- Zabezpečení -

H  Aktualizace  Analýzy  Android  Apple  APT  Bezpečnost  BigBrother  BotNet  Cloud  Exploit  Hacking  Hardware  ICS  Incidenty  IoT  IT  Kongresy  Kriminalita  Kryptografie  Kyber  Mobilní  OS  Ostatní  Phishing  Podvod  Ransomware  Rizika  Rootkit  Sociální sítě  Software  Spam  Těžařské viry  Útoky  Viry  Zabezpečení  Zranitelnosti

Úvod  Kategorie  Podkategorie 0  1  2  3  4  5 

Právo být zapomenut využilo na Googlu už téměř 2,5 miliónu lidí

3.3.2018 Novinky/Bezpečnost Zabezpečení
Americká internetová společnost Google dostala od poloviny roku 2014 bezmála 2,5 miliónu žádostí o vymazání odkazů z výsledků hledání v rámci „práva být zapomenut”. Jak podnik uvedl ve výroční zprávě, toho využívají politici, celebrity, ale například také úředníci. Upozornil na to server The Verge.
Firma s procesem výmazu dat začala v červnu 2014.

„Právo být zapomenut" ve výsledcích populárního vyhledávače Googlu lidem před lety přiznal Soudní dvůr Evropské unie. Stalo se tak v případu jednoho Španěla, který si stěžoval na údajné narušení soukromí v souvislosti s dražební vyhláškou na jeho opětovně nabytý dům, která se objevila ve výsledcích vyhledávání.  

Lidé, kteří se rozhodnou žádost podat, mimo jiné musejí předložit digitální kopii průkazu k ověření totožnosti, například platného řidičského průkazu, vybrat z nabídky 32 evropských zemí tu, jejíž zákony se na žádost vztahují, poskytnout internetovou adresu každého odkazu, jehož odstranění požadují, a vysvětlit, proč je tato adresa „ve výsledcích vyhledávání irelevantní, zastaralá nebo jiným způsobem nevhodná".

Žádost je možné podávat prostřednictvím tohoto internetového formuláře.

Kritici označují rozhodnutí soudu za cenzuru a snahu o vymazávání historie, jejímž důsledkem bude, že o vymazání nepohodlných údajů budou žádat politici a zločinci. To se do určité míry stalo, neboť zástupci Googlu přiznali, že například politici o výmaz skutečně žádají.

Zastánci verdiktu jej hájí tím, že soud vyňal ze svého rozhodnutí odkazy, u nichž právo veřejnosti na informace převažuje nad právem jednotlivce na soukromí.

Certifikát na tři roky už si nepořídíte, maximální platnost se zkrátila na dva
3.3.2018 Root Zabezpečení

Počínaje dnešním dnem nesmí certifikační autority vydávat TLS certifikáty s délkou platnosti tři roky. Maximální délka platnosti DV a OV certifikátů se zkracuje na dva roky, stejně jako tomu je u EV.

Členové CA/Browser Fora už před rokem rozhodli, že se maximální doba platnosti Domain Validated (DV) a Organization Validated (OV) certifikátů k 1. březnu 2018 zkrátí z 39 měsíců na 825 dnů (přibližně 27 měsíců). Od dnešního dne tedy autority nevydávají nové certifikáty na tři roky, ale nejdéle na dva. Starší tříleté certifikáty samozřejmě existují dál a podle své životnosti běžným způsobem doběhnou.

Některé autority ke změně přistoupily s předstihem, například DigiCert vydával tříleté certifikáty do 20. února, následující den už platila nová pravidla a mohli jste pořídit jen dvouletý certifikát. Autorita o tom ovšem své zákazníky informovala s předstihem, takže pokud jste stihli certifikát získat dříve, máte jej vystavený až do roku 2021. Firma vydala ke změně infografiku, která vysvětluje, jak se platnost zkracuje a jak pak bude autorita přistupovat k vystavení duplikátů certifikátů:

DigiCert
Zkracování platnosti nových certifikátů

Průběžně zkracujeme
Potřebu zkracování platnosti certifikátů vysvětluje například autorita GlobalSign, která poukazuje na stále se měnící pravidla, která se musejí přizpůsobovat proměnlivé bezpečnostní situaci. Snížení maximální životnosti certifikátu ze tří na dva roky pomáhá omezovat přítomnost starších, zastaralých a možná i nebezpečných certifikátů, které vznikly před zavedením nových pravidel.

Když se například začalo s výměnou slabé hašovací funkce SHA1, umožňovala pravidla vydávat DV a OV certifikáty na pět let. To znamená, že některé z nich jsou stále ještě platné. Pět let je velmi dlouhá doba. Vzniká tak jakési šedivé období, ve kterém sice už neplatí stará pravidla, ale stále ještě platí staré certifikáty podle nich vydané.

Zkracování doby platnosti umožňuje omezit toto období a uvést nová pravidla do praxe výrazně rychleji. GlobalSign proto například změnu provedl o rok dříve a tříleté certifikáty přestal vydávat už 20. dubna 2017. Tlak na další zkracování platnosti tu stále je, takže se pravděpodobně za čas dočkáme dalších změn.

Od deseti let ke třem měsícům
Úpravou doby platnosti certifikátů se zabývá také známý bezpečnostní odborník Scott Hellme. Ten na svém webu podrobně vysvětluje, proč je potřeba ještě dále zkracovat. Před deseti lety, kdy ještě neexistovala žádná (samo)regulace, byla autorita GoDaddy schopna vydat certifikát třeba na deset let. Některé z nich stále ještě platí, jak se můžete přesvědčit v databázi Censys.

Certifikáty s platností 10 let

První nastavení hranice pak přišlo v roce 2012, kdy byla CA/Browser Fórem přijata první verze pravidel pro certifikační autority [PDF], která omezovala platnost certifikátů na 60 měsíců – tedy na pět let. Hned v roce 2015 ale byla maximální doba platnosti zkrácena na 39 měsíců – tedy na tři a čtvrt roku. To byl vlastně stav, který jsme tu měli až do včerejšího dne.

Další návrh přišel až v únoru roku 2017, kdy Ryan Sleevi z Google navrhoval razantní omezení na 398 dnů – tedy na pouhý rok. O návrhu hlasovalo 25 autorit, ale pro byla jen jediná: Let's Encrypt. Tato otevřená autorita totiž od začátku vydává certifikáty jen na tři měsíce a její názor je v tomto ohledu naprosto jasný.

V březnu 2017 byl pak předložen další návrh, který upravoval maximální platnost certifikátů na 825 dnů – tedy na dva a čtvrt roku. Pro tuto variantu naopak hlasovaly všechny zúčastněné strany. To je právě návrh, který dnes vstoupil v platnost. Můžeme předpokládat, že se za čas opět někdo pokusí předložit další návrh, třeba opět na už jednou probíraných 398 dnů.

Proč je to potřeba
Na první pohled se zdá, že zkrácení z 10 let na tři měsíce je šíleně otravné a jen přidělává spoustu práce. Ve skutečnosti existuje ale řada praktických důvodů, proč nechceme mít na internetu certifikáty s dlouhou dobou platnosti.

V první řadě: revokace nefungují. Pokud vám unikne privátní klíč (což se opravdu stává), chcete mít možnost starý certifikát zneplatnit ještě před jeho skutečným vypršením. V opačném případě se za vás držitel klíče může zbytek doby platnosti vydávat. V současné době bohužel nemáme rozumný a široce podporovaný způsob revokace. Klasické seznamy CRL jsou obrovské, alternativní OCSP je zase problémem pro soukromí. Navíc je tu otázka, co má prohlížeč dělat, když jsou servery autority nedostupné – přestává tu tedy fungovat hlavní výhoda certifikátů, tedy možnost jejich offline ověření.

Tvůrci prohlížečů proto přistoupili k vlastnímu řešení, kdy do instalace sami vkládají seznamy neplatných certifikátů. To má také několik na první pohled viditelných úskalí – seznamy jsou tvořeny centrálně, výběrově a každý prohlížeč si to dělá po svém. Jak tedy můžete stoprocentně zajistit, že váš kompromitovaný certifikát bude revokován u všech uživatelů? Nemůžete. Nejde to.

V takové situaci je velký rozdíl, jestli máte certifikát vystavený na tři měsíce nebo na tři roky. Certifikát s krátkou platností za pár dnů vyprší a nic dalšího se nestane, nedáváte útočníkovi do ruky bianco šek, který je možné třeba dva a půl roku zneužívat.

Od dubna také bude nutné, aby byl platný certifikát v logu Certification Transparency. Ve skutečnosti bude muset být alespoň ve třech databázích od tří různých organizací. V průběhu životnosti certifikátu se ale může stát, že některý z logů bude z nějakého důvodu z prohlížečů vyřazen a jeho hlas přestane platit. V takové situaci přestane být důvěryhodný i daný certifikát, protože naráz bude mít platné potvrzení jen od dvou logů. Certifikáty s kratší dobou platnosti budou mít výhodu – včas se protočí, získají jiná potvrzení a problém nevznikne.

Musíme začít automatizovat
Správci serverů si začínají v mnoha oblastech zvykat na automatizaci, což se čím dál více týká i certifikátů a autorit. Uživatelé autority Let's Encrypt jsou na automatizaci od začátku zvyklí, postupně bude pronikat i dalším autoritám. Jelikož je protokol ACME otevřený, je možné jej použít k obsluze vlastní autority.

Je tedy pravděpodobné, že se brzy i klasické komerční autority budou snažit nabídnout automatickou cestu k získání certifikátů. Registrujete se, nabijete kredit a budete mít přístup k API umožňujícímu vystavit nové certifikáty. Odstraní to otravné ruční obnovování a zabrání lidské chybě. Let's Encrypt už navíc v praxi ověřuje, že je to velmi pohodlná a bezproblémová cesta.

Windows 7 bez antiviru, ale také s některými antiviry nepřijímá aktualizace. Co s tím?

3.3.2018 CNEWS.cz Zabezpečení
Proč se v některých případech automaticky nestahují aktualizace pro Sedmičky? Co se s tím dá dělat?

Microsoft byl nucen zastavit distribuci letošních lednových a únorových opravných balíčků pro Windows 7. Situace je však dočasná a týká se jen některých zařízení, nejedná se o dlouhodobou paušální změnu politiky, jak by se mohlo zdát. Aktualizace aktuálně nepřijímají stroje s některými antiviry. Ve výsledku však aktualizace nepřijímají ani zařízení bez antivirových systémů.

Proč? To si hned vysvětlíme.

Dostupnost letošních aktualizací pro Windows 7
Byl identifikován problém s kompatibilitou s některými antiviry po aplikaci lednových, ale později také únorových opravných balíčků. Konkrétní jména nepadla, takže nevíme, jakých antivirů a v jakých verzích se jich situace týká. Některé antiviry provádí nepodporovaná volání do jádra Windows – jsme opět u problematiky, kdy mnohé antiviry vzhledem ke hlubokým a možná necitelným zásahům do systému působí potíže.

Tato volání mohou způsobovat pády operačního systému. Situace může eskalovat až do stavu, kdy systém není schopný nastartovat. Microsoft to přímo neuvádí, ale podobná situace nastala také ve Windows 10, přičemž nekompatibilita vznikla po implementaci ochranných opatřeních proti dírám Spectre a Meltdown.

Bezpečnost

Také v případě Desítek proto platí, že během ledna a února vydané aktualizace nemusí být nainstalovaný na systémech s nekompatibilními antiviry. Klíčová je otázka, jak se Microsoft rozhodl ověřit kompatibilitu. Pokud je antivirus kompatibilní, musí v registru provést určitou úpravu, jež slouží jako signál. Bez tohoto signálu je distribuce aktualizací pro daný počítač pozastavena, viz např. článek Únorové záplatovací úterý nabídlo dávku oprav pro Windows.

Ačkoli se jedná jen o můj odhad, řekl bych, že to stejné platí na sestavách s Windows 7. jinými slovy Microsoft kompatibilitu systému s novými aktualizacemi zatím ověřuje kontrolou příslušné hodnoty v registru. Pokud není nastavena antivirem, do systému nejsou vpuštěny nové aktualizace – aspoň ne automatizovaně skrze Windows Update.

Windows 7 bez antiviru
Patrně jste se dovtípili, kde leží zakopaný pes. Zatímco Desítky v základní výbavě obsahují antivirus Windows Defender, Windows 7 obsahuje jen antispyware Windows Defender. Ten se proměnil v plnohodnotný antivirový nástroj až ve Windows 8, přičemž byl odvozen ze samostatně stojícího produktu Microsoft Security Essentials mj. pro Sedmičky.

Redmondští tento antivirový systém zdarma ke stažení stále nabízí, jenže stažení je volitelné – ve výsledku základní instalace Windows 7 antivir neobsahuje. Je proto možná trochu zvláštní, že Microsoft kontrolu kompatibility s posledními systémovými aktualizacemi nastavil tak, že pokud nemáte antivirus žádný, nikdo příslušnou hodnotu v registru nenastaví a zařízení nebude přijímat aktualizace.

Řešení
Situace se může změnit, do té doby ale můžete podniknout kroky k nápravě. Pakliže jste si do Sedmiček žádný antivir nepřidali, můžete si nějaký stáhnout. Jak jsem již uvedl, např. Microsoft nabízí zdarma svůj Security Essentials. Pokud antivirus používáte, ujistěte se, že máte poslední verzi. Případně se informujte u výrobce, zda je produkt kompatibilní s posledními aktualizacemi pro Windows.

Pakliže žádné antivirové řešení používat nechcete, je doporučeno, abyste manuálně vytvořili v registru příslušnou hodnotu, aby Windows mohl nadále automaticky přijímat aktualizace. V Editoru registru nastavte hodnotu:

Klíč: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\QualityCompat
Hodnota: cadca5fe-87d3-4b96-b7fb-a231484277cc
Typ: REG_DWORD
Data: 0x00000000 (Údaj hodnoty = 0)

Speciální antivirus pro chytré televize představil Eset

28.2.2018 SecurityWorld Zabezpečení
Smart TV Security, bezpečnostní aplikaci pro chytré televizory s Androidem, oznámil Eset. Novinka podle výrobce ochrání diváky před narůstajícími útoky pomocí malwaru včetně obrany před ransomwarem.

Prostřednictvím napadnutého chytrého televizoru mohou kyberzločinci proniknout i do jiných zařízení připojených do stejné domácí sítě, ale také provádět špionáž a shromažďovat citlivé osobní údaje. I kvůli tomu navrhnul Eset vlastní aplikaci na ochranu chytrých televizorů s operačním systémem Android TV.

„Vzhledem k rizikům, jež představují ohrožení bezpečnosti a soukromí, musí uživatelé řešit ochranu chytrých zařízení v domácnosti stejným způsobem, jako chrání své notebooky, tablety nebo mobilní telefony – nemohou k nim přistupovat jako k obyčejným televizím, varným konvicím nebo hodinkám,“ tvrdí Branislav Orlík, Mobile Security Product Manager společnosti Eset.

Chytré televizory s operačním systémem Android TV se podle něj stávají terčem nechvalně proslulého vyděračského ransomwaru určeného pro zařízení s Androidem, který se již řadu let zaměřuje na tablety a chytré mobilní telefony.

Hrozba se nyní rozšířila i na televizory s tímto operačním systémem, což vedlo k případům zašifrovaných obrazovek a požadavkům na výkupné za jejich odšifrování.

Aplikace Smart TV Security využívá při ochraně diváků různé bezpečnostní funkce, mezi něž patří:

Antivirová ochrana, jež brání v průniku rostoucímu počtu škodlivého softwaru určenému pro zařízení s Androidem.
Nástroj Anti-ransomware, který chrání před zašifrováním obrazovky. Pokud již do televizoru proniknul ransomware a zašifroval data, doporučuje se divákům vypnout a znovu zapnout chytrou televizi, provést aktualizaci virové databáze a spustit skenování malwaru. Pokud Smart TV Security detekuje ransomware, doporučí uživateli odinstalovat malware. Po potvrzení jeho odinstalování bude ransomware vymazán.
Skenování více zařízení na přítomnosti škodlivého softwaru, včetně těch, která se k chytré televizi připojují prostřednictvím USB.
Antiphishing na ochranu uživatelů před pokusy o krádež citlivých osobních dat. Tato funkce bude k dispozici pouze v prémiové verzi aplikace Smart TV Security.

Bezpečnostní aplikaci lze do televizoru stáhnout prostřednictvím obchodu Google Play.

CZ.NIC spouští HaaS: honeypot as a service
20.2.2018 Root.cz Zabezpečení

Přesněji, přivítat jste ho mohli v říjnu loňského roku, kdy jsme spustili jeho beta verzi. Z počátku jsme nechávali volnou registraci a ladili první nedostatky, zátěžovou zkouškou pak bylo přesunutí všech uživatelů routerů Turris.

Veškeré problémy a připomínky jsme vyřešili a nic nebránilo tomu spustit ostrý provoz služby HaaS neboli Honeypot as a Service.

Co to vlastně HaaS je a k čemu slouží? Honeypot je speciální aplikace, která simuluje operační systém a dovoluje potenciálnímu útočníkovi se přihlásit přes SSH do koncového zařízení a provést libovolné příkazy nebo třeba stáhnout malware. Nainstalovat si takovou aplikaci není jednoduché a pokud se v ní objeví chyby, může být i nebezpečná. Proto jsme se rozhodli vzít bezpečnostní riziko na sebe a zpřístupnit honeypot jako veřejnou službu, na kterou mohou uživatelé Internetu přesměrovat útoky vedené na jejich routery.

Moc rádi bychom řekli, že stačí na vašem routeru či serveru povolit port 22 a přesměrovat na naše servery, ale není tomu tak. Snažili jsme se však o co nejjednodušší řešení, co se instalace a vývoje týče. Věřte, že jsme minimálně měsíc strávili pouze výběrem proxy, která musí u uživatelů běžet. K čemu proxy je? Pouze k jednomu malému, ale velmi důležitému detailu. Abychom znali IP adresu útočníka, která slouží k následné analýze chování útočníků s cílem odhalení nových, dosud neznámých útoků.

Dobrá zpráva je, že i přes krátkou dobu provozu a porodní bolesti máme hodně dat. S přírůstkem deset tisíc SSH sessions za hodinu, v takto malém počtu uživatelů (aktuálně 1 600 aktivních uživatelů), budeme brzy řešit zajímavé úlohy, jak všechna data stihnout analyzovat. Uděláme pro to maximum, protože botnety volající rm -rf jako první příkaz nás děsí a je třeba s nimi zatočit.

Nasbíraná data využívá Národní bezpečnostní tým CSIRT.CZ pro zkoumání útoků z českých IP adres, o čemž jsou pak majitelé informováni a hlavně vyzváni k nápravě. Největší počet útoků pochází z Číny, proto již spolupracujeme s Taiwanem, aby i u nich mohli zasáhnout. Na spolupráci s dalšími bezpečnostními týmy se pracuje.

NMI18_Materna
Pokud se chcete do projektu zapojit, můžete tak učinit na stránkách haas.nic.cz, kde se zaregistrujete a dle pokynů nainstalujete HaaS proxy (dostupné jako deb a rpm balíček, na PyPI nebo jen tar). V případě zájmu o analýzu dat jsou anonymizovaná data dostupná na stránce s globálními statistiky. Chybí v nich úmyslně použitá hesla, protože jsme zaznamenali nejeden případ, při kterém se uživatel omylem dostal do svého vlastního honeypotu.

Velká část e-mailů putuje internetem nešifrovaně. Kdo to změní?
20.2.2018 Root.cz Zabezpečení

Máme rok 2018 a stále jsme se ještě nevypořádali ani s pořádným šifrováním elektronické pošty. IETF má nyní nová doporučení ohledně šifrování a co možná nejlepší ochrany uživatelů. Jak jsou na tom vaše maily?

Internet Engineering Task Force (IETF) se dlouhodobě snaží o bezpečný a důvěryhodný internet. Nejnovějším příspěvkem na tomto poli je nový standard zavádějící bezpečnější přístup k elektronické poště. Přestože máme rok 2018, stále je v této oblasti co dohánět, protože velká část pošty putuje internetem v otevřené podobě nebo s velmi slabým zabezpečením.

Výsledkem je RFC 8314, ve kterém Chris Newman z Oracle a Keith Moore z Windrock vysvětlují, že v některých případech není komunikace mezi klientem a serverem šifrovaná. Zároveň dokument novelizuje celou řadu předchozích standardů a zavádí přísnější přístup s cílem zajistit uživatelům výrazně vyšší bezpečnost.

Oportunistické šifrování nestačí
Dokument identifikuje hlavní nedostatky v komunikaci mezi e-mailovým klientem (MUA) a servery. Ty mohou být přitom dvojího druhu – pro odesílání pošty (Submission) a příjem pošty (Access). Používají různé protokoly jako Internet Message Access Protocol (IMAP) (RFC3501), Post Office Protocol (POP) (RFC1939) a Simple Mail Transfer Protocol (SMTP) Submission (RFC6409).

Obvykle se při jejich použití používá zabezpečení pomocí Transport Layer Security (TLS) (RFC5246), ale často to není prováděno tím nejlepším způsobem vzhledem k utajení e-mailové komunikaci při přenosu internetem.

Typickým příkladem je takzvané oportunistické (česky příležitostné) šifrování. Předchozí standardy (RFC 2595, 3207 a 3501) totiž doporučovaly používat právě tento způsob. Klient se k serveru připojí běžným otevřeným protokolem bez šifrování a teprve v průběhu komunikace může navrhnout přechod na šifrovanou komunikaci pomocí příkazu STARTTLS.

Konkrétní podoba šifrovaného kanálu pak závisí na dohodnutých schopnostech obou stran. Jinými slovy: pokud o to klient výslovně požádá, může být zahájeno vyjednávání o sestavení nového šifrovaného kanálu pro bezpečnější komunikaci. K němu ovšem vůbec nemusí dojít, pokud se protistrany nedohodnou, přenese se pošta v klidu nešifrovaně. Navíc začátek celé komunikace vždy probíhá v otevřeném prostředí a může tak být odposloucháván nebo manipulován.

Řešení existuje, je jím implicitní šifrování, tedy použití odděleného TCP portu, na kterém se nejprve vždy povinně naváže TLS spojení a teprve v něm probíhá komunikace s poštovním serverem. Čerstvě vydané RFC tedy pro protokoly POP, IMAP, SMTP a další příbuzné doporučuje právě použití této bezpečnější metody.

Klient musí ověřovat certifikáty
Nový dokument zavádí povinnou validaci certifikátů na straně klienta, který se tak musí při navazování spojení řídit RFC 7817. V případě POP3S a IMAPS s tím není problém, protože implicitní TLS je dnes na serverech už velmi rozšířené. Jinak je to ale v případě SMTP, kde je stále ještě častým zvykem používat oportunistické šifrování se STARTTLS. Aby byl přechod pro uživatele pokud možno hladký, měly by servery po přechodné období implementovat jak STARTTLS na portu 587, tak bezpečnější implicitní TLS na portu 465.

TCP port 465 původně vznikl pro TLS variantu SMTP, ale poté se ukázalo, že není možné nijak pomocí MX záznamu signalizovat šifrování (a tedy ani použití jiného portu). Proto se stále pro komunikaci mezi servery používá původní port 25 a vyhrazení nového portu 465 bylo zrušeno. Řada uživatelů ale už mezi tím začala nový port používat pro doručení pošty ze svého klienta s implicitním TLS. Tento postup se nyní formalizuje zavedením nové služby Submissions.

Port 25 není určen pro klienty
Stále rozšířené je použití TCP portu 25 také pro doručení pošty na odesílající server (SMTP Submission), pro které jsou ovšem vyhrazeny už zmíněné porty 587 a 465. Tvůrci nového RFC proto říkají, že by poskytovatelé služeb měli své uživatele co nejdříve přesunout na bezpečnější varianty – ať už oportunistické nebo implicitní. To navíc bez ohledu na to, zda se uživatelé při použití dané služby musejí autentizovat.

Port 25 by tak měl být vyhrazen pro komunikaci mezi servery a klienti by přes něj neměli vůbec poštu na svůj odesílací server předávat. Bohužel je historicky na použití tohoto portu řada uživatelů zvyklá, takže i někteří poskytovatelé poštovních služeb nabízejí přijetí pošty přes tento port. Zároveň ale poskytovatelé připojení často použití portu 25 blokují kvůli boji s odchozím spamem, takže jsou uživatelé chtě něchtě tlačeni do použití správných rozhraní.

Změny na obou stranách
Výše uvedené změny se týkají e-mailových klientů (Thunderbird, Outlook, Apple Mail a dalších), ale také serverů. Ty podle RFC musí implementovat TLS na zmíněných komunikačních protokolech a měly by tak učinit i na jakýchkoliv dalších. Povinně musí TLS umožnit na těch protokolech, kde se uživatel přihlašuje pomocí jména a hesla.

NMI18_Sedivy
Poskytovatelé poštovních služeb by co nejdříve měli ukončit podporu nešifrovaných protokolů, čemuž by měla předcházet postupná migrace uživatelů na šifrované kanály. Za bezpečné se při tom považuje TLS verze 1.1 a vyšší. Server by měl buďto spojení se starší verzí úplně odmítnout nebo přijmout, ale poté zamítnout přihlášení uživatele. Druhá varianta umožňuje navázat komunikaci a poté předat zprávu o důvodu selhání, přináší ale riziko vyzrazení přihlašovacích údajů uživatele. Po nových uživatelích by tak mělo být od začátku požadováno použití TLS alespoň verze 1.1.

RFC 8314 zavádí řadu nových MUST a SHOULD pro obě strany komunikace: klienta i server. Cílem je opustit zastaralé oportunistické šifrování a přinést i do přenosu elektronické pošty podobné standardy, na jaké jsme zvyklí například u HTTPS. Bohužel svět webu a svět elektronické pošty dělí dvě dekády (alespoň po formalizační stránce) a starší protokoly se novým trendům obecně přizpůsobují pomaleji.

Prediktivní antimalwarovou ochranu s podporou hlubokého učení má Sophos

6.2.2018 SecurityWorld Zabezpečení
Technologie hlubokého učení, kterou Intercept X nově využívá, je podle výrobce výrazně účinnější než tradiční strojové učení. Sophos je tak prý schopen nabídnout vysokou míru detekce infekci při nízkém stupni falešně pozitivních zjištění.

Dostupnost svého produktu Intercept X, který pro detekci malware využívá neuronové sítě s technologií hlubokého učení, oznámil Sophos. Hluboké učení přináší masivně škálovatelnou detekci, která se učí na celém dostupném spektru hrozeb.

Díky svým schopnostem zpracovávat stovky miliónů vzorků může být technologie hlubokého učení – ve srovnání s tradičním strojovým učením – přesnější i rychlejší a také méně náchylnější na falešně pozitivní zjištění.

“Úspěšnost tradičních modelů strojového učení velmi silně závisí na výběru atributů použitých pro tréning a tím se do celého systémů vnáší vliv lidského faktoru. Přidáváním nových dat navíc složitost těchto modelů neustále roste, systémy opírající se o gigabajty dat jsou těžkopádné a pomalé. Problémem je i velká míra falešně pozitivních zjištění, díky kterým musí administrátoři posuzovat, zda je daný software legitimní nebo jde o malware. A důsledkem tohoto jejich vytížení je nižší produktivita IT oddělení,“ vysvětluje Tony Palmer, analytik společnosti Enterprise Strategy Group (ESG).

Neuronová síť v Intercept X podle něj využívá technologii hlubokého učení, která je oproti tradičním modelům navržená tak, aby se učila na základě zkušeností a hledala vzájemné souvislosti mezi pozorovaným chováním a malware.

Tyto korelace podle Palmera umožňují dosahovat vysoké přesnosti jak v případě identifikace již existujícího, tak i dosud nezveřejněného (zero-day) malware. Významným přínosem je prý i snížení výskytu falešně pozitivních zjištění.

Součástí nové verze Intercept X jsou I inovace v oblasti boje proti ransomwarU i ochrany proti zneužívání zranitelností. Nechybí ani mechanismy pro aktivní boj s hackerskými pokusy, jako je například ochrana proti krádežím přihlašovacích údajů.

Jde o důležitá vylepšení, protože právě krádeže identit jsou stále častějším nástrojem, který kybernetičtí zločinci využívají pro průnik do chráněné informační architektury, ve které se pak mohou pochybovat jako zcela legitimní uživatelé. Nový Intercept X umí tato podezřelá chování odhalit a předejít možným důsledkům.

Intercept X lze nasadit prostřednictvím cloudové konzole Sophos Central, a to vedle jakékoli stávající softwarové ochrany koncových bodů – míru bezpečnosti tak lze zvýšit prakticky okamžitě. Při použití ve spojení s firewally Sophos XG přináší Intercept X NAVÍC výhody synchronizované ochrany, které ještě více posílí bezpečnost dané informační architektury.

Nové funkce a vlastnosti Intercept X jsou podle výrobce ty níže uvedené.

Detekce malware pomocí strojového učení:

Hluboké učení umí odhalit známý i dosud neznámý malware i potenciálně nežádoucí aplikace ještě před jejich spuštěním, a to bez využívání identifikačních vzorů
Model si vystačí s méně než 20 MB a nevyžaduje časté aktualizace dat

Aktivní opatření

Ochrana před krádeží přihlašovacích údajů – nový Intercept X zabraňuje zjišťování hesel a dalších přihlašovacích informací z paměti, registrů i úložišť a předchází tak mechanismům, které využívá například nástroj Mimikatz.
Zjišťování přítomnosti cizích programových částí propašovaných do jiných aplikacích, což je technika využívaná pro přetrvávající hrozby a vyhýbání se antivirovým kontrolám.
Ochrana před zneužitím APC (Application Procedure Calls), tedy před útoky typu AtomBombing a mechanismy šíření, které byly využité například u hrozeb WannaCry a NotPetya. Útočníci tato volání zneužili prostřednictvím exploitů EternalBlue a DoublePulsar a mohli tak škodlivý kód provést pomocí jiného procesu.

Nové a vylepšené techniky proti zneužívání zranitelností

Ochrana před migracemi škodlivých procesů, která detekuje vzdálené zneužívání dynamických knihoven, tedy techniky pro přesouvání mezi procesy běžícími na konkrétním systému.
Ochrana před zvyšováním oprávnění, která brání tomu, aby neprivilegované procesy získaly přístup k chráněným částem systému.

Pokročilejší omezování aplikací

Omezování aplikací na úrovni prohlížeče, které brání nežádoucímu spouštění příkazů PowerShell
Omezování HTA aplikací, které brání nežádoucímu chování stejně, jako by šlo o prohlížeč.

