu on-line bankovnictví, domácí finance, on-line nakupování, a možná dokonce i pracovat.

Mezi prodejci také třeba vzít větší zodpovědnost při přepravě spotřebního zboží. Většina lidí nechápe, že životní cyklus podpora těchto zařízení je jen o šest měsíců; poté, co že tam nebudou žádné další aktualizace ani podpora ze strany dodavatele, protože je třeba podporovat další nadcházející produkty.

Od mluvit s přáteli a rodinou, je jasné, že mají problém, si uvědomil, že je to vlastně hrozba! Lidé stále věří, že je to vždy "někdo jiný", který bude nakazit se škodlivým kódem, nebo kdo bude mít své údaje o kreditní kartě nebo identitu ukradené. Prosím, probudit v reálném světě - to se děje právě tady, právě teď! Některé opravdu dobré příklady těchto typů útoků, jsou:

Zákazníci k jedné z největších poskytovatelů internetových služeb ve Švédsku byly zaslány zranitelné routery ISP, což umožňuje útočníkům vzdáleně ohrozit zařízení i když "bůh-jako" účet s velmi slabé heslo; a všechna zařízení měla stejný účet se stejným heslem.
Velké množství peněz bylo ukradeno ze zákazníků pěti populárních polských bank, po útoku, v němž útočníci změnili nastavení stovek ohrožených SOHO routery za účelem přesměrování uživatele na falešné bankovní internetové stránky.
Malware (Psyb0t) cílené home SOHO routery využívající software slabiny, ale slabá hesla v rozhraní pro správu - otočení zařízení do zombie v botnetu.
Malware (BlackEnergy2) provedena další moduly, které jsou určeny pro provoz na Internet-of-věcí zařízení za účelem provedení DDoS (Distributed Denial of Service) útoky, ukrást hesla a očichat síťový provoz.
Malware (Flasher) nahradil firmware na zranitelné SOHO zařízeních s upraveným systémem obraz, který eavesdrops na síťové aktivity uživatelů.
Vzhledem k výzkumných pracovníků je velmi snadno identifikovat slabá místa zabezpečení, a plamen dodavatele o nich, ale to je trochu náročnější přijít s účinnou závěrem. Společně s Marta, jsme sestavili malý seznam jednoduchých tipů a triků, které byste měli platit, pokud máte v síti připojených zařízení. Je to jen obecné tipy, protože najít jedno řešení, které funguje na více zařízeních, je velmi složité; Všechny výrobky vypadat a cítit se liší a mají různé zvyklosti.

Změna výchozího hesla na zařízení; útočníci se budou snažit využít toho!
Pokud je to možné zkusit aktualizovat firmware na nejnovější verzi!
Pokud nechcete používat síťové připojení na zařízení, vypněte jej! Pokud jej použít, nebo jestli je to nutné, aby přístroj fungoval, ujistěte se, že není vzdálený přístup k rozhraní pro správu zařízení od okolního světa.
Naneste silnou segmentaci sítě pro připojená zařízení
Má přístroj vyžadovat přístup k internetu?
Má zařízení, například TV, vyžadují přístup ke stejné síti jako vašich osobních údajů?
Vypněte nepotřebné funkce. Současné zařízení internetu věcí obvykle realizovat celou řadu různých funkcí, z nichž některé jste možná ani být vědomi. Je dobrým zvykem, po koupi každého nového zařízení, dozvědět se o všech jeho funkcích a zakázat ty, které nejsou určeny k použití. Mají všechny funkce zapnuta zvyšuje potenciální útoku.
Přečtěte si fascinující manuál. Každý přístroj je dodáván s manuálem, který dokumentuje její funkce a nastavení konfigurace. Také, tam je obvykle hodně dodatečné dokumentace k dispozici on-line. Chcete-li, aby váš domov v bezpečí, měli byste se vždy seznámit s každé nové zařízení, které se chystáte začlenit do vaší sítě a učinit všechny doporučené kroky, aby zařízení tak bezpečný, jak je to možné.
Obraťte se na tým podpory na dodavatele, pokud máte otázky. Při nákupu spotřebního zboží, budete platit také za podporu. Použijte jej! Budou nabízet poradenství pro konkrétní zařízení!

zjišťování podezřelých zařízení On-The-Fly
26.11.2014 Bezpečnost
Pokud použijete klasické pravidla kalení (udržet úroveň oprav, použijte AV, povolte bránu firewall a používat je s odbornou péčí), moderní operační systémy jsou stále obtížnější ke kompromisu dnes. Extra nástroje jako Emet by také zvýšit laťku. Na druhé straně, sítě jsou stále více a více obydlený s neznámými / osobní zařízení nebo zařízení, která poskytují více zařízení, jako úložiště (NAS), tiskárny (MFP), VoIP, IP kamera, ...

Být snadno ohrožena, se stali velmi dobrý cíl otáčet do sítě. Běží out-of-the-box, stačí zapojit do sítě / napájecí kabely a jsou připraveni jít! Klasický proces řízení zranitelnost bude detekovat takové zařízení, ale stále máte riziko chybět, pokud se dostanete měsíční test! K zachycení nových zařízení na chodu a mít bezprostřední představu o jejich útoku (příklad: je tam backdoor přítomen), jsem pomocí následujícího panelu nástrojů: Arpwatch, Nmap a OSSEC jako dirigent.

Arpwatch je nástroj pro monitorování ARP provoz na síti. To může odhalit nové adresy MAC nebo změny párování (IP / MAC). Nmap je nejvíce známý port scanner a OSSEC je nástroj pro správu log s mnoha funkcemi, jako je vestavěný HIDS.

První dobrou zprávou je, že Arpwatch položky protokolu jsou zpracovávány ve výchozím nastavení OSSEC. To má velký funkci nazvanou "Active-Response", který umožňuje spuštění akce (čti: spouštět skripty) v konkrétních podmínkách. V našem případě, jen jsem vytvořil konfiguraci aktivní reakce na spustit Nmap kontrolu jakéhokoli nového zařízení hlásí Arpwatch:

conifguration úryvek

Výše uvedená konfigurace určuje, že nmap-scan.sh bude provedena s argumentem "SrcIP" (hlášené Arpwatch) na zástupce "001", kdy pravidlo 7201 nebo 7202 bude odpovídat (když je detekován nový hostitel nebo změna MAC adresy ). Nmap-scan.sh scénář je založen na stávajících skripty aktivní reakce a založí skenování Nmap:

Nmap -SC -O -oG - -Na $ {} PWD /../ log / $ {} IP log $ {IP} | grep Porty: >> $ {} PWD /../ log / gnmap.log

Tento příkaz vypíše zajímavé informace grepable formátu do gnmap.log souboru: otevřené porty (pokud existují), který byl detekován jako šetření, jako v následujícím příkladu. Jedna linka na hostiteli budou generovány:

Host: 192.168.254.65 (foo.bar.be) porty: 22 / open / tcp // ssh ///, 80 / open / tcp ///, 3306 / open / tcp /// ...

OSSEC je skvělý nástroj a může dekódovat tím, že ve výchozím nastavení. Stačí nastavit gnmap.log jako nový zdroj události:

A nové záznamy budou generovány:

2014 27.října 17:54:23 (Šiva) 192.168.254.1 -> / var / ossec / logs / gnmap.log
Pravidlo: 581 (úroveň 8) -> ". Informace o hostitele přidal"
Host: 192.168.254.65 (foo.bar .be), otevřené porty: 22 (TCP) 80 (tcp) 3306 (TCP)

Při použití této techniky, budete okamžitě zjistit nové počítače připojené do sítě (nebo-li IP adresa je spárován s novou MAC adresu) a dostanete seznam služby běží na něm, stejně jako detekovaného operačního systému ( v případě, že snímání otisků prstů, je úspěšný). Šťastný lov!

Chování Američanů ochrany osobních údajů a postoje v post-Snowden éry
23.11.2014 Bezpečnost
Většina Američanů si uvědomuje, a obavy o vládní úsilí sledovat komunikaci a přístup k jejich datům, ale kupodivu, pořád vypadají vládě na ochranu jejich osobních údajů tím, že reguluje využití advertizers "těchto údajů, poslední Pew Research Soukromí průzkumu je znázorněno na obrázku. Většina z nich také nesouhlasí s tím, že on-line služby jsou efektivnější, protože mají přístup k osobním údajům uživatelů. 91 procent pollees (607 dospělých ve věku 18 a starší), se shodují, že spotřebitelé ztratili kontrolu nad tím, jak osobní informace jsou shromažďovány a používány společnostmi, a 88 procent věří, že by bylo velmi obtížné odstranit nepřesné informace o sobě online. Je také zajímavé, že 80 procent uživatelů stránek sociálních sítí jsou znepokojeni inzerenty nebo podniků, přístup k datům, které sdílejí na těchto stránkách, ale stále používat. způsob komunikace, že pollees cítí nejbezpečnější použití jsou pevné telefony (31% cítí "ne moc" nebo "vůbec bezpečné"), následuje mobilní telefony (46%), e-mail (57%), textových zpráv (58%), rychlé zprávy (68%), a konečně, sociální média stránky (81%). "Pokud jde o jejich vlastní roli v řízení osobní údaje, které považujete za citlivé, většina dospělí vyjádřit touhu podniknout další kroky k ochraně svých dat online. Na otázku, zda se cítí, jako by se jejich vlastní úsilí na ochranu soukromí svých osobních informací on-line, jsou dostačující, 61% uvedlo, že má pocit, že "chtěli dělat víc," zatímco 37% uvedlo, že "už udělat dost", "Průzkum ukázal "jen 24% dospělých" souhlasím "nebo" rozhodně souhlasím ". s tvrzením:". Je to pro mě snadné zůstat v anonymitě, když jsem on-line "" Různé typy informací vyvolávají různé úrovně citlivosti mezi Američany, a Výsledky ukazují, že jsou nejvíce obávají o své rodné číslo, údaje o jejich zdraví a léky, které užíváte, obsah jejich telefonních hovorů a e-mailových zpráv budou kompromitována. Na druhém konci spektra je informace o jejich základních nákupní zvyklosti, Média mají rádi, jejich politické a náboženské názory, své přátele.

Chování Američanů soukromí a postoje v post-Snowden éry
21.11.2014 Bezpečnost
Většina Američanů si uvědomuje, a obavy o vládní úsilí sledovat komunikaci a přístup k jejich datům, ale kupodivu, pořád vypadají vládě na ochranu jejich osobních údajů tím, že reguluje využití advertizers "těchto údajů, poslední Pew Research Soukromí průzkumu je znázorněno na obrázku. Většina z nich také nesouhlasí s tím, že on-line služby jsou efektivnější, protože mají přístup k osobním údajům uživatelů. 91 procent pollees (607 dospělých ve věku 18 a starší), se shodují, že spotřebitelé ztratili kontrolu nad tím, jak osobní informace jsou shromažďovány a používány společnostmi, a 88 procent věří, že by bylo velmi obtížné odstranit nepřesné informace o sobě online. Je také zajímavé, že 80 procent uživatelů stránek sociálních sítí jsou znepokojeni inzerenty nebo podniků, přístup k datům, které sdílejí na těchto stránkách, ale stále používat. způsob komunikace, že pollees cítí nejbezpečnější použití jsou pevné telefony (31% cítí "ne moc" nebo "vůbec bezpečné"), následuje mobilní telefony (46%), e-mail (57%), textových zpráv (58%), rychlé zprávy (68%), a konečně, sociální média stránky (81%). "Pokud jde o jejich vlastní roli v řízení osobní údaje, které považujete za citlivé, většina dospělí vyjádřit touhu podniknout další kroky k ochraně svých dat online. Na otázku, zda se cítí, jako by se jejich vlastní úsilí na ochranu soukromí svých osobních informací on-line, jsou dostačující, 61% uvedlo, že má pocit, že "chtěli dělat víc," zatímco 37% uvedlo, že "už udělat dost", "Průzkum ukázal "jen 24% dospělých" souhlasím "nebo" rozhodně souhlasím ". s tvrzením:". Je to pro mě snadné zůstat v anonymitě, když jsem on-line "" Různé typy informací vyvolávají různé úrovně citlivosti mezi Američany, a Výsledky ukazují, že jsou nejvíce obávají o své rodné číslo, údaje o jejich zdraví a léky, které užíváte, obsah jejich telefonních hovorů a e-mailových zpráv budou kompromitována. Na druhém konci spektra je informace o jejich základních nákupní zvyklosti, Média mají rádi, jejich politické a náboženské názory, své přátele.

"Big Data" Needs výlet do bezpečnostní Chiropracter!
21.11.2014 Bezpečnost
Když jemné lidi na Portswigger aktualizovány krkat Suite minulý měsíc 01.06.07 (listopad 3), byl jsem opravdu rád, že NoSQL injekce v seznamu nových funkcí.

Co je NoSQL jste se zeptat? Je-li ředitel s tebou mluvit o "Big data" nebo váš marketing je s tebou mluvit o "zákazníka metriky", pravděpodobně to, co mají na mysli, je aplikace s back-end databáze, který používá NoSQL místo "skutečné" SQL.

Jsem zakopnutí tohoto požadavku tento měsíc v maloobchodních prostor. Mám klienty, kteří chtějí sledovat návštěvu maloobchodní zákazníka k úložišti (sledování jejich mobil je pomocí obchod bezdrátových přístupových bodů), aby se zjistilo:

pokud zákazníci Navštivte obchod úseky, kde se prodej položky jsou?
nebo, pokud zákazníci navštívit oblasti X, se jim statisticky navštívit oblast y dál?
nebo poté, co navštívil výše uvedené oblasti, kolik zákazníků vlastně něco koupit?
nebo poté, co viděl nákup, kolik "funkce" prodej nákupy jsou čisté nové zákazníky (nebo opakovat zákazníků)
Jinými slovy, s využitím bezdrátového systému pro sledování pohybu zákazníka, pak korelaci zpět k nákupu chování s cílem určit, jak efektivní každá funkce může být prodej.

Takže to, co databáze se lidé používají pro aplikace, jako je tento? Předním místě v závodě NoSQL v těchto dnech patří MongoDB a CouchDB. Obě databáze ještě zajímavěji s velkými objemy dat. Nicméně, zatímco oba dělají obrovské pokroky v oblasti zabezpečení databáze aplikace, jejich aktuální verze oba stále potřebují trochu TLC v bezpečnostním prostoru - a samozřejmě nikdo odstraní staré instance, takže původní, originální problémy jsou stále tam všechno.

Naštěstí obě databáze mají dobrou (a relativně poctivé!) Bezpečnostní dokumentace, a to jak z nich explicitně volat tuto situaci ven.

MongoDB uvádí to pěkně na http://docs.mongodb.org/manual/administration/security-checklist/:

"Ujistěte se, že MongoDB běží v důvěryhodném prostředí sítě a omezit rozhraní, na kterém instance MongoDB pro příchozí spojení. Povolit pouze důvěryhodným klientům přístup k síťové rozhraní a porty, na kterých jsou k dispozici instance MongoDB."