Wi-Fi bude opět bezpečné. WPA3 ochrání i otevřené sítě
9.1.2018 CNEWS.cz Zabezpečení
Wi-Fi jsou dnes nejčastěji chráněny technologií WPA2 starající se o autentizaci a šifrovaní sítí. Sada těchto protokolů ale pochází už roku 2004 a doposud neměla nástupce. Když bylo loni na podzim WPA2 kompromitováno exploitem KRACK, vývoj to rychle posunulo kupředu. Wi-Fi Alliance, sdružení výrobců spravující bezdrátový standard, proto včera představilo WPA3.

Přidává čtyři nové prvky ochrany, které zlepší bezpečnost sítí. Konkrétní detaily ale zatím zveřejněny nebyly.

V otevřených sítích v kavárnách apod. již mezi přístupovým bodem a připojeným zařízením bude probíhat šifrovaná komunikace, kterou nebude možné odposlouchávat. Šéf marketingu WFA Kevin Robinson ale dodává, že nejde o neprůstřelné řešení, jen nezbytné minimum, aby váš proud packetů nemohli snadno zaznamenávat ostatní uživatelé v dosahu.
Přibude účinnější ochrana u sítí zabezpečených slabým heslem. Nebude již možné slovníkovým útokem nebo hrubou silou zkoušet všechny možné kombinace, systém takové typy útoků zablokuje.
Žárovky, chytré vysavače a jiné spotřebiče využívající internet věcí budou rovněž bezpečnější. Aktuálně jsou totiž výrobky bez displeje kvůli jednoduchosti snadno napadnutelné. WPA3 má přinést možnost tato zařízení nastavovat pomocí blízkého mobilu či tabletu.
WPA3 podporuje nové 192bitové šifrování z Commercial National Security Algorithm Suite (CNSA Suite) vyvinutého v americkou vládní organizací. Bez bližších podrobností pouze víme, že půjde o extra stupeň ochrany určený pro citlivé sítě v podnicích nebo úřadech.
Zatím ani nevíme to hlavní, kdy se WPA3 objeví v prvních produktech a zdali půjde technologii dostat aktualizací firmwaru do současných zařízení, nebo bude potřeba vytvořit nová.

Neukládejte si důležitá hesla do prohlížeče. Nejsou tam v bezpečí!
4.1.2018 Živě.cz Zabezpečení

Neukládejte si důležitá hesla do prohlížeče. Nejsou tam v bezpečí!Neukládejte si důležitá hesla do prohlížeče. Nejsou tam v bezpečí!
Většina webových prohlížečů obsahuje správu hesel, která ukládá vaše přihlašovací údaje. Výzkumníci z Princetonské univerzity však zjistili, že existují skripty, které dokážou uložené údaje z prohlížečů tajně extrahovat, upozornil The Verge.

Výzkumníci zkoumali dva existující rozšířené skripty AdThink a OnAudience, které se využívají k marketingovým účelům. Oba jsou navrženy tak, aby získaly identifikovatelné informace ze správců hesel. Pokud si uložíte přihlašovací údaje do prohlížeče, systém tato data použije při příští návštěvě. Skripty pracují na pozadí webové stránky a vkládají do ní neviditelné přihlašovací formuláře, které pak prohlížeč vyplní automaticky.

Systém tímto způsobem sbírá přihlašovací jména k webovým službám. Získané údaje slouží jako ID uživatele a sledují jaké stránky navštěvuje. Na základě těchto informací mohou firmy lépe cílit svou reklamu. Samotná technika sice není novinkou, ale doposud byla známá z oblasti spíše z oblasti spywaru. Poprvé tuto techniku ​​používají reklamní agentury.

Může sbírat i hesla
Pluginy se zaměřují na e-mailové adresy a přihlašování jména, avšak systém se dá nastavit i tak, aby sbíral i přihlašovací hesla. Ta jsou sice uložena v zašifrované podobě, ale při „předání“ hesla stránce do formulářového pole je pochopitelně dekódováno, aby mohlo dojít k přihlášení. Následně už dojde k jeho zašifrování na úrovni webu a posílá se k ověření na server. Ne každý prohlížeč má přitom dostatečně silnou kontrolu nad tím, jak je zacházeno s heslem v odhalené podobě.

Vydavatelé webových prohlížečů by měli změnit fungování správců hesel, řekl jeden z profesorů, který se projektu účastnil. Navrhl, že jedním z nejbezpečnějších řešení by bylo správce hesel v prohlížečích jednoduše zrušit.

Potěší alespoň to, že vědci nezjistili ani na jedné z 50 tisíc testovaných stránek, že by docházelo k získávání hesel. Nalezeno byly pouze skripty sbírající přihlašovací jména a e-mailové adresy.

Vyzkoušejte si to
Získávání údajů si můžete ověřit sami na stránce, kterou výzkumníci vytvořili. Stačí když zadáte vymyšlený e-mail, heslo a údaje uložíte do vašeho prohlížeče. Poté přejdete na další stránku a tam vám zobrazí údaje, které jste si pro tento web do prohlížeče uložili. Po této zkušenosti si zřejmě uděláte v prohlížeči čistku důležitých přihlašovacích údajů, což lze jenom doporučit.

V prohlížečích existuje správa hesel, kde můžete všechny uložené údaje zkontrolovat a případně promazat. V prohlížeči Chrome je trochu schovaná v nastavení, ale snadno se k ní dostanete přímo přes adresu: chrome://settings/passwords

Jak (ne)bezpečná je virtualizace?

2.1.2017 SecurityWorld Zabezpečení
Firmy intenzivně využívají virtualizaci navzdory obavám z narušení bezpečnosti. Je to dobře?

Společnosti jsou s cloudem, virtualizací, a dokonce se softwarově definovanými datovými centry spokojenější, než tomu bylo v minulosti, a to navzdory obavám z narušení bezpečnosti, uvádí studie dvou technologických firem – HyTrust a Intel.

I když si nikdo nemyslí, že bezpečnostní problémy někdy zmizí, jsou firmy ochotné tolerovat rizika ve jménu agility, flexibility a nižších nákladů.

Přibližně 62 procent dotázaných manažerů, správců sítí a inženýrů očekává v letošním roce větší přijetí SDDC, což může měřitelně zvýšit virtualizaci a optimalizaci serverů, a dvě třetiny respondentů předpovídají, že se tyto implementace dokonce ještě dále zrychlí.

O bezpečnosti však nemají žádné iluze. Čtvrtina dotázaných uvedla, že zabezpečení bude i nadále překážkou, a více než polovina předpovídá pro letošní rok větší počet narušení. Ve skutečnosti jsou obavy ze zabezpečení primárním důvodem, proč zhruba polovina respondentů vůbec nevolí virtualizaci, uvádí zpráva.

Mají k obavám dobrý důvod. Jediný bod selhání ve virtualizované platformě, jako je například proniknutí do softwaru hypervizoru, který je bezprostředně nad hardwarem a funguje jako sdílené jádro pro všechno nad ním, má potenciál ke zneužití celé sítě – a nejen jednoho systému, jak tomu bývá obvykle.

„Je zde silný zájem, zejména mezi nejvyšším vedením společností, pokročit s těmito projekty, protože nabízejí jasné výhody,“ popisuje Eric Chiu, prezident a spoluzakladatel společnosti HyTrust. Příležitost ke zvýšení agility, výnosů a zisku přebíjí potřebu zvýšit bezpečnost virtuálního prostředí, dodává.

Personál oddělení IT se soustředí spíše na to, co umí ochránit, a ne nutně na to, co je potřeba chránit, uvádí zpráva společnosti Kaspersky Labs. Jen třetina z dotazovaných organizací má rozsáhlé znalosti virtualizovaných řešení, která používají, a přibližně jedna čtvrtina má tyto znalosti buď slabé, nebo dokonce vůbec žádné.

Dave Shackleford to ví až příliš dobře. Je lektorem týdenního kurzu zabezpečení virtualizace a cloudu pro institut SANS. Na konci prvního dne obvykle zjistí, že 90 procent studentů, mezi které patří mnoho správců systémů, virtualizace i cloudu, síťových inženýrů i architektů, má jen velmi malou představu o tom, co je nutné zajistit při zabezpečení virtuální infrastruktury.

„Máme zde organizace, které jsou z 90 procent virtualizované, což znamená, že celé datové centrum funguje někde mimo jejich úložné prostředí. Nikdo o tom tímto způsobem ale nepřemýšlí,“ uvádí Shackleford, který je zároveň výkonným ředitelem společnosti Voodoo Security.

„Není neobvyklé, když i u skutečně velkých a vyzrálých podniků zjistíte, že netuší o velkém množství potřebných bezpečnostních opatření pro virtuální prostředí nebo je nějakým způsobem přehlížejí,“ dodává Shackleford.

Zmatek se zvyšuje tím, že virtualizace způsobila posun v odpovědnostech IT v mnoha organizacích, podotýká Greg Young, viceprezident výzkumu v Gartneru. Datové centrum obvykle zahrnuje týmy vyškolené pro provoz sítí a serverů, ale virtualizační projekty jsou často vedené týmy specializovanými pro servery.

„Problémy se zabezpečením sítě jsou záležitosti, kterými se dříve ve skutečnosti nemuseli zabývat,“ vysvětluje Young.

Průměrné náklady na nápravu úniku dat ve virtualizovaném prostředí přesahují 800 tisíc dolarů, uvádí Kapersky Labs. Náklady na nápravu průměrně směřující k milionu dolarů jsou téměř dvojnásobkem nákladů ve srovnání s útokem na fyzické infrastruktury.

Společnosti zatím nepovažují technologii za jedinou odpověď na tyto bezpečnostní problémy, uvádí se ve výsledcích průzkumu společnosti HyTrust. Přibližně 44 procent účastníků průzkumu kritizuje nedostatek řešení od současných dodavatelů, nevyzrálost samotných výrobců i nových nabídek nebo problémy s interoperabilitou nezávislou na platformě.

Přestože dodavatelé jako třeba Illumio, Catbird, CloudPassage nebo Bracket Computing přinášejí řešení některých bezpečnostních problémů, firmy si nemohou dovolit čekat na další řešení zabezpečení.

„Máte-li nyní virtualizovaných 50 procent, dostanete se za dva roky na podíl 70 až 90 procent virtualizace a přidávání zabezpečení nebude nijak snadnější,“ vysvětluje Shackleford.

„Když začnete přesouvat provoz do cloudu – na Amazon nebo Azure nebo k libovolnému jinému velkému poskytovateli cloudu – chcete mít své zabezpečení alespoň promyšlené nebo v ideálním případě už zavedené, abyste se nedostali do situace, kdy byste měli menší kontrolu, než máte dnes.“

Bezpečnější prostředí

Výše zmínění bezpečnostní profesionálové souhlasí, že firmy skutečně mohou mít k dispozici zabezpečené virtuální prostředí už dnes, pokud si dokážou vytvořit jasnou představu své virtuální infrastruktury, používat některé technologie a nástroje zabezpečení, které už mají, a lépe harmonizovat technologii a zabezpečení ve firmě. Tady jsou jejich rady, jak to udělat:

1. Získejte kontrolu nad svou virtuální infrastrukturou

„Velmi dobré zabezpečení můžete získat pomocí plánování – vykonávání kroků zároveň s ověřováním nasazení bezpečnostních opatření,“ prohlašuje Young. Začíná to správou inventáře.

„Tým zabezpečení potřebuje získat popis infrastruktury s ohledem na virtualizaci,“ připomíná Shackleford.

Podle něj musíte zjistit, kde jsou hypervizory, kde konzole pro správu, co je v interní infrastruktuře, kde to je a jaké jsou provozní procesy pro údržbu toho všeho. Dále je potřeba definovat standardy pro jejich uzamčení. „Když už nic jiného, ​​je nutné uzamknout alespoň hypervizory,“ dodává Shackleford.

Významní dodavatelé, jako jsou VMware a Microsoft, mají návody, které vám pomohou, stejně jako například organizace Centrum pro zabezpečení internetu (CIS, Center for Internet Security).

2. Přehodnoťte způsob, jakým se díváte na data a úložiště.

Lidé vážně potřebují přemýšlet o svém prostředí jako o sadě souborů, tvrdí Shackleford. „Je to velmi velká změna pro bezpečnostní profesionály, když si mají uvědomit, že se celé datové centrum spouští z vaší sítě SAN. Musejí se tedy alespoň seznámit s druhy používaných kontrol.“

Dodavatelé také přehodnocují své přístupy k zabezpečení a vítají třetí strany, které umějí poskytnout opravy zabezpečení.

„Dříve problém spočíval v tom, že jsme se ptali, zda lze použít detailně nastavené zabezpečení sítě ve virtualizovaném prostředí, a dostávali jsme od provozního personálu odpověď typu ‚absolutně ne, nedokážeme to podporovat‘, uvádí Chris King, viceprezident pro sítě a zabezpečení ve VMwaru.

„Nyní jsou k dispozici technologie, které jim umožní přehodnotit reakci na tento požadavek. Jakmile se útočník dostane dovnitř, zůstává uvězněn v daném místě a musí při útoku prorazit další zeď.“

3. Šifrování dat

To je v současné době nejdůležitější, ale stále mnoho firem šifrování nepoužívá, uvádí Chiu. „Přetrvává zde zastaralá myšlenka, že ‚pokud se něco nachází mezi našimi čtyřmi stěnami, nemusíme se o to obávat‘, ale to rozhodně neplatí. Je nutné šifrovat minimálně všechna data zákazníků a veškeré duševní vlastnictví, ať už se nachází ve vašem prostředí kdekoli,“ prohlašuje Chiu.

„Samozřejmě že cloud situaci ztěžuje, protože nevíte jistě, kde data jsou, ale šifrování veškerých těchto dat by mělo být základním principem.“

4. Koordinujte co nejdříve týmy zabezpečení a infrastruktury.

Je potřeba zajistit spojenectví a koordinaci mezi týmem zabezpečení a týmem infrastruktury již od počátku virtualizačních projektů, prohlašuje Chiu. „Je mnohem jednodušší integrovat bezpečnostní opatření a požadavky od počátku, než něco přidávat dodatečně.“

Zabezpečení také musí plánovat požadavky organizace na několik příštích let. „Plánuje společnost virtualizovat data související s platbami a zdravotními záznamy? Plánuje přechod na sdílené prostředí, kde dojde ke sloučení obchodních a aplikačních vrstev? Na tom všem záleží, protože v závislosti na tom budou vaše požadavky jiné,“ dodává Chiu.

Bezpečnost citlivých informací zasílaných elektronicky se posílí

1.1.2018 Novinky/Bezpečnost Zabezpečení
Posílit bezpečnost citlivých informací posílaných elektronicky má za cíl novela zákona o utajovaných informacích, která bude účinná od začátku příštího roku. Změny mají zohlednit elektronizaci státní správy a posílit ochranu utajovaných informací.

Důvodem změn je to, že platný zákon umožňuje použít pasáže o administrativní bezpečnosti u utajovaných informací v papírové podobě. Nová úprava postupy ochrany informací promítá také pro zpracování a přenos utajovaných informací v elektronických spisech nebo v certifikovaném informačním systému.

„Prostřednictvím uvedené změny dojde k dokumentaci celého životního cyklu utajované informace v elektronické podobě při dodržování podmínek administrativní bezpečnosti, jako je tomu v případě utajovaných informací v listinné nebo nelistinné podobě," píše se v důvodové zprávě novely.

Na utajované informace v elektronické podobě se budou až na výjimky používat ustanovení, která obsahují požadavky na vyznačování údajů a evidenci utajované informace. Například se neuplatní ustanovení upravující podmínky přepravy a přenášení utajované informace.

Eliminace hesel je běh na dlouhou trať

27.12.2017 SecurityWorld Zabezpečení
Odstranění hesel bude trvat roky, uznává oborová aliance FIDO. Podle jejích slov je však na dobré cestě k rychlejšímu, jednoduššímu a mnohem bezpečnějšímu standardu autentizace.

Aliance FIDO (dříve známá jako Fast Identity Online) má v úmyslu eliminovat hesla. Na první pohled to nevypadá jako těžký úkol. Mezi bezpečnostními experty probíhá diskuze, že hesla jsou dnes už špatným a zastaralým způsobem autentizace.

Důkazy jsou zdrcující. Většina lidí navzdory doporučením používat dlouhá a složitá hesla, měnit je alespoň jednou za měsíc a vyhnout se použití stejného hesla pro více webů tak nečiní.

Masivní úniky

Nedávná zpráva společnosti Verizon o únicích dat (Data Breach Incident Report) konstatuje, že 63 procent všech úniků dat bylo umožněno tím, že se použila ukradená, slabá anebo výchozí hesla.

I když mohou být hesla složitá, problémem je jejich potenciální ukradení. Jen v posledních měsících došlo k řadě oznámení o katastrofických únicích hesel – 33 milionů z Twitteru, 165 milionů z LinkedInu, 65 milionů z Tumbleru, 360 milionů z MySpace, 127 milionů z Badoo, 171 milionů z VK.com a další.

Nick Bilogorskly, šéf hrozeb ve společnosti Cyphort, nedávno uvedl, že nyní existuje více než miliarda účtů, jejichž přihlašovací údaje se prodávají on-line. Přirovnal je ke stovkám milionů klíčů schopných odemknout bankovní úschovné boxy jen tak ležící na zemi.

„Abyste otevřeli libovolný box, stačí ho zvednout a najít shodu,“ popisuje. „Ve skutečnosti je to horší, protože většina lidí používá stejný klíč k otevírání své kanceláře, auta i domu.“

Díky automatizaci je dnes možné vyzkoušet klíče pro miliony zámků řádově za sekundy. Podle studie výzkumníků z vysoké školy Dartmouth College, Pennsylvánské univerzity a USC je situace ve zdravotnictví ještě horší.

Tamější personál se totiž většinou snaží obcházet hesla, aby se zabránilo jakémukoli zpoždění při používání zařízení nebo přístupu k materiálu – hesla se běžně píší na lepicí papírky.

Podle zprávy zní otázka takto: Chceš mé heslo, nebo mrtvého pacienta? – zdravotnický personál se jen snaží dělat svou práci tváří v tvář často omezujícím a nepochopitelným pravidlům pro zabezpečení počítačů.

Eliminace hesel

Řešení pro takový děravý „bezpečnostní“ standard spočívá v tom, zbavit se ho, uvádí FIDO. Avšak aliance, která sama sebe popisuje jako konsorcium nezávislé na oboru, musí udělat více, než jen přesvědčit experty, či dokonce poskytovatele webového obsahu. Musí přesvědčit samotné uživatele – tedy ty, jež znají a používají hesla a kteří mohou projevovat iracionální odpor.

Neexistuje nic takového jako dokonalost. Vždy půjde o závody ve zbrojení. „Webové stránky, které se snaží být oblíbené, nemohou nutit své uživatele k ničemu,“ popisuje Gary McGraw, technologický ředitel společnosti Cigital.

„Twitter má dvoufaktorovou autentizaci (2FA) již nyní, ale nemusíte ji používat. Jen byste měli. Můžete jen pěkně poprosit – jinak je to ekonomický střet zájmů.

Vishal Gupta, výkonný ředitel společnosti Seclore, se domnívá, že masy přijmou jinou formu autentizace, pokud bude rychlejší a jednodušší, ale přesto si uvědomuje, že to není možné vynutit a že to bude dlouhá cesta.

„Je to velmi podobné jako rozdíl mezi platebními kartami s čipem i PIN a staršími verzemi, které měly jen magnetický proužek. Aby se to nahradilo, tak se na tom bude muset podílet hodně podniků,“ vysvětluje.

Samozřejmě dokonce i Brett McDowell, výkonný ředitel aliance souhlasí s tím, že „nutit poskytovatele webových služeb něco dělat je předem ztracené“. Řekl však, že FIDO s téměř 250 členskými organizacemi se nesnaží nic prosadit silou.

Cílem této skupiny je zajistit, aby to bylo neodolatelné – „dodat takové řešení, které budou poskytovatelé sami chtít implementovat, protože to bude v jejich vlastním zájmu,“ popisuje.

Autentizační systém, který zlepšuje uživatelskou zkušenost, „bude sám o sobě pro poskytovatele služeb lákavý“. Útočník by potřeboval mít ve své ruce fyzické zařízení uživatele, aby se mohl pokusit o útok. To se pro útočníky s finanční motivací nehodí a není to ani moc použitelné.

Jaké jsou možnosti

Argument uživatelské zkušenosti prezentuje FIDO na svém webu. Existují podle ní dvě možné metody:

UAF (User Authentication Standard) jednoduše vyžaduje, aby uživatel požádal o transakci a následně se prokázal pomocí biometrie, jako je například otisk prstu.
U2F (Universal Second Factor) vyžaduje použít uživatelské jméno a heslo na lokálním zařízení. Uživatel následně dokončí transakci tak, že k počítači připojí USB klíč a stiskne na něm tlačítko.

McDowell uvádí, že rozdíl přinášející převratnou změnu spočívá v tom, že na rozdíl od hesel jsou autentizační pověřovací údaje vždy uložené v zařízení uživatele a nikdy se nikam nezasílají. Nemluvě o tom, že je to efektivní, protože dochází k eliminaci hrozeb odjinud – z jiných zemí i jiného města.

Problém s hesly není podle něj v samotných heslech, ale v tom, že jsou sdíleným tajemstvím, které znají nejen jednotliví uživatelé, ale také servery on-line poskytovatelů, odkud je ukrást je nejenže možné, ale dochází k tomu v počtech stovek milionů. To hackerům poskytuje „hesla zneužitelná pro další servery“.

McDowell prohlašuje, že UAF a U2F jsou mnohem rychlejší a pro uživatele pohodlnější, protože autentizace probíhá jednoduše „dotykem na snímač, pohledem do kamery nebo nošením náramku atd.“.

„Je to rozhodně rychlejší než hesla a mnohem rychlejší a pohodlnější než tradiční formy dvoufaktorové autentizace, jako jsou třeba jednorázová hesla (OTP).“

Možná rizika

Někteří experti ale uvádějí, že se zvyšuje riziko, že by útočníci mohli najít způsob, jak naklonovat biometrické vstupy, jako jsou skeny otisků prstů, hlasu či oční duhovky. „Já nechci poskytovat verzi své duhovky nikomu,“ uvádí McGraw.

McDowell uznává, že biometrické ověření lze podvést – nazývá to „prezentační útok“. Uvádí však, že standardy FIDO eliminují většinu rizik ze stejného důvodu, jak bylo už výše uvedeno – biometrické informace nikdy neopouštějí zařízení uživatele.

„Biometrický útok s využitím podvrhu proti pověřením FIDO lze uskutečnit jen tehdy, pokud by měl útočník fyzicky k dispozici zařízení uživatele,“ vysvětluje. „Nelze to udělat pomocí sociálního inženýrství, phishingu či malwaru.“

Gupta souhlasí, že to pravděpodobně velmi prodraží útoky a v důsledku toho zlepší zabezpečení. „Pokud nové formy autentizace dokážou zajistit, aby byly náklady na prolomení vyšší než hodnota získaná ze samotného průniku, budeme v bezpečí,“ vysvětluje.

Přesto si nikdo nemyslí, že hesla zmizí v dohledné době. Ačkoliv je McDowell velmi optimistický, co se týče standardu FIDO, je si vědom, že jeho přijetí bude trvat dlouho.

Poznamenává, že na trhu existuje více než 200 implementací s certifikací FIDO, které „překonaly jeho očekávání“.

Tato aliance také oznámila, že „Microsoft zaintegruje FIDO do systému Windows 10 za účelem autentizace bez použití hesla“ a že aliance také „pracuje s konsorciem WWW na standardizaci silné autentizace FIDO pro všechny webové prohlížeče a související webovou infrastrukturu“.

McDowell uznává, že „hesla se budou používat ještě dlouho. I když jsme na dobré cestě, abychom mohli vidět možnost použití autentizace FIDO ve většině aplikací a zařízení běžně používaných každý den, hesla budou v nadcházejících letech stále součástí těchto systémů.“

Přestože je McGraw příznivcem dvoufaktorové autentizace a jeho firma ji od svých zaměstnanců vyžaduje, připouští, že ve skutečnosti „nic jako dokonalost neexistuje. Vždy to budou závody ve zbrojení.“

Ochrání automatické zabezpečení i vás?

27.12.2017 SecurityWorld Zabezpečení
automatizace zabezpečení začíná přesahovat rámec technologií pro prevenci a detekci a dosahuje až k dalším důležitým součástem IT infrastruktury za účelem spolehlivější ochrany.

O automatizaci zabezpečení se sice hodně mluví, ale některé pojmy jsou nejasné.

Například Gartner se ve své zprávě o inteligentní a automatizované kontrole zabezpečení zaměřil na komponentu threat intelligence a další nové prvky automatizace zabezpečení označil souhrnně poněkud obecnějším způsobem.

Zde jsou čtyři z nejnovějších a nejpokročilejších prvků, které byste měli uvážit při diskuzi o automatizaci zabezpečení:

Vykonávání pravidel

Jak významně vzrostla složitost sítí, stala se ruční správa souvisejících zásad zabezpečení téměř nemožnou. Automatizace vykonávání pravidel označuje automatizaci jakékoliv správní činnosti požadované zabezpečením IT.

Řada dodavatelů nabízí nástroje pro automatizaci správy zásad zabezpečení sítě, které dokážou pomoci snáze dodržet interní a regulační požadavky zabezpečení. Někteří také nabízejí automatizované služby pro úkoly správy, jako je přidání a odebrání uživatele a řízení životního cyklu uživatelů.

Automatizace přidání, odebrání a uživatelského přístupu může pomoci týmům IT získat větší kontrolu nad daty, náklady a časem. Společnosti nabízející tyto nástroje někdy o sobě uvádějí, že nabízejí automatizaci zabezpečení.

Monitorování varování a stanovení priorit

Někteří lidé pohlížejí na činnost automatizace optikou monitorování a stanovení priorit varování. Tradičně bylo monitorování a stanovení priorit varování ruční a velmi jednotvárnou úlohou.

Tým analytiků v provozním centru zabezpečení by musel shromažďovat data a doslova celý den zírat na monitory, aby mohl rozhodnout, jaké údaje byly důležité. V současné době existují metody pro automatizaci monitorování a stanovení priorit varování. Liší se ale rozsahem propracovanosti.

Například mohou zahrnovat stanovení pravidel a prahových hodnot, využívání threat intelligence a implementaci pokročilejší behaviorální analytiky a technologie strojového učení.

Nastavení pravidel a prahových hodnot má menší efektivitu, protože závisí na ručním zadání údajů od osoby, která rozhodne, jaká varování jsou důležitá a jaká ne.

Vyžaduje to také pravidelnou údržbu těchto pravidel, protože se počítačové hrozby stále mění a hackeři často přesně vědí, jaká varování budou firmy hledat.

Spoléhání se na threat intelligence je na druhou stranu o něco spolehlivější. Tato forma automatizace odkazuje na soubor threat intelligence z různých zdrojů, a to může pomoci společnostem zjistit, jaká varování hledat a jaká jsou pro ně skutečně důležitá.

Pokud například podnik dokáže využívat více zpravodajských zdrojů, dozví se, když se někde ve světě objeví určitý typ útoku. Automatizované zpracování threat intelligence potom může společnosti pomoci připravit její ochranu před potenciálním útokem dříve, než by bylo příliš pozdě.

Behaviorální analytika a strojové učení patří mezi nejpokročilejší formy automatizace monitoringu a stanovení priorit varování, protože se nespoléhají na pravidla a prahové úrovně tzv. známých hrozeb.

Namísto toho se tento typ technologie dokáže učit, jak vypadá normální chování sítě, a snadno a okamžitě může upozornit na libovolné neobvyklé chování a následně statisticky skórovat prioritu každé potenciální hrozby, kterou by bylo dobré prošetřit.

Plánování reakce na incidenty

Plánování reakce na incidenty se také označuje za automatizaci zabezpečení. Jedním ze způsobů, jak si lze představit tuto technologii, je inteligentní systém tiketů, který pomáhá společnostem sledovat vývoj bezpečnostního incidentu a koordinovat kroky potřebné reakce.

Dodavatelé v tomto segmentu pomáhají společnostem vytvářet manuály pro různé typy hrozeb, takže mohou automatizovat části svých reakcí, kdy se počítá každá vteřina.

Automatizují pracovní postupy a pomáhají firmám zajistit komunikaci s příslušnými interními a externími kontakty, dodržovat regulační předpisy pro záležitosti, jako je oznámení týkající se soukromí, a vytvářet jasné záznamy pro audit.

Vyšetřování, akce a náprava

Automatizace vyšetřování, akce a náprava pro počítačové hrozby se týkají využívání technologie k takovému plnění úkolů, jako by je vykonával kvalifikovaný počítačový analytik.

Ostatní prvky automatizace zabezpečení (od zásad přes stanovení priority až po plánování) pracují určitým způsobem na dosažení tohoto konečného cíle – rychlého zjištění hrozeb a jejich eliminaci dříve, než ovlivní provoz.

Existují různé aspekty, co by mohl dodavatel zautomatizovat v oblasti vyšetřování, akce a nápravy. Někteří například řeší jen jednu z těchto tří komponent, zatímco jiní se zaměřují na specifické úlohy, jako je například automatizace karantény kompromitovaných zařízení.

Existují také firmy, které využívají automatizaci a umělou inteligenci k řízení celého procesu od začátku až do konce, jako by to dělal počítačový analytik.

Všechny tyto technologie automatizace zabezpečení uvolňují přetížený personál zabezpečení a dovolují týmům zabezpečení méně se věnovat všedním (ale nezbytným) činnostem a více se zaměřit na strategické iniciativy, které umožní zvýšit zabezpečení jejich společnosti.

Podle údajů Breach Level Index bylo v roce 2015 kompromitovaných každý den průměrně 1,9 milionu on-line záznamů. To je 80 766 záznamů každou hodinu a 1 346 záznamů každou minutu.

Téměř nepřetržitý výskyt on-line narušení přitom nevykazuje žádné známky zpomalení, takže si společnosti nemohou dovolit, aby je zdržovaly nedořešené otázky o konceptu a schopnostech automatizace zabezpečení.

Je dobré dát automatizaci infrastruktury zabezpečení IT vysokou prioritu a připustit, že lze automatizovat více oblastí, aby společnost zůstala v bezpečí. Automatizace vykonávání zásad, monitorování varování a stanovení priorit a plánování reakce na incidenty může dramaticky zvýšit firemní produktivitu a snížit náklady.

Pomocí plné automatizace vyšetřování, akcí a nápravy pro hrozby mohou firmy ve velkém simulovat zkušenosti a logiku zkušených počítačových analytiků, a zaručovat tak silnější zabezpečení a dodržování předpisů celkově.

Výhody a nevýhody automatizace zabezpečení

Kolem použití automatizace v oblasti počítačové bezpečnosti existuje celá řada obav:

Ztráta kontroly -- V mnoha případech je největší překážkou k automatizaci jednoduše vnímaná ztráta kontroly. Ve skutečnosti může správný nástroj automatizace zajistit vyšší míru viditelnosti a lepší přehled o celém procesu počítačové bezpečnosti.