CouchDB má podobné prohlášení na http://guide.couchdb.org/draft/security.html "

"Mělo by být zřejmé, že uvedení výchozí instalaci do volné přírody je dobrodružná"

Takže, kam vidím lidi nasazení těchto databází? Proč na veřejných cloudů , že je místo, kde! Protože to, co lepší místo, aby databázi, která má všechny druhy zákaznických dat, než u svých IPS a dalších bezpečnostních kontrol?

A co se stane poté, co postavit svůj téměř bez databázi a analýzu tohoto souboru údajů se děje? Ve většině případů, marketingové lidé, kteří používají to prostě opustit ji ve spuštěném stavu. Co by mohlo jít na tom špatného? Zvlášť v případě, že nikomu v obou IT nebo skupiny zabezpečení říci, že tato databáze ještě existuje?

Vzhledem k tomu, že máme stovky nových způsobů, jak sbírat data, která jsme nikdy měli přístup k dříve, je to docela zřejmé, že v případě "velkých dat" infrastruktury, jako jsou tyto nejsou součástí našich současných plánů, je pravděpodobnost, že by měla být. Jediné, co chci, je, že lidé dělat hodnocení rizik tha, že by, pokud je tento server se děje v jejich vlastním datovém centru. Zeptejte se na některé otázky, jako jsou:

Jaká data budou na tomto serveru?
Kdo je formální správcem těchto údajů?
Se údaje zahrnuty do regulačního rámce, jako je HIPAA nebo PCI? Musíme hostovat uvnitř určené oblasti nebo VLAN?
Co se stane, pokud tento server je ohrožena? Budeme muset sdělit nikomu?
Kdo vlastní provoz serveru?
Kdo je odpovědný za zabezpečení serveru?
Má serveru mají předem stanovenou životnost? Měla by být odstraněny po nějakém místě?
Je developer, nebo marketingový tým, který se dívá na datovém souboru pochopit své regulační požadavky? Myslíte, že pochopili, že čísla kreditních karet a údaje o pacientech jsou pravděpodobně špatné kandidáty pro off-prem / ležérní léčby, jako je tento (nádechem - NE ŽE DO NOT).
Smartmeter aplikace jsou další "velká data" věc, kterou jsem se setkal v poslední době. Kterým se na to end-to-end - sběr dat ze stovek tisíc embedded zařízení, které mohou nebo nemusí být zajištěná, přes veřejnou síť musí být uložena v databázi insecurable ve veřejném cloudu. Jo, a shromážděná data naráží na minimálně 2 regulačních rámců - PCI a NERC / FERC, případně i právní předpisy o ochraně osobních údajů v závislosti na zemi. Au!

Zpět na nástroje pro hodnocení těchto databází - krkat není vaše jediná volba slouží ke snímání NoSQL databázové servery - ve skutečnosti, krkat se více zabývá web front-end k NoSQL sám. NoSQLMAP (http://www.nosqlmap.net/) je dalším nástrojem, který je vidět spoustu trakce, a samozřejmě standardní "obvyklé podezřelé" Seznam nástrojů mají NoSQL skripty, součásti a pluginy - Nessus má pěknou sadu souladu kontroluje samotné databáze, NMAP má skripty jak pro CouchDB, mongodbb a detekce Hadoop, stejně jako těžba databázových informací specifické. OWASP má dobrou stránku na NoSQL injekce na https://www.owasp.org/index.php/Testing_for_NoSQL_injection, a také vyzkoušet http://opensecurity.in/nosql-exploitation-framework/.

Shodan je také příjemné místo, kde hledat v hodnocení během průzkumné fáze (například, podívejte se na http://www.shodanhq.com/search?q=MongoDB+Server+Information)

Už jste použili jiný nástroj pro posouzení a NoSQL databáze? Nebo jste se - řekněme "zajímavý" rozhovor kolem zabezpečení dat v takové databázi s vaším řízení a marketingové skupiny? Prosím, přidejte do příběhu v našem komentáře formě!

Líbí se vedoucí pracovníci hodnota informační bezpečnosti?
20.11.2014 Bezpečnost
Informační bezpečnost je nízko na seznamu rizik podnikání, v souladu s NTT Com bezpečnosti. Zpráva vychází z průzkumu mezi 800 senior business s rozhodovací pravomocí (ne v IT roli), v Austrálii, Francii, Německu, Hong Kongu, Norsku, Švédsku, Velké Británii a USA, je navržen tak, aby určit míru rizika ve velkých organizacích a hodnoty, které vedoucí pracovníci uvádějí na zabezpečení dat a informací.

Zatímco téměř dvě třetiny (63%) respondentů očekává, že trpí kvůli narušení bezpečnosti v určitém okamžiku, méně než jeden z deseti (9%), viz "špatné zabezpečení dat" jako největší riziko pro jejich podnikání. Respondenti jsou s největší pravděpodobností vidět rizika pocházející z konkurentů při podílu na trhu, nedostatek dovedností zaměstnanců a snižování zisků. Vedoucí pracovníci si také neuvědomují, poškození dlouhodobé - a to jak z hlediska času a peněz - to porušení bezpečnosti může mít na jejich obchod. Více než polovina (59%) souhlasí s tím, že by minimální dlouhodobé škody, i když významná zpráva číslo, které jejich organizace by utrpěl poškození pověsti (60%) a ztrátu důvěry zákazníků (56%), pokud byl odcizen dat. Pokud jde o finanční dopad narušení bezpečnosti, respondenti odhadují, že jejich příjmy klesnou v průměru o 8%. Nicméně, 17% očekává, že bude mít vůbec žádný dopad na příjmy, zatímco čtvrtina (25%) přiznávají, že nevědí, co finanční důsledky bude. "Zde se jedná o tom, zda vedoucí činitelé obchodní rozhodnutí rozpoznat rizika pro jejich organizaci , jakož i pochopit hodnotu dobré zabezpečení dat. Zdá se, že znepokojující úroveň lhostejnosti, "říká Garry Sidaway, Senior Vice President bezpečnostní strategie a aliance, NTT Com bezpečnosti. "Když jsme se ptali respondentů, co si spojujeme s bezpečností termín dat, jen napůl věří, že to je" životně důležité "pro podnikání, méně než polovina vidí to jako" dobré praxe ", a méně než čtvrtina vidí to jako" obchodní Enabler ". Většina bohužel stále spojuje zabezpečení se ochrany osobních údajů a soukromí.

"Zpráva také naznačuje, že stále existuje rozpor mezi náklady na narušení dat a významu organizace místo na IT bezpečnost řídit tyto náklady dolů. S bezpečnostní incidenty dělat titulky denně, a náklady na rostoucí za závažné porušení - až do výše $ 1,8 m (1,4 m euro) v průměru velké organizaci - bezpečnostní incident může mít dalekosáhlé důsledky, z poškození pověsti a ceny akcií společnosti k jeho schopnost přilákat ty nejlepší talenty. " politiky dat v podniku

V průměru utratí 10% IT rozpočtu organizace na bezpečnost dat / informací, i když 16% respondentů neví, částky vynaložené.
Přibližně polovina (49%), zabezpečení ohledem údaje jako "drahé" a 18% vidí jako "rušivý".
Více než polovina (57%) mají formální zabezpečení dat politiku v místě, ale méně než polovina (47%) mají obchodní nebo Plánu obnovy po havárii na místě v případě porušení.
Zabezpečení dat
Méně než polovina (44%) uvádí, že všechny jejich kritických dat je "naprosto bezpečné".
55% respondentů uvádí, že údaje (spotřebitel) zákazník je životně důležité pro úspěch jejich podnikání, ale pouze 38% uvádí, že všechny údaje o zákaznících je "zcela bezpečné".
45% uvádí, že údaje výkonnost podniku je velmi důležité pro jejich podnikání, ale pouze 31% se přiznat, že všechny tyto údaje, je "naprosto bezpečné".
Dopad narušení bezpečnosti dat
Přibližně tři čtvrtiny (72%) tvrdí, že je důležité, jejich organizace je pojištěna pro případ porušení bezpečnosti.
Méně než polovina (48%) tvrdí, že jejich společnost pojištění kryje jak ztráty dat a narušení bezpečnosti.
Čtvrtina neví, co jsou pojištěni v případě porušení bezpečnosti dat.
Osobní znalost a chování
Méně než polovina (41%), které nejsou udržovány v aktuálním bezpečnostním IT tým o datových útoků a potenciálních hrozeb.
28% spolehnout na svůj vlastní úsudek o tom, co je "bezpečné chování" při použití / přístup k datům souvisejících s prací, ale pětina (21%), státní bezpečnosti dat je společnou odpovědností mezi nimi a IT týmu.

IAB vyzývá designérům šifrování Výchozí
18.11.2014 Bezpečnost

Internet Architecture Board, orgán odpovědný za dohled nad strukturu mnoha klíčových norem internetu je, doporučil, že šifrování je výchozí možnost provozu pro protokoly. Doporučení přichází po více než 18 měsících odhaleními o všudypřítomné dozorových činností on-line zpravodajských agentur.

IAB je součástí Internet Engineering Task Force, těla, které stanovuje technické normy pro globální síti. Je zodpovědný za dohled nad architekturu procesu IETF a rada ve svém prohlášení, že je zřejmé, že možnosti útočníků vzrostl dramaticky v posledním desetiletí a půl, takže všudypřítomné Šifrování nutnost.

"IAB nyní domnívá, že je důležité pro projektanty protokolu, vývojáři a provozovateli, aby Šifrování normu pro internetový provoz," prohlášení říká. " Doporučujeme, aby šifrování být rozmístěny po celém zásobníku protokolu, protože tam není jediné místo v zásobníku, kde všechny druhy komunikace mohou být chráněna.

"IAB vyzývá designéry protokolu k návrhu na důvěrné provozu ve výchozím nastavení. Důrazně doporučujeme vývojářům zahrnout šifrování v jejich realizaci, a tak, aby byly zašifrovány ve výchozím nastavení. Podobně vyzývaly operátory sítí a služeb nasadit šifrování, kde ještě není v terénu, a naléhavě žádáme správce zásad brány firewall povolit šifrovaný provoz. "

Prohlášení IAB je přímou reakcí na události z posledních dvou let a zjevení od Edward Snowden masivního dohledu NSA na internetu. Internetové společnosti a dodavatelů technologií reagovali na odhalení NSA zvýšením jejich použití šifrování, zejména pokud jde o spojení mezi datovými centry. Ale Internet sám o sobě nebyl navržen s ohledem na bezpečnost. Spíše, otevřenost a interoperabilita jsou hlavní cíle návrhářů sítě.

IAB se domnívá, že všudypřítomná šifrování může pomoci řešit nedostatky původního návrhu a chrání uživatele před útočníky a dohledu.

"Věříme, že každý z těchto změn pomůže obnovit uživatelé důvěry musí být na internetu. Jsme si vědomi, že to bude nějakou dobu trvat a problémy, ale věříme, že nedávné úspěchy v doručování obsahu sítě, zprávy a nasazení aplikace Internet demonstrovat proveditelnost této migrace. Také jsme si vědomi, že mnoho síťových operací činností dnes, od řízení provozu a detekce narušení prevence nevyžádané pošty a prosazování politiky, předpokládá, přístup k formě prostého textu náklad. Pro mnohé z těchto činností nejsou k dispozici žádné řešení zatím, ale IAB bude pracovat s postiženým na podporu rozvoje nových postupů pro tyto činnosti, které nám umožní přejít na Internetu, kde je provoz důvěrné implicitně, "říká IAB prohlášení.

- See more at: http://threatpost.com/iab-urges-designers-to-make-encryption-the-default/109404#sthash.I0UMR0PV.dpuf

Lidé budou dělat něco pro Wi-Fi zdarma
9.10.2014 Bezpečnost
Nový Wi-Fi šetření provedeného v ulicích Londýna ukazuje, že spotřebitelé bezstarostně používat veřejné Wi-Fi připojení k internetu bez ohledu na jejich osobní soukromí. V experimentu, který zahrnoval vytvoření "otrávené" Wi-Fi hotspot, nic netušící uživatelé vystaveni svých internetových provozu, jejich osobní údaje, obsah jejich e-mail, a dokonce souhlasil, že pobuřující doložku zavazující, aby se vzdali svého prvorozeného dítěte výměnou za bezplatné Wi-Fi připojení k internetu. The nezávislé vyšetřování, podporou Europolu, byla provedena na účet F -Secure podle britského Cyber ​​Security Research Institute a SySS, německé Penetrační testování společnosti. Pro ​​cvičení SySS postavil přenosný Wi-Fi přístupový bod ze součástek za méně kolem 200 eur a které vyžadují trochu technické know-how. Vědci nastavit, aby přístroj do významných obchodních a politických okresů v Londýně. Oni pak se díval, jak lidé spojené, nevědomý jejich internetové aktivity byl špehuje. Ve třicet minut, 250 zařízení připojeno k hotspotu, většina z nich zřejmě automaticky, bez jejich majitel by si to uvědomovali. 33 lidé aktivně poslal internetový provoz provedením vyhledávání na webu a odesílání dat a e-mail. 32 MB dopravy byl zajat (a ihned zničena v zájmu ochrany soukromí spotřebitelů). V překvapivém zjištění, že podtrhuje nutnost šifrování, vědci zjistili, že text e-maily odeslané přes POP3 síti mohl číst, jak mohl adresy odesílatele a příjemce, a dokonce i hesla odesílatele. Za krátkou dobu, vědci představil Všeobecné obchodní podmínky (VOP) stránky, které musely být přijaty za účelem využití hotspotu. T & C zahrnoval bizarní ustanovení, která povinen uživateli, aby se vzdal svého prvorozeného dítěte nebo nejmilovanější zvířátko výměnou za bezplatné Wi-Fi připojení k internetu. Celkem šest lidí souhlasila s T & C před tím, než strana byla zakázána. Klauzule ilustrovaný nedostatek pozornosti lidí obvykle zaplatit T & C stránek, které jsou často příliš dlouho číst a těžko pochopitelné. "Všichni jsme rádi využívat bezplatné Wi-Fi připojení na internet, jak ušetřit na údaje nebo za roaming," říká Sean Sullivan, bezpečnost poradce F-Secure, který se podílel na experimentu. "Ale jako naše cvičení se ukáže, že je to příliš snadné pro každého, kdo nastavit hotspot, dát věrohodnou vypadající název a špehovat na internetové aktivity uživatelů." Pokud jde o hotspotů poskytovaných důvěryhodného zdroje, a to i ty, že jo 't bezpečné, říká. I v případě, že nejsou na starosti hotspot, mohou zločinci stále používat "cvičené" nástroje pro slídění na to, co dělají ostatní. "Problematika Wi-Fi zabezpečení je, že jsme v Evropské kyberkriminalitě Centre (EC3) při Europolu jsou velmi znepokojeni, "říká Troels Oerting, vedoucí EC3 Europolu. "Jsme upřímně podporovat činnosti, které posvítit na této každodenní rizika spotřebitelé čelit." řešení? Buď drž se dál od veřejné Wi-Fi - nebo použít Wi-Fi zabezpečení. S Wi-Fi zabezpečení připojení je neviditelný v síti Wi-Fi a vaše data z nečitelný šifrováním. Takže i když se někdo snaží, nemohou proniknout do vašich dat.

Správa Bezpečnostní politika hybridních cloudových prostředí
9.10.2014 Bezpečnost
Nový průzkum AlgoSec zjistil, že 79 procent organizací potřebují lepší viditelnost za účelem sjednotit správu bezpečnostní politiky v rámci svého on-premise a prostředí veřejného cloudu

Provedla v srpnu 2014 průzkum dotázaných 363 informační bezpečnosti a provozu sítě odborníků, datová centra Architekti, vlastníky aplikací a šéfové IT po celém světě. 239 respondentů (66 procent) uvedlo, že v současné době zavádění nebo plánujete nasazení podnikových aplikací na platformě IaaS během příštích 12 až 36 měsíc. následující klíčové závěry jsou založeny na těchto 239 respondentů, a zahrnují: Viditelnost je zakryta mraky - 79 procent respondentů souhlasilo nebo silně souhlasí, že je třeba lepší viditelnost napříč on-premise datových center a veřejných cloudů. . Dvě třetiny (66 procent) respondentů souhlasilo nebo silně se shodli, že je obtížné rozšířit firemní bezpečnostní politiky sítě do veřejného cloudu Nedostatek procesů brání řízení cloud a soulad - 59 procent respondentů konstatoval nedostatek provozních pracovních postupů pro správu zabezpečení sítě v hybridním prostředí. Prokazování shody na IaaS srovnání s on-premise datových center byla dalším velkým problémem, se 49 procent dotázaných tvrdí, těžko. různorodých výběr bezpečnostních kontrol používaných v rámci IaaS - Pouze třetina respondentů (33 procent) využívají obchodní sítě firewall pro ochranu přístupu jejich dat v cloudu. 25 procent respondentů pomocí ovládacích prvků pro zprostředkovatele, jako je Amazon bezpečnostní skupiny a 10 procent používá Hostitelské brány firewall. Firmy jsou ve tmě o bezpečnostních kontrol v cloudu - Je znepokojující, že třetina firem, které plánují nasazení podnikových aplikací v cloudu . během příštích 12-24 měsíce nevím, jaké nástroje budou využívat ke správě svých politik zabezpečení sítě v oblaku dat a zabezpečení sítě jsou nejvíce náročné funkce, které se stěhují do veřejných cloudů - Zabezpečení sítě je druhý nejvíce komplexní funkce pro migraci . se veřejného cloudu (po bezpečnosti dat), a nejsložitější pro malé a středně velké organizace, Odpovědnost za cloud bezpečnosti je roztříštěný - na malé a středně velké firmy, zabezpečení pro podnikové aplikace běžící na veřejných cloudů je řešena převážně IT Operations ( 70 procent). V budoucnu, firmy plánují přejít tuto odpovědnost se k informační bezpečnosti. U velkých podniků, odpovědnost je a zůstane v rukou informační bezpečnost (72 procent).

CloudFlare nabízí bezplatné šifrování SSL
8.10.2014 Bezpečnost
Web výkon a bezpečnost společnost CloudFlare dnes uvedla na trh univerzální SSL, což Secure Socket Layer (SSL) k dispozici pro každého, bez nákladů. "Včera tam bylo asi 2 miliony lokalit SSL aktivní on-line," vysvětluje Matthew Prince, spoluzakladatel a generální ředitel z CloudFlare. "Na konci dne se dnes CloudFlare budou válí zdarma SSL jiný 2000000 - téměř zdvojnásobení velikosti šifrované webu." SSL je kritický kryptografické technologie, která zajišťuje na webu. Protokol udržuje provoz ze sledování nebo změnit vlády, poskytovatelé internetových služeb, či hackery. SSL je základem důvěry on-line, k názoru, že Google nedávno oznámil, že šifrované stránky zařadí vyšší ve výsledcích vyhledávání, než ty, které nepoužívají šifrování. Next Generation webové protokoly jako SPDY a HTTP / 2 vyžaduje SSL. Bohužel, náklady a složitost SSL je to znamenalo, že předtím, než dnes méně než 0,4 procenta z webových stránek byly šifrovány. Nastavení a konfigurace SSL je tradičně obtížné pro správce webů, které vyžadují více kroků: jít na certifikační úřad (CÚ) k ověření identity stránek , nákup zbytečně drahé certifikát, instalaci certifikátu na serveru a neustálou údržbu, aby zůstali před zranitelností. CloudFlare Universal SSL umožňuje stránky nastavit state-of-the art šifrování bez složitosti a nákladů. "Nechtěli jsme jen povolit základní SSL zdarma, jsme umožnili nejmodernější šifrování a dělal to jednoduché a zdarma pro každého," řekl Nick Sullivan, Security Engineering Lead na CloudFlare. "Kryptografické systémy Jedeme jako součást univerzální SSL jsou o generaci napřed, co se používá i na největších internetových gigantů. Tyto certifikáty používají eliptická křivka digitálního podpisu algoritmus (ecdsa) klíče a zajišťuje všechny spoje s CloudFlare stránek mají Perfect Forward Secrecy, a jsou podepsány ecdsa a vysoce bezpečné funkce SHA-256 hash. To je úroveň kryptografických bezpečnostních většina webových správců doslova nemohl koupit. " CloudFlare podporuje SSL, bez dodatečných nákladů na všechny své placené plány protože společnost zahájila před čtyřmi lety. Univerzální SSL rozšiřuje kryptografické ochrany dokonce CloudFlare nejmenších zákazníků. Chcete-li povolit univerzální SSL, stránky musí pouze zaregistrovat CloudFlare je bezplatnou službu - proces, který trvá asi pět minut a nevyžaduje žádné technické znalosti nebo změny webový server na příslušné stránce. CloudFlare automaticky problémy a nasadí certifikát Univerzální SSL do 24 hodin. Jakmile nasazených, šifrované spojení, stejně jako moderních webových protokolů jako SPDY, jsou automaticky podporovány každého moderního webovém prohlížeči. "Význam Univerzální SSL není jen ochrana těchto 2000000 místech, ale skutečnost, že se pohybuje Internet jeden krok blíže k šifrovaným-by-default standardem, "vysvětluje Matthew Prince. "Zatímco malé stránky mohou myslet, že nepotřebují SSL, každá šifrované byte vyměnili on-line dělá to více obtížný pro organizace, které se zaměřují na plyn, cenzor, nebo jinak omezit na internetu. Jsme doufali, že teď, když jsme ukázali, že je to možné na naší úrovni, budou další organizace sledovat a dělat SSL bez nákladů výchozí pro všechny své zákazníky. " U webů, které vyžadují pokročilejší konfigurace SSL, CloudFlare podporuje také vlastní certifikáty z libovolného certifikační autority, plně end-to-end SSL s robustní kontrola certifikátu a klíče SSL - oznámil na začátku tohoto měsíce - což umožňuje weby používají CloudFlare, aniž by se péče o jejich privátních klíčů.

Zmatek nad bitovými klíči SSL a 1024
7.10.2014 Bezpečnost
Včera a dnes, příspěvek reddit.org způsobil trochu nejistoty ohledně bezpečnosti 1024 bit RSA klíčů, pokud jsou použity s OpenSSL. Minulost odkázal na prezentaci dané na kryptografické konferenci s tím, že 1024 bitové SSL klíče mohou být zapracovány s mírnými prostředky ("20 minut na notebook"). To bylo navrhl, že to je alespoň z části kvůli chybě v OpenSSL, které se podle příspěvku nepodá náhodné klíče z celého dostupného prostoru.

Vypadá to spíš jako tvrzeními v prezentaci nejsou pravdivé, nebo alespoň ne tak široká šířit podle.

Nicméně, to neznamená, že byste se měli vrátit k používání 1024 bitové klíče. 1024 bitové klíče jsou považovány za slabé, a odhaduje se, že 1024 klíče budou rozděleny snadno v blízké budoucnosti vzhledem k pokroku v oblasti výpočetní techniky, a to i pokud je nalezen žádný Výraznou slabinou algoritmu RSA a jeho provedení. NIST doporučují postupné ukončení 1024 bitové klíče na konci loňského roku.

Tak co byste měli dělat?

- Stop vytváření nových 1024 bitové RSA klíče. Prohlížeče začne považovat za neplatné, a mnoho dalších softwarových komponent tak již činí, nebo budou brzy následovat vedení prohlížeče (nemyslím si, že by hlavní CA podepíše 1024 bitové klíče v tomto okamžiku)
- zásoby stávajících 1024 bitové klíče, které máte, a zvažte jejich výměnu.

Tam mohou být některé odpůrce. Vestavěné systémy (opět) někdy nelze vytvořit klíče větší než 1024 bitů. V tomto případě je třeba se podívat do jiných ovládacích prvků.

S cryptograph obecně použít největší velikost klíče si můžete dovolit, SSL, jsou možnosti pro RSA klíče jsou typicky 2048 a 4096 bitů. Pokud je to možné, má s 4096 bitů.

[1] https://www.reddit.com/r/crypto/
comments/2i9qke/openssl_bug_allows_rsa_1024_key_factorization_in/

Testování na otevřené porty s Firewalk technikou
6.10.2014 Bezpečnost
Zajímavý je způsob, jak zjistit, jaké filtry jsou umístěny v bráně konkrétního hostitele. To je nazýváno Firewalk a je založen na IP TTL uplynutí. Algoritmus je následující:

Celá trasa je stanovena pomocí některého z traceroute dostupných technik
Paket je odeslán s TTL rovna vzdálenosti k cíli
V případě, že paketová časový limit, je zlé s TTL, která se rovná vzdálenosti na jedno cílové minus.
Je-li přijato ICMP typ 11 kód 0 (Time-to-Live, překročení), byl paket předán a tak se port není blokován.
Není-li přijata žádná odpověď, port je blokován na bránu.
Pojďme vidět se skutečným příkladem. Zvažte následující diagramu sítě:

Firewalking děje podle následujících kroků:

Traceroute pakety jsou odesílány určit bránu s sestupně TTL:

2. ICMP překročení času zpráva byla doručena od výchozí brány TTL = 2 a TTL = 1 balení, což znamená, že tam jsou dvě brány mezi zemí původu a určení a TTL = 3 je vzdálenost k cíli

3. Několik pakety jsou vysílány s TTL = 3 do cíle různé cílový port. Pořadí je následující: První paket je odeslán s TTL = 3. Pokud dojde k vypršení časového limitu, druhý je odeslán paket s TTL = 1. Je-li typ ICMP 11 kód 0 (Time-to-live překročení) je přijat, brána je předání paketu.

Pojďme viz první paket na port 1 a TTL = 3?:

Timeout dojde, tak stejné je odeslán paket s TTL = 2:

ICMP typ 11 Kód 0 je odeslán z brány směrování cílové hostitele, což znamená, že paket byl předán a port je otevřen:

Jak můžeme použít tuto techniku? Nmap má Firewalk skript, který může být použit. V tomto příkladu je následující příkaz by měl být vydán:

nmap --script = Firewalk --traceroute 172.16.2.165

OPSEC pro výzkumné pracovníky bezpečnostních
4.10.2014 Bezpečnost

Jako bezpečnostní výzkumník v dnešní době není snadný úkol, zvláště když jsme se již zabývají čistě technické záležitosti. Dnešní globální bezpečnostní krajina zahrnuje několik nových účastníků, včetně vlády, velkých společností, zločinecké gangy a zpravodajskými službami. To staví výzkumníky v obtížné situaci.

Podle jedné z mnoha definic OPSEC:

"Bezpečnost provozu označuje důležité informace, jak zjistit, zda je možné pozorovat přátelské akce do nepřátelských zpravodajských systémů "

Slyšíme zprávy o výzkumníci vyhrožováno od zločineckých gangů, nebo byl osloven státních zpravodajských služeb. Jiní se ocitli pod dohledem nebo měli své zařízení narušenou na cestách.

OPSec_1

Jak můžeme tato rizika minimalizovat? Co můžeme udělat, aby nedošlo k úniku informací, který by nám mohl dát do nepříjemné situace v budoucnu?

Někdy jsme veřejné tváře výzkumného projektu, ale jindy nechceme být na dobře viditelném místě.

Zlaté pravidlo v provozní bezpečnosti používá ticho jako obranný disciplíny. Pokud nemáte opravdu potřeba něco říct, ale potichu. Když potřebujete komunikovat s někým, to bezpečným způsobem, který neohrožuje obsah vaší zprávy, a pokud je to možné, nevytváří metadata kolem něj.

Je to neuvěřitelně těžké cíl dosáhnout: je to přirozený instinkt chtít zapůsobit na jiné a na mnoha příležitostech budeme čelit protivníkům, kteří jsou dobře vyškoleni pro získání informací, které chcete. Všichni jsme chtěli říct, zajímavé příběhy.

Druhé zlaté pravidlo je, že OPSEC nefunguje zpětně, a tak bychom měli velmi opatrní na to, co děláme teď, pokud nechceme, aby se vrátil a kousat nás v budoucnosti.

Pokud jde o OPSEC, každý bezpečnostní analytik by se měl snažit být jen další chlap v řadě. Pokud budeme přitahovat příliš velkou pozornost na sebe, mohl snadno přerůst dohled nad elektronickými prostředky - a to je v podstatě v průběhu hry. V dnešním světě masivních dohledu, stojící upozorní pozornost každého, kdo má přístup k relevantní data. A v dnešním světě úniku informací a "velkých internetových společností", je těžké přesně vědět, kdo má přístup ke kterým datům:

ukázka dat, které unikly z agregátor a publikoval jako služba

(Příklad dat, které unikly z agregátor a publikoval jako služba)

Tam jsou některé zajímavé příklady, jak byly zjištěny nesrovnalosti z metadat a pak se úspěšně používá při vyšetřování ( http://en.wikipedia.org/wiki/Abu_Omar_case ). A pak je tu rutinní použití tohoto v hromadné sledování a dolování dat.

Tak co s tím můžeme dělat?

První pravidlo, kterým se provádí OPSEC se nelíbí, snažte se dosáhnout víc, než můžete. Faktem je špatné OPSEC může být horší než žádné OPSEC vůbec.

Hlavním rysem potřebné pro efektivní OPSEC není technický, ale psychologická: být pečlivá, a udržovat zdravou úroveň paranoie.

Nicméně elektronický dohled je zřejmě mnohem běžnější a každý kousek informace, bude tam navždy. Pojďme se podívat na naši minimální sadou nástrojů, aby se zabránilo úniku informací a tenký o několik základních tipů.

Šifrování

Zřejmě bychom měli používat co nejvíce šifrování jak je to možné. Ale pamatujte si, že je inherentní slabina. Jakmile bude vaše klíče jsou ohroženy, všechny informace, které byly zašifrovány v minulosti ohrožena s nimi. Jak plyne čas, bude pravděpodobnost, že klíče budou kompromitována růst. Takže je mnohem lepší použít IM s OTP.