Nedostatek důvěry -– Pro vysoce kvalifikované pracovníky je snadné mít pocit, že jsou schopnější řídit reakce na incidenty, než by to dokázal počítač. Nedůvěra k technologii tak může být neuvěřitelně velkou překážkou, kterou je potřeba překonat, ale nakonec – s ohledem na změnu druhu, frekvence a složitosti útoků – je to marný argument.

Strach ze změny – Asi největším omylem týkajícím se automatizace je představa, že přijetí automatizace způsobí určitý zánik pracovních míst.

Co se stane, když technologie převezme proces reakcí na incidenty? Bude oddělení IT nahrazeno roboty? Faktem je, že zatímco automatizace určitě mění způsob, jakým lidé pracují, vytváří stejně tolik příležitostí, kolik jich eliminuje.

Pro řešení těchto vnímaných nevýhod lze ale použít řadu významných faktů o pozitivní úloze automatizace v počítačovém zabezpečení.

Sjednocení sil – Žádný vojenský velitel by nešel do boje s armádou významně menší co do velikosti, síly a schopností, než by měl jeho nepřítel. Stejný koncept může být a měl by být aplikovaný na důležité úlohy počítačové bezpečnosti. Automatizace poskytuje schopnost reagovat na příchozí útoky krok za krokem, a poskytuje přitom nejvyšší možnou úroveň ochrany.

Zvýšená efektivita – Přidání automatizace do procesu reakce na incidenty pomáhá zjednodušit pracovní postupy a vytvořit mnohem jednotnější a efektivnější prostředí. Nejenže tedy zvyšuje sílu organizace ve smyslu zabezpečení, ale způsobuje také zlepšení celkové hospodárnosti.

Méně chyb – Mnoho z nejpozoruhodnějších počítačových narušení v posledních letech nastalo v důsledku lidských chyb z přepracovanosti. I ten nejzkušenější odborník v oblasti IT může udělat čas od času nějakou chybu.

Některé chyby se však bohužel mohou ukázat jako neuvěřitelně nákladné. Automatizace tento problém eliminuje tím, že z některých nebo ze všech částí procesu odstraní lidský faktor.

Lepší rozhodování – Jednou z největších výzev, kterým šéfové IT čelí, je kolosální úkol dělat v reálném čase důležitá firemní rozhodnutí. Další výhodou automatizace je schopnost shromažďovat, analyzovat a zvýšit prioritu důležitých dat na kliknutí tlačítka, což dále zlepšuje detekci hrozeb a proces správy incidentů.

Vzhledem k tomu, že jsou průměrné roční náklady na počítačové útoky v rozmezí od desítek tisíc dolarů u malých firem až po řadu miliard u globálních podniků, je téma počítačové bezpečnosti něco, na co by měl každý šéf organizace v současné době pamatovat.

Ještě důležitější je, že v současné době používané strategie je potřebné řádně posoudit a dostatečně opevnit, pokud se firma nechce stát další obětí.

Navzdory mnoha mylným pohledům se automatizace ukazuje jako ideální nástroj pro zefektivnění a posílení procesu reakce na incidenty a vytvoření lepší linie obrany, která obstojí ve zkoušce času.

Hackeři to budou mít těžší. Nová služba má zamezit masivním útokům

18.12.2017 Novinky/Bezpečnost Zabezpečení
Sdružení CZ.NIC, které má na starosti českou národní doménu, spustilo tento týden novou službu. Ta má zajistit funkčnost internetových služeb i v případě masivního hackerského útoku. Prvními společnostmi, které se k aktivitě sdružení přidaly, jsou Seznam.cz a Vodafone.
Služba zvaná ISP DNS Stack má zabránit útokům na DNS servery. Ty standardně překládají webové adresy na číselné adresy fyzických počítačů (IP adresy). Ve chvíli, kdy je hackeři vyřadí z provozu – což se už v minulosti stalo několikrát – jeví se uživateli webové stránky jako nedostupné.

Tím, že nefunguje překladač (DNS servery), webové prohlížeče po zadání adresy totiž nevědí, kam se mají připojit. Zákazníků s ISP DNS Stackem se ale případný útok nijak nedotkne a internetové služby v doméně .CZ pro ně zůstanou plně dostupné.

Budování spolehlivých datových služeb
„Pro Seznam.cz jako poskytovatele obsahu, informací a zábavy, je naprosto klíčová dobře fungující internetová infrastruktura. DNS je její nepostradatelnou součástí a z historie víme, jak vysoce nepostradatelnou,” říká Vlastimil Pečínka, technický ředitel společnosti Seznam.cz.

Ten zároveň dodal, že česká internetová jednička nedávno investovala do zrobustnění DNS služeb používaných v obou svých datových centrech. „Nabídka sdružení CZ.NIC na hostování DNS stacku tuto naši investici posouvá o úroveň výše. Navíc velmi oceňuji snahu sdružení CZ.NIC hledat další cesty, jak pomoci službám a uživatelům na internetu. Jsem tak rád, že mohu jejich snahy podpořit konkrétními kroky,” uzavřel Pečínka.

„Spolupráce s CZ.NIC je součástí naší dlouhodobé strategie budování spolehlivých datových služeb. Služba ISP DNS Stack představuje kopii DNS serveru pro doménu .CZ přímo v síti Vodafone. Zákazníkům tak zajistíme správné fungování DNS pro české domény i v případě útoků na servery CZ.NIC,” vysvětlil Milan Zíka, technický ředitel společnosti Vodafone.

Klíčový systém pro fungování internetu
Službu ISP DNS Stack provozuje výhradně sdružení CZ.NIC. Správce české národní domény se podílí na fungování operačního systému a všech na něm běžících služeb. Zapojené organizace zajišťují nákup potřebného hardware, jeho umístění v datacentru a následný provoz ve vlastní síti.

„Systém DNS je klíčový pro fungování internetu a služeb, které jsou na něm závislé. V případě, že by došlo k jeho napadení nebo výpadku, stal by se internet pro většinu lidí prakticky nepoužitelný. Velice si vážím přístupu společností Seznam.cz a Vodafone, které tímto dávají najevo především svým zákazníkům, že je pro ně dostupnost internetu za jakékoliv situace klíčová,“ prohlásil Ondřej Filip, výkonný ředitel sdružení CZ.NIC.

CZ.NIC testuje veřejný honeypot, který pomůže s detekováním malwaru
27.11.2017 Lupa.cz Zabezpečení
Pomoc se zkoumáním útoků a odhalováním chyb, které útočníci zneužívají. To si sdružení CZ.NIC slibuje od projektu Honeypot as a Service (HaaS), který začalo testovat v říjnu. Projekt má umožnit koncovým uživatelům přesměrovat útoky na jejich zařízení do centrálního honeypotu, ve kterém je pak experti mohou analyzovat a získané údaje použít ke zvýšení zabezpečení.

Jak to funguje? Případný dobrovolný zájemce se zaregistruje na webu projektu a do svého PC (nebo na linuxový server) si stáhne a nainstaluje proxy. Zdrojový kód aplikace (haas-mitmproxy) je dostupný na GitHubu. Po spuštění na počítači začne proxy přeposílat příchozí komunikaci z portu 22 na server HaaS, na kterém honeypot Cowrie simuluje zařízení a zaznamenává provedené příkazy.

„Projekt HaaS zahrnuje vytvoření sítě minimálně pěti set koncových uživatelů a techniky pro přesměrování těchto uživatelů na centrální honeypot. Cílem našeho výzkumu je pak zajistit, aby byl útočník co nejdéle přesvědčen, že útočí na skutečný cíl, tedy na počítač, server nebo router, nikoliv honeypot,“ popisuje Ladislav Lhotka z CZ.NIC.

Projekt momentálně běží v betatestu a jeho ostré spuštění by mělo přijít někdy v květnu příštího roku. Částkou 1,3 milionu na něj přispěla Technologická agentura ČR.

Certifikační autorita StartCom ukončí svou činnost s koncem roku
21.11.2017 Root.cz Zabezpečení
Příběh kontroverzní certifikační autority StartCom se blíží ke konci. Společnost oznámila, že ke konci letošního roku skončí také se svou činností. Nebude už vydávat certifikáty a nechá vypršet platnost kořenů.

Předseda představenstva společnosti StartCom, Xiaosheng Tan, oznámil, že činnost společnosti bude ukončena k 1. lednu 2018. Od tohoto dne už autorita nebude zákazníkům vydávat další certifikáty. Nechá ale běžet servery s revokačními seznamy CRL a OCSP respondery po dobu dalších dvou let. Poté vyprší platnost všech tří párů kořenových certifikátů. Pak bude kapitola autority StartCom uzavřena zcela a nadobro.

Autorita je dnes už ve většině nástrojů nedůvěryhodná, jako první zasáhl Apple, Mozilla přestala novým certifikátům věřit na konci loňského roku, poté se přidal Google v Chrome a jako poslední přišel s úpravou i Microsoft. V některých prohlížečích ještě dobíhá důvěryhodnost ve starší certifikáty, ale například Chrome už od verze 61 autoritu vyřadil úplně.

V praxi se tento zásah příliš mnoha webů nedotkne, protože podle statistik W3Techs používá certifikáty StartCom už méně než 0,1 % webů. Problémy s autoritou se táhly delší dobu, proto měli správci serverů dostatek času autoritu vyměnit.

Autor: W3Techs
Pokles počtu certifikátů StartCom na internetu

Firma ve svém oznámení tvrdí, že se nedokázala vzpamatovat ze ztráty důvěryhodnosti, kterou utrpěla v důsledku celé řady chyb. Ty měly přímý dopad na bezpečnost a firma ztratila v očích internetové veřejnosti statut certifikační autority. Přibližně před rokem se většina tvůrců webových prohlížečů rozhodla přestat StartComu věřit, odstranit jeho kořenové certifikáty z úložišť a nepřijímat nově vydané koncové certifikáty, píše společnost ve veřejném oznámení.

Firma se snažila různými prostředky obnovit svou pozici, ale její pověst už byla natolik pošramocená, že se už nedokázala vzpamatovat. Navzdory snahám se neobjevily žádné náznaky toho, že by mohla být mezi tvůrci prohlížečů pověst obnovena. Proto se vlastníci StartComu rozhodli ukončit činnost certifikační autority.

Historie původně izraelské společnosti StartCom je v posledním roce spojena s kontroverzní čínskou certifikační autoritou WoSign. Ta porušila pravidla tím, že StartCom potichu koupila a přestěhovala do Číny, přičemž tuto změnu neoznámila auditorům. Nebyla to první chyba, WoSign sám vydával neoprávněně certifikáty, antedatoval certifikáty s SHA-1, měl chyby ve validačních procesech a používal nepodporované algoritmy.

Tvůrci prohlížečů chvíli váhali, zda skutečně oběma propojeným společnostem odebrat důvěru, či nechat dožít starší certifikáty. WoSign se během této doby snažil situaci zachránit, vydal prohlášení o restrukturalizaci a rozdělení vedení společnosti, přesto se nakonec odpuštění nedočkal a byl vyškrtnut ze seznamů důvěryhodných autorit.

Jeden ze zakladatelů společnosti StartCom se nedávno veřejně v mailové konferenci vyjádřil v tom smyslu, že je rád, že firma nakonec svou činnost ukončí. Podmínky ve firmě byly podle jeho slov velmi špatné a firma lhala svým zaměstnancům. Byl jsem vyhozen (nebo jsem odešel, záleží na tom, koho se ptáte), protože jsem jim řekl, že jsou to podrazáci.

Cloudflare používá pro generování náhodných čísel stěnu plnou lávových lamp
15.11.2017 Živě.cz Zabezpečení
Cloudflare používá pro generování náhodných čísel stěnu plnou lávových lampCloudflare používá pro generování náhodných čísel stěnu plnou lávových lampCloudflare používá pro generování náhodných čísel stěnu plnou lávových lampCloudflare používá pro generování náhodných čísel stěnu plnou lávových lampCloudflare používá pro generování náhodných čísel stěnu plnou lávových lamp

Šifrování je silně závislé na náhodných číslech. Jejich generování ale není tak jednoduché, jak by se mohlo zdát. V minulosti se objevilo mnoho případů, kdy specializované hardwarové i softwarové generátory náhodných čísel měly slabinu, kvůli které šel proces obejít tak, aby průměrný odhad dalšího bitu byl vyšší než zcela náhodných 50 %.

Cloudfare místo strojů nebo drahého využití fyzikálního snímání různých fyzických procesů využívá zajímavý a velmi účinný systém generování náhodných.

Cloudflare je obří CDN, přes kterou prochází přibližně 10 % internetu. Jednou z primárních služeb je ochrana před útoky různého druhu, důležitá je proto bezpečnost a šifrování.

Aby Cloudflare měl k dispozici co možná nejvíce pseudonáhodná čísla, využívá k tomu nevšední způsob – stěnu plnou lávových lamp (LavaRand). Na tuto stěnu míří kamera, která neustále generuje různorodý obraz, jež se náhodně mění z obrovského počtu proměnných. Jak lze vidět na videu, nezáleží jen pohybu bublin v jednotlivých lampách, ale i na aktuálním podsvícení, šumu a podobně.
Zpracováním streamovaného videa svíticích lamp dochází ke generování náhodných čísel, ze kterých se teprve poté vytváří šifrovací klíče. Jednoduše řečeno stačí změna jediného pixelu v obraze a výsledný šifrovací klíč je zcela jiný, než všechny předchozí. Tento klíč se pak zpracovává přes několik dalších zdrojů entropie a nakonec slouží jako seed pro generování náhodných klíčů.

Simulace procesu s tolika náhodnými procesy je v současných a nejspíše i budoucích podmínkách takřka nemožná. Jak uvádí Tom Scott ve videu, jednodušší je použít prolomení šifrování hrubou silou. A to je vázané na výpočetní výkon.

Pokud si chcete o tomto systému přečíst více, Cloudflare zveřejnil na svém blogu podrobný popis.

Google vydal záplatu na KRACK. Jenže smůla, dostane ji málokdo
7.11.2017 Živě.cz Zabezpečení
Lenovo K6 Note Lenovo P2Lenovo P2Google vydal záplatu na KRACK. Jenže smůla, dostane ji málokdoPodpora se vztahuje samozřejmě na obě verze, tedy Pixel i Pixel XL. Nový systém však vývojáři rozběhnou i na starších telefonech.
zobrazit galerii
Před pár týdny prolétla internetem zpráva o chybě KRACK v samotném nitru Wi-Fi, která by mohla vpustit útočníka do domácí i podnikové sítě. Krátce na to výrobci začali vydávat záplaty, přičemž Microsoft se pochlubil, že jeho Windows byl zabezpečený s dostatečným předstihem.

Čekalo se hlavně na Google. K nejzranitelnějším zařízením, kde bylo možné chybu zneužít, totiž patřil jeho mobilní systém Android. A ten se nyní dočkal opravy v rámci podzimní várky bezpečnostních záplat Android Security Bulletin.

Jakmile vám tedy záplata dorazí na telefon, KRACK už pro vás nebude nebezpečí.

Má to ale jeden háček, bezpečnostní aktualizace přímo do Googlu totiž zdaleka nepřijímají všechny telefony. Ty starší zpravidla vůbec, takže periodické měsíční záplaty chrání menšinu. Na telefonech se starší verzí Androidu a odlišnou politikou se o opravu musí postarat sám výrobce a je více než pravděpodobné, že toho nějaké opravy nebudou vůbec zajímat s tím, že si máte koupit jeho nový model. Ostatně můj rok a půl starý mobil se poslední aktualizace dočkal… Před rokem a půl.

Android tedy i přes vydanou opravu zůstane vzhledem k milionům starších a dnes již nepodporovaných telefonů rizikem i nadále. A Google s tím bohužel nic udělat nemůže, protože na starých verzích Androidu nemá nad telefony takovou moc jako třeba Apple nad iOS a Microsoft nad Windows.

Nová generace Toru má být ještě bezpečnější, adresy budou mít až 55 znaků
7.11.2017 Živě.cz  Zabezpečení
Nové adresy budou moci mít až 55 znaků místo současných 16
Protokol přejde na nové úrovně šifrování
Ubude míst, kde může být uživatel identifikován
Takto putují data v Toru.Ke komunikaci je využíván cibulový protokol s několika slupkami, do nichž jsou data rozsekána.Mezi skrytými službami najdeme i mnohá tržiště nelegálním zbožím.Jedním z nich byl AlphaBay Market.A vůbec nejznámější je Silk Road.5

Tor je považován za jeden z nejúčinnějších způsobů, jak se na internetu pohybovat anonymně. Je k tomu využíván speciální cibulový protokol, který komunikaci rozseká na jednotlivé slupky a následně ji takto odešle přes několik serverů provozovaných dobrovolníky. I přesto však Tor trpí několika slabinami, které mohou pomoci k deanonymizaci a případné identifikaci uživatele. I proto nyní skupina Tor Project oznámila novinky v samotném protokolu i prohlížeči Tor Browser, který je postaven na Firefoxu.

Delší adresy
Aktuálně vypadá tradiční adresa skryté služby v Toru nějak takto: 3g2upl4pq6kufc4m.onion. Vždy jde o náhodnou kombinaci číslic a písmen v délce 16 znaků. Nově ale budou adresy mnohem delší – jejich případné odhalení tak bude mnohem složitější. Pokud se neobjeví v některém ze seznamů nebo vyhledávačů skrytých služeb, pak bude získání adresy velmi složitě.

Nově tedy bude adresa skryté služby vypadat třeba takto: 7fa6xlti5joarlmkuhjaifa47ukgcwz6tfndgax45ocyn4rixm632jid.onion. Pokud adresu bude znát pouze provozovatel služby a úzká skupina uživatelů, je velmi nepravděpodobné její odhalení. Tedy do té doby, než ji neprozradí některý z privilegovaných členů.

Naopak veřejné služby, které fungují i v rámci Toru (Facebook, NY Times) mohou i nadále využívat lépe identifikovatelné adresy (nytimes3xbfgragh.onion) v kombinaci s vyhledávači služeb.

S robustnějším zabezpečením je spojeno rovněž několik vylepšení, která se postarají o minimalizaci okamžiků, kdy může dojít k odhalení reálné adresy nebo jiného identifikátoru uživatele. Vývojářský tým prý na mnoha změnách pracoval déle než čtyři roky. Kromě jiného se změní šifrování z SHA1/DH/RSA1024 na SHA3/ed25519/curve25519. Nová verze protokolu je dopodrobna popsána v dokumentaci.

Nová generace Toru, která je označována jako 3.0 postupně začne nahrazovat aktuální protokol, u kterého není jasné, jak dlouho bude fungovat. Podle vývojářů by měly obě verze fungovat paralelně po dobu několik let, než dojde k odstřihnutí současné generace 2.0

TorMoil
Novinky přichází v okamžiku, kdy byla odhalena jedna z největších zranitelností Toru vůbec. Říká se jí TorMoil a způsobovala odhalení reálné IP adresy uživatele při práci s přímou adresou na soubor, tedy při využití URL s file://. Útočník mohl vytvořit speciální stránku, která právě při odkazu na libovolný soubor začala komunikovat přes standardní HTTP protokol s obejitím Toru.

Chyba se týkala uživatelů Tor Browseru na macOS a Linuxu. Ti by měli co nejrychleji přejít na novou opravenou verzi prohlížeče 7.0.9.

Patchovat, záplatovat, zadrátovat, zalepit …

2.11.2017 SecurityWorld Zabezpečení
díry a zranitelnosti operačních systémů a aplikací.

Na úvod pár faktů:

Věděli jste, že:

z celkového počtu odhalených kyber útoků na celém světě bylo 30 % zaměřeno na produkty společnosti Adobe a aplikací Java a Microsoft Internet Explorer?
mezi tři nejčastěji napadané technologie v tomto roce patřili Adobe Flash Player, Microsoft Internet Explorer a Microsoft Silverlight?
77 % ze všech odhalených vyděračských útoků (ransomware) bylo orientováno na oblasti obchodu a poskytování profesionálních služeb (28 %), státní správy (19 %), zdravotnictví (15 %) a maloobchodu (15 %)?
účinný proces patch managementu je pro mnoho IT oddělení stále velkou výzvou? Až 21 % IT oddělení provozuje systémy, které nemají ošetřenou vulnerabilitu (zranitelnost), která je známá již více než tři roky a u 12 % z nich dokonce i více jak pět let. Pro zkušené hackery nebo pro automatizované kyber zločince je zneužití těchto děr velmi jednoduché. A přitom se nabízí opravdu jednoduché řešení zavedením účinného programu pro ošetřování zranitelnosti systémů, v rámci pravidelného procesu patch managementu okamžitě dojde ke zvýšení obtížnosti jejich zneužití.
do roku 2020 se počet připojených zařízení zvýší ze současných 7 na více jak 20 miliard. Toto postupné sbližování klasických IT zařízení s jinými zařízeními (např. ze skupiny IoT) bude mít za následek enormní nárůst počtu zranitelností, které bude potřeba zvládnout.
… cílem každé organizace by mělo být vybudování odolného systému, který minimalizuje dopad závažných útoků na provoz podnikové sítě a systémů. Dosažení takto odolného systému je výzvou, výběrem a implementací správných bezpečnostních pravidel je možné toho dosáhnout. Bezpodmínečnou podmínkou je ovšem udržovat všechny IT systémy aktualizované. Mnoho úspěšných útoků vychází ze skutečnosti, že laptopy, desktopy, smartphony a další zařízení nemají nainstalovány poslední aktualizace a patche. Bez pravidelné aktualizace systémů a instalace patchí zůstanou zařízení s oslabeným zabezpečením, které mohou útočníci zneužít. …

Zdroj: NTT Security & NTT Data, 2017 Global Threat Intelligence Report

S odkazem na poslední vyděračské útoky (WannaCry a Petya/Petrwrap) je třeba si uvědomit, že se nejedná o žádný nám vzdálený problém. Bez vlivu nezůstaly řady společností a státních organizací v České republice i na Slovensku. Na druhou stranu je třeba si připustit, že se nikdy nepodaří těmto napadením zcela zabránit, což ovšem nesmí být argumentací pro ignorování těchto rizik. Pokud chcete, aby vaše systémy byly pod maximální možnou ochranou, musíte pravidelně provádět patchování, a to jak operačních systémů, tak aplikací, a nezapomínat na aplikace třetích stran. Jedním z výzkumů bylo zjištěno, že právě aplikace třetích stran se mohou stát až z 86% branou pro nezvané hosty do vaší sítě.

S udržováním systémů v aktuálním stavu vám pomohou specializované nástroje, které jsou schopny celý proces provádět zcela automatizovaně bez zbytečného nadužívání lidských zdrojů a s detailními zprávami z průběhu celého procesu patch managementu, například od společnosti Ivanti.

Právě s ohledem na výše uvedené bych se s vámi rád podělil o svou osobní zkušenost spojenou s touto problematikou. Ještě nedávno jsem stál na straně poskytovatele komplexních ICT služeb v roli manažera týmu, jehož úkolem bylo zajištění provozu všech IT služeb pro jednoho z nejvýznamnějších zákazníků. Jedním z rutinních úkolů mého týmu bylo i provádění pravidelného patchování operačního systému Microsoft Windows u fyzických i virtuálních serverů. Patchování bylo součástí servisní smlouvy se zákazníkem a nebylo možné jakkoliv tuto činnost omezovat, a to ani s ohledem na požadavek snižování výdajů na práci přesčas. Každý měsíc ve čtyřech týdenních cyklech bylo nutné naimplementovat vybraný seznam patchí na více jak 300 serverů, a to pouze o víkendech a přesně v době tomu vymezené. Podle platného procesu byl každý víkend třemi až čtyřmi techniky manuálně navolen seznam schválených patchí pro skupinu až 75 serverů a následně s podporou WSUSu spuštěn proces aktualizace, který byl po celou dobu víceméně aktivně techniky monitorován. Určitě si dokážete představit, že celková doba pravidelně představovala něco mezi 15 a 35 hodinami víkendové práce přesčas, kterou bylo nutné zaměstnancům proplatit. Jednalo se tak o nemalé prostředky v řádech tisíců eur měsíčně. Navíc tento systém neumožňoval technikům plnohodnotné využití volného času, který měli mít na odpočinek a rekonvalescenci po perném pracovním týdnu.

Vzhledem k nutnosti zlepšit pracovní podmínky techniků, právě s ohledem na lepší vyvážení času na práci a odpočinek, ale také z důvodu požadavku snížit enormní náklady spojené s prací přesčas, začala společnost uvažovat o změně procesu. Vizí byla implementace takového softwarového nástroje, který celý proces plně automatizuje, minimalizuje možnost vzniku lidských chyb a poskytne detailní informace o celém jeho průběhu a výsledku. To vše za účasti pouze 1 technika, který ve stanovených časech provede kontrolu stavu a případně zkoriguje postup, kdy předpokládaná práce přesčas neměla přesáhnout 2 hodiny.

Ochrana osobních údajů: bezpečnost je základním předpokladem digitalizace

26.10.2017 SecurityWorld Zabezpečení
Tak jako kdysi zlatý prach jsou data v 21. století klíčem k bohatství a jejich objem se každé dva roky zdvojnásobuje (v roce 2020 podle odhadů dosáhne 44 bilionů gigabytů). Data umožňují podnikům všech oborů a velikostí do maximální možné míry poznat své zákazníky a všechny podniky hledají způsoby, jak efektivně údaje o svých stávajících (i potenciálních) zákaznících využít. Například analýza dat v téměř reálném čase a reakce na získané poznatky umožňuje výrazně zlepšit obsluhu zákazníka – od lepších produktů a rychlejších služeb po personalizovanou komunikaci a na míru připravené odměny.

Datový poklad však není volně dosažitelný každému. To, co podniky láká – vlastnictví a užívání dat – je zároveň může vystavit značnému právnímu riziku a nebezpečí ztráty pověsti. Stejně se vzedmula vlna zájmu o využití dat, začínají si zákazníci sále více uvědomovat své právo na ochranu soukromí a možné dopady sdělování svých osobních údajů.

Podniky, které nedokáží dostatečně zabezpečit údaje o svých zákaznících se nejen vystavují právnímu postihu, ale nanejvýš pravděpodobně také utrpí jejich reputace a důvěryhodnost. Z bezpečnostních selhání musí vyvozovat osobní důsledky i nejvýše postavení manažeři. Bývalá generální ředitelka společnosti Yahoo! Marissa Mayer přišla o roční prémie, protože firma nezvládla patřičně reagovat na narušení bezpečnosti, při němž došlo ke krádeži osobních údajů více než 1 miliardy uživatelů.

Na poptávku po právní ochraně soukromí reagují i úřední aparáty a přijímají předpisy, jako je evropské Obecné nařízení o ochraně osobních údajů (GDPR), které nabývá účinnosti 28. května 2018 a zaručuje ochranu osobních údajů všem obyvatelům Evropské unie bez ohledu na to, kde jsou jejich data uložena nebo zpracovávána.

Toto nařízení bude mít dopad na podniky z celého světa, nikoli jen evropské. Zdaleka ne všechny subjekty jsou však na GDPR připravené. V průzkumu uvedlo 8 % z dotázaných britských firem, že dosud nezavedlo žádná z opatření nutných ke splnění povinností vyplývajících z GDPR. Obdobná situace panuje v Německu (8 %) a Francii (12 %).

Podniky se tak pohybují na tenkém ledě. Pro své strategie digitální transformace potřebují nezbytně uchovávat data a využívat je tak, aby dosáhly konkurenční výhody. Zároveň musí data chránit proti stále důmyslnějším hrozbám, přičemž digitalizovat znamená vystavovat podnik útokům z více různých směrů.

Možnost volby a zachování kontroly

Podniky usilují o úplnou digitalizaci, díky níž získají akceschopnost, bezpečnost, přizpůsobivost a nákladovou efektivitu. Na první pohled se může zdát, že akceschopnost a přizpůsobivost jsou v protikladu s bezpečností. Pokud však má podnik maximálně těžit z přínosů digitalizace, musí se věnovat všem jejím aspektům. Gartner to popisuje jako „využití digitálních technologií ke změně obchodního modelu a nalezení nových příležitostí k tvorbě zisku a hodnoty“.

Před nedávnem vyšla studie výzkumné společnosti 451 Research, jejíž zpracování zadaly společnosti VMware a Atos, která zkoumala hlavní trendy a očekávání ohledně zavádění cloudu. Ze studie vyplývá, že zlepšování akceschopnosti a přizpůsobivosti patří mezi tři rozhodující faktory u plánovaných cloudových projektů amerických a evropských podniků a jsou dvěma hlavními faktory, které ovlivňují rozhodování o zavedení správné infrastruktury pro digitalizaci.

V minulosti obecně panovala situace buď-anebo – podnik, který chtěl být mobilní a připojený se otevíral útokům, celková digitalizace se vylučovala s dodržováním zákonných povinností a odpovědné správy a vyšší bezpečnost byla na úkor zákaznické zkušenosti.

Tento názor je stále hluboce zakořeněný – studie společnosti 451 Research, která zkoumala, jak cloudové technologie podporují digitální transformaci, zjistila nejen to, že 48 % evropských podniků (50 % ve Velké Británii, 42 % v Německu a 49 % ve Francii) zvažuje přesun aplikací do privátních cloudů z důvodů bezpečnosti a možnosti kontroly, ale také že bezpečnost zůstává jednou z hlavních překážek zavádění cloudu obecně. Je to pochopitelné, uvážíme-li, že podle společnosti Gartner potřeba předcházet únikům dat z veřejných cloudů do roku 2018 přiměje 20 % podniků k zavedení programů správy zabezpečení dat.

V podnicích také přetrvává zvyk nijak nekoordinovaného nákupu technologií, kdy si různé jednotky pořizují IT produkty a služby dle svého uvážení a bez vědomí IT. Zejména se jedná o snadný nákup veřejných cloudových služeb jako pohotového řešení, které zajistí akceschopnost a rychlost při uvádění produktů a služeb na trh, aniž by bylo nutné procházet korporátním procesem schvalování, zabezpečení a řízení shody.

Infrastruktura, která dokáže ochránit nejcennější komoditu 21. století

Naneštěstí neexistuje jediný univerzální přístup, který by vyhovoval ve všech situacích. Každý podnik musí nalézt infrastrukturu, která bude vyhovovat jeho specifickým potřebám a pokrývat požadavky pomocí kombinace různých prostředí. Privátní cloudy rozhodně nabízí bezpečná prostředí, ale veřejné cloudy je překonávají z hlediska flexibility. Je také důležité vědět, jak vznikají aplikace – od vývoje a testování po produkční nasazení, přičemž každý krok může fungovat nejlépe v jiném prostředí. Snadná migrace mezi různými typy prostředí je tedy základním předpokladem efektivního uvádění produktů a služeb na trh při zachování bezpečnosti a souladu s regulatorními a zákonnými požadavky.