Dnešní velká otázka: co se děje s TrueCrypt, nejpopulárnější šifrovacího softwaru?

Podle projektu Audit, není zřejmé, vada nebo backdoor. Ale před pár měsíci jsme viděli, toto:

OPSec_3

Stále existuje mnoho otevřených otázek, ale můžete najít důvěryhodné TrueCrypt úložiště na: https://github.com/AuditProject/truecrypt-ověřené-zrcadlo

E-mail

E-mail jednoduše ponechává příliš mnoho metadat, a to i když je zpráva šifrována pomocí PGP (mimochodem, pomocí tlačítek větší než 2048). IM s OTP je lepší.

Externí poskytovatelé se nedá věřit.

IM

Pidgin a Adium se zdají být v pořádku. Ale pamatujte si, aby přihlásit své chaty a nemají výhled na netechnické faktor: nevíte, kdo je na druhé straně rozhovoru (i když jste ověřili klíč).

TOR

Já bych určitě doporučil použití anonymizační síť setřást většinu skupin, které tě mohl sledovat. Však nelze považovat za skutečně "bezpečné" v tom smyslu, že většina z výstupních uzlů jsou řízené lidmi, které mohou korelují své záznamy se zdrojem připojení. Viděli jsme příklad tohoto v Harvard bomby:

http://www.theverge.com/2013/12/18/5224130/fbi-agenti-pásové-Harvard-bomba-ohrožení-přes-tor

Také TOR je terčem mnoha pokusech útoku, jako je tento nedávný jedno:

OPSec_4

Tak už slepě věřit TOR na cokoliv velmi citlivé, ale používají ji pro své každodenní činnosti. Nikdy odhalit svou skutečnou IP adresu.

Telefon

Celkem noční můra, pokud jde o OPSEC. Prosté doporučení, je zbavit se toho! Ale to se nestane.

Alespoň nedělej nic citlivé s tím, použijte hořáku telefony a nepoužívám je doma nebo v práci.

Závěry

Perfektní OPSEC je téměř nemožné. Nicméně provádění základních OPSEC postupů by se měla stát druhou přirozeností každého výzkumného pracovníka. Jakmile se internalizovat, že je třeba aplikovat OPSEC budete dávat větší pozor, a doufejme, že vyhnout se bažanta chyby jako mluvit příliš mnoho, a chlubí svém výzkumu.

Nejdůležitější věci, za jakéhokoliv nástroje, jsou pečlivé, použití správné úrovně OPSEC podle vaší situace a pochopení toho, co můžete skutečně doufat.

To je jen stručný úvod do složité téma, ale doufáme, že by to mohlo být užitečné oko-otvírák, zvláště pro naše kolegy bezpečnostních výzkumníků.

Praktiky rady týkající se IT dohled a kybernetické bezpečnosti
2.10.2014 Bezpečnost
Větší zapojení ředitel v sociálních médiích dohled, obavy z ministerstva pro vnitřní bezpečnost / NIST kybernetické rámců a zvýšené využívání IT konzultanti patří mezi trendy formují veřejné správy a správní rada do budoucna, podle PwC. Ředitelé také na vědomí, že velkých objemů dat a cloud technologie jsou dvě oblasti, které mohou vyžadovat více pozornosti desky. A většina ředitelů nebyly projednány plán reakce na krizové situace nebo kybernetické pojištění své společnosti. Kromě toho, ženy ředitelé obecně chtějí trávit více času na to vydává, než to mužské ředitele. V létě roku 2014, 863 veřejných ředitelé společnosti reagoval na výroční Corporate Directors průzkumu PwC 2014. Z nich 70% slouží na radách společností s více než 1 miliardu dolarů v ročních příjmů. "strukturovaná jsme letošní průzkum, aby zjistily, ředitel sentiment na klíčových trendů, jakož i další faktory, které formují veřejné správy a správní rada do budoucna," řekla Mary Ann Cloyd, vedoucí k centru PwC pro správní radě. . ". Během několika posledních let jsme viděli významné změny se nalodit na postupy týkající se IT dohledu a kybernetická bezpečnost Stále více se uznává, že je to obchodní záležitost, a to nejen otázka technologie" PwC zdůrazňuje režisér pocity týkající se těchto konkrétních trendů: Čtyřicet jedna procent ředitelů tvrdí, že jsou nyní alespoň mírně zabývá dohledu monitorování společnosti a sociální média pro nepříznivou publicitu - ve srovnání s 31% v roce 2012 došlo k nárůstu 11 procentního bodu na režiséry, kteří se alespoň trochu zabývá dohlížet na školení zaměstnanců a politiky sociální média. Podobně, téměř polovina ředitelů jsou nyní alespoň trochu zabývá dohlížet využití zaměstnanců mobilních technologií - dvakrát více než před dvěma lety. Čtyřicet dva procent ředitelů jsou alespoň trochu znepokojen dopadem nového ministerstva pro vnitřní bezpečnost / NIST kybernetické rámec, ale mnoho ředitelů ještě nemusí být vědomi protokoly nebo jejich potenciálního dopadu. Ředitelé na vědomí, že velké datové a cloud technologie jsou dvě oblasti, které by mohly použít více jejich pozornost, s více než čtvrtina říká, že nejsou dostatečně zapojeni. Pouze 53% ředitelů říkají, že strategii své společnosti a IT Risk zmírnění "alespoň mírně" si dostatečný náskok velkých dat. Téměř polovina ředitelů nebyly projednány svůj plán krizové reakce společnosti v případě narušení bezpečnosti a více než dvě -thirds nebyly projednány kybernetické pojištění své společnosti. Bylo pozoruhodné rok-přes-rok zlepšení názory ředitelů o IT strategie své firmy a IT Risk zmírnění. Čtyřicet pět procent nyní věří, přiblížení velmi přispívá jejich společnosti, aby, a je v souladu s, nastavení celkové strategie společnosti, zatímco 26% ředitelů velmi věří, že poskytuje deska s odpovídající informace účinný dohled (ve srovnání s 37% a 22% , respektive v roce 2013). větší procento (66%) se také domnívá, přístup jejich společnost je podporován dostatečným porozuměním IT na úrovni rady (ve srovnání s 64% v roce 2013). Dámské režiséři jsou více skeptičtí, zda je strategie jejich společnosti a IT Risk zmírnění je podporován dostatečným porozuměním IT na úrovni desky (pouze 13% uvádí, že "moc" ve srovnání s 22% mužů ředitelů). Dámské ředitelé jsou také skeptičtí, zda je přístup jejich společnost poskytuje desku dostatečné informace pro účinný dohled (15% uvádí, že "moc" ve srovnání s 28% mužů ředitelů). Využití externích IT poradců na pomoc desek je na vzestupu , s 38% ředitelů nyní říkají, jejich desky použít externí IT konzultanty - ve srovnání s 26% v roce 2012.

Problémy Coursera soukromí vystaven
16.9.2014 Bezpečnost
Když byl známý právník a Stanford právo přednáší Jonathan Mayer pozván, aby vyučoval kurz na státní dozor na Coursera, populární on-line webové stránky nabízející zdarma online kurzy vysokoškolské úrovni, byl nadšený. Ale být také počítačový vědec, on dělal ne odolat analýzu a šťourat platformu, která umožňuje učitelům učit a studenti předmětu v období odběrateli učit se, a zjistil, některé problémy, které mohou být zneužity k ohrožení soukromí studentů, a to na:

Udělejte si kompletní seznam všech studentů (jména a e-mailové adresy),
Sdělovat informace o kurzech, které podnikají na náhodné webové stránky a
Zrušení ochrany (údajně) za předpokladu, je pomocí vnějších a vnitřních ID.
Aby dokázal, že potenciál využití svých poznatků vytvořil PoC kódu po dobu prvních dvou zranitelností. Podařilo se mu přinesla 1000 uživatelských jmen a e-mailových adres z databáze studentů a pro extrakci informace kursu o uživateli, prosadil kód zkušební stránku, která načte. Poslední otázka měla co do činění s tím, že externí identifikátory byly snadno reverzibilní hash buď malého počtu nebo interní ID a s vědomím toho, že je triviální vytvořit slovník interních a externích ID, Mayer poznamenal. Ale tento konkrétní problém lze snadno vyřešit tím, že odstraní vnější ID dohromady, neboť jejich existenci a používání nepřináší bezpečnost nebo soukromí, prospěch, podotkl. Byl oznámen Coursera všech těchto úskalí, a firma částečně řešit první ale ještě řešit druhou. Naštěstí se změní na řešení těchto problémů by mělo být snadné implementovat. Pro ​​více informací o nedostatcích, podívejte se na původní blogu .

Nositelný Bezpečnost: současnost a budoucnost
15.9.2014 Bezpečnost
Nyní, že internet věcí je v módě, chtěl jsem se podívat na trend v internetu věcí, které jsem si obzvlášť vzrušující, a to nositelné zařízení. Teoreticky wearables by nás staví před zásadní zvrat ve způsobu, jakým uživatelé pracují s technologií, pohybující se nás od staré myši a klávesnice combo, a možná dokonce i dotykový displej. Pro tuto chvíli nejsme úplně tam a sci-fi superlativy jsou předčasné. V tomto okamžiku, wearables jsou v nejjednodušších pojmech přídavky našich mobilních telefonů. Jsou určeny k pohodlněji předat oznámení, shromažďují tep měření a hodit alternativní úhel kamery do selfie naplněné směsí. Ačkoli wearables jsou stále ještě v plenkách, stoupá přijetí zdůrazňuje potřebu diskuse o obavy, že by mohly být přiloženy tyto nové technologie. Pojďme se nepokoušejte provádět tuto diskusi ve dvou režimech: aktuální otázky ochrany soukromí a budoucí celkové obavy o bezpečnost.

S Creepy Nadšení

Bohužel technologie není vždy v shovívavě dítě-jako, jak jsme v úmyslu; Pryč jsou dny, na pohled-co-jsem-si-do úžas.

Wearable_Security_2

Zdroj: http://www.killyourdarlingsjournal.com/wp/wp-content/uploads/2014/01/1963-Jetsons-flintstones.jpeg

Místo toho vidíme uživatelé adaptaci technologií staré a nové, aby splňovaly základní touhy. Nedávné twitter-storm dokumentuje Gawker ukázal, že, jak bylo zjištěno, čínský Glass Explorer pomocí svého nového zařízení nahrát nevyžádaných obrázky žen ve veřejných prostorách k jeho účtu na Twitteru. Jeho činy vešly do zavrženíhodného internetové subkultury fetishizing " creepshots ", které způsobilo velký rozruch. Bohužel, hlavní konstrukční principy wearables mít nezamýšlený důsledek tvorby dokonalé zařízení pro tuto komunitu zvrhlíků.

Díky nenápadné zařízení, a téměř nezjistitelné fotoaparát, přenosný může být použit jako dravé nástroj pro porušování soukromí nic netušících kolemjdoucích. Během našeho Analytici summitu Latinské Ameriky bezpečnosti , Roberto Martinez a vzal jsem si plášť dravých nositelná uživatelů, přičemž upřímné fotky našich hostů se zobrazí během naší prezentaci. Jsem zklamaný, že to bylo neuvěřitelně snadné se dostat pryč s. V případě Roberto sklenku, vzkaz (který umožňuje uživateli pořídit snímek jednoduše mrkl směrem k terči) bylo nezbytné pro náš experiment. V mém případě jsem měl Galaxy Gear 2, které Samsung se opatrně naprogramován tak, aby doprovázet obrázky s hlasitým, aby upozornila v blízkosti cíle.

Nicméně, popínavé rostliny nebudou snadno odradit! A roztok se rychle nabídl ve formě zakořenění a hrstky příkazů. Většina lidí jsou obeznámeni s pojmem zakořenění nebo jailbreaking zařízení v těchto dnech. To je často nabízený jako prostředek retaking ovládání vašeho zařízení, pryč ze spárů zlých omezení korporací! V případě Gear 2, použití zakořeňování jsou všechno, jen ne benevolentní. Spíše než rozpoutání homebrew rozvoje kreativity, výhradní použití zakořenění Gear 2, které jsem nebyl schopen na místě je zakázat středně hlasitý zvuk vydá zařízení tón upozornit kolemjdoucí, že jsou ve skutečnosti být fotografován.

V konkrétnějších podmínek, proces zahrnuje použití unikly interní nástroj společnosti Samsung s názvem ODIN, aby blikat alternativní ROM do zařízení, která přichází s oprávněním root povoleny. Root oprávnění není nutné, aby se sami nainstalovat aplikace, ale bude nutné, aby se namontovat jinak nepřístupné souborový systém. Jakmile je připojen, popínavá rostlina potřebuje pouze nula-in na složky, které obsahují zvukové soubory oznámení kameru a přesunout je jinde úschovy. Tak, když je obraz byla přijata, aplikace fotoaparát bude hledat tyto soubory v marné a pokračovat v přijímání obrazové sans zvuk závěrky. Vzhledem k tomu, že je fotoaparát zcela diskrétně umístěna, postrádá blesk, a nevykazuje jiné vnější náznak toho, že obraz je přijato, tento zvuk je rozhodující soukromí rys v designu zařízení.

S Tizen inteligentní Developer Bridge (připomínající Android Developer mostu) v ruce, semi-zdatní uživatelé mohou také boční zatížení aplikace ve formátu WGT na zařízení. V případě videozáznamů, změněný aplikace Fotoaparát lze sideloaded, který obsahuje jednu upravenou čáru v rámci balíčku a tím eliminuje předem uložená omezení na video záznam z několika sekund, stejně jako stísněný skladování dovolí. Tyto dvě modifikace umožňují perverzní uživateli otočit jinak benevolentní SmartWatch do poněkud strašidelný zařízení.

Méně zkoumány Link v Mobile Security řetězec

Wearable_Security_3

Zajímavým dopadem vyplývá ze schopnosti bočním zatížením upravené žádosti do zařízení s takovou lehkostí. I když aplikace Tizen slouží projít přísnou procesu testování, tento proces probíhá na straně řídicího zařízení - v tomto případě, Galaxy S5 zatížen app převodovky Správce spárované s SmartWatch. Pokud je aplikace nainstalována na zařízení přes Gear App Manager přes bluetooth, neexistují žádné náznaky, nebo oznámení o SmartWatch, že nová aplikace byla nainstalována. To jde zdůraznit nebezpečí, zjednodušené rozhraní na většině nositelná zařízení a tím i důležitost zachování integrity řídicího mobilního zařízení. S Android je primární cíl pro mobilní útočníky, rostoucí zájem spotřebitelů wearables je povinen splnit rostoucí útočníka zájem v těchto zařízeních a také, což nás přivádí k potenciálnímu straně naší diskuse ...