Teoreticky to vypadá jako vynikající nápad, ale je to reálné v praxi? Skutečně platí, že žádný podnik nemůže požívat výhod digitalizace a zároveň se zachovat bezpečnost?

Ne, neplatí. Olympijské hry jsou toho skvělým příkladem – olympiáda v Riu v roce 2016 byla nejen skutečně digitální událostí v ještě větším rozsahu než o čtyři roky dříve Londýn a s efektivnějším využitím výpočetního výkonu, ale její systémy dokázaly chránit data tisíců sportovců, novinářů, dobrovolníků a dalších osob a zároveň zpracovávat akreditace a přístup v pevně stanovených termínech. Každou sekundu se také potýkaly se 400 hackerskými útoky, tedy 510 miliony kyberbezpečnostních událostí za celou dobu trvání her. To je dvojnásobný počet útoků, něž kolika čelil Londýn 2012.

Bez ochrany dat nelze podnikat

Skutečností je, že podniky jsou a budou posuzovány podle ochrany dat. Zavedení GDPR pomůže zvýšit povědomí o opatřeních, která by měly podniky přijmout, a má dalekosáhlé důsledky pro každou firmy, která se dotkne evropského trhu, bez ohledu na to, kde sídlí.

Zároveň je nutné počítat s tím, že zákazníci nebudou ochotni se vzdát funkcionality a komfortu. Zajištění bezpečnosti je jedním z klíčových prvků digitalizace – každý podnik, který chce těžit z jejích výhod, musí na bezpečnosti pracovat stejně jako na akceschopnosti, přizpůsobitelnosti a nákladové efektivitě. A správná infrastruktura zásadním způsobem pomáhá patřičnou rovnováhu nastolit.

Adware a Defender zpomalí váš počítač nejvíce, Eset a F Secure naopak nejméně

24.10.2017 CNEWS Zabezpečení
Který antivirus je nejméně hospodárný a který naopak při používání počítače skoro nepocítíte?
Pokud jste ještě na antiviry nezanevřeli, mohlo by vás zajímat, jak si dnešní bezpečnostní produkty vedou v otázce výkonu. Právě na výkon se zaměřili na AV-Comparatives ve svém posledním testu antivirů.

Dle autorského týmu bylo testování provedeno na počítači Lenovo E560 s aktuálním systémem Windows 10 v 64bitové edici. Počítač obsahoval procesor Core i5-6200U, 8 GB operační paměti a blíže neurčené SSD.

K tématu: Souboj bezpečnostních expertů. Jsou antiviry přínosné, nebo je máme zahodit?

Jen tradičně upozorňuji, že výsledky se mohou lišit v závislosti na softwarové i hardwarové konfiguraci počítače, navíc může být používání každého člověka odlišné od automatizovaného testu, který AV-Comparatives provedlo.

Výsledky testování
Testování bylo rozděleno do dvou částí. Za provozu antivirů byly měřeny některé praktické operace jako kopírování souborů, komprimace apod. Ve druhé části byl spuštěn syntetický benchmark PC Mark 10. Dosažená skóre shrnuje následující tabulka. Shrnujícím a pro většinu lidí nejdůležitějším výsledkem je skóre dopadu, tj. poslední sloupec.

Vlastní testování AV-C PC Mark Celkem Skóre dopadu
Eset Internet Security 11.0 88 99,2 187,2 2,8
F-Secure Safe 17.0 88 99 187 3
Vipre Advanced Security 10.1 88 98,4 186,4 3,6
Bitdefender Internet Security 22.0 88 97,8 185,8 4,2
BullGuard Internet Security 18.0 88 97,1 185,1 4,9
Seqrite Endpoint Security 17.0 85 99,5 184,5 5,4
McAfee Internet Security 20.2, Panda Free Antivirus 18.3 85 97,7 182,7 7,3
Kaspersky Internet Security 18.0 85 96,9 181,9 8,1
Avira Antivirus Pro 15.0 83 98,5 181,5 8,5
Symantec Norton Security 22.11 85 96,3 181,3 8,7
Avast Free Antivirus 17.7, AVG Free Antivirus 17.7, eScan Corporate 360 14.0 85 96,1 181,1 8,9
Tencent PC Manager 12.3 85 93 178 12
Emsisoft Anti-Malware 2017.8 78 97 175 15
CrowdStrike Falcon Prevent 3.4 75 98,5 173,5 16,5
Trend Micro Internet Security 12.0 78 95,4 173,4 16,6
Fortinet FortiClient 5.6 s FortiGate 75 98,3 173,3 16,7
Windows Defender 4.11 63 96,6 159,6 30,4
Adaware Antivirus Pro 12.2 55 95,9 150,9 39,1
Ten obsahuje finální propočet, přičemž nižší číslo znamená nižší dopad na výkon počítače. Jako již mnohokrát dopadl velmi špatně integrovaný antivirus od Microsoftu. Testován byl zřejmě Windows 10 Creators Update, protože ve Fall Creators Updatu je obsažen Defender ve verzi 4.12. Největšího zpomalení byste měli „úspěšně“ dosáhnout instalací antiviru Adaware. Naopak nejlépe si vede Eset. Jen o kousek horší je v otázce zátěže F-Secure.

Na posledních příčkách si můžete všimnout velikých rozdílů. Adware bylo výrazně horší než Defender, který byl pro změnu výrazně horší než Fortinet. Následně se již výsledky zlepšují vcelku lineárně, snad s jednou výjimkou. Avast, AVG a eScan byli znatelně lepší než Tencent a produkty za ním. Mimochodem, minule dopadla Avira výrazně lépe, hůře naopak F-Secure. Produkty se vyvíjí, na výsledky ovšem může mít vliv též rozdílnost v metodice testování.

Data z protokolů odkrývají neznámé skutečnosti

24.10.2017 SecurityWorld Zabezpečení
I ten nejmenší tým IT může využívat správu protokolů pro hladší provoz a silnější zabezpečení.

Malé týmy IT stejně jako ty velké závisejí při odstraňování problémů, vyšetřování bezpečnostních incidentů a dalších důležitých úlohách na aktuálnosti informací.

Zvýraznění a rychlé a efektivní přednostní vyřešení problémů může znamenat rozdíl mezi krizí a úspěšným provozem firmy, bez ohledu na velikost. Velká část těchto důležitých aktuálních informací přichází v podobě dat protokolů (log).

Je důležité si uvědomit, že „malý tým IT“ neznamená malý objem dat. Mnoho menších IT týmů a jejich systémy generují každý den mnoho gigabajtů protokolů. S omezením rozpočtu a personálu však menší týmy IT čelí specifickým problémům, pokud jde o analýzy protokolů.

Drobné IT týmy jsou, a není divu, zcela běžné ve soustě malých firem (a dokonce i v některých velkých organizacích). Podle nedávné zprávy společnosti Spicework o trendech přijetí technologií mají společnosti s méně než 99 zaměstnanci obvykle mezi svými pracovníky průměrně jen dva až tři IT profesionály.

Data protokolů jsou jakýmsi supermanem IT údajů: slabá a neokázalá zvenku, ale skrývají nesmírnou sílu. Protokoly zachycují životně důležité skutečnosti týkající se vaší firmy. Poskytují rozhodující záznamy veškerého dění od oblíbenosti produktů až po stav zabezpečení a výkonu vaší sítě.

Analýza dat protokolu správně transformuje způsob rozhodování a dokonce i způsob fungování firmy. Tato data až příliš často leží bez užitku na serverech a čekají, až je někdo objeví. Ale tak to nemusí být – malé organizace a týmy IT prostě potřebují způsob, jak je využít.

Pochopení dat protokolů

Jedním z největších problémů, kterým týmy IT čelí v souvislosti s daty protokolů, je prostá agregace dat a nalezení vzájemných souvislostí. Neexistují zde žádné datové standardy.

Každá zakázková aplikace má vlastní protokoly. Dostupné nástroje často mají vážná omezení, jako je například omezení znaků pro soubory protokolu, které se vracejí.

Když máte mezi zaměstnanci jen dva až tři IT profesionály, stávají se agregace a korelace všech dat protokolů vytvářených ve společnosti kolosálním úkolem.

Tato úloha se dále ztěžuje současnými technologiemi, které pracují tak rychle, že se nová data protokolů vytvářejí nepřetržitě 24 hodin denně 7 dní v týdnu, a to v každé aplikaci a systému ve vaší infrastruktuře.

Chce-li váš tým IT úspěšně využívat data protokolů, musíte nejprve najít vhodný způsob jejich správy.

Shromažďování a centralizace

Agregace dat protokolů do jednoho místa – protože jsou generovaná aplikacemi, infrastrukturou a distribuovanými prostředími – je k získání komplexního pohledu na IT nezbytná.

Nutnost prohledávat jednotlivé oddělené sklady dat a ručně hledat souvislosti může být časově náročná, zejména když nefunguje klíčová služba.

Například posílání všech protokolů syslog a událostí Windows do jednoho místa znamená, že se můžete zbavit nutnosti používat při řešení problému několik jednotlivých nástrojů.

Automatizace sběru dat protokolu a centralizace je výchozím bodem k získání větší hodnoty z vašich dat. (Viz tabulku s příklady dat, která oddělení IT potřebují shromažďovat a centralizovat.)

Většina nástrojů a ručních přístupů vyžaduje, aby uživatelé normalizovali či vybírali konkrétní data ze souborů protokolů, což zabírá čas a ztrácí se tím podstatný kontext. Lepším přístupem je shromažďovat a v reálném čase uchovávat data v jejich nezpracované podobě v nativním formátu, aby bylo možné zodpovědět nečekané otázky.

To však může být náročné. Neexistují žádné standardní formáty pro data protokolů. Téměř každý systém, aplikace a zařízení zabezpečení bude mít jiný formát dat protokolu.

Tabulkové kalkulátory a nástroje BI nelze přímo použít k analýze dat protokolů z různorodých systémů. Ve chvíli, kdy se vytvoří schéma nebo se data vloží do řádků a sloupců, čeká uživatele tabulkových kalkulátorů a nástrojů BI hora práce nad rámec pouhého přidání dat protokolu z dalších systémů.

Nejhorším scénářem je pak požadavek kontextu z originálního souboru protokolu, jen aby se zjistilo, že při normalizaci dat či při jejich extrakci, transformaci a načítání (ETL) došlo ke ztrátě kontextu.

Hledání a monitoring

Prohledávání dat protokolů s cílem najít problém se v podstatě rovná hledání jehly v kupce sena. A stejně, jako by někdo mohl použít magnet při hledání té jehly, potřebují malé týmy IT snadný způsob, jak vybrat potřebné soubory protokolů. Měly by to být soubory, které ukazují, že se něco pokazilo, že došlo k chybě systému nebo k narušení zabezpečení.

Řešení tohoto problému je jednoduché a známe ho velmi dobře všichni – hledání. Dostupnost vyhledávací funkce, která dokáže prozkoumat centralizovaná data protokolů, odstraňuje nutnost používat grep nebo tabulkový kalkulátor ke hledání IT problémů.

Představte si, že jednoduše zadáte slovo „error“ nebo „fail*“ a dostanete jako odpověď všechny relevantní soubory protokolů ze všech vašich systémů.

Přestože schopnost hledat problémy významně šetří čas a snižuje náklady, skutečný přínos spočívá v přechodu mezi reaktivním a proaktivním přístupem. Proaktivním vyhledáváním událostí obsahujících klíčová slova „error“ nebo „fail*“ a varováním v případě, když se vyskytnou, mohou týmy IT identifikovat a řešit problémy dříve, než se rozrostou do podoby plnohodnotného požárního poplachu.

Vizualizace a reporty

Vytvoření informačních panelů a reportů pro všechna relevantní data poskytuje rychlý přehled o zdravotním stavu IT a problémech. Například vytvoření vizualizací chyb pomůže týmu IT lépe stanovit priority a řešit nejprve největší závady.

Přirozeným vývojem je přejít od jednotlivých vizualizací k informačním panelům, které zahrnují několik vizualizací na základě zobrazení živých a historických dat. Informační panely jsou základnou pro týmy IT pro monitorování více prahových hodnot a podmínek na bázi trendů.

Je důležité si uvědomit, že identifikace a detailní zkoumání problémů přímo z informačních panelů je základem pro efektivní pracovní postupy při správě a využívání dat protokolů. Možnost proklikat se z tabulky či grafu přímo k surovým datům snižuje čas potřebný k řešení problémů a pomáhá týmům přejít z reaktivního přístupu na proaktivní.

Centrální shromažďování a analýza dat protokolů jsou pouze výchozím bodem. Skutečný přínos začne poté, co se týmům podaří vymanit se z režimu podobnému požárnímu cvičení a proces zautomatizovat.

Eliminace manuálního vyhledávání

Posun za hranice, které představují grep a manuální vyhledávání v protokolech, sníží průměrnou dobu potřebnou na řešení problémů a uvolní personál IT k práci na důležitějších projektech.

Pamatujte, že schopnost přistupovat k datům protokolů a eliminovat separaci, kterou tvoří datová sila, jež se vyskytují ve všech systémech a aplikacích, je rozhodující pro získání přehledu potřebného k řešení problémů a k pochopení plné hodnoty dat protokolů.

Hledání v jedné či dvou aplikacích, nebo dokonce jen v jednom systému může skončit odstraněním symptomů problému, a nikoli hlavní příčiny. Kromě toho zkoumání jednotlivých protokolů a zdrojů snižuje přínos efektivity, která plyne z odstranění manuálního procesu.

Monitoring systémů, aplikací a KPI

Prevence je příslovečně tisíckrát efektivnější než řešení následků. Proaktivní sledování, zda se v datech webu a aplikací nevyskytují problémy, pomůže týmům IT vymanit se z režimu hašení požárů.

Monitorování výskytu problémů a spouštění upozornění, když není splněn klíčový ukazatel výkonu nebo je systém nefunkční, zásadním způsobem transformuje fungování týmů IT z reaktivního na proaktivní.

Tato transformace hraje významnou roli v pomoci týmům IT, aby využívaly své omezené zdroje na identifikaci příležitostí k optimalizaci systémů a aplikací, a ne až k reakcím na problémy.

Přechod na proaktivní režim v konečném důsledku umožní týmu, aby se více věnoval strategické práci, jako je například zvýšení zabezpečení IT.

Zlepšení zabezpečení IT

Protože data protokolů obsahují rozhodující záznamy o aktivitě v celé vaší infrastruktuře a sítích, mají také informace, které by mohly indikovat podvody, narušení a útoky APT. Použití dat protokolů k podpoře zabezpečení IT může urychlit šetření v oblasti zabezpečení a pomoci určit příčinu narušení.

Použití tabulkového kalkulátoru nebo jiného nástroje využívajícího řádky a sloupce pro data protokolů může zpomalit vyšetřování narušení, nebo může dokonce způsobit neúmyslné odstranění dat, která jsou pro případ klíčová, protože důležitá data někdy nezapadají do určitého schématu.

Řešení problémů se zabezpečením může být také časově citlivé. Schopnost rychlého vyhledávání v datech protokolů a obdržení varování při výskytu anomální aktivity představuje stěžejní funkce pro prevenci a zastavení útoku.

Stejně jako Clark Kent, který vyrostl z mírného mladíka ze Středozápadu a stal se z něj plnohodnotný superhrdina – Superman, by měla i data protokolů projít transformací ze skromné zpětné vazby k mocnému nástroji pomáhajícímu pochopit a řešit složité problémy.

Pamatujte si: Jenom to, že jste malou firmou nebo máte malý tým IT, ještě neznamená, že nemůžete přeskočit vysokou budovu nebo letět rychleji než vlak.

***Tabulka 1:

Ukázka typů dat, která oddělení IT potřebují centralizovat

Příklad typu dat

Původ

Protokoly clickstream

Webové servery, směrovače, proxy servery, reklamní servery

Protokoly aplikací

Lokální soubory protokolů, log4j, log4net, WebLogic, WebSphere, JBoss, .Net, PHP

Syslog

Směrovače, přepínače, síťová zařízení

Protokoly Windows

Protokoly aplikací Windows, zabezpečení a systému

Zabezpečte se před drony

25.9.2017 SecurityWorld  Zabezpečení
Ve špatných rukou mohou drony ohrožovat život i majetek. Jak se těmto momentálně nesmírně populárním létajícím strojům v případě ohrožení ubránit?

Snad každý už někdy slyšel o vojenském využití dronů. Možná jste už zaslechli o plánech společnosti Amazon doručovat pomocí dronů zákazníkům komerční produkty. A Google údajně vyvíjí drony napájené sluneční energií, které budou poskytovat vysokorychlostní internet.

Pro prospěšné využití technologie dronů neexistuje žádný limit. Rozprašování pesticidů v rámci boje s virem Zika nebo hasičských chemikálií v odlehlých oblastech. Pátrání a záchrana. Doručování zdravotnického materiálu v případech nouze. V uvádění příkladů bychom samozřejmě mohli pokračovat.

Ale co temnější stránka dronů? Nastal čas, kdy by měli bezpečnostní profesionálové začít formulovat obrannou strategii pro drony?

Vezměme v úvahu následující událost: Letecký dopravní prostředek bez posádky (UAV) upustil balíček se 144 gramy tabáku, 65 gramy marihuany a 6 gramy heroinu nad severním dvorem vězeňského nápravného zařízení Mansfield Correctional Institution, což na tomto místě vyvolalo doslova rvačku.

Nebo způsob, jakým britští zloději využívají drony, aby zjistili, jaké domy lze vykrást. Nebo bandité, kteří používali dron jako pozorovatele pro případ, že by se v dohledu objevila policie.

Obavy o podnikovou bezpečnost

Je zřejmě jen otázkou času, než se drony stanou součástí sady nástrojů hackerů, špionů, průmyslových zlodějů, naštvaných zaměstnanců atd.

Joerg Lamprecht, spoluzakladatel a výkonný ředitel německé společnosti Dedrone, která vyrábí systémy včasného varování a detekce na ochranu proti dronům, uvádí: „Je-li váš vzdušný prostor bez ochrany, přestávají být ploty, videokamery a lidská ostraha adekvátní pro ochranu citlivých budov či osob.“

Lamprecht připomíná, že drony schopné nést až pět kilogramů a letět několik kilometrů lze koupit na internetu a v místních obchodech s elektronikou za méně než 40 tisíc korun.

S využitím GPS a autopilota může mnoho dronů letět po naprogramované cestě, což znamená, že útočník může být ve zcela jiné lokalitě, než je místo zločinu, vysvětluje Lamprecht.

Představte si, že se dron vybavený kamerou vznáší za oknem špičkového výzkumníka nebo vývojáře produktů či výkonného ředitele významné společnosti, dělá fotografie dokumentů, prezentační tabule a snímky obrazovky.

Ve skutečnosti ale může dron s výkonným objektivem sedět na střeše budovy naproti přes ulici. Stejně jako zde již máme celou problematickou oblast tzv. wardrivingu, budeme nyní muset počítat s warflyingem.

Gerald Van Hoy, analytik v Gartneru, uvádí, že drony mohou létat nad celými oblastmi a vyhledávat otevřené sítě Wi-Fi za účelem získání přístupu k jednotlivým počítačům, sítím a dokonce využívat jejich IP adresy k ilegálním aktivitám, jako je například krádež identity.

„Totéž platí i pro firmy,“ připomíná Van Hoy. „Nedávno se ve zprávách objevil případ, kdy dron získal přístup do podnikové sítě, protože zařízení ve vyšších patrech budovy nevyužívala šifrování.“

Děsivé scénáře s drony

Kromě průmyslové sabotáže mohou mít drony katastrofální dopad na veřejnou bezpečnost.

„Potenciál hrozeb dronů je různorodý,“ popisuje Lamprecht. „Letecké dopravní prostředky bez posádky (UAV) rovněž představují vážnou hrozbu pro bezpečnost letadel.“

Například agentura FAA dostává každý měsíc více než 100 zpráv o zpozorovaných dronech. Na začátku tohoto roku varovaly nezávislé výzkumné ústavy před nebezpečím, že teroristé mohou zneužít drony dostupné pro spotřebitele k útokům na letadla.

„Ve skutečnosti FAA zakazuje použití dronů až do vzdálenosti 8 km od letišť z bezpečnostních důvodů. Pokud by došlo k náhodnému nasátí dronu do tryskového motoru letadla, mohl by motor vybuchnout a letadlo by se následně mohlo zřítit,“ vysvětluje Jack Reis, projektový manažer společnosti Harbor Research.

Při požárech spalujících minulé léto Severní Karolínu překážely letadlům přepravujícím vodu a látky zhášející oheň právě soukromé osoby, které se chtěly pomocí svých dronů lépe podívat na situaci. Hasiči na zemi a letecké posádky nemají žádný způsob, jak komunikovat s těmito operátory dronů.

Reis uvádí, že dalším děsivým scénářem je možná hrozba výbušného zařízení a nebezpečného biochemického mechanismu připevněného k dronu, jehož cílem může být poškození civilistů.

V dubnu 2015 přistál na střeše japonského premiéra dron přepravující radioaktivní látku. Pokud mohou tyto létající prostředky hodit drogy do věznice, mohou také shodit bomby, chemikálie a smrtící viry na městskou populaci nebo do nádrží dodávajících vodu pro město.

Dalším scénářem je, že může dron zmást zařízení inteligentního domu, manipulovat s elektřinou, zapnout plyn, vypnout vytápění nebo zapnout vodu, aby zaplavila celý dům. A mohl by dron zaútočit na chytré sídliště, či dokonce chytré město?

„Ještě důležitější je,“ dodává Reis, že „hackeři mohou používat drony k ovlivnění zařízení vzdáleného ovládání dostupných on-line v případech, jako jsou elektrárny, trafostanice, potrubní rozvody a další důležitá zařízení distribuční infrastruktury, která nemusejí mít správné bezpečnostní standardy.

Kromě narušení procesu, který se týká takového zařízení, může otevřený vstupní bod vést k síti zařízení napojených na rozvody, například až do výrobního závodu nebo přestupní stanice.“

„Nechápejte mne, prosím, špatně,“ dodává Van Hoy, „drony jsou v současné době populární, ale podobný druh ohrožení může přijít také v podobě automobilů bez řidiče a robotických čističů oken či od řady zařízení internetu věcí (IoT). Neříkám, že u těchto druhů technologií převažují rizika nad výhodami, ale že bezpečnost by měla mít vždy vysokou prioritu.“

Pozitivní aspekty

„Navzdory problémům s bezpečností a zabezpečením věříme, že trh s drony ukazuje obrovskou příležitost,“ dodává Reis. „Jak se vyjasňují potřeby koncových zákazníků, stejně tak to bude s nabídkami od výrobců dronů, kteří budou přicházet s inovativními případy využití. V současné době silně těží z výhod využití dronů letecký průzkum, hornictví, ropný i plynárenský průmysl nebo zemědělství.“

V zemědělství se například využívá postřik velkých ploch proti škůdcům a existují pokusy minimalizovat problém s moskyty přenášejícími virus Zika ve státech s vysokým rizikem.

Drony také pomáhají farmářům lépe řídit úrodu poskytováním leteckých pohledů na vše, počínaje problémy se zavlažováním, kvalitou půdy až po boj proti škůdcům a zamoření plísněmi.

„Drony se dokážou dostat do nepřístupných míst a spotřebují méně produktů v důsledku přesnější aplikace,“ vysvětluje Hammond. „To je obzvláště praktické, když se kombinuje rozprašování s přesnými údaji z čidel zaznamenávajícími například teplo a hmyz.“

Hammond uvádí, že živé videopřenosy z těžko přístupných míst jsou jedním ze skutečných přínosů dronů, protože jsou tato zařízení flexibilnější a mohou se dostat blíže než vrtulník při potřebě prohlédnout malé oblasti, jako jsou například trhliny v nadzemní části mostů.

Některá města už dnes používají drony ke kontrole střech budov za účelem vyhodnotit nadměrné zatížení napadlým sněhem a poté řídí plány úklidu. Drony také mohou přinést přehled o dopravních zácpách, automobilových nehodách, situaci s ledem a sněhem na střechách a mostech a o počtu aut na parkovišti.

Podle analytické společnosti Forrester lze ke dronům připojit všechny typy snímačů pro sběr informací – optické, teplotní, chemické, infračervené atd.

Chemické snímače mohou detekovat metan na plynových polích a teplotní snímače mohou zjistit přítomnost lidí nebo zvířat v nebezpečných oblastech jako např. v blízkosti gejzírů, kališť, výstupů páry, horkých pramenů a sopek.

Drony také mohou dodávat zásoby a léky do odlehlých oblastí, nakažených zón a vzdálených měst a vesnic, které jsou nepřístupné jakýmikoliv prostředky kromě chůze.

Detekce dronů

Podle Reise jsou drony špičková, dálkově ovládaná zařízení, některá s doletem stovek kilometrů, a většinou obsahují videokamery umožňující vidět, co se celou dobu děje.

I když tyto schopnosti poskytují širokou řadu využití s přidanou hodnotou v mnoha průmyslových odvětvích (přesné zemědělství, inspekce elektrického vedení, inspekce potrubí, doručování balíků atd.), představují také významná rizika pro bezpečnost a zabezpečení.

„Nejlepší ochranou proti nepřátelským dronům je komplexní automatizovaný systém, který se skládá ze spolehlivé detekce dronu a integrovaných protiopatření spouštěných na základě individuální rizikové situace a právních předpokladů,“ uvádí Lamprecht.

„Například náš DroneTracker spolehlivě detekuje a identifikuje kriminální drony pomocí různých senzorů, kombinace dat a inteligentní softwarové technologie. Obranná opatření lze aktivovat automaticky a je možné také upozornit bezpečnostní služby,“ dodává Lamprecht.

Jak p2p ohrožuje vaše zabezpečení?

25.9.2017 SecurityWorld  Zabezpečení
Sdílení souborů je stále běžnější – znamená to, že je nutné vzít vážně i hrozby, které se v přenosech p2p skrývají.

Bezpečnostní hrozby pocházející z komunikace peer-to-peer (p2p) nejsou nic nového, v poslední době jsou ale mnohem důmyslnější.

Od ransomwaru a CryptoLockeru až po botnety – tyto globální hrozby se i nadále vyvíjejí a využívají stále propracovanější způsoby, jak se dostat k obětem. Pokud je týmy zabezpečení nehledají, mohou zůstat bez povšimnutí, což by mohlo být pro podnik v konečném důsledku velmi nákladné.

Blog, který provozuje firma TrendLabs Security Intelligence, uvádí informace o hrozbách po větší část uplynulých dvaceti let. V nedávném příspěvku věnovaném hrozbám maker a ransomwaru v oblasti e-mailů poznamenává jeho autorka Maydalene Salvadorová, že počet spamových zpráv dosáhl ročně počtu okolo 200 miliard e-mailů.

„Ne všechny spamové zprávy týkající se hrozby maker však měly přílohy. Některé e-maily obsahovaly odkazy, které vedly k legitimním webovým službám pro ukládání souborů, jako je např. Dropbox, odkud byly škodlivé soubory sdílené,“ tvrdí Salvadorová.

Nehledě na to, zda se využívá zašifrování souborů pro vydírání, nebo se užívá infekce malwarem, který následně ukradne přihlašovací údaje, uživatelé stále klikají a sdílejí tyto virulentní přílohy.

Tyto masivní kampaně se zločincům i nadále vyplácejí, protože jim poskytují přístup nebo vydělávají peníze.

Chase Cunningham, šéf výzkumu kybernetických hrozeb, a Jeff Schilling, CSO ve společnosti Armor, uvádějí: „Hackeři posílají phishingové e-maily obětem. Třeba CryptoLocker vidí, jaké protokoly jsou v síti otevřené. Potom se zamknou soubory, zašifrují se a drží se jako rukojmí.“

Zločinci míří na servery

Zločinci už vstoupili do arény serverů, upozorňuje Schilling. „Před pěti lety to bývaly botnety, ale nyní hackeři přešli na webové servery, které jim dávají větší sílu. Mohou zkompromitovat jeden server a potom získat hlubší přístup do firemní sítě,“ dodává Schilling.

Podle Cunninghama, pokud vaše infrastruktura – z technického hlediska – nevidí, co se děje v síti, neuvidíte ani přenosy p2p. Jestliže se vaše firma aktivně nesnaží nasazovat specializované nástroje typu threat intelligence, nevíte, co se může ve vaší síti objevit.

V softwarovém oboru sdílení souborů p2p neexistuje téměř žádná regulace, upozorňuje Schilling, „Kdo vám tedy řekne, jaké porty a protokoly se používají?“

Jedním z řešení je nepřetržitě monitorovat všechny protokoly. „Potřebujete mít nástroje threat intelligence a důsledné monitorování.“

Častým problémem monitoringu je, že většina síťového provozu se sleduje takzvaně od severu k jihu, uvádí Schilling. Pozorování spojení mezi východem a západem mezi servery v našem prostředí a dalšími servery odhalí jiné hrozby.

„Většina firem neumísťuje senzory mezi servery, aby odhalila takové aktivity p2p. Nedávno se prvek botnetu dostal do podnikového prostředí jednoho z našich zákazníků a rozšířil se i na jeden server v našem prostředí, ale zablokovali jsme to, protože jsme monitorovali směr z východu na západ a používáme whitelisty,“ uvedl Schilling.

Přestože existuje několik nástrojů na trhu, které mapují sítě, takže IT profesionálové mohou vědět o všech souvislostech, „mnoho lidí nechce do těchto nástrojů investovat“, uvádí Schilling. „Nemají zájem, protože ve skutečnosti možná ani nechtějí vědět, jak zlé to je.“

Cunningham a Schillling uvedli, že CryptoLocker zůstává dalším problémem p2p. „Je to něco, co v posledních letech skutečně propuklo. Zranitelnosti v noteboocích a dalších osobních zařízeních však nevedou k vypnutí protokolů p2p,“ pokračuje Schilling.

Jakmile zločinci získají přístup k jednomu počítači, mohou vidět všechny porty a protokoly v této síti. „Mělo by jich být otevřeno co nejméně,“ radí Cunningham. „Lidé sdílejí soubory a připojují se k síťovým diskům a malware migruje a šifruje tyto síťové disky.“

Obrana před těmito hrozbami má velkou souvislost s návrhem sítě a používáním systémů řízení přístupu k síti, takže když se počítač připojí do sítě, je mu povolený pouze určitý provoz.

„Všechny porty a protokoly jsou zamknuté. Mnoho uživatelů může dělat veškerou potřebnou práci ze sítí pro hosty, které jsou od podnikové sítě oddělené příslušnou segmentací,“ vysvětluje Schilling.

Navíc „oddělte segmentací od podnikové sítě uživatele, kteří využívají svá vlastní zařízení. Pracujte s touto uživatelskou populací tak, jako by byly dané počítače již infikované,“ radí Schilling.

Distribuovaná hrozba

Michael Taylor, šéf aplikačních vývojářů ve společnosti Rook Security, uvádí, že v závislosti na povaze útoku přicházejícího z p2p může být obrana proti těmto hrozbám velmi složitá. „Namísto šíření z několika serverů či hostitelů dochází k outsourcingu na mnoho hostitelů. Použití firewallů nedokáže zablokovat všechny tyto přenosy.“

Botnety z aplikací p2p jsou populární a používají velmi důmyslné komunikační metody. Jejich vymýcení představuje likvidaci stáda, což se samozřejmě liší od tradiční hrozby botnetu, který má vlastní řídicí centrum.

„Když máte botnet, musíte mít některé servery, které řeknou ostatním, co mají dělat. Pokud dokážete vlastní síť izolovat od řídicích serverů, nedokáže se manažer botnetu dostat k ovládání botů,“ uvádí Taylor.

Jestliže je několik takových řídicích serverů statických, je snadnější takové přenosy izolovat. „Můžete v podstatě odříznout pokyny pocházející od osoby, která botnet provozuje, a to vám umožní získat nějaký čas na nápravu, ale při konfiguraci p2p, kdy je botnet více decentralizovaný, je těžší takovou komunikaci odfiltrovat,“ vysvětluje Taylor.

DDoS nebo phishing

Hrozby od těchto botnetů sahají od útoků DDoS až po spamovací e-maily využívané k infiltraci sítě zkompromitováním pracovní stanice uvnitř prostředí. Jakmile získají přístup, mohou se zaměřit na server, kde jsou uložené důvěrné informace.

„Můžete tyto hostitele také použít pro rozšířené phishingové útoky, identifikovat nejvyšší manažery a další cíle pro útoky cíleného phishingu a whalingu, nebo se zaměřit na zaměstnance disponující přístupem k datům, o která máte zájem,“ popisuje Taylor.

Data jsou nejčastějším primárním cílem zločinců. „Pro zločince je to velmi lukrativní útočný vektor, když jsou manažeři poměrně snadnou kořistí. Lákavá je autorizace on-line převodů a kompromitace jejich hardwaru, protože mají přístup k velkému množství dat,“ uvádí Taylor.

V závislosti na tom, jak je síť segmentovaná, se zločincům nemusí podařit přímý přechod z pracovní stanice ke korunovačním klenotům podniku, ale útočník může získat přihlašovací údaje, které mu dále pomohou v pohybu sítí.

S využitím signatur pro perimetr sítě a pro interní síť „můžete vidět přenosy přicházející zvenčí a také pokusy o přístup k ostatním uvnitř sítě“, uvádí Taylor.

Které typy zabezpečení jsou v kurzu a jaké naopak nikoliv?

15.9.2017 SecurityWorld Zabezpečení
S mírou využívání cloudových služeb roste i zájem o zabezpečení dat, aplikací a aktivit v cloudovém prostředí. Gartner proto sestavil hype křivku cloudové bezpečnosti, s jejíž pomocí mohou bezpečnostní experti lépe porozumět, které z technologií jsou již zralé pro běžné nasazení a kterým bude ještě několik let trvat, než budou dostatečně vyspělé pro použití ve většině organizací.

„Bezpečnost je i nadále jedním z nejčastěji uváděných důvodů, proč se organizace vyhýbají využívání veřejného cloudu. Přesto ty společnosti, které veřejný cloud používají, paradoxně považují bezpečnost za jeden z hlavních přínosů,“ říká Jay Heiser, viceprezident výzkumu ve společnosti Gartner.

Zároveň ale upozorňuje, že na bezpečnost cloudových služeb lze pohlížet z několika úhlů pohledu. Dvěma hlavními jsou odolnost služeb samotných (například proti útokům) a schopnost uživatelů používat je bezpečně.

Hype křivka přitom podle Heisera může organizacím pomoci zorientovat se v technologiích určených právě pro řízené a efektivní používání služeb veřejného cloudu v souladu s interními i legislativními předpisy.

Na samotném počátku křivky – tedy ještě před „hype“ fází přehnaných očekávání – se nacházejí technologie zabezpečení kontejnerů nebo zálohování do cloudu a nepřerušitelná infrastruktura pro oblast bezpečnosti (immutable infrastructure), tedy nahrazení aplikací novými běžícími instancemi namísto odstavení a následného spuštění.

Na vrcholu hype křivky se momentálně nacházejí například SDP (softwarově definovaný perimetr), KMaaS (správa klíčů jako služba), nebo mobilní DLP (prevence či ochrana před ztrátou dat na mobilních zařízeních.)

Naopak poblíž nejnižšího bodu „propadu do deziluze“ je například privátní cloud, jenž by ale měl „vyspět“ do fáze produktivity během méně než dvou let, a CSB (brokerství cloudových služeb), kterému cesta k „dospělosti“ potrvá 2–5 let.

Těsně před fází produktivity jsou například zálohování a obnova virtuálních strojů nebo DR jako služba (DRaaS), fáze produktivity pak dosáhly například tokenizace, aplikační bezpečnost jako služba, vysoce dostupné a zabezpečené hypervizory nebo služby pro správu identit a profilů.

Správu všech platforem koncových zařízení umožní novinka VMwaru

13.9.2017 SecurityWorld Zabezpečení
Workspace One, podle výrobce první řešení jednotného uživatelského prostředí s podporou správy a zabezpečení pro všechny platformy koncových zařízení, představil VMware.

Workspace One s integrovaným řešením AirWatch, který umožňuje poskytování jednotného uživatelského prostředí, jeho správu a zabezpečení na všech platformách koncových zařízení, ukázal VMware.

Řešení je dostupné s ověřováním identity uživatelů a poskytuje uživatelský komfort a jednoduchost na úrovni spotřebitelských řešení a zároveň zabezpečení podnikové třídy. A pomocí technologie Horizon pro virtualizaci aplikací a desktopů rozšíří totožné prostředí a zabezpečení i na tradiční systémy Windows.

Firmy tak podle výrobce budou moci využít Workspace One jako jediné řešení pro komplexní správu koncových bodů (UEM) a sjednotit uživatelské prostředí na všech platformách pro koncová zařízení včetně systémů Windows, macOS, Chrome OS, iOS a Android.

Mimo to Workspace One nově obsahuje i rozhraní pro programování aplikací (API) od významných poskytovatelů platforem pro koncová zařízení.

Workspace One poskytuje koncovým uživatelům plně samoobslužné řešení, od zavádění nových zařízení do systému po produktivní využití. Zaměstnanec může dostat nový notebook a začít jej užívat během několika minut díky připojení do podnikových systémů ihned po prvním spuštění a samoobslužným aplikacím.

Tento nový přístup eliminuje složitý, nákladný a k chybám náchylný model správy desktopů a zvyšuje bezpečnost díky schopnosti prostřednictvím cloudu izolovat a aktualizovat libovolné zařízení v reálném čase. Stejný princip a bezpečnostní model nabízí řešení Workspace ONE i pro operační systémy Windows 10 a macOS.

Workspace ONE nabídne také distribuci softwaru založenou na cloudové technologii typu peer-to-peer (P2P) pro instalaci objemných aplikací na velký počet PC, která se nachází v různých lokalitách. Tím odpadá potřeba nákladných pobočkových serverů, které vyžadují samostatnou správu infrastruktury.

Virtuální desktopová infrastruktura Horizon 7 integrovaná s platformou VMware Cloud Foundation a řešením Dell EMC VDI Complete spolu s Horizon Apps navíc spojují správu výpočetních, úložných a síťových zdrojů a infrastruktury. Tím odpadá potřeba detailního plánování a podrobného přehledu o provozu jednotlivých prvků infrastruktury.

Spolu s cloudovou službou Horizon Cloud tak firmy mají k dispozici infrastrukturu pro lokální i cloudovou implementaci. Správu desktopů a aplikací Windows lze navíc automatizovat pomocí platformy VMware Just in Time Management Platform (JMP) a technologického preview, které technologie platformy JMP (Instant Clone, VMware App Volumes a User Environment Manager) integruje do jedné řídicí konzoly, což správu výrazně usnadňuje.

Novinkou je i Workspace One Intelligence, což je doplňková služba, která poskytuje ucelený přehled a umožňuje provádět automatizované úkony. Jejím smyslem je zrychlit plánování, zvýšit bezpečnost a zlepšit komfort pro uživatele. Integrované funkce pro nastavení a uplatňování pravidel zákazníkům umožní automatizovat činnosti, které zajistí ochranu a optimalizaci výkonu v reálném čase, což starší systémy neumožňují.

Analytika s biometrií: Klíč k budoucí ochraně dat

13.9.2017 SecurityWorld Zabezpečení
Podle zprávy společnosti Accenture biometrie a pokročilé analýzy revolučním způsobem změní to, jak se řeší zabezpečení dat a otázky ochrany osobních údajů.

Zpráva Nově vznikající technologie ve veřejných službách (Emerging Technologies in Public Service) zkoumá zavádění nově vznikajících technologií ve státních úřadech, které mají přímou interakcí s občany nebo které mají největší odpovědnost za služby občanům. Mezi ně patří například zdravotnické a sociální služby, policie a justice, daňové úřady, pohraniční služba, či důchodové a sociální zabezpečení.

Tyto technologie zahrnují pokročilé analýzy, prediktivní modelování, internet věcí, inteligentní automatizaci, analýzu videa, analýzu biometrických a jiných identifikačních znaků, strojové učení a porozumění počítačů přirozenému jazyku.

Na názory se Accenture ptala lidí v Evropě, severní Americe a Tichomoří. Velmi kladně je zapojování nových technologií vnímáno zejména daňovými úřady (84 %) a správou sociálního zabezpečení (76 %). Kladou důraz zejména na snižování rizika a zlepšování prevence podvodů díky zavádění analytických a biometrických technologií. Velké výhody při zapojení nových technologií očekávají také zástupci pohraniční stráže (68 %).

Výsledky průzkumu též ukazují, že 71 % respondentů v současné době nasazuje pokročilé analýzy a řešení prediktivního modelování. Odvětví, která uvádějí nejvyšší úroveň zavádění řešení datových analýz, jsou daňové a sociální služby (81 % a 80 %), dále pohraniční služba (74 %) a úřady zajištující veřejnou bezpečnost (62 %).

Více než dvě třetiny (69 %) všech respondentů řekly, že zavádějí nebo uvažují o zavádění biometrických technologií. Je zajímavé, že i když téměř dvě třetiny (62 %) respondentů uvedly, že jsou obeznámeny s analýzami videa, méně než jedna třetina (28 %) uvedla, že jejich úřady tato řešení zavádějí.

Sektor, který zaznamenal nejvyšší procento přijetí biometrických technologií, je veřejná bezpečnost (51 %). Následují respondenti z penzijních úřadů a úřadů sociálního zabezpečení (48 %) a pohraniční úřady (36 %). Studie ukazuje, že biometrická řešení jsou vysoce poptávaná a široce užívaná; nejčastěji se zavádějí e-pasy a rozpoznávání oční duhovky. To dokazuje i to, že téměř dvě třetiny (65 %) respondentů průzkumu uvedly, že zkoušejí, zavádějí nebo provádějí výzkum biometrických analýz a analýz identity.

„Bezpečnostní řešení na bázi biometrie působící v kombinaci s analytickými technologiemi nabízejí vládním úřadům účinné a dříve nedostupné možnosti identifikace a ověřování v reálném čase a posilují jak bezpečnost, tak pochopení údajů,“ řekl Ger Daly, který v Accenture vede oddělení zaměřené na sektor obrany a veřejné bezpečnosti. „To umožňuje poskytovat novou úroveň služeb a formuje vládní služby zaměřené na občana, ne na instituci.“

Postřehy z jednotlivých zemí

Otázky bezpečnosti dat a ochrany osobních údajů byly vyhodnoceny jako největší výzvy ve všech devíti dotazovaných zemích. U respondentů z Velké Británie a Německa bylo nejméně časté, že by zde byly obavy o ochranu a bezpečnost osobních údajů (14 % a 15 %).
Respondenti v Austrálii a Singapuru nejčastěji zavádějí biometrické technologie (68 % v obou zemích), zatímco země s nejnižší mírou přijetí je Finsko (22 %).
Respondenti z USA nejčastěji uváděli, že zavádění biometrie by mohlo snížit riziko a zlepšit bezpečnost dat a soukromí (51 %), oproti respondentům z Japonska, u kterých je nejméně pravděpodobné, že budou zastávat tento názor (12 %).
Respondenti z Austrálie (48 %) a Francie (45 %) nejvíce uváděli, že zavádění datové analýzy by mohlo snížit riziko a zlepšit bezpečnost dat. V USA zastávali tento názor nejméně, a to pouze ve 2 %.
Respondenti v Japonsku více než v jakékoliv jiné zemi používají videoanalýzy (43 %), zatímco respondenti z Německa byli ti, kteří přijímají tuto technologii nejméně (18 %).
Úřady v Austrálii a Singapuru zavádějí biometrii a technologie analýzy identity nejvíce, a to z 68 %, následuje Japonsko (57 %), Francie (42 %) a Velká Británie (34 %).

Poznali jsme nepřítele: Jsme to my sami

11.9.2017 SecurityWorld Zabezpečení
Práce ředitele bezpečnosti a jeho týmu nikdy nekončí. Proces zajišťování bezpečnosti vyžaduje neustálou pozornost v podobě monitoringu a analýzy, reakcí na hrozby a zdokonalování pravidel a protokolů. Důležité je zůstat o krok napřed před kyberzločinci, kteří neúnavně útočí na vaši infrastrukturu a data. Někdy jsme však sami sobě nejhoršími nepřáteli.

Na základě nedávno zveřejněné studie společnosti Fortinet o globální kyberbezpečnostní situaci za 2. čtvrtletí bylo například detekováno celkem 184 miliard pokusů o zneužití chyb a zranitelností pomocí 6300 unikátních aktivních exploitů, což představuje nárůst o 30 % oproti předchozímu čtvrtletí a vzhledem k rozmachu zneužívání zařízení internetu věcí k vytváření botnetů (tzv. shadownetů) očekáváme, že tato čísla prudce porostou. V průběhu druhého čtvrtletí došlo u 7 z 10 subjektů k závažnému nebo kritickému útoku založenému na zneužití zranitelnosti.

Došlo také k řadě vážných útoků, které upoutaly celosvětovou pozornost. Malware WannaCry a NotPetya úspěšně zneužil zranitelnosti, které byly zveřejněny a opraveny o několik měsíců dříve, a zasáhl miliony subjektů po celém světě. A sofistikované IoT botnety jako Hajime nebo Devil’s Ivy stavěly na ničivém útoku Mirai z léta 2016.

Sítě se rychle rozrůstají a pokrývají řadu vysoce distribuovaných ekosystémů, včetně fyzických, virtuálních a cloudových prostředí. V takových extrémních podmínkách lze snadno ztratit přehled o zařízeních nebo neudržet systematický cyklus aktualizací a obměny.

Červený koberec pro kyberzločince

Bohužel, protože příliš mnoho subjektů neaktualizuje nebo neobměňuje zařízení se známými zranitelnostmi – bez ohledu na důvody –, kyberzločinci jednoduše předpokládají, že budou schopni do sítí a systémů proniknout. V průběhu druhého čtvrtletí celých 90 % subjektů zaznamenalo, že se stalo obětí útoků proti zranitelnostem starým tři a více let. Ještě horší zpráva je, že 60 % podniků zaznamenalo úspěšné útoky proti zranitelnostem, pro něž je oprava k dispozici více než deset let!

Namísto vynakládání zdrojů na přípravu nových útoků nultého dne se kyberzločinci stále častěji zaměřují na prosté zneužívání známých zranitelností. WannaCry využil zranitelnosti v produktech společnosti Microsoft, pro niž byla téměř o dva měsíce dříve vydána oprava. Cílení na relativně nedávno zveřejněné zranitelnosti nazýváme „horké exploity“. Podobně jako u útoků nultého dne je snahou využít příležitost k útoku v období od zveřejnění zranitelnosti do doby, než uživatelé aktualizují své systémy.

V ideálním případě by toto období mělo být co nejkratší. Avšak není. O měsíc později malware NotPetya nejen šel ve šlépějích WannaCry, ale úspěšně cílil na zcela shodnou zranitelnost. Navzdory tomu, že všichni měli zprávy o prvním útoku ještě v živé paměti, mnoho subjektů nijak nereagovalo. To umožňuje kyberzločincům soustředit se na vývoj stále složitějších a dokonalejších exploitů.

Jakmile malware získá přístup, dokáže pomocí inteligentních nástrojů automaticky identifikovat zařízení nebo operační systém, zjistit, jaké zranitelnosti se u takového systému vyskytují, a následně ze své zásoby exploitů zvolit ten nejefektivnější.

Schopnosti podobné umělé inteligenci umožňují malwaru uniknout detekci pomocí řady důmyslných technik. Například odpozorováním a napodobením vzorců datového provozu a přizpůsobením jeho rychlosti dokáže splynout se svým okolím.

Jak zajistit ochranu?

Začít od začátku a identifikovat veškerá kriticky důležitá zařízení a služby v síti pomocí nástrojů jako FortiSIEM spolu se službami prakticky využitelného zpravodajství o hrozbách, jako např. FortiGuard TIS. Následně obnovit nebo zintenzivnit úsilí o nalezení a aktualizaci zranitelných systémů a výměnu starších, již nepodporovaných systémů.

Očekáváme nejen pokračující nárůst objemu pokročilého malwaru úmyslně cílícího na výkonnostní omezení bezpečnostních prvků pomocí zneužití výpočetně náročných úloh, jako je zpracování nestrukturovaných dat. Potřebné proto budou nástroje, které dokážou zvládat velké objemy dat a náhlý nárůst zátěže je neochromí.

Nedílnou součástí digitální podnikové strategie se musí stát také segmentace sítě. Ten, kdo zvažuje povolení rizikových aplikací, zavedení IoT a šifrování dat, by měl zajistit jejich maximální oddělení od zbytku sítě.

Řádná segmentace představuje zabezpečení v samotné struktuře sítě, takže infikovaná zařízení a škodlivý software lze detekovat a izolovat, kdekoli se objeví, a dříve než se nákaza rozšíří. Segmentace spolu s pravidelným zálohováním dat je rovněž účinné způsoby, jak čelit vyděračskému softwaru.

Útoky nejen přichází v rychlejším sledu, ale jsou koncipované tak, aby zkrátily dobu mezi narušením a účinkem. Chytřejší malware se dokonce dokáže naučit vyhýbat odhalení. Bezpečnostní experti se mohou „zapojit do boje“ i svou účastí v odborných fórech, jako jsou ISAC, ISAO a další organizace, např. Cyber Threat Alliance.

Ve válce proti kyberzločinu platí, že v jednotě je síla.

Nová řešení pro firmy představil Avast, využívají i technologie AVG

7.9.2017 SecurityWorld Zabezpečení
Avast Business, nové portfolio produktů pro malé a střední firmy pod značkou. Poprvé v sobě spojují řešení firem Avast a AVG po jejich spojení pro firemní klientelu.

Nové produkty pod značkou Avast Business zahrnují tři skupiny koncové ochrany pro firemní uživatele s počítači Windows i Mac včetně ovládací konzole, která je k dispozici na místě nebo v cloudu, a také kompletní řešení pro správu IT a integrované zabezpečení Managed Workplace a CloudCare.

Firmám nabízejí zjednodušení ve správě zabezpečení. Firmy také získají výhodu v podobě rozsáhlé detekční sítě Avastu, která v reálném čase identifikuje a blokuje malware a online hrozby.

Do detekční sítě Avastu je zapojeno více než 440 milionů uživatelů, jejichž chráněná zařízení fungují jako senzory, a také díky technologiím strojového učení a umělé inteligence.

Podle Avastu je proaktivní a specializované online zabezpečení pro firmy důležitější než dříve, protože stoupá počet hrozeb. Bohužel pro některé malé a střední firmy je zavádění bezpečnostních systémů příliš složité.

Produktové portfolio Avast Business podle výrobce:

• Business Antivirus: Kompletní antivirus, který sestává ze čtyř štítů, jež fungují v reálném čase – ze souborového, webového, e-mailového a behaviorálního štítu. Zahrnuje také nový anti-spam, celkový test (SmartScan), sandbox, funkci WiFi Inspector a detekční technologii CyberCapture.

• Business Antivirus Pro: Zahrnuje stejné funkce jako Business Antivirus a navíc ochranu dat v Microsoft Exchange a Sharepoint serverech, Software Updater pro automatickou aktualizaci programů třetích stran a software k trvalému smazání souborů Data Shredder.

• Business Antivirus Pro Plus: Zahrnuje stejné funkce jako Business Antivirus Pro a navíc obsahuje funkce pro ochranu dat a identity. Chrání identitu uživatelů na cestách při připojování na Wi-Fi sítě a zahrnují bezpečné úložiště a nástroj pro správu hesel k webovým stránkám.

• Business Management Console: Systém řídící konzole, který doplňuje ochranu koncových uživatelů a zajišťuje, že všechna místa v systému jsou aktualizována. Systém je k dispozici i v cloudu.

• Business Managed Workplace: Komplexní antivirusBusiness Antivirus Pro Plus je nyní integrovaný do centrální monitorovací a řídící platformy Managed Workplace, což zaručuje nejvyšší možnou ochranu. Nová verze také umožňuje lépe identifikovat a řešit rizika.

• Business CloudCare: Komplexní antivirus Business Antivirus Pro Plus je také k dispozici jako bezpečnostní řešení CloudCare. Bezpečnostní webový portál CloudCare zjednodušuje vzdálenou správu mnohačetných sítí z centralizované platformy a poskytuje bezpečnostní služby na základě předplatného.

Eset jako první představil antimalware s integrovanou ochranou UEFI

7.9.2017 SecurityWorld Zabezpečení
Nejnovější verzi svých produktů pro SOHO a domácnosti uvedl na trh Eset. Své klíčové řešení, Smart Security, navíc nahrazuje produktem Internet Security.

Mezi nové klíčové bezpečnostní funkce patří UEFI skener. UEFI je náhrada BIOSu u moderních základních desek. Pokud by malware toto rozhraní mezi hardwarem a operačním systémem infikoval, představovalo by to pro uživatele značné a zároveň velmi těžce identifikovatelné riziko. UEFI skener tento typ hrozeb minimalizuje. Tento typ ochrany podle svých slov použil jako první dodavatel bezpečnostních řešení pro domácnosti.

Další funkce, Monitorování domácí sítě, byla uvedena již v předchozí verzi. Ta inovovaná dává uživateli přehled o tom, kdo se do jeho sítě připojuje. Mimo to umožňuje nejen test routeru, ale i připojených zařízení na potenciální zranitelnosti.

Nové verze bezpečnostních produktů rovněž obsahují vylepšenou ochranu proti ransomware. Jde o funkcionalitu, která monitoruje chování aplikací či procesů, jež se pokouší o úpravu dat v počítači. Pokud je chování vyhodnoceno jako podezřelé, je aplikace či proces pozastaven. Uživateli je zobrazena informace o takovém chování a má na výběr, zda je opětovně povolí či potvrdí jejích zablokování.

„Přestože stále rozšiřujeme bezpečnostní technologie, daří se nám zachovávat minimální nároky na počítačový systém, vysokou míru detekce hrozeb a stabilitu,“ tvrdí Miroslav Dvořák, technický ředitel v Esetu.

V rámci sjednocení označení produktů s ostatními zeměmi dochází k přejmenování prostředního produktu v rámci řady. Smart Security bude nově dostupný jako Internet Security. Nejvyššího produktu v řadě, Smart Security Premium, se tato změna netýká a jméno tohoto nástroje bude zachováno.

„Důvodem této změny je snaha pomoci domácím uživatelům se lépe zorientovat v portfoliu produktů pro domácnosti. Zákaznici si tak mohou snadněji vybrat bezpečnostní nástroj dle svých konkrétních preferencí a potřeb. Při nákupu tak bude jednodušší odlišit pokročilou internetovou ochranu od komplexního bezpečnostního řešení, které obsahuje i šifrování a správce hesel,“ dodává Jaroslav Fabián, marketingový šéf Esetu.

Česko si polepšilo, v mezinárodním žebříčku kybernetické bezpečnosti je na 35. místě

1.8.2017 Novinky/Bezpečnost Zabezpečení
Česká republika si loni polepšila v mezinárodním hodnocení připravenosti na kybernetické útoky. Proti roku 2015 se posunula o šest míst dopředu a patří jí celosvětově 35. příčka. Vyplývá to z hodnocení OSN Global Cybersecurity Index, které zveřejnila organizace CZ.NIC na svém blogu. V žebříčku si nejlépe stojí Singapur, USA a Malajsie, následují Omán a Estonsko.
Mezinárodní srovnání připravenosti a vyspělosti jednotlivých zemí v oblasti kybernetické bezpečnosti je založeno především na hodnocení oblastí, jako jsou legislativa, organizační kapacity či mezinárodní spolupráce. V rámci hodnocení ČR získala body například i za projekt bezpečnostního routeru Turris, aktivní podporu zakládání CSIRT týmů nebo kurzů pořádaných Akademií CZ.NIC.

V jiném hodnocení National Cyber Security Index (NCSI), což je projekt Estonska, který ale srovnává pouze 26 zemí, se Česko umístilo na první příčce. Projekt hodnotil například existenci národní strategie pro oblast kybernetické bezpečnosti a její implementaci, právní postižitelnost jednání kybernetické trestné činnosti včetně ratifikace mezinárodní Úmluvy o kybernetické kriminalitě. Do projektu téměř není zapojená Afrika, Asie a až na Kanadu ani Severní a Jižní Amerika.

Mezi další kritéria společná pro obě srovnání patří existence vzdělávacích programů na jednotlivých stupních škol či realizace osvětových aktivit.

Svou roli ve výsledcích představovala i metodologie a podrobnější otázky řešené Mezinárodní telekomunikační unií pro OSN. „Obě srovnání však potvrzují pozitivní trend připravenosti na kybernetické útoky, který potvrdilo i cvičení Locked Shields, v rámci kterého byl nejlepší český tým,“ dodal Jiří Průša z CZ.NIC.

Strojové učení: Nová naděje proti kybernetickým útokům

9.7.2017 SecurityWorld Zabezpečení
Technologie, která má potenciál zásadně změnit styl hry, by mohla přenést ochranu podnikových sítí na zcela novou úroveň.

Zneklidňující počet úspěšných krádeží dat během posledních několika let ukazuje, že organizace jsou zahlcené rostoucím počtem hrozeb. Objevil se však nový druh bezpečnostního řešení, který využívá pro podnikové zabezpečení strojové učení. Tyto nástroje dovolují analyzovat sítě, porozumět jim, detekovat anomálie a chránit podniky před ohrožením.

Je tedy strojové učení odpovědí na dnešní kybernetické výzvy? Oboroví analytici a firmy nabízející tyto produkty prohlašují, že zaznamenávají zvýšenou poptávku a že první reakce od uživatelů je pozitivní.

„Strojové učení je významným bezpečnostním trendem letošního roku,“ tvrdí Eric Ogren, hlavní bezpečnostní analytik ve společnosti 451 Research. „Každý šéf zabezpečení nyní ví, že behaviorální analytické produkty nabízejí nejlepší šanci zachytit útoky, které uniknou statické preventivní obraně.“

Dodává, že strojové učení je srdcem těchto behaviorálních přístupů. „Není to něco jako pozorování a poslouchání,“ dodává Ogren.

„Strojové učení podle něj zaznamenává chování při definování statistického profilu normální aktivity pro uživatele, zařízení nebo web. To je důležité, protože to poskytuje základ pro analýzu chování, aby bylo možné zabránit velkým škodám způsobeným útokem, který by unikl obraně před hrozbami nebo zneužil povolenou činnost.“

Dlouhodobý přínos strojového učení spočívá v tom, že směruje organizaci na cestu k pravděpodobnostnímu a prediktivnímu bezpečnostnímu přístupu, který se snadno integruje s obecně uznávanými postupy IT.

„Je vidět, že se to již vyplácí ve velkých cloudových a mediálních podnicích, kde se bezpečnost posuzuje méně ve smyslu prostého rozlišení dobrého či špatného a více ve smyslu snížení rizika narušení hlavní podnikatelské činnosti s bezprostředním vlivem na celkový zisk,“ vysvětluje Ogren.

Potenciální problémy

Stejně jako u všech novějších technologií přináší i strojové učení případné těžkosti. „Může být náročné rozlišit kvalitu algoritmů strojového učení od různých dodavatelů,“ vysvětluje Ogren.

Kvalita se podle něj projeví ve výsledcích. On sám doporučuje využít projekty ověření konceptu na několika oddělených případech nasazení pro uživatele, zařízení a weby, aby se zjistila efektivita produktu.

Přestože strojové učení může vést k obrovskému zlepšení zabezpečení, „není to alfa a omega“, poznamenává David Monahan, ředitel výzkumu zabezpečení a řízení rizik ve výzkumné společnosti Enterprise Management Associates. „Má svá omezení a nejlepší způsob využití. Je to skvělý nástroj pro významnou oblast zabezpečení k identifikaci toho, co je mimořádné a mělo by se prověřit a přezkoumat.“

Existují dva hlavní typy strojového učení používané v oblasti zabezpečení: s dohledem a bez dohledu. „Fungují lépe pro rozdílné účely, ale oba v podstatě nacházejí anomálie v daných sadách dat,“ popisuje Monahan. „Proto může být výsledek dobrý jen tak, jak jsou kvalitní poskytnutá data. Strojové učení je tedy přídavná technologie, nikoli základní.“

Hlavní výhody

Základní výhodou této technologie je její schopnost rychle rozpoznat trendy, vzory a anomálie v rozsáhlých a různorodých souborech dat, vysvětluje Monahan.

„Je to mnohem rychlejší než u většiny, ne-li u všech nástrojů big dat, protože to funguje v reálném čase nebo téměř v reálném čase měřeném ve vteřinách až minutách a není nutné čekat na dávkové zpracování,“ tvrdí Monahan.

Potřeba strojového učení je vyvolávaná dvěma fakty, vysvětluje Kristine Lovejoyová, prezidentka a výkonná ředitelka společnosti BluVector, která nabízí bezpečnostní technologii využívající strojové učení.

Jedním je, že zjištění kompromitace trvá dlouhou dobu, a druhým, že v mnoha, ne-li ve všech případech se firmy dozvědí o svém napadení od někoho jiného.

„Organizace potřebují funkce, které jim umožní udržet krok s hrozbami, zjistit je a zlikvidovat dříve, než dojde k nějakým škodám,“ připomíná Lovejoyová.