Laici zločinci nejsou jen něčí zájem o naše zařízení. Sofistikované herci mají zřetelný zájem na napadení mobilních zařízení, jakmile budou brány pro intimní informace o jednotlivých cílů se běžně vyskytují v podnikových sítích. I když by se v žádném případě tvrdit, že wearables jsou terčem těchto aktérů v této době, je dvojí odvolání předložila wearables, které dělají jim pravděpodobné budoucí cíl , pokud obecně přijaté spotřebiteli :

Za prvé, informace wearables zařízení shromáždí se chystá přilákat nové korporátní hráče do cyberespionage scény. Jsou-li wearables přijata dostatečně velký dav, se pojišťovny mají zájem o vylepšování a zdokonalování vzorců jejich zmírnění rizika se jonesing dostat své ruce na agregovaných vitálních funkcí a nefalšovaných cvičení detaily svých klientů. Tyto informace by se mohly promítnout do reálné peníze pro tyto společnosti a druh finanční pobídky je dost často na podporu méně než etické prostředky shromažďování informací.
Za druhé, musíme být ostražití a přijmout holistický přístup k bezpečnosti řetězce přístroje spárovány pro sdílení dat. Pokud jde o domácí nebo kancelářské sítě, zabezpečení koncových bodů nestačí . Každé zařízení v síti, i když je to tiskárna nebo zdánlivě neškodná síťové úložné zařízení, může představovat vstupní bod nebo prostředky vytrvalosti pro útočníka. Totéž platí s mobilními zařízeními a jejich méně sofistikované příslušenství.
Ve špionážní kampaň, porušení bezpečnosti mobilního zařízení je jen začátek. Častokrát, cenné informace budou k dispozici s dlouhodobým přístupem k zařízení, jak nic netušící cíl pokračuje o svém každodenním jednání. Vzhledem k tomu, že bezpečnostní řešení jsou již nasazeny na mobilních platformách, méně sofistikované přívěsky, jako wearables připojených mobilních zařízení by se mohla stát obzvláště zajímavé pro pokročilé aktéry hrozeb, kteří hledají prostředky k vytrvalosti s nižší pravděpodobnosti detekce. V tomto případě, odolnost a diskrétní provedení jsou zlaté standardy, a to, co je diskrétnější než působící v zařízení, jehož zjednodušené rozhraní a nepřístupné souborový systém v podstatě zajistit, že porušení bude nikdy být detekovány i nejpovolanějších uživatelů?

Identifikace Firewally z vnějšku-In. Nebo: "Je to zlato v nich Thar UDP porty!"
8.9.2014 Bezpečnost
V testu penetrace, často klíčem k obcházet bezpečnostní kontroly je tak jednoduché, jak věděl, identifikace platformy je implementováno na. Jinými slovy, je to mnohem jednodušší dostat přes něco, pokud víte, co to je. Například, často budete sondování sadu obvodových adres, a pokud neexistují žádné ohrožené hostitelé NAT-ED pro vás, můžete začít cítit, jako byste byli ve slepé uličce. Vědět, co tito hostitelé jsou by bylo opravdu užitečné, právě teď. Takže, co dělat dál?

Podívejte se na UDP, to je to, co. Docela často skenování UDP celý sortiment jednoduše vypálit hodiny nebo dny s ne mnoho, aby to stálo za to, ale pokud budete cílit prověřování pozorně, můžete často získat nějaké dobré informace ve spěchu.

Skenování NTP je skvělý start. Příliš mnoho lidí si neuvědomuje, že když uděláte síťové zařízení (směrovač nebo přepínač například) klienta NTP, často také z něj dělají NTP serveru stejně, a NTP servery rádi vám vše o sobě. Až příliš často, že port je ponechán otevřený, protože nikdo neví, zablokovat.

Další služby, které často obchází všechny ACL firewallu je firemní vzdálený přístup IPSec VPN speciálně IKE / ISAKMP (udp / 500). I když se jedná o obor firewall se site-to-site VPN do ústředí, často IKE je špatně nastaven, aby se vyhnula rozhraní ACL, nebo VPN na ústředí je povolen s dekou "Všechen" povolení pro IKE.

Pojďme se podívat na tyto dva ODPADU - budeme využijme Nmap kopat trochu hlouběji. Za prvé, pojďme vyhledat tyto porty:

nmap pn -Su -p123,500 --open xxxx
Spuštění Nmap 6.46 (http://nmap.org) v 2014-08-29 12:13 východoamerického času

Nmap skenování zpráva some.fqdn.name (xxxx)
hostitel je up (0.070s latence).
PORT STATE SERVICE
123 / udp open NTP
500 / udp open isakmp

Nmap provádí: 1 IP adresa (1 hostitel up) naskenovány 46,69 sekund

OK, tak jsme zjistili, otevřené porty UDP - jak to pomůže nám? Pojďme spustit druhou sadu prověřování proti těmto dvěma porty, počínaje rozšířením NMAP skenování použít ntp-info skript:

C: \> nmap pn -Su -p123 --open xxxx --script = ntp-info.nse

Spuštění Nmap 6,46 (http://nmap.org) v 2014-08-29 12:37 východoamerického času

Nmap skenování zpráva some.fqdn.name (xxxx)
hostitel je up (0.042s latence).
PORT STATE SERVICE
123 / udp open ntp
| ntp-info:
| obdrží časové razítko: 2014-08-29T16: 38: 51
| verze : 4
| Procesor: unknown
| systém: UNIX
| skok: 0
| stratum: 4
| přesnost: -27
| rootdelay: 43,767
| rootdispersion: 135,150
| peer: 37146
| refid: 172.16.10.1
| reftime: 0xD7AB23A5.12F4E3CA
| hlasování: 10
| Hodiny: 0xD7AB2B15.EA066B43
| stav: 4
| offset: 11,828
| kmitočet: 53,070
| jitter: 1,207
| šum: 6,862
| _ stabilita: 0,244

Nmap provádí: 1 IP adresa (1 hostitel up) naskenovány 48,91 sekund

Chybička se vloudila - ntp-info říká, nejen více o našem hostiteli, ale také popisuje NTP server, že to synchronizaci s - v tomto případě zkontrolujte, zda je IP hostitele v červené barvě - to je interní hostitele . Ve svých knihách, které mohou být přeformulována jako "další cílového hostitele", nebo možná ne-li dál, alespoň pokud jde o seznam "na později". Je zajímavé, že podpora NTP informací požaduje poloh tohoto hostitele pěkně působit jako NTP reflektoru / zesilovač, který pak může být použit v DDOS spoofing útoky. Odeslat / přijmout dávku je těsně pod 1: 7 (54 odeslaných bajtů, 370 přijaté), takže nic moc, ale to je ještě zesílení 7x které můžete zfalšovat.

Zpět na pentest - ntp-info nám dává nějaké dobré informace, není konkrétně nám říct, co OS náš cílový server běží, tak se pojďme podívat na další IKE, s detekcí služba aktivována:

C: \> nmap pn -Su -p500 -SV --open xxxx

Spuštění Nmap 6,46 (http://nmap.org) v 2014-08-29 13:10 východoamerického času

Nmap skenování zpráva pro some.fqdn.name (xxxx)
Hostitel je up (0.010s latence).
PORT STATE SERVICE
500 / udp open isakmp
Service Info: OS: IOS 12.3 / 12.4; CPE: CPE: / O: Cisco: iOS: 03/12-04/12

Detekce služba provedena. Nahlaste nám prosím jakékoliv nesprávné výsledky při http://nmap.org/submit/.
Nmap provádí: 1 IP adresu (1 hostitel up) naskenované v 159,05sekunda

Ah - velmi pěkné! Nmap nám správně říká, že toto zařízení je Cisco router (není ASA nebo jiné zařízení)

IKE-scan nástroj by nám mělo dát nějaké další informace IKE, zkusme to s několika různými možnostmi:

Základní verbose hodnotit (hlavní režim) nám nic:

C:> IKE-scan -v xxxx
DEBUG: pkt len = 336 bajtů, šířka pásma = 56000 bps, int = 52000 us
Spuštění ike-scan 1,9 s 1 počítačů (http://www.nta-monitor.com/tools/ike -scan /)
xxxx Informujte zpráva 14 (NO-NÁVRH zvolené) HDR = (CKY-R = ea1b111d68fbcc7d)

Ukončení IKE-scan 1,9: 1 hostitelů naskenované 0.041 sekund (24,39 hostitelé / s). 0 vrátil handshake; 1 vrátil informovat

Ditto, hlavní režim IKEv2:

C:> IKE-scan -v -2 xxxx
DEBUG: pkt len = 296 bajtů, šířka pásma = 56000 bps, int = 46285 nás
Spuštění ike-scan 1,9 s 1 hostiteli (http://www.nta-monitor.com/tools / IKE-scan /)
--- Protáhněte 1 z 3 dokončena
--- Protáhněte 2 z 3 dokončené
--- projít 3 z 3 dokončeno

Ukončení IKE-scan 1,9: 1 hostitelů naskenované do 2,432 sekundy (0,41 hostitelé / s). 0 vrátil handshake; 0 vrátil informovat

pouze s NAT-T, pořád nic:

C:> IKE-scan -v -nat-t xxxx
DEBUG: pkt len = 336 bajtů, šířka pásma = 56000 bps, int = 52000 us
Spuštění ike-scan 1,9 s 1 počítačů (http://www.nta-monitor.com / tools / IKE-scan /)
xxxx Informujte zprávy 14 (NO-NÁVRH zvolené) HDR = (CKY-R = ea1b111d8198ef48)

Ukončení IKE-scan 1,9: 1 hostitelů naskenované 0.038 sekund (26,32 hostitelé / s). 0 vrátil handshake; 1 vrátil informovat

Agresivní mód je však vítěz winnner-chicken-večeři!

C:> IKE-scan -v-A xxxx
DEBUG: pkt len = 356 bajtů, šířka pásma = 56000 bps, int = 54857 nás
Spuštění ike-scan 1,9 s 1 hostiteli (http://www.nta-monitor.com/tools / IKE-scan /)
xxxx Aggressive Mode Handshake vrátil HDR = (CKY-R = ea1b111d4f1622a2)
SA = (ENC = 3DES hash = SHA1 group = 2: modop1024 auth = PSK LifeType = sekundy LifeDuration = 2
8800) VID = 12f5f28c457168a9702d9fe274cc0100 (Cisco Jednota) VID = afcad71368a1f1c96b8
696fc77570100 (Mrtvý Peer Detection v1.0) VID = 1fdcb6004f1722a231f9e4f59b27b857 VI
D = 09002689dfd6b712 (Xauth) KeyExchange (128 bajtů) ID (Type = ID_IPV4_ADDR, Value = xxxx) kódové slovo (20 bajtů) Hash (20 bajtů)

Ukončení IKE-scan 1,9: 1 hostitelů naskenované do 0,068 sekund (14,71 hostitelé / s). 1 vrátil handshake; 0 vrátil informovat

Vidíme z toho, že vzdálená kancelář směrovač (to je to, co je toto zařízení), je konfigurován pro režim agresivní a Xauth - takže jinými slovy, je to pravděpodobně jméno uživatele a heslo spolu s předsdílený klíč pro ověření tunelu. Všimněte si, že IKE-scan identifikuje tento hostitele jako "jednoty Cisco", takže i když to nám dává nějaké nové informace, pro základní identifikaci zařízení, v tomto případě NMAP nám dala lepší informace.

Co byste měli udělat, aby se zabránilo skenování, jako je tento a využije na základě nich? ACL na rozhraní obvodové může v současné době končí s "popřít tcp jakékoliv žádný záznam" - zvážit přidání na "popírat udp jakékoliv jakékoli log", nebo ještě lépe, vyměňte ji za "deny ip jakékoliv jakékoli log". Povolení * přesně * to, co potřebujete, popírat všechno ostatní, a stejně tak důležité - LOG vše, co dostane odepřen. Přihlášení většina toho, co je povoleno také je také dobrý nápad - pokud jste někdy měli na řešení problému nebo pojíždět bezpečnostní události, aniž by kulatiny, jste již pravděpodobně dělat.

Přidáním několika honeypots do mixu je také hezké. Popírat ICMP často porazit skripty nebo povrchní skenování. Mnoho síťových zařízení může být nakonfigurován tak, aby detekovat skenování a "vyhýbat" hostitele skenování - to vyzkoušet nejprve však nechcete blokovat výrobní provoz při nehodě s aktivní kontrolou, jako je tato.

Našli jste něco, úhledný, co většina by jinak přezkoumaly společnou a relativně "bezpečné" protokol? Prosím, použijte náš deník sdílet svůj příběh!

Google ujišťuje podnikové uživatele s nezávislým bezpečnostní audity
4.9.2014 Bezpečnost
Google dělá vše, co je v jejích silách, aby obnovila důvěru v jeho produktů, že někteří uživatelé přišli v důsledku odhalení Edward Snowden je asi NSA špionáže.

Mezi tyto kroky bylo lepší zprávu o transparentnosti, snahu použít šifrování po celou dobu jejich on-line majetku, jakož i zvýšené námaze v boji s požadavky vlády USA pro přístup k datům uložených se a shromážděných společností. poslední krok byl oznámen ve středu, a je zaměřena především na firemní zákazníky. "Jsme hrdí na to, oznamujeme, jsme získali aktualizovaný ISO 27001 certifikát a SOC 2 a SOC 3 Typ zprávy o auditu II, které jsou nejvíce široce uznávané, mezinárodně uznávaných nezávislých zpráv dodržování bezpečnosti, "Eran Feigenbaum, ředitel zabezpečení Google Apps sdílet na svém blogu. "Tyto audity obnovení našeho pokrytí pro Google Apps pro firmy a vzdělávání, jakož i Google Cloud platformy, a jsme rozšířili rozsah, aby zahrnoval Google+ a hospůdky. Chcete-li ji jednodušší pro každý ověřit naši bezpečnost, jsme nyní publikování náš aktualizovaný ISO 27001 certifikát a novou zprávu SOC3 auditu poprvé, na naší bezpečnostní stránce Google Enterprise . " Feigenbaum poznamenat, že transparentnost je nezbytná vydělávat a udržení důvěry zákazníků, a jeden způsob, jak dosáhnout, aby je dostat nezávislí auditoři zkoumat ovládací prvky v jejich systémů a operací na pravidelném základě. Dodal také, že Google zaměstnává 450 na plný úvazek, inženýry, aby údaje zákazníků v bezpečí.

Bližší pohled na Acunetix Web Vulnerability Scanner
4.9.2014 Bezpečnost
Acunetix Web Vulnerability Scanner automaticky zkontroluje, zda vaše webové aplikace pro SQL Injection, XSS a další webové zranitelnosti. Vlastnosti:

AcuSensor Technology
SQL injection a XSS testování
Penetrační testování nástroje, jako je Editor HTTP a HTTP Fuzzer
Vizuální záznam makra je testování webových formulářů a heslem chráněné oblasti snadno
Podpora stránek s CAPTCHA, single sign-on a 2FA mechanismů
Zpravodajské zařízení, včetně zpráv o dodržování předpisů PCI
Multi-threaded scanner, který zpracovává tisíce stránek s lehkostí
Pásové detekuje webové typ serveru, jazyk aplikace a smartphone optimalizované stránky.
Acunetix prochází a analyzuje různé typy webových stránek, včetně HTML5, SOAP a AJAX
Port skenuje webový server a běží bezpečnostní kontroly proti síťových služeb běžících na serveru.
Zde je prohlídka softwaru, klepněte na každý obrázek pro zobrazení v plné verzi.