Firmy „si uvědomily, že nedokážou předvídat každý možný vektor útoku a že si nemohou dovolit ručně vytvářet pravidla pro detekci vektorů, které očekávají“, uvádí Mike Paquette, produktový viceprezident společnosti Prelert, která je dalším dodavatelem bezpečnostních nástrojů využívajících strojové učení.

„Hledají takový způsob automatizace analýz svých dat z protokolů souvisejících se zabezpečením, aby nepřetržitě docházelo k detekci elementárního útočného chování,“ prohlašuje Paquette.

Zde je malá ukázka dostupných bezpečnostních nástrojů, které využívají strojové učení:

Společnost Acuity Solutions nabízí BluVector, produkt pro detekci malwaru a kybernetických útoků, který využívá strojové učení jako mechanismus identifikace a stanovení důležitosti potenciálních hrozeb. Po identifikaci hrozeb dochází k vytvoření forenzních balíčků pro specialisty na odchycení a reakci, kteří hrozby prozkoumají a ošetří.
DgSecure Monitor od společnosti Dataguise je produkt pro detekci narušení, který využívá strojové učení a behaviorální analytiku k varování v situacích, kdy se aktivity uživatele odchýlí od typického profilu chování. Produkt usnadňuje vytváření řídicích zásad zabezpečení dat pomocí této funkce v kombinaci se zásadami definovanými pro uživatele, a to nehledě na případnou chráněnost citlivých dat.
Společnost Deep Instinct nabízí produkt Deep Learning, který je inspirován schopností mozku učit se identifikovat objekt a změnit tuto identifikaci v okamžitou přirozenost. Při aplikaci hlubokého učení pro kybernetickou bezpečnost rozděluje produkt Deep Instinct tento proces dvou fází: učení a predikce. Výsledkem je pak instinktivní kybernetická ochrana i před nejméně určitelnými kybernetickými útoky z jakéhokoliv zdroje.
Společnost Distil Networks nabízí technologii, která chrání webové aplikace před škodlivými boty, před zneužitím rozhraní API a před podvody. Každý zákazník společnosti Distil podle jejích slov těží z globální infrastruktury strojového učení, která v reálném čase analyzuje útočné vzory. Distil například aktivně předpovídá boty na základě korelace více než 100 dynamických klasifikací a upozorňuje na anomálie v chování specifickém pro vzory unikátního webového provozu.
Společnost Prelert nabízí tři produkty pokročilé detekce hrozeb, které využívají strojové učení pro oblast bezpečnosti. Všechny tři jsou postavené na stroji behaviorální analytiky firmy Prelert, který využívá nedohlíženou technologii strojového učení k vytváření etalonů normálního chování v datech protokolů a identifikuje anomálie a neobvyklé vzory v datech souvisejících s kybernetickými útoky.

Pět příznaků, že útočník už pronikl do vaší sítě

8.7.2017 SecurityWorld Zabezpečení
Podle některých odhadů útočníci pronikli až do 96 % všech sítí – takže je nutné je odhalit a zastavit, aby neměli čas na eskalaci oprávnění, nalezení cenných aktiv a ukradení dat. Přinášíme popis vhodných protiopatření.

Útok na firemní síť nekončí infekcí nebo převzetím koncového bodu – zde teprve začíná. Z takového místa je útok vysoce aktivní a útočníka lze zjistit a zastavit, pokud víte, jak ho najít. Pomůže vám k tomu následujících pět strategií.

Hledejte příznaky narušení.

Vyhledávejte skenování portů, nadměrně neúspěšné pokusy o přihlášení a další druhy průzkumných aktivit, protože se útočník snaží zmapovat vaši síť.

Útočník bude zpočátku potřebovat porozumět topologii sítě, do které pronikl. Bude hledat zranitelné koncové body a servery a zaměří se na uživatele s oprávněním správce a na sklady cenných dat.

Většina nástrojů detekce narušení dokáže detekovat známé skenery portů. Rozlišení mezi skrytým průzkumem a legitimním skenováním využívaným při vysílání v síti je však složitější.

Přiznejme si to – většina počítačů a aplikací je doslova upovídaná. Přesto však lze najít anomálie svědčící o útoku, pokud jste definovali, kolik portů a cílů mohou různá zařízení ve vaší síti obvykle využívat.

Zdroj dat: Nástroje pro monitoring či správu sítě, agregace NetFlow.
Problémy: Útočníci mohou pracovat nenápadně a pomalu, takže budete potřebovat udělat některé analýzy založené na čase. Můžete také mít mnoho upovídaných nástrojů a protokolů, takže chvíli potrvá, než se podaří odfiltrovat šum.

Hledejte „normální“ uživatele vykonávající administrátorské úlohy.

Útočníci stále častěji používají v počítačích a na serverech spíše nativní nástroje než známé útočné nástroje a malware, aby je nedetekoval antivirový software nebo software EDR (Endpoint Detection and Response). To je však samo o sobě anomálií, kterou lze detekovat.

Pokuste se zjistit, kdo jsou vaši administrátoři. Adresářové služby, jako jsou služby Active Directory, vám pomohou vytvořit v rámci vaší organizace uživatelské role a oprávnění.

Potom zjistěte, jaké nástroje vaši správci používají a jaké aplikace či zařízení obvykle spravují – například databáze ERP a intranetový web. S těmito znalostmi můžete rozpoznat situace, kdy útočník převezme stroj a začne vykonávat administrátorské úlohy neočekávaným způsobem.

Zdroj dat: Kombinace informací o síti (síťové pakety nebo data NetFlow) a informací z adresářových služeb poskytne nejlepší způsob, jak identifikovat administrátorské chování.
Problémy: Bohužel neexistuje jeden zdroj informací, který by vám přesně řekl, kdo jsou vaši správci a jaké vybavení spravují. Monitorování využití SSH a RPC z perspektivy kurzu však dokáže poskytnout dobrý výchozí bod.

Výsledkem pravděpodobně bude velké množství falešně pozitivních nálezů, ale časem už dokážete zrno od plev oddělit. Seznam schválených administrátorů vám poskytne výchozí bod, který pomůže při detekci.

Hledejte zařízení, která používají více účtů a přihlašovacích údajů pro přístup k síťovým prostředkům.

Útočníci rádi využívají přihlašovací údaje k usnadnění svých postupů a ke skrývání. Ukradnou nebo vytvoří účty a využijí je k průzkumu a k získání přístupu. To je projev vnějších i vnitřních útočníků.

Analyzujte využívání přihlašovacích údajů, abyste našli anomálie ukazující na takový typ útočných aktivit.

Zdroj dat: Monitoring síťového provozu a analýza protokolů infrastruktury autentizace a autorizace jsou nejlepší zdroje pro odhalení zneužití přihlašovacích údajů.

Extrahujte tato data a analyzujte je, abyste získali představu o tom, s kolika systémy každý uživatel obvykle komunikuje. Poté monitorujte anomálie.

Problémy: Rozdíly mezi uživateli jsou velké, ale můžete se pokusit definovat tzv. „průměrného“ uživatele. Dokonce i jen výpis uživatelů s velkými objemy může poskytnout dobrou viditelnost – když se v seznamu objeví nové jméno, můžete ho zkontrolovat.

Hledejte útočníka, který se snaží najít cenná data na souborových serverech.

Jedním z kroků, který útočníci obvykle dělají, je zjištění, jaké souborové systémy Windows jsou široce dostupné, aby mohli získat důležitá data, jako například duševní vlastnictví a čísla kreditních karet, nebo mohli vzdáleně zašifrovat data pro získání výkupného.

Nalezení anomálií v přístupech ke sdílení souborů může být cenným signálem a může vás také upozornit na zaměstnance, který zvažuje interní krádež dat.

Zdroj dat: Protokoly z vašich souborových serverů jsou nejlepším způsobem, jak to zvládnout. Bude to však vyžadovat určité analýzy, aby došlo k transformaci do podoby uživatelské perspektivy a k získání schopnosti vidět anomálie v přístupu uživatelů.
Problémy: K některým sdíleným úložištím souborů přistupují skutečně všichni, a pokud se tam nějaký uživatel dostává poprvé, může to vytvořit velký výkyv a falešně pozitivní indikaci.

Kromě toho jsou údaje o přístupu dost chaotické a těžko analyzovatelné. Lze to vidět i pomocí síťových nástrojů, ale extrakce podstatných informací je velmi pracná.

Hledejte aktivity velení a řízení a mechanismy trvalého přístupu.

Útočníci potřebují způsob komunikace mezi internetem a koncovými body, které kontrolují ve vašem prostředí. Přestože se používá při útoku méně malwaru než kdysi, stále se přítomnost škodlivého softwaru a nástrojů vzdáleného přístupu v podobě trojských koní (RAT – Remote Access Trojans) dá očekávat.

Sledujte odchozí komunikaci, zda se v ní nevyskytují příznaky malwaru volajícího domů.

Zdroj dat: Mnoho bezpečnostních nástrojů pro perimetr již vyhledává aktivity velení a řízení. Cílený malware se může pokusit kontaktovat zdroje AWS či Azure nebo nové servery, které nebudou rozpoznány tradičními službami threat intelligence (zpravodajství o hrozbách).

Své současné zabezpečení můžete rozšířit o kontrolu, zda se v protokolech DNS nevyskytují vzory dotazů DNS, které by ukazovaly na malware pokoušející se najít řídicí servery.

Mnoho neúspěšných požadavků DNS nebo požadavků, které vypadají jako strojově generované názvy domén, je příznakem malwaru naprogramovaného tak, aby zabránil zablokování na základě reputace.

Problémy: Útočníci mají mnoho způsobů, jak skrývat přenosy velení a řízení, takže je dobré dávat si pozor, ale nespoléhat při zjišťování malwaru jen na tento typ detekce.

Nikdy nelze říci, jakou kombinaci běžných internetových stránek včetně služeb Twitter, Craigslist, Gmail a mnoha dalších by malware mohl zneužít pro řídicí komunikaci.

Vyplatí se tedy vynaložit určité úsilí na sledování těchto aktivit, ale není to tak důležité jako sledování bočního pohybu a nadměrného používání přihlašovacích údajů, které je pro útočníka mnohem těžší utajit.

Jak správně posoudit rizika?

6.7.2017 SecurityWorld Zabezpečení
Bez úplného a důkladného posouzení rizika můžete stejně tak vydat všechna svá datová aktiva napospas neomezeným únikům přes port 80 bez jakýchkoli bezpečnostních kontrol. V konečném důsledku tak útočníci a digitální zločinci získají v obou případech to, co chtějí.

Obrana před riziky, aniž víte, jaká tato rizika jsou, se podobá hraní paintballu se zavřenýma očima – neuvidíte svého protivníka. Posouzení rizik dává podniku konkrétní zúžené pole cílů, na které je potřebné se zaměřit.

Bezpečnostní experti vám poradí, co jsou spolehlivé zdroje a jaké byste měli udělat odborné kroky pro ochranu datových aktiv a úložišť v podniku.

Podrobnosti posuzování rizika

Posouzení IT rizik zahrnuje postupné kroky, které zajistí řádné vyhodnocení vašich IT rizik a jejich závažnosti pro vaši organizaci. Podle M. Scotta Kollera, poradce společnosti BakerHostetler, patří mezi tyto kroky následující úkony: ohodnocení dat a systémů; určení rizik těchto systémů; vyhodnocení těchto rizik z hlediska pravděpodobnosti, závažnosti a dopadu a určení kontrol, ochran a nápravných opatření.

Nástroje pro hodnocení dat a systémů mohou zahrnovat mapy sítě, inventář systémů a audity shromážděných a uložených dat, vysvětluje Koller.

Jde o více než jen o prosté pochopení – jde o přehledy topologií tak, aby zahrnovaly jádra sítí se všemi jejich servery, přepínači, směrovači, hardwarem, softwarem a službami až po hranice sítě, gatewaye a koncové body se všemi jejich uloženými daty, takže se musí zohlednit vše, co je a sídlí uvnitř vaší sítě. Nemůžete vytvořit seznam všech svých rizik, dokud je nevyhodnotíte pro veškeré síťové vybavení, které by mohlo být v ohrožení.

Při vytváření aktuálního a smysluplného seznamu reálných potenciálních rizik pro vaše systémy a datová aktiva zvažte zařazení manuální empirické fáze do celkového přístupu: sečtěte rizika, která nejvíce leží na srdci zainteresovaným osobám a členům týmu, a zajistěte, aby došlo k zohlednění každého systému a všech dat, seznam ověřte, odstraňte všechny duplicity a určete druhy rizik.

Jinými slovy, mluvte s lidmi o všem, co budete dělat při sestavování seznamu rizik. Kdokoli z nich si může všimnout něčeho, co by jinak uniklo pozornosti a nedostalo se na seznam identifikovaných rizik.

Existují také nástroje, které mohou pomoci podnikům zjistit konkrétní rizika. Řešení známá jako datová infrastruktura a pokročilá analytika dat, která nabízejí holistický pohled v reálném čase na situaci a obraz běžného provozu prakticky jakéhokoliv vybavení, systému, provozu či zařízení, a to způsobem, který je nezávislý na dodavatelích a pracuje téměř bez omezení, vysvětluje Steve Sarnecki, viceprezident společnosti OSIsoft.

Společnosti IBM a PwC jsou dalšími dvěma dodavateli, kteří nabízejí produkty této kategorie. Nástroje tohoto typu dokážou za účelem identifikace rizik sbírat informace o riziku z podnikových aktiv.

Metriky a nápravná opatření

Chcete-li vytvořit vizuální metriku pravděpodobnosti a závažnosti rizika, jednoduše ohodnoťte jednotlivá rizika od jedné do deseti nebo do sta pro pravděpodobnost a poté znovu pro závažnost. Použijte tato dvě čísla k vykreslení rizika jako bodu do grafu pomocí os X a Y.

Body, které se koncentrují v pravém horním rohu uvnitř čtverce, který je čtvrtinou celého grafu, tvoří nejdůležitějších 25 procent vašich rizik. Obrazové výsledky vyhledávače Google vám poskytnou představu o tom, co lidé v této oblasti už vytvořili.

Aby bylo možné posoudit možný dopad, je potřebné si uvědomit, že důsledky sahají daleko za finanční sféru. Podívejte se v historii své společnosti na nějaké důsledky, které nastaly.

Soustřeďte se na zprávy a analýzy z oboru IT o dopadech na organizace v podobné situaci, v jaké se nacházíte vy. Zeptejte se zainteresovaných osob na dopady, které je znepokojují.

Při hledání dalších kontrol, ochran a nápravných opatření pro zmírnění rizik se poohlédněte pro oborových osvědčených postupech s úspěšnou historií. NIST nabízí zdroje s bohatou diskuzí o kontrole. Také SANS nabízí seznam a rovněž diskuze o kontrole.

„Ochranným opatřením, které lze implementovat pro snížení potenciálního rizika infekce ransomwarem, je aktualizovat antivirový software. Po implementaci ochrany znovu vyhodnotíte riziko, abyste určili, zda jste dostatečně zmírnili dopady a pravděpodobnost rizika. Pokud ne, měli byste proces opakovat,“ radí Koller.

Očekávání a nastavení úrovně

Posouzení rizik neodstraní riziko, ale spíše ho akceptovatelně zredukuje. Vrátíme-li se k ransomwaru jako příkladu, spočívá zbytkové riziko ve skutečnosti, že antivirový software nemusí zabránit infekci ransomwarem, popisuje Koller.

„Organizace musí zvážit riziko spojené s danou událostí, pravděpodobnost výskytu a potenciální náklady spojené s dalšími ochranami,“ vysvětluje Koller. Pokud antivirový software nestačí, může podnik uvážit přidání dalších ochran.

Firma by se měla nejprve zabývat největšími riziky s nejvyšší pravděpodobností, závažností a náklady. Bez těchto informací, které poskytuje posouzení rizik, nedokáže podnik adekvátně chránit svá data.

Microsoft reaguje na vlnu ransomwaru. Ve Windows 10 půjde chránit důležité soubory před zašifrováním
30.6.2017 Živě.cz Zabezpečení

Microsoft reaguje na vlnu ransomwaru. Ve Windows 10 půjde chránit důležité soubory před zašifrovánímMicrosoft reaguje na vlnu ransomwaru. Ve Windows 10 půjde chránit důležité soubory před zašifrovánímMicrosoft reaguje na vlnu ransomwaru. Ve Windows 10 půjde chránit důležité soubory před zašifrovánímNová možnost bude integrována do aplikace Windows Defender.Na podzim ji najdeme pod položkou Ochrana před viry a hrozbami.
V rámci podzimní aktualizace Fall Creator Update dorazí do Windows 10 funkce, která dostane název Controlled folder access. Ten sám o sobě popisuje její účel – řídit přístup k důležitým složkám a souborům.

Vše bude fungovat na jednoduchém principu, kdy výchozí systémové složky jako jsou Dokumenty, Obrázky, Videa nebo Plocha budou tzv. chráněnými složkami. Pokud se neznámá aplikace pokusí změnit jejich obsah, bude takový pokus zablokován a uživatel na to bude upozorněn.

Až po odsouhlasení budou moci být změny samotnou aplikací provedeny. Mezi takto chráněné složky půjde samozřejmě přidat i svoje vlastní umístění, a to včetně síťových jednotek. To se bude hodit při ochraně záloh, které by mohly být rovněž při útoku ransomwaru zašifrovány.

V nastavení půjde přidat bezpečné aplikace, které budou moci vždy přistupovat k souborům v chráněných složkách bez zobrazení výstrahy.

Funkce je aktuálně dostupná v rámci Insider Preview a sestavení Windows 10 16232. Do běžné verze Windows se dostane v rámci velké aktualizace, která vyjde v září.

Gartner: Zaměřte se na tyto klíčové bezpečnostní technologie

27.6.2017 SecurityWorld Zabezpečení
Analytici společnosti Gartner sestavili výběr klíčových technologií pro oblast bezpečnosti, které byste neměli v tomto roce v žádném případě ignorovat.

První technologií, či spíše technologickou oblastí, jsou platformy pro ochranu cloudových řešení (Cloud Workload Protection Platforms – CWPP), jež nabízejí ucelený způsob, jak ochránit cloudovou infrastrukturu napříč různými hybridními prostředími zahrnujícími privátní i veřejnou IaaS infrastrukturu několika poskytovatelů.

Na druhé pozici seznamu se umístila technologie vzdáleného prohlížeče (remote browser), která omezuje rizika útoků na prohlížeč jeho izolováním od zbytku uživatelského systému.

Jako třetí uvádějí analytici Gartneru techniky pro odlákání či odklonění útoků (deception) – tedy takové, které vytvářejí zástupný cíl či návnadu, odrážejí nebo narušují průběh útoku, případně oddalují jeho možný dopad a umožňují útok jednoznačně detekovat.

Detekce a odpověď na útoky na koncové body (Endpoint Detection and Response – EDR) rozšiřuje tradiční metody ochrany koncových bodů (například antiviry) o funkce založené na monitorování událostí, neobvyklého chování či aktivit s možným zlým úmyslem – analytici odhadují, že EDR bude v roce 2020 využívat 80 % velkých podniků, 25 % středních firem a 10 % malých organizací.

Mezi techniky v podnicích o něco více rozšířené patří analýza provozu na síti (Network Traffic Analysis – NTA) sledující provoz, toky dat, připojení a objekty z hlediska chování naznačujícího možný útok.

Firmy, které chtějí lépe zvládat detekci hrozeb, reakce na incident a průběžné monitorování, ale nemají na to potřebné specialisty, by se měly zajímat o řízenou detekci a odezvu (Managed Detection and Response – MDR) – jde o službu populární zejména u středně velkých podniků, které nechtějí do oblasti detekce a reakce na incidenty příliš investovat.

Mezi užitečné funkce, které přináší rostoucí míra virtualizace datových center – zejména jejich síťových funkcí – patří mikrosegmentace (microsegmentation), tedy vytvoření poměrně malých oddělených segmentů, které v případě útoku omezuje škody pouze na velmi malou oblast.

Také virtuální, ovšem výrazně odlišné jsou softwarově definované perimetry (Software-Defined Perimeters – SDP), logické bezpečné enklávy zahrnující více vzdálených účastníků. Jejich zdroje a komponenty jsou obvykle skryté a lze k nim přistupovat pouze pomocí důvěryhodné služby (trust broker), čímž se snižuje riziko útoku.

Spolu s tím, jak se zvětšuje počet aplikací provozovaných modelem SaaS a jejich uživatelů, pak roste na významu také zprostředkování zabezpečeného přístupu ke cloudu (Cloud Access Security Broker – CASB) nabízející sjednocení dohledu nad několika cloudovými službami.

Agilita už ale dávno nestojí jen na cloudových aplikacích, a tak i do oblasti bezpečnosti pronikají principy DevOps, respektive DevSecOps, tedy řízení rizika a souladu s předpisy v rámci nástrojů a procesů agilního vývoje. Jde především o analýzu skladby softwaru a bezpečnostní skenování open source pro DevSecOps (OSS Security Scanning and Software Composition for DevSecOps).

Konečně poslední technologií z oblasti informační bezpečnosti, které by manažeři IT měli věnovat pozornost, je zabezpečení kontejnerů (container security) – ty totiž používají model sdíleného operačního systému a případná zranitelnost v hostitelském OS tak může znamenat zranitelnost všech kontejnerů.

Podle analytiků není problém v tom, že by kontejnery nebyly z podstaty bezpečné, ale v tom, že jsou často vývojáři nasazovány způsoby, které nejsou dostatečně bezpečné – a děje se tak obvykle mimo dohled týmů pro informační bezpečnost či bezpečnostních architektů.

Tradiční bezpečnostní nástroje jsou navíc vůči kontejnerům „slepé“. Naopak bezpečnostní řešení určená pro kontejnery jsou navržena tak, aby řešila ochranu v rámci celého životního cyklu a funkce typu předprodukčního skenování i monitorování a ochrany za chodu.

Periferie: málo chráněná zařízení v zabezpečení firmy

23.6.2017 SecurityWorld Zabezpečení
V roce 2015 dosahoval dle IDC objem dat přibližně 8,5 ZB. Celkové množství dat v roce 2020 dosáhne 40 ZB. V tuto dobu bude používáno 25 miliard připojených zařízení (v roce 2015 to bylo 4,9 miliardy). V souvislosti s nárůstem objemu dat a počtu klientů také vzniká více příležitostí pro kybernetické zločince, kteří útočí na nechráněné nebo nedostatečně chráněné koncové body. V roce 2014 nahlásily firmy 48% roční nárůst počtu kybernetických útoků na jejich sítě a tento počet dál roste.

Nicméně dle nedávné studie společnosti Spiceworks odpovědělo pouze 18 % dotazovaných odborníků na IT, že tiskárny považují za středně vysoké nebo vysoké bezpečnostní riziko. A pouhých 16 % dotazovaných odborníků na IT chrání tiskárny také pomocí bezpečnostních certifikátů!

„Přes tiskárny kombinované se skenery procházejí všechny důležité firemní dokumenty, včetně strategií, smluv, ceníků a často i osobních dokladů. Během více než 20 let každodenního využívání se staly z hlediska kyberbezpečnosti jedním z nejrizikovějších zařízení. Slouží jako brána do zabezpečené podnikové sítě nebo na dálku ovládaný zdroj kybernetických útoků. Kvůli minimálnímu zabezpečení jsou totiž snadným cílem hackerů,“ říká expert na kybernetickou bezpečnost Martin Půlpán.

Multifunkční zařízení HP se v síti chovají v podstatě jako počítač. Odesílají, přijímají a uchovávají data, potřebná k tisku. Zaslouží si proto stejně důkladnou ochranu jako počítače a servery ve stejné síti.

Nezabezpečená tisková zařízení mohou být zranitelná mnoha způsoby. Přes síť - tiskové a zobrazovací úlohy mohou být zachyceny při síťovém přenosu do zařízení nebo z něj. BIOS a firmware – firmware, který je při startu nebo za běhu pozměněn, může zařízení a síť vystavit útokům. Paměťová média – zobrazovací a tisková zařízení ukládají citlivé údaje na interní pevné disky, na které se bez ochrany dá proniknout.

Data uložená v zařízeních by měla být zašifrovaná. Řada starších zařízení ale nemá nainstalováno šifrované úložiště nebo ho nedokáže používat. Pevné disky a soubory je třeba pravidelně mazat. Dělá to však málokdo.

Nezabezpečená zařízení mohou být ohrožena i dalšími způsoby. Například prostřednictvím ovládacího panelu, zachycováním dat, přes vstupní a výstupní zásobník apod.

Společnost HP proto nabízí ve svých nových multifunkční podnikových tiskárnách komplexní sadu bezpečnostních prvků, které mají za úkol chránit zařízení, data i dokumenty a vytvořit několikavrstvý přístup k zabezpečení, který je nezbytný při boji se současnými pokročilými útoky.

Mezi bezpečnostní funkce patří například HP Sure Start pro ověření integrity kódu systému BIOS, detekce neioprávněného vniknutí, HP JetAdvantage Security Manager, pro správu zabezpečení tisku (automaticky vyhodnocuje a v případě nutnosti opravuje bezpečnostní nastavení zařízení v souladu s předem stanovenými firemními pravidly), ověřování identifikace, šifrování, automatické sledování útoků, integrace systémů SIEM apod.

Výdaje na ochranu cloudů rostou vůbec nejrychleji

19.6.2017 SecurityWorld Zabezpečení
Oblast cloudových bezpečnostních služeb poroste nadále rychlým tempem – v roce 2017 dosáhne podle společnosti Gartner celkového objemu 5,9 miliardy dolarů, což je o 21 % víc než v roce 2016.
Celkově poroste segment cloudových bezpečnostních služeb rychleji než celý trh informační bezpečnosti. Analytici společnosti Gartner odhadují, že globální trh cloudových bezpečnostních služeb naroste do roku 2020 bezmála na 9 miliard dolarů (viz tabulka).

SIEM (Security Information and Event Management), IAM (Identity and Access Management) a nově se rodící technologie jsou nejrychleji rostoucími segmenty cloudových bezpečnostních služeb

„Zabezpečení emailu, webu a oblast IAM zůstávají ve firmách třemi hlavními cloudovými prioritami,“ říká Ruggero Contu, ředitel výzkumu společnosti Gartner.

Služby zabezpečující tyto priority, včetně řešení SIEM, a také další nové typy služeb mají největší předpoklady k růstu. Mezi tyto nově se objevující a rychle rostoucí služby patří využívání zpráv o nových hrozbách (threat intelligence enablement), cloudová pískoviště pro malware (tzv. sandboxing), šifrování dat v cloudu, správa ochrany koncových bodů, informace o hrozbách a webové aplikační firewally (WAF).

Cloudové bezpečnostní služby

Odhad vývoje trhu (miliony dolarů)

Segment
2016
2017
2018
2019
2020
Bezpečné e-mailové brány
654,9
702,7
752,3
811,5
873,2
Bezpečené webové brány
635,9
707,8
786,0
873,2
970,8
IAM, IDaaS, ověřování uživatelů
1 650,0
2 100,0
2 550,0
3 000,0
3 421,8
Vzdálené vyhodnocování zranitelností
220,5
250,0
280,0
310,0
340,0
SIEM
286,8
359,0
430,0
512,1
606,7
Bezpečnostní testování aplikací
341,0
397,3
455,5
514,0
571,1
Další cloudové bezpečnostní služby
1 051,0
1 334,0
1 609,0
1 788,0
2 140,0
Celkem
4 840,1
5 850,8
6 862,9
7 808,8
8 923,6
IDaaS = správa identit a přístupových práv jako služba (identity and access management as a service)

Výdaje na ochranu cloudů rostou vůbec nejrychleji

19.6.2017 SecurityWorld Zabezpečení
Oblast cloudových bezpečnostních služeb poroste nadále rychlým tempem – v roce 2017 dosáhne podle společnosti Gartner celkového objemu 5,9 miliardy dolarů, což je o 21 % víc než v roce 2016.
Celkově poroste segment cloudových bezpečnostních služeb rychleji než celý trh informační bezpečnosti. Analytici společnosti Gartner odhadují, že globální trh cloudových bezpečnostních služeb naroste do roku 2020 bezmála na 9 miliard dolarů (viz tabulka).

SIEM (Security Information and Event Management), IAM (Identity and Access Management) a nově se rodící technologie jsou nejrychleji rostoucími segmenty cloudových bezpečnostních služeb

„Zabezpečení emailu, webu a oblast IAM zůstávají ve firmách třemi hlavními cloudovými prioritami,“ říká Ruggero Contu, ředitel výzkumu společnosti Gartner.

Služby zabezpečující tyto priority, včetně řešení SIEM, a také další nové typy služeb mají největší předpoklady k růstu. Mezi tyto nově se objevující a rychle rostoucí služby patří využívání zpráv o nových hrozbách (threat intelligence enablement), cloudová pískoviště pro malware (tzv. sandboxing), šifrování dat v cloudu, správa ochrany koncových bodů, informace o hrozbách a webové aplikační firewally (WAF).

Cloudové bezpečnostní služby

Odhad vývoje trhu (miliony dolarů)

Segment
2016
2017
2018
2019
2020
Bezpečné e-mailové brány
654,9
702,7
752,3
811,5
873,2
Bezpečené webové brány
635,9
707,8
786,0
873,2
970,8
IAM, IDaaS, ověřování uživatelů
1 650,0
2 100,0
2 550,0
3 000,0
3 421,8
Vzdálené vyhodnocování zranitelností
220,5
250,0
280,0
310,0
340,0
SIEM
286,8
359,0
430,0
512,1
606,7
Bezpečnostní testování aplikací
341,0
397,3
455,5
514,0
571,1
Další cloudové bezpečnostní služby
1 051,0
1 334,0
1 609,0
1 788,0
2 140,0
Celkem
4 840,1
5 850,8
6 862,9
7 808,8
8 923,6
IDaaS = správa identit a přístupových práv jako služba (identity and access management as a service)

Cisco nabízí komplexní zabezpečení infrastruktury internetu věcí

2.6.2017 SecurityWorld Zabezpečení
IoT Threat Defense, která nabízí komplexní zabezpečení internetu věcí, oznámilo Cisco. Ochranu lze přitom jednoduše rozšířovat o nová zařízení či ji přizpůsobit aktuálnímu stavu podnikové infrastruktury.
IoT Threat Defense se podle výrobce v současnosti uplatní především v zdravotnických zařízeních, v energetickém průmyslu či ve výrobních podnicích s automatizovanými výrobními linkami.

Organizace využívající internet věcí podle expertů firmy Cisco čelí dvěma hlavním bezpečnostním překážkám. Zaprvé, většina zařízení internetu věcí nemá dostatečnou nativní ochranu. To ve výsledku otevírá útočníkům nové možnosti, jak skrze ně proniknout do sítě. Druhou výzvou je škálovatelnost. V příštích několika letech totiž budou připojeny miliardy zařízení internetu věcí.

Segmentace sítě přitom není žádnou novinkou, VLAN sítě se využívají již po desetiletí. Nicméně v rozsahu nasazení internetu věcí je její použití nepraktické a v mnoha případech dokonce takřka nemožné. Proto Cisco představila řešení řešení TrustSec, které zajišťuje softwarově definovanou segmentaci i pro velká nasazení internetu věcí.

Pouhá segmentace však nedokáže pokrýt všechny bezpečnostní potřeby. IoT Threat Defense proto kombinuje jednotlivá bezpečnostní řešení.

Zahrnují podle výrobce tyto:

síťovou segmentaci (TrustSec)
analytiku chování sítě (Stealthwatch)
viditelnost zařízení (ISE)
vzdálený přístup (AnyConnect)
cloudovou bezpečnost (Umbrella)
ochranu proti malwaru (Advanced Malware Protection)
firewallovou ochranu (Firepower NGFW)
Takto postavená architektura nabízí viditelnost a analýzu provozu „z“ a „do“ zařízení internetu věcí i provozu, který odchází a přichází „z“ a „do“ podnikové sítě. Díky tomu prý podnik může včas detekovat anomálie, blokovat hrozby, identifikovat kompromitovaná zařízení a snížit riziko lidské chyby. Architektura navíc zajišťuje bezpečný vzdálený přístup mezi různými lokalitami a organizacemi.

Gmail zlepší bezpečnost. Zastaví 99 % spamu a bude bojovat s phishingem
1.6.2017 CNEWS.cz Zabezpečení

Google tvrdí, že 50 až 70 % zpráv, které dorazí na poštovní servery Gmailu, tvoří spam. Díky umělé inteligenci dokáže v 99,9 % případů nevyžádaný e-mail správně detekovat. K tomu ale nasadí několik dalších bezpečnostních prvků.

Nově blokuje o přílohy s javascriptem. Tento formát se připojil na černou listinu k desítkám dalších. Přes Gmail neprojdou tyto: .ADE, .ADP, .BAT, .CHM, .CMD, .COM, .CPL, .EXE, .HTA, .INS, .ISP, .JAR, .JS (novinka), .JSE, .LIB, .LNK, .MDE, .MSC, .MSI, .MSP, .MST, .NSH, .PIF, .SCR, .SCT, .SHB, .SYS, .VB, .VBE, .VBS, .VXD, .WSC, .WSF, .WSH. Gmail skenuje i archivy, takže nepomůže nevhodné soubory zabalit. A ty, co zabalíte s heslem, zablokuje také.

Gmail skenuje soubory již při vkládání do přílohy. Pokud obsahují virus, nenechá vás jej odeslat. Pokud naopak obdržíte zprávu s virem, Gmail ji odmítne a odesílatele o tom uvědomí. A pokud objeví nějakou závadnou přílohu zpětně, nenechá vás ji stáhnout.

Google dále zlepšil detekci phishingových stránek a odkazů vedoucích na stránky s malwarem. Opět díky umělé inteligenci dokáže rozpoznat některé hrozby, které ještě nejsou známé. Podezřelé zprávy (který je méně než 0,05 %) navíc zdrží až o 4 minuty, než je zobrazí v inboxu. Ty čtyři minuty by měly stačit na otestování odkazů. Sám ale říká, že žádná ochrana není dokonalá a uživatelé by jednak měli být sami obezřetní a jednak by měli používat bezpečnostní software.

Neinstalujte velkou aktualizaci Windows sami, radí Microsoft. Obsahuje totiž chyby

27.4.2017 Novinky/Bezpečnost Zabezpečení
Společnost Microsoft se snažila tento měsíc vylepšit operační systém Windows 10 prostřednictvím další velké aktualizace. Jak se ale ukázalo, tento dlouho očekávaný update obsahuje celou řadu chyb. Zástupci amerického softwarového gigantu proto vyzvali uživatele, aby si tzv. Creators update sami neinstalovali.
Balík aktualizací Creators update byl oficiálně vydán již před dvěma týdny. Je však nutné zdůraznit, že jej Microsoft od té doby automaticky nenabízí úplně všem uživatelům. Do služby Windows Update, která slouží k instalaci všech aktualizací od amerického softwarového gigantu, uvolňuje balík vylepšení jednotlivým uživatelům postupně.

Přímo na svých stránkách však Microsoft zároveň nabízel nástroj ke stažení, prostřednictvím kterého bylo možné instalaci nových funkcí urychlit. Právě to se ale ukázalo jako největší problém.

Problém s konkrétními hardwarovými konfiguracemi
Přestože pracovníci amerického softwarového gigantu testovali update několik posledních měsíců, vyzkoušet všechny různé hardwarové kombinace – tedy optimalizovat aktualizaci na milióny různých počítačů – evidentně nezvládli zcela korektně.

Někteří uživatelé si totiž po instalaci začali stěžovat na různé problémy. Například jas mohl být vždy po restartu nastaven na minimální úroveň, při hraní některých titulů přes celou obrazovku se stávalo, že se pak nešlo vrátit do samotného systému bez restartu, případně kvůli chybě v konfiguraci knihoven Windows Forms se antivirové programy nespustily korektně, a tudíž byly po celou dobu práce na PC nefunkční.

Hry je možné snadno streamovat.
Zástupci amerického softwarového gigantu proto nyní vyzvali uživatele, aby ve vlastním zájmu neinstalovali Creators Update sami, ale aby počkali až do chvíle, kdy se na jejich počítači objeví ve Windows Update. Právě to totiž bude znamenat, že byl otestován na danou hardwarovou konfiguraci.

To ale pochopitelně bude trvat pravděpodobně několik týdnů, v krajním případě klidně i několik měsíců.

Co přináší Creators Update
Creators update se dá přeložit jako aktualizace pro kreativce. A je to pravděpodobně nejvýstižnější pojmenování, které mohl americký softwarový gigant použít. Nové funkce totiž cílí právě na kreativce.

Americký softwarový gigant se s novou aktualizací zaměřil také na dovednosti operačního systému Windows 10 v oblasti 3D technologií. V novém Malování 3D lze vytvářet trojrozměrné objekty, jednoduše měnit barvy, přidávat nálepky nebo měnit 2D objekty v trojrozměrná umělecká díla. Výtvory lze navíc snadno sdílet s ostatními, využívat můžete 3D kresby ostatních i pro vlastní díla, pokud to jejich autoři dovolí.

Pozornost byla v aktualizaci věnována také hráčům. Svá zápolení s protivníky budou uživatelé moci snadno streamovat na internet. A to přímo z prostředí desítek, aniž by se museli někam přihlašovat či instalovat dodatečný software.

Jednoduše je možné vytvářet také turnaje, stačí k tomu pár kliknutí. Turnaje bude možné vytvářet prostřednictvím funkce Arena. V ní si uživatelé nastaví vlastní pravidla a určí, kdo přesně může hrát.

Další vylepšení se týkají prohlížeče Microsoft Edge, a to především komfortnosti použití, zároveň i otázky zabezpečení. Právě oblast zabezpečení a ochrany soukromí se vylepšila i v rámci celých desítek.

Check Point jednotně ochrání síť, mobily i cloud

25.4.2017 SecurityWorld Zabezpečení
Infinity, novou architekturu pro řízení bezpečnosti, představil Check Point. Nabízí jednotnou ochranu před hrozbami pro síťovou infrastrukturu, mobilní zařízení i cloud.

Novinka představuje kombinaci tří klíčových vlastností: jednotné bezpečnostní platformy,prevence hrozeb a konsolidovaného systému.

Podle výrobce umožňuje blokovat prý i ty nejsofistikovanější známé i neznámé hrozby, ještě než mohou způsobit jakékoli škody, a nabízí jednotnou administraci, modulární správu politik a integrovanou viditelnost hrozeb.

Výrobce zároveň představil i nové ultra-high-end bezpečnostní brány 44000 a 64000 s doposud vůbec nejrychlejší platformou prevence hrozeb s propustností prevence hrozeb v reálném prostředí 42 Gb/s a propustností firewallu v reálném prostředí 636 Gb/s.

Kaspersky vylepšil svůj firemní antimalware

22.4.2017 SecurityWorld Zabezpečení
Inovovanou verzi svého produktu Endpoint Security for Business uvedl na trh Kaspersky Lab. Přináší přepracované funkce pro ovládání, zvýšenou flexibilitu i ochranu dat či centralizovanou správu vyššího počtu platforem, aplikací a zařízení.

Firmy, využívající produkty Endpoint Security for Business, Security for Exchange Servers nebo Security for SharePoint, mohou nově jednotlivá zařízení monitorovat prostřednictvím platformy Security Center. Jde o jednotnou administrátorskou konzoli, která kromě integrované několikavrstvé ochrany koncových zařízení nabízí možnost vzájemné komunikace a spolupráce zaměstnanců dané společnosti.

Navíc jsou nové funkce a vylepšení Endpoint Security dostupné díky vzdálené instalaci také pro zařízení s operačním systémem Mac, a to pomocí jednodušší instalace, ochraně a správě mobilních zařízení a novým možnostem správy Wi-Fi připojení (k dispozici je seznam důvěryhodných Wi-Fi sítí).

Vylepšený Endpoint Security for Business lze využít také jako senzor platformy Anti-Targeted Acttack -- po nainstalování sbírá a odesílá data platformě, čímž poskytuje lepší informace o firemních systémech.

Další funkcionalita, Changes audit, zase poskytuje IT bezpečnostním odborníkům přehled o provedených změnách ve firemních postupech a úkolech. Jejich porovnáním okamžitě identifikuje případné neshody, díky čemuž se významně zlepšuje kontrola změn bezpečnostního nastavení.

Novinka nabízí i šifrování pevného disku prostřednictvím Microsoft BitLocker nebo Kaspersky Disk Encryption. Security Center je schopný vzdáleně ovládat BitLocker, monitorovat stav zašifrovaných zařízení a zálohovat šifrovací klíče nutné pro případné obnovení zapomenutých přístupových údajů.

Vzhledem k rozdílným požadavkům jednotlivých firem obsahují balíčky Kaspersky Endpoint Security for Business různé funkcionality v balíčcích Select, Advanced a Total.

Američané chtějí rozšířit zákaz notebooků na palubě letadel

7.4.2017 SecurityWorld Zabezpečení
Zákaz vnášení notebooků na palubu letadel potrvá a už brzy může zasáhnout další letiště.

Američané mohou rozšířit svůj nedávný zákaz vnášení notebooků a další elektroniky na palubu letadel. Ten se od minulého měsíce vztahuje na deset letišť v převážně muslimských zemích.

„Nemusí to trvat až tak dlouho, kdy tato opatření rozšíříme,“ pronesl v Kongresu John Kelly, sekretář Národní bezpečnostní rady.

Zákaz cestujícím z daných letišť zakazuje vnášet na palubu jakékoliv elektronické zařízení větší než mobilní telefon a ta tak musejí být převážena v zavazadlovém prostoru. Jako důvod tohoto opatření americká vláda uvádí snížení rizika teroristického útoku. Podle zpravodajských služeb totiž teroristé z ISIS a dalších skupin vyvíjejí bomby, které lze zabudovat do elektronických zařízení tak, že oklamou letištní bezpečnost. Konkrétnější ohledně těchto technologií Kelly nebyl, ujistil však, že teroristická hrozba je „skutečná“.

„Skupin, které uvažují o útoku na letecký průmysl, jsou tucty.“ Po USA k obdobnému zákazu přistoupila také Velká Británie, další zemí, která tento krok v současnosti zvažuje, je Kanada.

Kritici se však ptají, proč zákaz platí jen pro některé země. A upozorňují i na rozdílnou míru zabezpečení jednotlivých letišť. Například ta ve Spojených státech jsou totiž vybavena mnohem pokročilejším rentgenovým systémem než jinde ve světě.

Všichni se však shodují, že výbušné zařízení v notebooku umístěném v zavazadlovém prostoru může být obtížnější odpálit a také z těchto míst teoreticky snižuje výši napáchaných škod.

„Na palubě ho může umístit a odpálit kdekoliv chce,“ říká Jeffrey Price, odborník na leteckou bezpečnost z denverské univerzity. I navzdory plánovanému vládnímu rozšíření a trvání zákazu do doby „než hrozba pomine“, ale podle Price takový zákaz nemůže trvat věčně a země, na které se vztahuje, by měly situaci umět vyřešit jinak.

Třeba právě modernizací a celkovým zlepšením svých bezpečnostních opatření už na letištích.

Nedávná hackerská výzva Googlu nikoho nezajímala

3.4.2017 SecurityWorld Zabezpečení
Je Android na dálku neprolomitelný, anebo zkrátka dvou set tisícová odměna nebyla dostatečnou motivací? Google uzavírá netradiční hackerskou výzvu. Před půl rokem nabídl 200 tisíc amerických dolarů (cca 5 milionů korun) tomu, kdo se dokáže na dálku nabourat do androidového zařízení se znalostí pouze telefonního čísla a emailové adresy uživatele. O odměnu se nikdo nepřihlásil.
Ovšem ačkoliv se to může zdát jako dobrá zpráva dosvědčující sílu zabezpečení operačního systému, důvod toho, že výzva nenašla svého pokořitele, bude pravděpodobně jiný. Například, potenciální účastníci namítali, že na daný úkol je odměna 200 tisíc dolarů příliš nízká. Pokud by prý totiž systém někdo tímto způsobem dokázal prolomit, tak by svůj úspěch mohl prodat za daleko vyšší sumu. Což ostatně po skončení soutěže připustil i samotný Google.

Dalším důvodem nízkého zájmu může být podle společnosti složitost daného úkolu a existence obdobných výzev, které jsou však přece jen o něco snazší, respektive nemají tak přísná pravidla. Totiž, dostat se k jádru Androidu a plně se zmocnit daného zařízení, vyžaduje objevení ne jedné, ale mnohem více chyb v systému a schopnost jejich vzájemného provázání. Jedna z chyb by přitom útočníkovi musela umožňovat vzdáleně spustit škodný kód, například v rámci některé z aplikací a ještě k tomu se vyhnout sandboxu aplikace.

Podmínkou výzvy totiž bylo i to, aby útočník dokázal zařízení ovládnout bez jakékoliv interakce jeho majitele – tedy bez toho, aby uživatel například musel kliknout na škodný odkaz, navštívit webovou stránku či otevřít emailovou přílohu. Tato podmínka tedy výrazně omezila množství „vstupních bodů“, jakými se útočníci mohli do zařízení dostat. První díra v řetězci by se totiž musela nacházet ve vestavěných funkcích pro SMS nebo MMS anebo také v tzv. baseband firmwaru sloužícímu k ovládání modemu a zneužitelnému skrz mobilní síť.

Způsob prolomení bezpečnosti Androidu, který splňoval daná kritéria, byl objeven v roce 2015. Na soubor chyb využívající multimediální knihovnu Stagefright tehdy upozornili vývojáři společnosti Zimperium. Zjistili, že k ovládnutí systému prakticky stačí doručení škodlivé MMS. Kauza před dvěma roky odstartovala masivní záplatování Androidu, jehož součástí bylo i vypnutí funkce automatického přijímání MMS.

„Podobné chyby zneužitelné na dálku bez účasti uživatele jsou vzácné a vyžadují spoustu kreativity a důvtipu,“ komentoval aktuální výzvu Googlu Zuk Avraham, šéf Zimperia. „A rozhodně mají vyšší cenu než dvě stě tisíc dolarů.“

Mimochodem, obdobnou soutěž vyhlásila i společnost Zerodium, nabízející za prolomení Androidu na dálku rovněž 200 tisíc dolarů, s tím rozdílem, že neomezuje interakci uživatele. Zerodium objevené chyby dále přeprodává svým klientům, mezi které patří například i zpravodajské agentury.

Nabízí se tedy otázka, proč, pokud by se někomu takovou chybu skutečně podařilo odhalit, by ji dotyčný prodával Googlu, když i méně složité hacky může na černém trhu zpeněžit stejně či ještě lépe.

„Obecně můžeme říct, že tahle soutěž pro nás byla zkušenost a že to, co jsme se díky ní naučili, využijeme v dalších podobných programech,“ uvedla za Google Natalie Silvanovich s tím, že od počestných vývojářů očekává alespoň připomínky a komentáře.

I přes neúspěch soutěže se ale hodí zmínit, že Google je v podobných projektech průkopníkem a mnoho jiných jich přineslo své ovoce v podobě softwarových vylepšení či rozvoje online služeb. A pravděpodobnost, že komerční výrobci dokážou v podobných situacích konkurovat odměnám nabízeným zločineckými organizacemi či zpravodajskými agenturami, je velice nízká. Nakonec, programy zaměřené na odhalování chyb a hackovací soutěže, jsou určené v prvé řadě těm vývojářům, kteří nepostrádají smysl pro zodpovědnost.

Cloudové služby jsou pohodlné. Obnášejí ale i rizika

31.3.2017 Novinky/Bezpečnost Zabezpečení
Minulý týden se rozhořela kauza okolo hackerů, kteří vyhrožují Applu, že smažou data stovek miliónů uživatelů služby iCloud. To opět rozvířilo debatu o tom, jak důležitá je bezpečnost při ukládání fotografií, videí a dalších dat na internetu.
Služba iCloud je velmi populární. Už při prvním spuštění nabízí uživateli možnost zálohovat kontakty, zprávy, fotografie a další soubory automaticky na vzdálený server (cloud). To se hodí především v případě, kdy mobil nebo tablet ztratíte. Do nového přístroje jednoduše zadáte své přístupové údaje a všechna data máte okamžitě zpět, o nic nepřijdete.

Jenže cloud představuje také jisté riziko, na které bezpečnostní experti pravidelně poukazují již několik posledních let. Tím, že data nemáte přímo u sebe, se k nim může dostat i někdo cizí. Stačí znát váš e-mail a heslo. A to neplatí pouze o iCloudu, ale také o dalších podobných službách, které provozují konkurenční společnosti.

Nepodceňovat sílu hesla
Riziko přitom nehrozí pouze v případě, že heslo někomu prozradíte. Hacker může na heslo jednoduše přijít. Speciální programy hackerského podsvětí dokážou čtyřmístné heslo, složené z číslic od nuly do devítky, prolomit za dvě minuty. Výkon dvoujádrových a čtyřjádrových procesorů totiž dovolí za jednu vteřinu prověřit na běžné počítačové sestavě až 100 možných kombinací.

Problém nastává také ve chvíli, kdy stejné heslo používáte u více služeb, například u e-mailu, nejrůznějších diskusních fór či sociálních sítí. Pokud na některé z těchto služeb dojde k úniku hesel, počítačoví piráti se pak velmi snadno dostanou i do dalších služeb – například přímo na server, kam se automaticky ukládají soukromé snímky z mobilu nebo tabletu. Jednoduše heslo na nejpoužívanějších službách vyzkoušejí.

Je tedy nutné si uvědomit, že hesla jsou zpravidla první linií účinné ochrany před odcizením citlivých osobních dat. Čím delší a složitější heslo, tím lépe. Vhodné je kombinovat malá i velká písmena a čísla, případně také speciální znaménka.

Vhod přijde dvojité zabezpečení
Zabezpečit cloudový účet je navíc možné prostřednictvím sofistikovanějších metod, než je pouze silné heslo. Někteří poskytovatelé těchto služeb nabízejí například možnost zasílat unikátní kód při každém přihlášení.

Pro přístup k datům tak nestačí znát pouze váš e-mail a heslo. Je potřeba mít také váš telefon, na který přijde přihlašovací kód. Podobný systém zabezpečení je dnes již samozřejmostí při platbách přes on-line bankovnictví.

Výjimkou není ani možnost detekce „nezvaných návštěvníků“. Ve chvíli, kdy se někdo pokusí získat přístup k vašim datům z jiného přístroje, než jaký jste při první instalaci potvrdili, přijde vám na e-mail automaticky upozornění. Data vám tato funkce sice neochrání, pokud k nim již útočník získal přístup, na druhou stranu ale tak nezíská žádný další citlivý obsah, který byste mohli na cloud nahrát.

Riziko představují i samotné mobily a tablety
Přijít o data uložená v mobilech a tabletech ale můžete i v případě, že žádný cloud nepoužíváte. Většina lidí totiž u nich, na rozdíl od klasických počítačů a notebooků, nepoužívá žádný bezpečnostní software. A právě proto se na mobilní zařízení zaměřují kybernetičtí zločinci stále častěji.

V praxi se jim tak může podařit propašovat do tabletu nebo smartphonu nějaký škodlivý virus, který jim umožní získat vládu nad napadeným přístrojem a tím jim zpřístupní i všechna uložená data. Bez antiviru nemá běžný uživatel prakticky žádnou šanci si všimnout, že byl jeho přístroj infikován.

Každý tablet a chytrý telefon by tak měl být vybaven bezpečnostním softwarem, který bude všechny hrozby neustále hlídat. Uživatelé by neměli zapomínat na pravidelné stahování všech bezpečnostních záplat, a to pro samotný operační systém i doinstalované programy. Nejrůznější trhliny v softwaru totiž útočníci také zneužívají k útokům.

Bojíte se ransomwaru? Možná už nemusíte...

31.3.2017 SecurityWorld Zabezpečení
Svou klíčovou technologii Intercept X pro boj s ransomwarem a pokročilými hrozbami představila v Praze v rámci své evropské roadshow firma Sophos. Prezentaci podpořila nejen praktickými ukázkami toho, jak celé řešení funguje, ale i místem prezentace, kterým byl futuristický kamion, který budil zájem širokého okolí.

Vraťme se však k bezpečnostním technologiím. Ransomware je v současnosti hrozbou, které se bojí firmy i domácnosti -- stačí jen chvíle a soubory jsou zašifrované. Zaplatit, nebo rezignovat? Přitom stačí málo a k takové situaci by dojít nemuselo, tvrdí Peter Skondro, senior sales engineer ve společnosti Sophos, který výhody řešení Intercept X přítomným vysvětlil.

Intercept X podle něj představuje doplňující ochranu před malwarem, přičemž mimořádně účinný je zvláště v případě ransomwaru, kde tradiční antimalwary obvykle selhávají.

Díky pokročilé detekci exploitových technik totiž dokáže účelně zabránit i mnoha atakům nultého dne a ve spojení s dalšími technologiemi Sophosu tak představuje účinnou hráz pro téměř jakýkoliv typ ataku na firemní pracovní stanice.

Protože Intercept X funguje jako nadstavba klasické ochrany koncových stanic, lze jej kombinovat nejen s dalšími řešeními Sophosu, ale v podstatě s jakýmikoliv systémy ochrany endpointů třetích výrobců a díky minimální zátěži dobře funguje i na starších, méně výkonných počítačích (Intercept X v současnosti podporuje počítače s Windows 7 a novějšími, plánuje se i podpora pro Mac OS).

Intercept X podle Skondra zahrnuje čtyři klíčové vrstvy ochrany:

Anti-ransomware, který detekuje a eliminuje nevyžádané zašifrování dat a zároveň dokáže obnovit už zakódované soubory,
Anti-Exploit, který dokáže zabránit průniku malwaru nultého dne a má minimální dopad na výkonnost celého systému
Extended Cleanup (Hloubkové odstranění malwaru), který prostřednictvím forenzní analýzy odstraňuje různé typy hrozeb, aniž by znal nějaké jejich signatury
Root cause Analysis (Analýza prvotních příčin), který podrobně analyzuje atak malwaru

Jak účinné je zadržování malwaru?

Malware pro koncové body lze podle Skondra eliminovat hned několika různými metodami. Nejčastěji jde o omezení oblastí, kudy může malware do koncové stanice pronikat – ať už jde o různé typy filtrování, nastavení reputace stahovaných souborů apod. Tak lze zamezit průniku až 80 % všeho škodlivého kódu.

Druhou klíčovou metodou je analytika před aktivací malwaru, jako je třeba heuristika – tak lze eliminovat až 10 % malwaru. A pak tu jsou samozřejmě signatury známých řetězců, které zachytí okolo 5 % škodlivého kódu.

Výše popsané metody se ale týkají tradičního malwaru. Ten moderní se ale výše zmíněným způsobům detekce dokáže velmi úspěšně vyhnout. I na něj ale lze podle Skondra vyzrát – díky analýze chování či detekce technik exploitů jde eliminovat zbývající 3 %, respektive 2 % nákazy. Přitom právě dvě posledně jmenované metody se v současném světě malwaru jeví jako klíčové.

1. Eliminace ransomwaru

Základem ochrany před ransomwarem je technologie CryprtoGuard. Ta totiž dokáže velice efektivně detekovat podezřelé šifrování dat a zastavit jej ještě před tím, než napáchá v koncových stanicích nějaké škody.

CryptoGuard totiž při otevírání libovolného souboru nějakým procesem automaticky vytváří záložní kopii původního souboru a při jeho uzavření a zápisu se tato kopie porovná s nově zapsaným, vysvětluje Skondro. Pokud ale CryptoGuard zjistí nějaké zásadní změny nebo dokonce záměna souborového typu, považuje se soubor za zašifrovaný.

V případě, že se v krátkém časovém úseku taková detekce objeví u více souborů, CryptoGuard považuje počítač za napadený zatím neznámým ransomwarem. Proces, který takové operace na soubory vykonává, se umístí do karantény a zruší se mu právo zapisovat do souborového systému.

Po celou dobu se přitom na obrazovce uživatele ukazuje ekvivalent semaforu ukazující, v jakém stavu se nalézá koncová stanice uživatele (zelená -- vše Ok, žlutá -- něco se děje, červená – pozor, nastaly problémy se zabezpečením). V tuto chvíli se tedy na koncové stanici rozsvítí červené světlo.

Díky předchozím krokům CryptoGuard dokáže znovuobnovit fungování koncové stanice i ransomwarem zašifrované soubory -- ty lze totiž získat z předem vytvořených kopií otevíraných souborů.

Zároveň se pošle příslušný alarm do centrální správy, začnou se sbírat informace potřebné pro podrobné analyzování nastalé situace a spustí se hloubkové odstraňování malwaru pomocí funkce Sophos Clean, viz níže.

Na konci celého procesu nápravy tak jsou nezašifrované soubory s původním obsahem a obnovený systém bez nákazy – semafor se opět rozsvítí zelenou barvou.

Podobně to funguje i v případě, kdy ransomware je na vzdáleném klientovi, který přistupuje k souborovému serveru – při otevírání souborů se opět vytváří záložní kopie, která se porovnává s nově zapsaným souborem.

Pokud se zjistí nějaké nesrovnalosti, viz výše, CryptoGuard označí vzdáleného klienta za napadeného ransomwarem a zruší mu přístup k souborovému systému. Z kopií se obnoví původní data a centrální správě se zašle odpovídající upozornění.

2. Detekce malwaru prostřednictvím technik exploitů

V současnosti existuje celá řada technik exploitů, kterými lze kompromitovat uživatelovu koncovou stanici, tvrdí Skondro. Intercept X podle něj dokáže takové procesy monitorovat a zároveň detekovat pokusy o zneužití exploitů využívajících techniky, jako je například buffer overflow nebo code injection. Tímto způsobem zamezí zneužití různých zranitelností v nezabezpečených aplikacích nebo v programech, kde se ještě nenainstalovaly odpovídající záplaty.

Celé řešení přitom není postavené na signaturách, takže dokáže eliminovat i neznámá rizika. Svou architekturou také nemá žádný dopad na výkon celého systému.

3. Analýza prvotních příčin

Součástí Intercept X je i sofistikovaný systém analýzy prvotních příčin incidentů. Samotné odpojení zasažené pracovní stanice totiž podle Skondra neřekne nic o tom, co přesně se vlastně stalo, jaké systémy či soubory byly incidentem zasažené a jak lze do budoucna tomuto problému zamezit.

Právě na tyto otázky odpovídá zmíněný systém analýzy prvotních příčin. Podrobným zkoumáním totiž identifikuje ovlivněné procesy, klíče registrů, soubory i komunikační kanály, prostřednictvím detailní grafiky ukáže jednotlivé událostí i jejich souvislosti a zjistí prvotní zdroj infekce. Zároveň zjistí, které soubory a systémy byly událostí zasažené a které systémy by se měly nechat vyčistit.

Systém analýzy prvotních příčin zároveň může poradit, jak se obdobné nákaze příště vyhnout, dodává Skondro.Například které vstupní kanály pro malware je dobré uzavřít či jak efektivně zabránit šíření malwaru uvnitř podnikové sítě.

4. Hloubkové odstranění malwaru

Pro pokročilou likvidaci kybernetické nákazy využívá Intercept X nástroj Sophos Clean, což je skener a čistič malwaru, který funguje na vyžádání a pracuje bez potřeby nejakých signatur. Pomocí forenzních metod dokáže zjišťovat známý i neznámý malware, tvrdí Skondro.

Ke své činnosti využívá detekci chování a zároveň cloudové zpravodajství hrozeb. Dokáže také nalézt a vyjmout persistentní škodlivý kód a případné napadené systémové soubory systému Windows dokáže nahradit originálními verzemi.

Propojení s dalšími řešení Sophosu

Intercept X představuje pouze sofistikovanou nadstavbu ke klasické ochraně koncových bodu, takže pro plnou ochranu je nutné propojit jej s dalšími obrannými technologiemi.

Například ve spojení s Sophos Central Endpoint Advanced můžete získat kromě výše popsaných funkcionalit řešení Intercept X také klasickou antimalwarovou ochranu, detekci škodlivého provozu, HIPS, kontrolu webu, aplikací a dat, filtrování webů v koncových stanicích centrální správu a řadu dalších funkcí, díky nimž uživatelé získají komplexní ochranu koncových bodů, vysvětluje Skondro.

Dalším stupněm je integrace Intercept X s Sophos XG, firewally nové generace (NGFW) a šifrovacím řešením SafeGuard Encryption. Využívá se přitom ekosystém sdílené inteligence Security Heartbeat, kdy se synchronizuje zabezpečení prostřednictvím více řešení v reálném čase, což zlepšuje účinnost ochrany.

Jak Intercept X doplňuje existující řešení ochrany endpointů

(Zdroj: Sophos)

Příkladem toho, jak efektivně může taková kombinovaná obrana pracovat, je například situace, kdy Endpoint Advanced nebo Intercept X zaznamená infekci na koncové stanici, prostřednictvím systému Security Heartbeat dostane tuto zprávu agent SafeGuard Encryption, který okamžitě vymaže z paměti zařízení šifrovací klíče, které by šlo zneužít. Vzápětí Security Heartbeat informuje o kompromitaci stanice příslušný firewall, který ji odpojí od sítě, resp. ji dá do karantény, než se malware odstraní, vysvětluje Skondro.

Sophos takto propojenou obranu označuje jako Synchronized Security. Nahrazuje donedávna používaný koncept, kdy bezpečnostní řešení navzájem koordinovaly svou činnost jen výjimečně a kvůli tomu byly málo účinné proti novým typům hrozeb.