To je hlavní rozhraní Acunetix Web Vulnerability Scanner (WVS). Odtud může uživatel přistupovat nejběžnější úkoly jsou k dispozici v Acunetix WVS.

Nové skenování pomocí Průvodce - Z hlavního rozhraní, uživatel může kliknout na novou úlohu skenování spustit Průvodce vytvořením Scan. To bude vodítkem pro uživatele o vytvoření nové hledání, a umožní uživateli vyladit nastavení skenování. Výchozí nastavení je možné použít pro rychlé spuštění skenování z uzlu Web Scanner.

Vytvoření Přihlásit Sequence - jeden z kroků v Průvodci Nové skenování umožňuje konfiguraci skenování heslem chráněných oblastí na webové stránce. To lze provést konfiguraci pouľívá standardní přihlaąovací proceduru s snadné použití standardní přihlaąovací proceduru Recorder. Na rozdíl od záznamu přihlašovací akce, je možné určit omezeným odkazy, jako je například Odhlášení odkazy. Přihlášení Sequence rekordér pokračujte automaticky zjistí, který sezení jsou stále aktivní a uložit to do standardní přihlaąovací proceduru. Přihlášení Sequence bude uložen pro budoucí prověřování na stejném místě.

Hotové Výsledky testu - Po naskenování stránky, Acunetix WVS poskytuje výsledky testů pořadí výstrahy zabezpečení podle závažnosti. Kromě toho, Acunetix WVS poskytuje Výstrahy Souhrn v podokně podrobností. Uživatel může rozšířit každý typ záznamu, k získání více informací o konkrétní záznam.

XSS zranitelnosti - Toto je příklad Cross Site Scripting (XSS) zranitelnost. Ve střehu údaje poskytnout popis zranitelnosti spolu s informací o tom, jak byla chyba objevena. Upozornění také poskytuje sanační rady, jak vyřešit specifický problém, a odkazy na webové stránky třetích stran a klasifikace s využitím CVE, cwE a CVSS.

SQLi ukazující SQL dotazu s AcuSensor - Tato výstraha ukazuje detekci SQL Injection zranitelnosti. V tomto případě, Acunetix WVS poskytuje přesné umístění zranitelnosti (řádek 51 v product.php) a SQL dotaz, který byl proveden, kdy byla zjištěna chyba. Všechny tyto informace jsou poskytovány AcuSensor -, který je instalován na webových stránkách a působí jako agent pro Acunetix. AcuSensor umožňuje skenování přesnější, poskytuje dodatečné informace během kontroly, a má za následek méně falešných poplachů.

Znalostní báze se zobrazuje seznam souborů vstupy - na rozdíl od skenování zranitelnosti, Acunetix WVS poskytuje další informace, jako například seznam externích hostitelů, seznam e-mailových adres zjištěných na webových stránkách, nebo v seznamu souborů se vstupy, který je uveden na screenshot. Kromě toho, Acunetix WVS zobrazí také struktura webu, které je detekováno při procházení webových stránek.

Struktura stránky zobrazující detailní informace o vybraném souboru - uživatel může kliknout na libovolný soubor ve struktuře souborů získat podrobné informace o konkrétním souboru.

Acunetix manuální testování nástroje - sada bezpečnostních nástrojů webových jsou rovněž zahrnuty v Acunetix, umožňuje uživateli provést další testy ručně. Většina zranitelnosti objevené během skenování Acunetix WVS lze exportovat do příslušné manuální testovací nástroj, který umožňuje další ověření zranitelnosti.
 

Plánovač - Použití webového rozhraní Acunetix plánovače web skeny lze naplánovat, které budou zahájeny ve vhodnou dobu, jako jsou nízké dopravní období. Kontrolu lze naplánována buď kontinuálně, nebo na denní týdenní nebo měsíční rozvrh.
 

Reporter - Pomocí Acunetix WVS Reporter, může uživatel vytvářet různé zprávy od výkonného souhrnné zprávy podrobných zpráv pro vývojáře. Kromě toho Reporter nástroj může generovat zprávy dosvědčující splnění různých norem a předpisů, jako je PCI DSS 3.0, HIPAA, ISO 27001 a další.

10 Mezi nejvýznamnější nedostatky návrhu bezpečnostní software
2.9.2014 Bezpečnost
IEEE Centrum pro bezpečný design, iniciativa kybernetické bezpečnosti se zaměřením na identifikaci software konstrukčních vad, vydala zprávu, na základě reálných údajů shromážděných a analyzovaných odborníky na předních světových technologických společností. V roce 2014, IEEE Computer Society, přední Sdružení pro výpočet odborníků, zahájila iniciativu kybernetické s cílem rozšířit její další účast v kybernetické bezpečnosti. V rámci této iniciativy, IEEE Centrum pro bezpečný design (CSD) byl tvořen, který přivítal odborníky z různorodé skupiny organizací diskutovat o bezpečnostní software, nedostatky návrhu, které oni zjištěných ve svých vlastních vnitřních hodnocení designu. Výsledkem byl seznam Deset nejvýznamnějších chyby zabezpečení softwaru designové a konstrukční techniky se jim vyhnout. Praktické rady sahá od podpory správné použití aplikované kryptografie na ověřování každého jednotlivého bitu dat. Správný bezpečnostní provedení je Achillovou patou bezpečnostního inženýrství po celá desetiletí, hlavně proto, že je obtížné a vyžaduje hluboké znalosti. Více než jen identifikaci implementační chyby, IEEE CSD přímo řeší dnešní velmi tíživé bezpečnostní problém -. Bezpečnostní konstrukce "Centrum pro bezpečnou designu bude hrát klíčovou roli v přeorientování bezpečnostní software na některé z nejnáročnějších otevřený design problémy v oblasti bezpečnosti," řekl Neil Daswani z bezpečnostního inženýrství týmu na Twitteru. "Tím, že se zaměřují na bezpečnostní konstrukci, a to nejen se zaměřením na realizaci chyb v kódu, CSD dělá i ty nejvyspělejší společnosti v prostoru velkou službu." "Chyby a nedostatky jsou dvě velmi odlišné typy bezpečnostních závad," řekl Gary McGraw , CTO v Cigital. "Jsme přesvědčeni, že byl docela trochu více zaměřit na společných chyb, než jich bylo na bezpečném návrhu a zamezení chyb, což je znepokojující, protože konstrukční chyby představují 50% všech bezpečnostních otázek softwaru. IEEE Centrum pro bezpečný design nám umožňuje příležitost změnit zaměření, jak získat reálná data a sdílet své výsledky s celým světem. " Následující seznam doporučení, se narodil pomoci vývojářům vyhnout špičkové bezpečnostní konstrukční nedostatky:

Vydělejte nebo dát, ale nikdy předpokládat, důvěru
Použijte ověřovací mechanismus, který nelze obejít ani manipulováno
Povolit po ověření
Přísně oddělené údaje a řídící instrukce a nikdy řídicí pokyny přijaté z nedůvěryhodných zdrojů
Definujte přístup, který zaručuje, že všechny údaje jsou výslovně potvrzeny
Použití šifrování správně
Citlivé údaje, a jak by měly být řešeny
Vždy zvážit uživatelé
Vědět, jak integrovat externí komponenty změní váš útoku
Být flexibilní při posuzování budoucích změn objektů a herců.

Synergie hackerů a nástrojů na Black Hat Arsenal
2.9.2014 Bezpečnost
Black Hat USA 2014 nedávno přivítal více než 9000 z nejvíce renomovaných odborníků v oblasti bezpečnosti -. od nejjasnější v akademickém pro výzkumníky světové úrovně a vedoucích ve veřejném a soukromém sektoru Stranou od všeho půvabu kabiny dodavatele rozdávat trička a velké prezentační místnosti plné Rockstar zasedání, byl Arsenal -. místo, kde vývojáři byli schopni prezentovat své bezpečnostní nástroje a růst jejich komunitu Arsenal je duchovním NJ Ouchn, známý bezpečnostní expert a tvůrce ToolsWatch . Jeho neutuchající vášeň pro použití volně dostupných nástrojů během Penetrační testování střetnutí se vyvinul v to, co je opravdu konference v rámci konference, a pro některé je hlavním důvodem pro příchod do Las Vegas.

Letošní Arsenal, který NJ podařilo s pomocí Rachid Harrando, generální ředitel NETpeas, hostil autory 54 nástrojů, pocházejících ze zemí celého světa. Aby to bylo ještě zajímavější, některé nástroje byly představeny v Arsenalu a účastníci měli možnost se okamžitě zapojit vývojáře. Tam bylo něco pro každého: od útoku VoIP, forenzní na mobilní hacking a dále. Všechny moderátory Mluvil jsem nic než chválu jak pro NJ a Arsenal. Dan Cornell, CTO v Denim Group, mi řekl, že je to něco, co se těší na každý rok, protože je to skvělý způsob, jak dostat svou práci před kritickým publikem bezpečnostních expertů.

"Vždycky jsem byl ohromen, jak dobře fungující událost je -. Oba s podporou NJ, jakož i organizátory konference Black Hat se mi líbí otázky nejvíce, protože nám dávají velkou okno do obou nových funkcí, musíme stavět a jak musíme komunikovat o ThreadFix současných možností je, "řekl Cornell. Gruzie Weidman, generální ředitel společnosti Bulb bezpečnost, věří její Smartphone Pentest rámec by se nedostal nevšiml vůbec, kdyby nebylo pro Arsenal. "Bezpečnostní open source nástrojů jsou páteří výzkumu v oblasti bezpečnosti v těchto dnech, takže s místem pro ně je skvělá služba, která účastníkům Black Hat, stejně jako spisovatelé nástrojů," řekla. Bahtiyar Bircan, bezpečnostní poradce a autor Kit Heybe Penetrační testování Automation , řekl, že interakce s bezpečnostními odborníky z praxe na Arsenal mu nové myšlenky a povzbuzuje všechny k účasti.

Arsenal je v podstatě živnou půdou pro spolupráci a nové nápady chybí firemních triky. Co se běžně děje po skončení konference je, že projekty začnou spolupracovat a integrovat navzájem, zvýšení jejich hodnoty exponenciálně, ultimatively zvýšit nejen hodnotu nástrojů, ale také zvedat profil developer. Slyšel jsem, že developer prezentaci letos nabídl práci na plný úvazek a přímo na místě. Příště jsi na Black Hat, udělat si čas pro Arsenal. To bylo vrcholem mého týdne a jsem si jistý, že bude inspirovat i vás.

470000000 weby existují po dobu 24 hodin, 22% jsou škodlivé
2.9.2014 Bezpečnost
Výzkumníci Blue Coat analyzovat více než 660 milionů unikátních hostitelů požadovaných 75 milionů uživatelů po celém světě více než 90-ti denní lhůty. Zjistili, že 71 procent z hostitelů, nebo 470 milionů, byly "Jednou divů", místa, která se objevila pouze na jeden den.

Největších výrobců těchto stránkách jsou organizace, které mají podstatný Internet přítomnost, jako jsou Google, Amazon a Yahoo, stejně jako Web optimalizace firmy, které pomáhají urychlit poskytování obsahu. Z top 50 mateřských domén, které nejčastěji používaných One-Day Wonders, 22 procent bylo škodlivé. Tyto domény používat krátké trvání, místa s cílem usnadnit útoky a řízení botnetů, s využitím místa bytí "nového a neznámého" vyhnout se řešení zabezpečení. Například, tyto stránky mohou být použity k vytváření dynamických velení a řízení architektury, které jsou škálovatelné, obtížné sledovat a snadno implementovat. Alternativně mohou být použity k vytvoření jedinečného subdoménu pro každého mailů se vyhnout detekci nevyžádané pošty nebo webových filtrů. "Zatímco většina One-Day Wonders jsou nezbytné pro legitimní internetové postupů a nejsou škodlivé, naprostý objem nich vytváří ideální prostředí pro nebezpečné činnosti, "řekl Tim van der Horst, senior hrozba výzkumník Blue Coat Systems. "Rychlé vybudování a bourání nových a neznámých míst destabilizuje mnoho existujících bezpečnostních kontrol. Pochopení toho, co tyto stránky jsou a jak se používají, je klíčem k budování lepší bezpečnostní situace. " One-Day Wonders jsou velmi oblíbené u počítačoví zločinci, protože: Udržujte bezpečnostní řešení hádat: . Dynamické domény jsou těžší, než mařit statických doménách přemoci bezpečnostní řešení: Generování velké množství domén se zvyšuje šance, že nějaký podíl bude chybět bezpečnostní kontroly. Skrýt z bezpečnostních řešení: Tím, že prostě kombinací jednodenní divů s šifrováním a běží příchozí malware a / nebo odchozí odcizení dat přes SSL, organizace jsou obvykle slepí k útoku, dopad na jejich schopnost bránit, odhalovat je a reagovat. Jako organizace pokračovat v boji probíhající bitvy proti počítačovým útokům, mohou čerpat klíčové poznatky z tohoto výzkumu s cílem informovat a posílit jejich bezpečnostní situace, včetně: Bezpečnostní kontroly musí být informovány o automatizované, v reálném čase inteligence, která dokáže identifikovat a přiřadit úroveň rizika na ně místa. Statické nebo pomalu se pohybující obrana nestačí k ochraně uživatele a firemní data. Politiky založené na bezpečnostní kontroly musí být schopen jednat v reálném čase inteligence blokovat nebezpečné útoky. Mark Sparshott, ředitel EMEA v Proofpoint řekl: "One-Day Wonder stránky jsou základním nástrojem pro oprávněné poskytování obsahu sítě (CDN) k urychlení a optimalizovat doručování obsahu a umožňují individuální sledování návštěvníků. CDN často vytvářejí jedinečnou sub-sub-doménu na uživatele tak, aby jejich návštěva místa mohou být sledovány pro marketingové účely. Kyberzločinci si zkopírovali přístup CDN, stejně jako jiné databáze, marketingové techniky, jako je IP, adresa odesílatele a rotace obsahu, k tomu, aby své škodlivé útoky podívejte se pod radarem z dobré pověsti systémů používaných bezpečnostních řešení e-mailových a webových. "výzkumníci Proofpoint pravidelně vidět tyto techniky používané v takzvaných" dlouhými lovnými šňůrami "e-mailové útoky, kde to přinést cílené e-maily 10,000s pracovníků napříč 100s společnostmi v rámci 1 až 2 hodiny. E-maily obsahují zprávu, která je osobně relevantní pro většinu příjemců v důsledku v 1 z 10 lidí kliknutím na odkaz v e-mailu, která vede k nebezpečným webové stránky, které jsou často "jednodenní zázrak site", který vypadá neškodně, ale mohou mít úplnou kontrolu přes jejich počítač za méně než 5 sekund bez nich nebo bezpečnostního softwaru jejich společnosti si všiml, co je špatné. "

NYU zahajuje největší studentské soutěže na počítačovou bezpečnost
1.9.2014 Bezpečnost
Ještě před začátkem akademického semestru, studenti z celého světa začali registraci největší sadu bezpečnostních soutěží studentů kybernetických ve světě: NYU Polytechnic School of Engineering Cyber ​​Security Awareness Week ( CSAW ).

V loňském roce více než 15.000 studentů-ze střední školy prostřednictvím doktorských studijních programů, soutěžil v kvalifikačních kol na místě, v závěrečných kolech šest různých soutěží. Letos budou vítězové kvalifikačních kol cestovat do Brooklynu soutěžit o stipendiích a cenách v 11. ročníku CSAW listopadu 13-15. "kariéru v oblasti informační bezpečnosti nikdy držel tolik slib nebo nebezpečí. nových členů bezpečnostní komunity mají příležitost vybudovat systémy, které přinášejí důvěru a inovace do života miliard, "řekl Alex Stamos, CISO na Yahoo. New letošní CSAW je soutěž pro veřejné politiky vypracované studenty. Vracíte soutěže se podpis Capture the Flag hacking soutěž pro studenty; Digitální forenzní soutěž pro studenty středních škol; Nejlepší Research Paper soutěž, která přijímá pouze výzkum bylo již uvedeno v recenzovaných odborných konferencí a odborných časopisech; Embedded Systems Security Soutěž, která testuje a zajišťuje hardware; a rychle-chodil gameshow-jako americký ministr vnitřní bezpečnosti Quiz. Další novinkou letošního ročníku je rozšířená CSAW THREADS výzkum konference, která se zaměří na odstraňování zabezpečení, aby splňovaly rostoucí požadavky vývoje a provozu software. Kromě diskuse o nejnovějším vývoji v oblasti bezpečnosti automatizaci, bude CSAW THREADS mají ukázku nové detekci a analýzu incidentů systém financován DARPA a určené pro podniky.

8 způsobů, jak mluvit bezpečnosti se výkonného vedení
29.8.2014 Bezpečnost
Význam informační bezpečnosti a řízení rizik technologie stále roste, ale mnoho rizik a bezpečnostní odborníci nadále potýkají s non-IT výkonné komunikace. Gartner viceprezident a odlišit analytik Paul Proctor řekl jeden z největších problémů bezpečnosti týmy čelí, je to, jak se snížení rizika, ale jak zprostředkovat výhody řízení rizik vedení. tempo změn ve věku digitální podnikání a internet věcí znamená riziko a bezpečnostní profesionálové jsou nuceni do stavu neustálého konfliktu mezi podniky, které chtějí řídit inovace, a bezpečnostní tým potřebuje udržet na uzdě rizika. Executive s rozhodovací pravomocí chtějí vědět, podnikání přiměřeně chráněny proti nebezpečí, ale je třeba zvážit rizika včera a dnes proti možnosti zítřka. Po přezkoumání více než 300 deskových prezentace na rizika a bezpečnosti Gartner zjistil, že v drtivé většině případů tyto zprávy obsahovaly příliš mnoho informací a strach byly příliš složité, postrádal soulad s širšími obchodními strategiemi, a neměl spojení na palubu relevantní rozhodování. Problémem je, jak se dostat na dva strany pracovat v harmonii. Chcete-li to, že bezpečnostní týmy se musí naučit komunikovat přínosy změn zabezpečení, stejně jako to dělají rizika, říká pan Proctor. Ve své poslední zprávě o propojení rizik a zabezpečení podnikové výkonnosti, Proctor měl tyto osm praktických tipů pro komunikaci výhody pro výkonné rozhodují: 1. Formalizovat riziko a bezpečnostní programy, formalizovaný program je ten, který je opakovatelné a měřitelné. Obsahuje čtyři hlavní fáze: a. Řídit, plánovat, stavět a provozovat fáze 2. Změřte programu zralosti pomocí stupnice splatnosti měřit váš program identifikuje mezery a příležitosti ke zlepšení. Splatnost je také dobrá abstrakce pro výkonné rozhodovací pravomocí, kteří ne vždy chápou technologie. 3. Použijte rizika přístupy založené na řízení rizik je výslovně uznává, že není tam žádná taková věc jako dokonalou ochranu. Organizace musí vědomě rozhodovat o tom, co theyll dělat, stejně jako to, co zvyklý udělat pro zmírnění rizika. Zúčastněné strany v non-IT části podniku musí tato rozhodnutí, nenechávejte to na IT profesionály sám. Ale mnohem důležitější je, že rizikoví manažeři musí mít proaktivní přístup k posuzování a řízení rizik. Je třeba, aby řízení rizika, nesmí být spravované. 4. Pomocí ukazatele LEAD rizikových podmínky manažerů rizik je třeba definovat nové vedoucí ukazatele výkonnosti podniku, které zahrnuje jak klíčové ukazatele výkonnosti (KPI) a klíčové rizikové ukazatele (Kris). Měly by se soustředit výhradně na IT-centrické KPI. Pokud tak učiníte, udržuje představa, že existuje riziko, že se vztahují pouze na IT. 5. Mapa vůdčími do KPI většina organizací má nepřeberné množství operační rizika a bezpečnostních metrik. I když se jedná o velmi cenná pro interní operace, mají malou hodnotu pro business s rozhodovací pravomocí. Dobré vůdčími jsou jednoduché a měřitelné a mají přímý dopad na více KPI. 6. Rizikové Link iniciativy korporátním cílům Použití strach, nejistotu a pochybnosti o tom, aby si exekutivní podporu doesnt práce. Vedení nechcete slyšet, jak špatně všechno bude, když oni dont investovat do řízení rizik a bezpečnosti. Jeho stejně zbytečné uvádět návratnost investic, protože riziko nevrátí hmatatelný dolar za dolar hodnotu. Nejlepší způsob, jak získat výkonné podpora je prokázat obchodní hodnotu. 7. Odstranit provozních metrik z výkonné komunikace Dont použít operační metriky pro komunikaci na úrovni manažer. Vedení chybí zázemí a odbornou přípravu, aby pochopila význam v rámci podnikání. 8. Jasně sdělit, co funguje a co ne ve světě založeným na posouzení rizika, business-orientované publikum chce vědět: Jaké jsou naše rizika? Jaká je naše pozice? Co budeme dělat? Komunikujte, že dobře, a youve vyhrál polovina bitvy.

Úspěšné strategie se zamezilo častým změnám hesla
27.8.2014 Bezpečnost
1200000000 hesla údajně ukradl ruskými hackery. Před tím to bylo Heartbleed . Poté, co je široce rozšířené a nespecifické narušení dat, konvenční moudrost je, že lidé by měli změnit veškerá svá hesla. Ale existuje lepší způsob. Se správnými návyky správu hesel, nebudete muset změnit všechna hesla pokaždé, když se dozvěděli o on-line útoku. Změna všichni něčí hesla nebude bolet, ale je to těžkopádné. Nejen, že je to oprava Band-Aid, která se zastaví nabídnout silnější a dlouhodobé řešení, říká Sean Sullivan, bezpečnostní poradce F-Secure Labs. Narušení bezpečnosti osobních údajů se nová realita, a to je již otázka, zda se to stane tobě, ale kdy. Sullivan říká, že spíše než být vyzváni, abyste změnili všechna svá hesla, spotřebitelé potřebují praktické rady hodné následování. Takže když je další porušení zveřejněny, budou pod kontrolou a bude muset změnit jen ty hesla, vědí, že jsou ovlivněny. "malé špinavé tajemství bezpečnostních expertů je, že když je tu k porušení dat, a doporučují, aby" změnit veškerá svá hesla , "ani se neřídí svými vlastními radami, protože oni nepotřebují," říká Sullivan. "Pokud se mohu dozvědět o porušení s konkrétním účtem, nemám strach o mých hesel. To proto, že jsem používat nástroj k Zapamatovat heslo pro mě, a několik jednoduchých technik, které pomáhají spravovat své účty tak, aby se minimalizovalo riziko. " Tak jaké jsou úspěšné strategie, aby se zabránilo potíží změnu hesla neustále? Sullivan poukazuje na několik klíčových věcí: diverzifikovat snížit riziko. Oddělte své účty tím, že vytvoří samostatné e-mailové adresy pro různé funkce. Například osobní, profesní, finanční. Tak pokud e-mail je rozdělena do, nebude to ohrozit všechny ostatní informace taky. "Proč ne mít samostatnou e-mailovou adresu vašich finančních účtů? Pak si nenechte dát tu adresu každému, ale ty finanční instituce, "říká Sullivan. Bonus:. Když dostanete e-bankovnictví související ve vašem osobním účtu, budete okamžitě vědět, že to není legitimní Pokud je to možné, použít jiné uživatelské jméno než váš e-mail. Některé služby umožňují zvolit jedinečné uživatelské jméno jiný než Váš e-mail. Pokud je to možné, je dobré, aby tuto možnost, protože je to mnohem více informací hacker potřebuje vědět. A používat dvoufaktorovou autentizaci-li k dispozici. Použijte unikátní heslo pro každý účet on-line. Použití stejné heslo pro přístup k jednotlivým účtům se vyvalit na červený koberec pro hackery. Pokud je ukradl heslo k vašemu účtu na Facebooku, můžete zločinci hop do vašeho e-mailu a dalších účtů a zkuste tam stejné heslo. Nedávejte online účtů žádná další data, než je nezbytně nutné. méně, že je tam být ohrožena, tím lépe. Pokud budete informováni o porušení na konkrétní účet, změňte toto heslo. to samozřejmé. Změna účtu hesla návyky může trvat trochu úsilí, ale v dlouhodobém horizontu, je to jednodušší a méně stresující, než by bylo nutné měnit všechny hesla po zprávách o každé porušení. A stojí to za to, aby vaše osobní údaje a identitu online v bezpečí. Sullivan navrhuje spuštění malé, starat se o jeden účet najednou a vybudování až jsou zpracovány všechny vaše hesla. "To je otázka, post-PC lidé nemusí obávat, protože všechny jejich účty jsou v cloudu," říká Sullivan. "Existují dva druhy lidí na světě: Ti, spravovat své účty tak, a ti, kteří budou mít ve světě problémy. Která skupina chceš být? " Další informace o heslech číst hesla: real-svět problémy, tipy a alternativy a Jednání s hesly .

Analýza odhaluje mnoho rozšíření škodlivého Chrome
27.8.2014 Bezpečnost
Analýza 48.332 rozšíření prohlížeče od internetového obchodu Chrome odhalil 130 přímo škodlivý a 4712 podezřelých rozšíření, z nichž některé byly staženy miliony uživatelů.

"Množství kritických a soukromých dat, které webové prohlížeče zprostředkovávají nadále roste, a samozřejmě tato data se stala terčem zločinců. Kromě toho, na webu je reklamní ekosystém nabízí příležitosti k zisku tím, že manipuluje každodenního chování procházení uživatele," poznamenal vědci v článku popisovat svá zjištění. "Výsledkem je, že rozšíření škodlivých prohlížeče se staly novou hrozbou, protože zločinci realizovat potenciál zpeněžit prohlížení webových stránek relace oběti a snadno přistupovat k webové související obsah a soukromá data." Aby bylo možné analyzovat rozšíření, použili vědci Hulk, dynamická analýza systému z vlastní tvorby, které vyplavuje škodlivé chování rozšíření. "Za prvé, Hulk využívá HoneyPages, které jsou dynamické stránky, které se přizpůsobí očekávání příponou je ve struktuře webové stránky a obsah," vysvětlili . Za druhé, Hulk využívá fuzzer řídit četné ovladače událostí, které moderní rozšíření silně spoléhají. " Mezi škodlivé rozšíření, které našli, někteří spáchaný pobočka podvody a krádeže pověření, jiní provádí ad injekce nebo výměnu, a další stále zneužívá sociální sítě pro spam . Výzkumníci také nabízí soubor doporučení, které by bránily některé z těchto útoků, a doufají, že Google je bude realizovat.

Infographic: Jak bezpečné je Bitcoin?
27.8.2014 Bezpečnost
Bezpečnost Bitcoin transakcí je jedním z hlavních nevýhod digitální měny. Infographic níže se podívat na to, co potřebujete vědět, abyste mohli zůstat bdělý. Kliknutím na obrázek níže pro plnou verzi.

Výzkum odhaluje vylepšený způsob nechat počítač vědět, že jste člověk
26.8.2014 Bezpečnost
CAPTCHA služby, které vyžadují, aby uživatelé rozpoznat a zadejte statické zkreslené znaky může být metoda minulosti, podle studií publikovaných výzkumníky z University of Alabama v Birminghamu. CAPTCHA představují bezpečnostní mechanismus, který je často viděn jako nezbytný potíží Web poskytovatelé služeb - nezbytné, protože se snaží, aby se zabránilo zneužívání webových zdrojů, ale hádka, protože reprezentace CAPTCHA nemusí být snadné vyřešit. Kromě toho byly úspěšné útoky byly vyvinuty před mnoha stávajících režimů CAPTCHA.

Nitesh Saxena, Ph.D., docent na Ústavu počítačové a informační vědy a zajišťování informací pilíře spolupráce vedoucí Centra pro Information Assurance a společného Forenzní výzkum vedl tým, který zkoumal bezpečnost a použitelnost nové generace CAPTCHA, které jsou založeny na jednoduchých počítačových her. Výzkumníci UAB zaměřen na celou formu gamelike CAPTCHA, říká dynamická poznávací hra, nebo DCG, CAPTCHA, které vybízejí uživatele k provedení gamelike kognitivní úkol interakci s řadou dynamických snímků. Například, v "loď parkování" DCG výzvu, je uživatel povinen identifikovat loď z řady pohyblivých objektů a drag-and-drop jej do umístění "dock" k dispozici. puzzle je snadné pro lidské uživatele na řešení, ale může být obtížné pro počítačový program, zjistit. Také jeho gamelike povaha může proces poutavější pro uživatele ve srovnání s konvenčními textových CAPTCHA. Saxena tým vyrazil prozkoumat účinnost DCG CAPTCHA. Nejprve vytvořil dynamické kognitivní herní prototypy představují společný typ DCG CAPTCHA, a pak vytvořil nový, plně automatizovaný rámec útok rozbít tyto výzvy DCG. . Útok je založen na počítačového vidění techniky a dokáže automaticky vyřešit nové herní výzvy, na základě znalostí současné době ve "slovníku", postavený z minulých výzev "V tradičních CAPTCHA systémy, počítače, může se jen těžko zjišťuje, co je deformované znaky jsou - ale vyškolení lidé mohou dělat to během několika sekund, "uvedl Saxena. "Potíž je v tom, že zločinci si přišel na to, že mohou platit lidi - penny nebo méně za jednotku času - sedět před obrazovkou a" řešit "CAPTCHA nechat je dělat to, co chtějí. Toto je známé jako CAPTCHA relé útoku. " "Většina stávajících odrůd CAPTCHA je zcela bezbranný vůči těmto relé útoky," řekl Mohamed Manar, UAB doktorand a další spoluautor na papíry. "Náš výzkum ukazuje, že DCG CAPTCHA Zdá se, že jeden z režimů CAPTCHA fi RST, které umožňují spolehlivou detekci relé útoků." V době, kdy řešitel poskytuje umístění pohybujících se objektů v dané výzvy rámu, samotní objekty by se přestěhovali do jiné míst, což poskytuje informace byly nepřesné. Web robot pokus o porušení neprojde výzvu způsobeno buď čas, nebo k vytváření příliš mnoho nesprávné drag-and-drop operace, které by byly uznávané backend serveru, jak se liší od normální lidské chování. Jako výsledek, DCG CAPTCHA může poskytnout ochranu proti útoku relé do určité míry. použitelnosti studie těchto CAPTCHA DCG ​​prováděných týmem ukazují více uživatelsky příjemný a hravý výprava směru ve srovnání s konvenčními textových CAPTCHA. Výzkumný tým Nyní pracuje na re-navrhování DCG CAPTCHA tak, aby automatizované nebo částečně automatizované útoky mohou být provedeny obtížné, aby byla zachována jejich přirozená použitelnosti výhody a toleranci k relé útoky. Tým pracuje se společnostmi, jako Vy jste člověk, který nabízí již na první komerční konkretizaci DCG CAPTCHA.

Google spouští upozorňuje uživatele na podvodné stažení
25.8.2014 Bezpečnost
Společnost Google oznámila vítanou změnu svého Bezpečného prohlížení služby: od příštího týdne, Google Chrome bude také varovat uživatele o pokusy o jejich stažení software, který může nepříznivě ovlivnit jejich procházení Internetu.

Bezpečné prohlížení je webová služba, která je také používán Mozilla Firefox a Apple Safari prohlížeče, a upozorňuje uživatele na nebezpečné webové stránky (malware, phishing), útoku míst, a upozorňuje webmastery, pokud byly hacknutý jejich stránky. Pokaždé, když uživatel přejde na webové stránky, její URL se kontroluje proti neustále se měnícím blacklist ot nebezpečných míst, a přístup k webu je blokován, pokud je to na seznamu. Tato nová úprava se zaměří na podvodný software - software, který se vydává za užitečné ke stažení, ale bude neočekávané změny počítače uživatelů, jako je změna jejich domovskou stránku, přidání nežádoucí panel nástrojů prohlížeče, měnit nastavení prohlížeče, a tak dále. varování mohou být propuštěni, a uživatelé mohou přistoupit ke stažení potenciálně nežádoucí aplikace, pokud opravdu chtějí, ale to jistě přijde vhod těm, kteří nemohou rozeznat rozdíl mezi legitimní, užitečné aplikace a stínu balíčků softwaru.

Jak se bezpečnostní odborníci se zabývají reakce na incidenty
25.8.2014 Bezpečnost
Záplava narušení bezpečnosti a útoky high-profil znamená, že bezpečnostní odborníci se ocitnou přemýšlela o reakce na incidenty, podle nového průzkumu SANS. "Mnoho malých organizací si myslí, že jsou méně významné cíl až po sofistikované útočníků, a jsou tedy v bezpečí z narušení, "říká analytik SANS a autor Alissa Torres. "Jako v minulém týdnu objev ztráty 1,2 miliardy uživatelských jmen a hesel z 420.000 webových stránek prokázáno, nic nemůže být dál od pravdy." Ve skutečnosti organizace všech velikostí se potýkají s případy, které vyžadují schopnost reakce na incidenty. A bohužel, pouze 9% respondentů označil jejich schopnosti reakce na incidenty jako velmi efektivní, a 26% nespokojeno s odvoláním na nedostatek nebo čas, aby přezkoumala a praktické postupy (62%) a nedostatek rozpočtu (60%) jako hlavní překážky pro efektivní odpověď. Jake Williams, SANS analytik a reakce na incidenty profesionální, dodává: "Celkově lze říci, organizace nejsou připraveny zvládnout své požadavky reakce na incidenty. Mít plán k řešení mimořádných událostí, včetně vymezení toho, co představuje událost, umožňuje organizacím řešit problémy když nastanou. " Přesto 43% respondentů nemělo formalizované plány reakce na incidenty a 55% nemělo formální týmy reakce na incidenty. Williams pokračuje: "Obě tyto situace vedou k nesouvislých přístupů ke správě a sanace incidentů, což má za následek opožděné reakce a dražší zmírnění." Výsledky průzkumu ukazují na automatizaci a informací o zabezpečení a integrace event management nástrojů, jako hlavní prostředek ke zlepšování procesů reakce na incidenty.

Encore Networks uvádí na trh ultra-nízkou cenu router bezdrátové připojení k síti VPN
25.8.2014 Bezpečnost
Encore Networks zahájila EN-2000, což je ultra-nízkou cenu bezdrátový router VPN určené pro vysokou dostupnost M2M aplikací v pevných nebo přenosných místech podporují video dohled, digital signage a vzdálený přístup jak na veřejné nebo privátní síti Verizon Wireless 4G LTE.

Tento mrak ready směrovač využívá Quanta LTE modul pouze využívat výhod Verizon vysokou rychlostí 4G LTE řídit aplikace za výrazně nižší náklady pro koncového uživatele. Podnikoví zákazníci mohou využít 4G LTE jako primární nebo záložní připojení, což eliminuje vysoké náklady tradičních kabelových sítí a souvisejících problémů, včetně instalace časy a výpadky. LTE pouze vestavný modul, spotřebovává méně energie než tradiční dual radiových modulů 4G / 3G, která může stát až třikrát déle. Všechny bezdrátové směrovače Encore přesunu dat prostřednictvím veřejné nebo privátní IP mobilní infrastruktury, odstranění závislosti na telefonní metalické spoje a zároveň poskytuje VPN technologie. Encore zařízení zajišťuje bez licence Enterprise Class IP, VPN, Firewall, směrování a IP funkcí, které spolupracují. EN-2000 je dodáván s tříletou záruku a je k dispozici za doporučenou cenu 285 dolarů.

Narušení bezpečnosti osobních údajů a vysoce rizikových zranitelností nadále dominovat
24.8.2014 Bezpečnost
Kybernetické hrozby, narušení bezpečnosti osobních údajů a vysoce rizikových zranitelností nadále dominovat první polovinu roku 2014 Závažnost těchto útoků intenzivní s finančními a bankovními institucemi, jakož i maloobchodní prodejny, podle Trend Micro.

Celkem útoky odhalily více než 10 milionů osobních záznamů od července 2014 jasně ukazují, že je třeba, aby organizace přijaly strategičtější přístup k ochraně digitálních informací. Tyto dopadající útoky ve druhém čtvrtletí, které ovlivňují osobní údaje spotřebitele včetně odcizení dat, jako zákazník jména, hesla, e-mailové adresy, domácí adresy, telefonní čísla a data narození. Tyto typy osobních narušení soukromí ovlivnily tržby a zisk organizace přičemž zákazníci schopni získat přístup k účtům a řešení narušení služby. V důsledku toho mnoho zemí začalo rozvíjet přísnější zásady ochrany osobních údajů a sběr dat začít řešení tohoto problému. Od 15.července 2014, bylo hlášeno více než 400 narušení údajů incidenty, vytváří potřebu organizacím identifikovat a pochopit jejich základní údaje s cílem chránit a budovat efektivní obranné strategie, aby je v bezpečí. Změna v myšlení, organizace nejprve je třeba určit, které informace, které považují za "základní údaje", než vymýšlet plán, jak ji chránit. "Organizace musí zacházet informační bezpečnost jako základní součást dlouhodobé obchodní strategie, spíše než řešení bezpečnostních problémy, jako je terciární, drobné neúspěchy, "řekl Raimund Genes, CTO společnosti Trend Micro." Podobně jako mají obchodní strategii s cílem zlepšit účinnost, dobře promyšlený bezpečnostní strategie by také měla zlepšit současné postupy ochrany, které dosahují dlouhodobé výhody. události pozorované během tohoto čtvrtletí dále stanovit potřebu komplexnějšího přístupu k bezpečnosti ". Upozorní zprávy patří: kritické zranitelnosti vytvořil zmatek mezi profesionály v oblasti informační bezpečnosti a veřejnosti: Vysoce rizikové zranitelností postižené různé složky prohlížení internetových stránek a webových služeb, včetně server-side knihovnách, operačních systémů, mobilních aplikací a prohlížeče. eskalaci v závažnosti a množství útoků: závažnost útoků organizace upozornila na význam plánování reakce na incidenty a povědomí o bezpečnosti celé organizace. Počítačoví zločinci proti on-line bankovnictví a vývoje mobilních platforem : Nasazení mobilní ransomware a dvoufaktorové autentizace-lámání malware se objevil v reakci na technologický vývoj v on-line bankovnictví a mobilních platforem. Digital Life a Internet všeho zvířat (OIE), lepší způsob života s rozvíjejícími se zranitelností: FIFA World Cup 2014 konat v Brazílii je jedním z nejpopulárnějších sportovních událostí v novodobé historii. Jako takový, uživatelé čelí různé hrozby vztahující se k události-jeden z nejvíce používaných sociálního inženýrství háčky v tomto čtvrtletí. partnerství vymáhání Global právo vést k zatýkání: Při sdílení výsledků výzkumu s orgány činnými v trestním řízení, prevence finanční ztráty před počítačovou kriminalitou se ukázal jako účinný. "Uváděné útoky ve druhém čtvrtletí ukazují, že široké spektrum ohrožení může mít katastrofální dopad na celém světě," řekl JD Sherry, viceprezident pro technologie a řešení Trend Micro. "Implementace strategického plánu reakce na incidenty kováním spolupráce, a to jak interně, tak externě, zajistí agentur a průmyslových odvětví na zdroje na plnění a ochranu proti současným hrozbám bezpečnosti informací."

Náměstí zahajuje bug bounty programu
24.8.2014 Bezpečnost
Populární Kalifornie-založený finančních služeb a mobilních plateb společnost Square zřídila program, chyba nájemného na platformě HackerOne.

Oznámení bylo učiněno na panelu na Black Hat bezpečnostní konferenci minulý týden bezpečnostní expert a dobře známá chyba lovec Dino Dai Zovi, který byl nedávno najal náměstí, pravděpodobně postarat se o zjištění chyb a upevnění úsilí. " S tak mnoho prodejců se spoléhat na náměstí provozovat a rozvíjet své podnikání, udělali jsme jejich ochranu prioritou. Sledujeme každou transakci z výpad na vyplacení, inovace v oblasti prevence podvodů, a dodržovat standardy špičkových spravovat naši síť a zajistěte . naše webové a klientské aplikace Chráníme našich prodejců jako naše vlastní podnikání závisí na tom - protože to dělá, "Neal Harris, vedoucí zabezpečení aplikace týmu na náměstí, vysvětlil v blogu. "Jsme si vědomi, významný příspěvek na výzkum v oblasti bezpečnosti komunity mohou, pokud jde o hledání chyb a žádáme o pomoc, "dodal. Program bug bounty zahrnuje vlastnosti společnosti squareup.com nebo square.com , a jsou to zejména zájem o zasílání informací o možných problémech v platební toky společnosti. Služby, které by společnost mohla koupit v budoucnu, jsou off-limity pro prvních 90 dnů po nabytí. Společnost vysvětlila, co bude tvořit dobré a co je nezpůsobilé zprávu, a slíbil, že podat žalobu proti výzkumných pracovníků, kteří sdílejí podrobnosti o nalezených problémech s firmou, a ne s ostatními, dokud problémy jsou řešeny, kteří nejsou záměrně v rozporu s užitečnosti služby ostatním uživatelům a se svými údaji, které se nemusí spustit DoS útoky proti službě, a don 't provést jakýkoli výzkum nebo testování v rozporu se zákonem. Kromě dostat své jméno do síně slávy, budou vědci odměněni za své úsilí s minimální odměnu ve výši $ 250 za chybu. Zatím deset zranitelnosti sděleny společnosti byly opraveny, a odměny pohybovaly mezi $ 250 a 1500 amerických dolarů.

Jaká jsou rizika pro využití virtuální měna?
24.8.2014 Bezpečnost
Mnoho spotřebitelů jste slyšeli o Bitcoin , ale nemusí vědět nic o tom: ne celé spektrum výhod, a rozhodně ne na rizika, která může vystavit sami pomocí to. A pokud jde o méně známých digitálních měn, často ani nevědí, jejich jména, natož něco jiného. US Consumer Financial Protection Bureau (CFPB) se nakonec rozhodla vystoupit a vydat informační zpravodaj vysvětluje některé z věcí, . Výše uvedené přirozené, že se soustředil na hláskovat rizika:. hacking, méně právní ochrany, náklady a podvody, které oplývají stále vznikajícím digitálním měnovém trhu "Zatímco virtuální měny nabízejí potenciál pro inovace, hodně velkých otázek, ještě musí být vyřešeny - z nichž některé jsou velmi důležité, "poznamenal organizace. Jedna z věcí, které varovaly, je skutečnost, že virtuální měny nejsou vydány nebo podloženy jakoukoliv vládou nebo centrální bankou, a že nikdo není povinen je přijmout jako platbu nebo je vyměnit za tradiční měny. "Pokud je něco při nákupu virtuální měny špatně, víte, jak se kontaktovat prodejce? Některé ústředny virtuální měna neoznačují své vlastníky, jejich telefonní čísla a adresy, nebo dokonce země, kde se nacházejí, "varuje úřad. "Zeptejte se sami sebe: V každém jiném obchodní transakce, by se vám věřit těmto lidem s vašimi penězi?" Oni také poukázal na to, že spotřebitelé by měli být informováni o nákladech spjatých s použitím digitálních měn (měnových kurzů, transakční poplatky, atd), . jakož i na to, že jejich cena je předmětem dramatických cenových výkyvů Pro ty, kteří věří, že Bitcoin transakce jsou a vždy budou anonymní, úřad má špatnou zprávu: "Informace o každého a každou transakci Bitcoin je veřejně sdílet a ukládat navždy Trvalé. , motivovaní lidé budou pravděpodobně moci propojit své transakce, mimo jiné, vaše další transakce a veřejných klíčů, stejně jako IP adresy vašeho počítače. " digitální měny jsou vedeny v digitální peněženky, a tyto peněženky jsou zabezpečeny soukromým klíč, který uživatelé by měli držet v tajnosti před všemi. Bohužel, pokud toto tlačítko dostane ohrožena (přes hacking) nebo ztraceny, mohou uživatelé přijít o všechny své finanční prostředky -. A nemají žádný právní způsob, jak se dostat zpátky "Přečti si smlouvu s vaším poskytovatelem peněženky opatrně," radí. "Pokud jste propojili svůj bankovní účet nebo platební kartu do digitálního peněženku, mohou být také v ohrožení." Pro další informace a podnětné otázky, které uživatelé by měli znát odpovědi na před zahájením digitálního měny vlaku, podívejte se na užitečné poradenství .