Synchronized Security totiž podle Skondra dokáže nákazu nejen detekovat, ale i zjistí, které systémy byly skutečně zasažené, učinit patřičné kroky pro nápravu a navíc správcům přinést podrobnou analýzu toho, co se ve skutečnosti stalo a jak tomu příště předejít. A to je něco, co bylo donedávna jen snem bezpečnostních manažerů.

Eset vylepšil své firemní bezpečnostní produkty včetně podpory virtualizace

29.3.2017 SecurityWorld Zabezpečení
Dvě zásadní aktualizace svých produktů pro firmy -- nástroje vzdálené správy Remote Administrator (RA) a Virtualization Security -- ohlásil Eset.

Prvně jmenované řešení je nově kompatibilní s nástrojem SIEM (IBM QRadar) a také nabízí režim, který poskytovatelům typu MSP umožní obsluhovat několik zákazníků v rámci jednoho řešení, tzv. mód multitenant.

Virtualization Security je zase rozšířené o nativní podporou VMware NSX, což umožňuje lepší prevenci proti škodlivému kódu a kontrolu systému bez zvýšení nároků na systémové zdroje díky přidání antivirové kontroly na úroveň virtualizované síťové vrstvy.

„Firmy jsou dnes cílem útoků kriminálních skupin mnohem častěji než v minulosti. Proto jsme zaměřili naše úsilí na vylepšování našich řešení pro firmy,“ říká Michael Jankech, Senior Product Manager pro oblast Business Security v Esetu.

Popis řešení podle výrobce:

Remote Administrator umožňuje správcům celkový přehled nad bezpečnostní situací ve firemní síti z webové konzole. A to odkudkoli, stačí jen funkční internetové připojení.

Integrace s IBM QRadar: Všechny hlavní události z nástroje vzdálené správy jsou exportovány do formátu LEEF, který QRadar používá. V IBM konzoli se potom události Esetu zobrazují jako „zdroj protokolů“.
Multitenantní režim: Ideální pro velké společnost s jedním centrálním serverem a různými správci koncových stanic na konkrétních lokalitách, nebo pro MSP spravujících více zákazníků z jednoho serveru, ale potřebují, aby zákazníci neviděli citlivá data dalších zákazníků.
MDM iOS: Správa mobilních zařízení s iOS je integrována přímo do Remote Administratoru, podporuje Apple Device Enrollment Program a umožňuje měnit různá bezpečnostní nastavení od povolení/ zákaz aplikací po anti-theft.

Virtualization Security umožňuje standardní antivirovou ochranu virtuálních strojů prostřednictvím řešení na platformě VMware vShield bez nutnosti instalace jakéhokoliv bezpečnostního produktu do jejich operačních systémů.

Všechny skenovací úlohy jsou směrovány na centrální skener uvnitř appliance Virtualization Security od Esetu, takže nedochází k vícenásobné kontrole dat na virtuálních stanicích.

Podpora VMware NSX: Produkt nativně podporuje mikro segmentaci a automatické spouštění úloh, které přesunou infikovaný stroj do jiného segmentu sítě. Brání se tak dalšímu šíření škodlivého kódu. Po připojení nové virtuální stanice k NSX Manageru se automaticky nasadí Virtualization Security a ihned stanici chrání.
Snadné nasazení: Virtualization Security lze jednoduše instalovat s pomocí nástroje vzdálené správy z jednoho místa.
Vysoká výkonnost: VM infrastruktura je o optimalizaci zdrojů a výkonu -- a skenovací řešení Esetu tyto požadavky přesně splňuje. Má nízké nároky na systém a pracuje rychle, takže dává více prostoru pro ostatní aplikace a procesy.

Jaké aplikace představují v PC největší bezpečnostní problém

28.3.2017 Novinky/Bezpečnost Zabezpečení
Flash, Java či WinZip. To jsou aplikace, které používá na počítačích drtivá většina uživatelů. Právě kvůli jejich popularitě se na ně ale velmi často zaměřují také počítačoví piráti. A to je problém, neboť uživatelé velmi často aktualizaci těchto aplikací podceňují. Nevědomky tak kyberzločincům otevírají zadní vrátka do svého počítače.
O tom, že uživatelé velmi často podceňují aktualizace nejpoužívanějších programů, pojednává analýza antivirové společnosti Avast. Podle ní je více než polovina (52 %) nejrozšířenějších počítačových aplikací včetně Flashe a Javy v počítačích uživatelů zastaralá.

„V on-line světě hrají bezpečnostní návyky, jako je pravidelná aktualizace softwaru, důležitou roli pro osobní bezpečnost na internetu. Zkušení hackeři umějí přesně zacílit na slabiny, a právě používáním neaktualizovaných programů jim lidé útok usnadňují,“ řekl technický ředitel Avastu Ondřej Vlček.

Aktualizace často odkládají
Podle něj uživatelé aktualizace často odkládají a pak na ně i přes upozornění zapomenou. V některých případech ji mohou provést špatně a kvůli tomu se program již dále neaktualizuje – například pokud při přeinstalaci nenechají zatrženou volbu „aktualizovat automaticky“.

Žebříčku nejvíce zastaralých aplikací kraluje již výše zmíněná Java. Jde o rozhraní používané v prostředí webu a některých aplikací, jehož verzi s pořadovými čísly šest a sedm používá více než 24 miliónů uživatelů. „Zatímco dalších 26 miliónů uživatelů má nejnovější verzi Java 8, více než 70 % z nich si ještě nenainstalovalo poslední vydanou aktualizaci,“ podotkl Vlček.

Druhou příčku obsadil Flash Player, tedy aktuálně jeden z nejpopulárnějších programů pro přehrávání videí na internetu. „Ten by si pro Internet Explorer mělo aktualizovat 99 % uživatelů,“ řekl Vlček.

Flash Player používá na celém světě několik stovek miliónů lidí. Právě kvůli velké popularitě se na Flash Player zaměřují kybernetičtí nájezdníci pravidelně. Podle analýzy bezpečnostní společnosti Record Future cílilo osm z deseti nejrozšířenějších hrozeb v roce 2015 právě na tento přehrávač videí.

Počítač dávají všanc pirátům
Nepříliš lichotivá bronzová medaile patří aplikaci Foxit Reader, u které 92 % uživatelů pracuje se zastaralou verzí.

Přitom chyby v těchto aplikacích patří velmi často mezi kritické. To jinými slovy znamená, že útočník může prostřednictvím této trhliny v krajním případě klidně i převzít kontrolu nad napadeným systémem. Může se tak snadno dostat k uloženým datům, případně odchytávat přihlašovací údaje na různé webové služby.

Takový stroj se pak klidně i bez vědomí uživatele může stát součástí botnetu (síť zotročených počítačů), který kyberzločinci zpravidla zneužívají k rozesílání spamu nebo k DDoS útokům. Pokud uživatelé nenainstalují včas aktualizace, vystavují svůj stroj všanc počítačovým pirátům.

„Naopak mezi nejvíce aktualizované aplikace se zařadily Google Chrome z 88 %, Opera z 84 % a Skype z 76 %. Procenta ukazují, že ani aplikace s automatickou aktualizací nemusí být vždy aktualizované,“ uzavřel Vlček.

Nejméně aktualizované programy
1. Java (Runtime 6, 7), Oracle Corporation
2. Flash Player (Active X), Adobe Systems
3. Foxit Reader, Foxit Software
4. GOM Media Player, Gretech
5. Nitro Pro, Nitro Software
6. WinZip, Corel Corporation
7. DivX, DivX LLC
8. Adobe Shockwave Player, Adobe Systems
9. 7-ZIP, Igor Pavlov
10. Firefox, Mozilla
Zdroj: Avast

Kaspersky využívá pro detekci hrozeb strojové učení v cloudu

28.3.2017 SecurityWorld Zabezpečení
Fraud Prevention Cloud umožní čelit podvodům realizovaným skrze internetové služby. Alespoň to slibují experti firmy Kaspersky Lab, které novinku vyvinuli a využili v ní pokročilé metody detekce.

Kromě prevence podvodů pro koncové stanice a mobilní zařízení poskytuje platforma i řadu cloudových technologií navržených přímo pro ochranu bank, finančních institucí, či vládních agentur.

Patří mezi ně kromě reputační databáze GDR (global device reputation) také analýza zařízení a prostředí, behaviorální analytika, biometrie a tzv. clientless malwarová detekce.

Například behaviorální analýza a biometrie pomáhají zjistit, jestli je uživatelem skutečná osoba, aniž by po něm byla vyžadována jakákoliv další aktivita. Toto chování se analyzuje prostřednictvím pohybů myši, klikání, skrolování nebo úderů na klávesnici. U mobilních zařízení se provádí za pomoci akcelerometru/gyroskopu a gest (dotyků, tahů atd.).

Fraud Prevention Cloud shromažďuje a analyzuje informace o uživatelově chování, jeho přístroji, prostředí a relacích v podobě anonymizovaných a neosobních big dat v cloudu. Díky tomu jsou v off-line prostředí k dispozici pro expertní forenzní a automatické analýzy.

Nově jsou také k dispozici informace pro interní Enterprise Fraud Management systém, což umožní včasnou proaktivní detekci podvodů v reálném čase ještě před tím, než dojde k jejich realizaci.

Tento přístup se zakládá na technologii Kaspersky Humachine – ta je kombinací big dat, výzkumů a analýz hrozeb za asistence algoritmů strojového učení a odbornosti firemních bezpečnostních týmů.

Ověřování na základě analýzy rizik (Risk Based Authentication, RBA) zase vyhodnotí riziko ještě před tím, než se uživatel přihlásí do digitálního kanálu. Interní backendové systémy jsou na jeho základě informovány o tom, zda mají přístup povolit, vyžádat si dodatečné ověření nebo ho zablokovat.

Tento prvek zlepšuje uživatelskou zkušenost tím, že minimalizuje počet autentifikačních kroků pro oprávněné uživatele, přičemž neoprávněného uživatele odhalí ještě před spácháním podvodu.

Nepřetržitá detekce anomálií v provozu (Continuous Session Anomaly Detection) navíc pomáhá detekovat podvodné aktivity tím, že identifikuje neoprávněné přístupy k účtu, nové podvodné aktivity na účtu, praní špinavých peněz, automatizované nástroje a další podezřelé procesy v průběhu provozu.

Fraud Prevention Cloud nicméně nezasahuje pouze v průběhu přihlašování, ale během celého provozu. Vytváří přitom statistické modely různých behaviorálních vzorců za využití technologií strojového učení.

A konečně clientless malwarová detekce kombinuje přímé a proaktivní techniky detekce. Přímou technikou se zjišťuje, jestli uživatelovo zařízení neslouží k přímému útoku na konkrétní digitální službu organizace.

Druhá technika proaktivní detekce pomáhá identifikovat malware, který bezprostředně neohrožuje organizaci, ale mohl by být ke škodlivému účelu přizpůsoben a zaútočit v budoucnosti. Tyto techniky v případě, že dojde ke skutečnému útoku, minimalizují rizika a ztráty.

Nenechte se zahltit falešnými poplachy

26.3.2017 SecurityWorld Zabezpečení
Díky technologiím, jako jsou například systémy IDS (systémy detekce narušení), lze dnes shromažďovat nebývalé množství dat o hrozbách a útocích. Díky nim se organizace mohou včas dozvědět o nejnovějších hrozbách. Bohužel to však také může přidat otravný a nákladný problém falešných poplachů, kdy se normální či očekávané chování považuje za anomální či škodlivé.

Falešné poplachy jsou problémem nejen proto, že zatěžují personál a vyžadují čas na řešení, ale také proto, že mohou pozornost firmy odvádět od řešení skutečných bezpečnostních problémů.

Podle zprávy „Data-Driven Security Reloaded“ z roku 2015 od výzkumné firmy EMA (Enterprise Management Associates) uvedla polovina z více než 200 dotázaných správců IT a personálu zabezpečení, že jim příliš mnoho falešných poplachů znemožňuje spoléhat se na detekci narušení.

Při dotazu na to, co považují za klíčový přínos softwaru pro pokročilou analytiku, uvedlo 30 procent dotázaných organizací snížení počtu falešných poplachů.

„Falešné poplachy byly vždy problémem bezpečnostních nástrojů, ale jak se přidává více vrstev ochrany zabezpečení, roste kumulativní dopad těchto nepravých alarmů,“ uvádí Paul Cotter, architekt bezpečnostní infrastruktury v poradenské společnosti West Monroe Partners.

Nejběžnější jsou falešné poplachy v produktech, jako jsou detekce a prevence narušení sítě, platformy pro ochranu koncových bodů a také nástroje detekce a reakce pro koncové body, popisuje Lawrence Pingree, ředitel výzkumu bezpečnostních technologií v Gartneru.

„Každé z těchto řešení používá různé metody detekce útoků, jako jsou například charakteristické signatury, detekce chování atd.,“ uvádí Pingree. „Falešné poplachy jsou problémem, protože podstata pokusů detekovat špatné chování se někdy překrývá s příznaky dobrého chování.“

Dobrým příkladem toho, jaký mohou mít falešné poplachy dopad, je známý únik dat ze společnosti Target, „kde technologie použitá k monitorování narušení generovala mnoho upozornění v různých případech podezřelých aktivit,“ vysvětluje Pritesh Parekh, ředitel zabezpečení informací ve finanční společnosti Zuora.

„Relevantní varování se ztratila ve stovkách falešných poplachů a nezískala prioritu v seznamu bezpečnostních problémů, takže výsledkem byl velký únik dat,“ popisuje Parekh.

Důležitá rovnováha

Existuje zde jemná rovnováha, kterou musejí bezpečnostní profesionálové zajistit při řešení problémů, popisuje Cotter. Na jedné straně musejí zabezpečit, aby nástroj nenarušoval každodenní provoz a negeneroval další práci pro organizaci.

Na straně druhé však musejí zohlednit, že i jediný opodstatněný poplach (například nezjištěné vniknutí) může mít mnohem větší dopad na organizaci než mnoho poplachů falešných.

„Největším rizikem falešných poplachů je, že nástroj vygeneruje tolik upozornění, že je nakonec vnímán jako jakýsi generátor šumu a všechny skutečné problémy se začnou ignorovat v důsledku únavy osob, které tyto nástroje spravují,“ varuje Cotter.

Často podle něj tento problém lze vidět u nástrojů, které nejsou správně používané, jako například když dojde k nainstalování a použití výchozích nastavení a profilů.

Typickým takovým příkladem je software pro monitoring integrity souborů, který upozorní správce na libovolné změny souborů v monitorovaném systému, což může být příznak malwaru či aktivity vetřelce.

„Při použití výchozího nastavení vygeneruje instalace jednoduché opravy velké množství změn souborů a v souhrnu to u středně velkého podniku může snadno vytvořit mnoho desítek tisíc varování,“ upozorňuje Cotter.

Všechna významná varování se snadno v takové záplavě informací ztratí a správci je mohou považovat za důsledek aktualizací.

„Pro vyřešení tohoto problému je nutné zavést důkladný proces testování aktualizací a je potřeba vytvořit určitou podobu ‚otisků prstů‘, jejich změn, aby bylo možné taková specifická upozornění odfiltrovat, a aby tak zůstala jen jasná množina upozornění, která by měli správci skutečně přezkoumat,“ popisuje Cotter.

Definování, vyladění, implementace a vykonávání tohoto procesu zvyšují úsilí potřebné k podpoře provozu nástroje, mohou však drasticky snížit dlouhodobé náklady na vlastnictví i zvýšit efektivitu rozlišení užitečných informací od šumu a v důsledku toho i zlepšit použitelnost samotného systému, uvádí Cotter.

„Mnoho dalších nástrojů zabezpečení má podobný problém s nadměrným množstvím varování, která se často ignorují pro nízký poměr užitečných informací vůči šumu,“ tvrdí Cotter.

„Mezi příklady lze uvést systémy IDS (detekce narušení), firewally webových aplikací a další systémy, které monitorují koncové body dostupné z internetu.“

Pochopení podstaty

Řešení problému falešných poplachů by mělo začínat důkladným pochopením toho, co má daný nástroj řešit, a také jak funguje.

„Při implementaci nástroje zajistěte, aby personál pracující na zavádění plně chápal záměr nasazení nástroje, a aby tak nedocházelo ke zbytečným dohadům o obvyklých případech použití nebo jen k pouhé instalaci nástroje s výchozími nastaveními,“ radí Cotter.

Z provozního a vzdělávacího pohledu ovlivní každé nasazení nástroje zabezpečení existující zásady a postupy včetně reakce na incidenty a všechny provozní postupy pro systémy, na které má nástroj vliv, vysvětluje Cotter.

„Tento dopad by se měl přezkoumat a schválit a dokumentace pro zásady i postupy by se měla společně s nasazením nástroje zaktualizovat, aby se zajistilo, že změna bude mít na provozní činnosti jen minimální dopad,“ dodává Cotter.

Personál zabezpečení potřebuje zejména pochopit, že ne každý detekovaný případ má škodlivou podstatu, prohlašuje Pingree. Podle něj existuje celá řada způsobů, jak kategorizovat incidenty za účelem identifikace falešných poplachů.

Vyšetřovatel například zkontroluje detekovanou škodlivou událost a poté určí pravděpodobnost, že je tato aktivita skutečně škodlivá.

„Tito lidé musejí udělat řadu kroků, aby mohli stanovit škodlivost příslušné události. Například prozkoumat, zda došlo k úniku dat nebo jestli chování vypadá při bližším přezkoumání jako přijatelné,“ vysvětluje Pingree.

Většina produktů poskytne více podrobností k určení, zda něco vypadá jako detekce falešného poplachu, tvrdí Pingree. Vyšetřovatel může porovnat detekovanou událost se známými dobrými vzorky souborů, jako jsou například whitelisty.

V případě, že jde o zkoumání varování týkající se sítě, mohou vyšetřovatelé prozkoumat další zdroje dat, například informace o IP adrese, doménové jméno, a využít další funkce hodnocení škodlivosti, jako jsou třeba skóre reputace IP adresy či malwarové skenování adresy URL.

„Někdy jsou tato skóre odvozená ze zkoumání minulého chování nebo účasti určité URL či IP adresy na útocích v minulosti,“ vysvětluje Pingree.

Podle něj zde existuje určitá míra nejistoty, ale většinou je možné pomocí bližšího přezkoumání protokolů, zachycených paketů a dalších uživatelských aktivit souvisejících s incidentem určit, zda je něco více než pravděpodobně falešným poplachem nebo reálnou hrozbou.

Síla v ladění

Při konfiguraci a ladění nových bezpečnostních nástrojů pro snížení počtu falešných poplachů i zajištění dostatečného pokrytí.

Symantec chyboval s EV certifikáty, prohlížeče jim přestanou důvěřovat
24.3.2017 Root.cz Zabezpečení

Společnost Symantec dostatečně nezabezpečila svůj proces vydávání certifikátů, vyplývá z vyšetřování Googlu. Ten proto plánuje částečné odebrání důvěry v Chromu a vyzývá k tomu další prohlížeče.
Vývojový tým prohlížeče Google Chrome představil svůj úmysl potrestat společnost Symantec, konkrétně její certifikační autoritu. Na začátku roku se totiž objevila podezření, že praktiky společnosti při vydávání certifikátů nebyly takové, jaké by měly být. Zejména co se týče certifikátů s rozšířeným ověřením (EV), tedy ověřením samotné společnosti.
Google proto podnikl vyšetřování v podezření se potvrdila. Problém je hlavně v tom, že Symantec umožnil přístup do své infrastruktury několika dalším stranám a dostatečně na ně nedohlížel. Google se domnívá, že cca 30 tisíc certifikátů tak bylo vystaveno v rozporu se základními pravidly.

Trest: rychlejší vypršení certifikátů
Navrhovaný trest sice neuvažuje nad úplným odebráním důvěry, zejména vhledem k vysokému tržnímu podílu firmy, ale i tak je poměrně přísný. Navrhované kroky se týkají všech certifikačních autorit vlastněných společností Symantec, včetně velmi rozšířené autority GeoTrust.

Nově vydané certifikáty by nesměly mít delší platnost než 9 měsíců, jinak by jim Chrome nedůvěřoval. Co se týče stávajících certifikátů, tak těm bude odebrána důvěra graduálně v průběhu cca jednoho roku, podle doby jejich platnosti. Jejich majitelé by tam měli mít dostatek času pořídit si certifikát nový.

Postupné odebrání důvěry by se týkalo také EV certifikátů, které by navíc prakticky okamžitě byly poníženy na úroveň běžných certifikátů. V adresních řádcích už by se tak neobjevovaly názvy firem, kterým byly vystaveny. Což také může být problém, protože některé firmy a služby vycvičily své uživatele, aby právě na to koukali. Nově vydané EV certifikáty by Chrome neakceptoval vůbec.

Název firmy z adresního řádku půjde pryč
Přidají se další prohlížeče?
Navzdory tomu, že o problémech věděl, Symantec opakovaně selhal v jejich oznámení. Navíc ani poté, co se informace dostaly na veřejnost, Symantec odmítl vydat informace, které komunita vyžadovala, aby mohla prověřit závažnost problémů, dokud nebyl výslovně tázán, popisuje návrh přitěžující okolnosti.

Nutno dodat, že návrh zatím není hotová věc. Vývojový tým prohlížeče Chrome ho zveřejnil proto, že chce na svou stranu získat další prohlížeče a odebrání důvěry s nimi koordinovat, aby mezi uživateli nebyl zmatek. Lze však předpokládat, že tvůrci dalších prohlížečů budou návrh kvitovat. Např. Mozilla s Firefoxem už dříve ukázala, že se špatnými certifikačními autoritami nemá slitování a jako první odebrala důvěru WoSign.

Důležité je, že se nic nezmění ze dne na den a uživatelé dostanou čas certifikáty vyměnit. Pro Symantec to samozřejmě bude znamenat velkou ránu a velký odliv klientů, ale úplný konec nikoliv. Pokud firma podnikne kroky k nápravě a bude fungovat transparentněji, může se opět stát plnohodnotnou certifikační autoritou. Ale hned to nebude.

Roste počet šifrovaných webů, HTTPS konečně nahrazuje HTTPS

17.3.2017 SecurityWorld Zabezpečení
Poté, co Edward Snowden odhalil světu, že online komunikace je hromadně sbírána a ukládána některými z nejmocnějších zpravodajských agentur světa, bezpečnostní experti začali volat po silnějším šifrováním na celém webu. Po čtyřech letech se zdá, že se jejich snaha vydařila.

Počet webových stránek podporujících HTTPS – tedy protokol http šifrovaný přes SSL/TSL připojení – se během posledního roku významně zvýšil. Spuštění šifrování přináší mnoho výhod, takže pokud vaše webová stránka ještě tuto technologie nepodporuje, je na čase to změnit.

Nedávná telemetrická data z Google Chromu a Mozilly Firefox ukazují, že přes 50 % přenášených webových dat je šifrováno, a to jak na počítačích, tak mobilních zařízeních. Je pravda, že většina provozu se týká několika největších webových stránek, přesto je skok o 10 procentních bodů za rok úctyhodný.

Úterní průzkum milionu nejnavštěvovanějších webových stránek světa prokázal, že 20 % z nich podporuje HTTPS oproti 14 % v srpnu. Jde tedy o značný, více než 40% nárůst během půl roku.

Existuje mnoho důvodů zrychleného osvojování HTTPS standardu. Některé z dřívějších překážek se nyní snáze překonává, ceny poklesly a zvýšilo se množství důvodů, proč na šifrování přejít.

Výkonnostní dopad

Jednou z dlouhodobých obav ohledně HTTPS je negativní dopad na serverové zdroje a načítací dobu stránek. Šifrování ostatně obvykle přináší rychlostní propad, proč by tedy HTTPS mělo být odlišné?

Jak se však ukazuje, díky vylepšením jak na straně serverů, tak u klientského softwaru je dopad TLS šifrování na rychlost webu zcela minimální.

Když Google začal v roce 2010 využít HTTPS u svého e-mailového klienta Gmailu, společnost odhalila pouze procentní nárůst zatížení procesorů na svých serverech, pod 10 Kb dodatečné paměťové zátěže na jedno připojení a celkově méně než 2 % síťové režie. Přechod na šifrování nevyžadoval žádné dodatečné stroje či specializovaný hardware.

Nejen, že je dopad na back end minimální, ale prohlížení webů je dokonce rychlejší, když je HTTPS zapnuto. Důvodem je, že moderní prohlížeče podporuje HTTP/2, revizi http protokolu, která přináší mnohá výkonnostní zlepšení.

Ačkoli šifrování není nutností pro oficiální specifikaci HTTP/2, tvůrci prohlížečů jej ve vlastní implementaci nutným učinili. Pokud tedy na svém webu chcete rychlostní zlepšení v podobě HTTP/2, šifrování je nutností.

Jde samozřejmě i o peníze

Cena získání a obnovení digitálních certifikátů nutných k nasazení a fungování HTTPS bylo v minulosti důvodem k obavám, a to spravedlivě. Mnoho malých podniků a nekomerčních subjektů se pro nasazení šifrování nerozhodlo pravděpodobně právě z tohoto důvodu, a i větší společnosti s mnoha webovými stránkami a doménami ve správě se mohli finančního dopadu obávat.

To by naštěstí nemusel být nadále problém, alespoň pro ty weby, které nevyžadují certifikáty Extended Validation EV. Nezisková organizace Let’s Encrypt minulý rok spustila certifikáty domain validation (DV), které navíc poskytuje zadarmo skrze plně automatizovaný a jednoduchý proces.

Z kryptografického a bezpečnostního hlediska není mezi DV a EV certifikáty žádný rozdíl. Jediný reálný rozdíl je v tom, že EV vyžaduje důkladnější verifikaci organizací a umožňuje držiteli certifikátu zobrazit jméno vlastníka v adresním řádku, kde vedle vizuálního indikátoru HTTPS připojení.

Mimo Let’s Encrypt existuje ještě několik síťových a cloudových poskytovatelů služby, včetně CloudFlare a Amazonu, které nabízí TLS certifikáty zdarma. Webové stránky hostované skrze službu Wordpress rovněž dostávají HTTPS automaticky, a to i pokud využívají vlastní doménu.

Noční můrou je špatná implementace

Nasazení HTTPS bývalo velmi složité. Kvůli špatné dokumentaci, pokračující podpory slabých algoritmů v kryptovacích knihovnách a neustále odhalovaných nových útocích byla vysoká šance, že serveroví administrátoři skončí se zranitelnou verzí HTTPS protokolu. A špatné HTTPS je horší než žádné, neboť uživatelům dává falešný pocit bezpečí.

Mnohé z těchto problémů se však řeší. Webové stránky typu Qualys SSL Labs poskytují dokumentaci zdarma k TLS, stejně jako testovací nástroje k nalezení chybné konfigurace a zranitelností v HTTPS verzi uživatele. Jiné webové stránky pak poskytují zdroje na optimalizaci výkonu TSL.

Smíšený obsah zůstává problémem

Posílání a vytahování externích zdrojů typu obrázky, videa a JavaScript kód skrze nezašifrovaná připojení do HTTPS webové stránky spustí bezpečnostní varování v prohlížečích uživatele. A protože mnoho webových stránek na externích zdrojích závisí – fóra, webová analytika, reklamy apod. – zůstává smíšený obsah jedním z důvodů, proč někteří vlastníci webových stránek stále ještě nepřestoupili na HTTPS.

Dobrá zpráva je, že v posledních letech se vyrojilo velké množství služeb třetí strany, včetně reklamních sítí, které začaly HTTPS podporovat. Důkazem, že problém přestává být tak významný jako dříve, svědčí například to, že mnoho online médii již na HTTPS přešlo, přestože takové stránky jsou obvykle na zdrojích z reklamy závislé. Přesto však někteří vlastníci nemají jinou možnost než u HTTP z finančních důvodů setrvat.

Webmasteři mohou využít CSP header, který jim odhalí nezabezpečené externí zdroje na jejich webových stránkách a mohou je kupříkladu zablokovat. http Strict Transport Security (HSTS) také může napomoci s potížemi smíšeného obsahu, jak vysvětluje například bezpečnostní analytik Scott Helme (anglicky).

Další možnosti zahrnují služby typu CloudFlare, fungující jako proxy mezi uživatelem a webovým serverem, který webovou stránku vlastně hostuje. CloudFlare zašifruje přenos dat mezi koncovými uživateli a svým proxy serverem, i v případě, že je spojení mezi proxy a hostujícími servery nezašifrované. Toto zabezpečení je sice jen polovinou komunikace mezi subjekty, přesto je však lepší než nic a částečně znemožní manipulaci s příchozím obsahem nebo jeho odposloucháváním.

HTTPS přidá na důvěryhodnosti

Jednou z klíčových výhod HTTPS je ochrana uživatelů před útoky typu man in the middle (MitM), které lze spustit ze špatně zabezpečených nebo nakažených sítí.

Hackeři používají tuto techniku ke krádeži citlivých informaci uživatele nebo k vložení škodlivého obsahu do přenášených dat. MitM útoky lze také provést i z vyšší pozice internetové infrastruktury, například na celonárodní úrovní – velký čínský firewall – případně i na kontinentální úrovni, jako v případě odposlouchávacích aktivit NSA.

Operátoři Wi-Fi hotspotů, a i někteří poskytovatelé internetového připojení, MitM techniky využívají ke vkládání reklam a různých zpráv do nezabezpečeného přenosu dat uživatele.

Nechcete HTTPS? Přijde penalizace

Google začal HTTPS preferovat u svých výsledků vyhledávání už v roce 2014; znamená to, že šifrované weby mají ve vyhledávání výhodu nad standardními HTTP stránkami. Důraz kladený na šifrování u výsledků je prozatím poměrně malý, v budoucnu jej však Google chce zvýraznit v rámci podpory HTTPS protokolu.

Za stejnou věc bojují i výrobci prohlížečů, avšak ještě o něco agresivněji. Nové verze Chromu a Firefoxu zobrazí varování, pokud se uživatelé pokusí vložit heslo či informace o kreditní kartě do textových polích mimo HTTPS stránky.

V Chromu mají dokonce nešifrované weby zákaz přístupu k některým funkcím typu geolokace, GPS zařízení nebo k mezipaměti. V budoucnu chce Google s Chromem zajít ještě dál a například zobrazovat „Nezabezpečené“ varování na adresním řádku pro všechny nezašifrované weby.

Budoucnost HTTPS

„Jako komunita cítím, že jsme vykonali hodně dobrého v této oblasti a vysvětlili jsme, proč by všichni měli využívat HTTPS,“ říká Ivan Ristic, bývalý šéf Qualys SSL Labs a autor knihy Bulletproof SSL a TSL. „Obzvláště prohlížeče se svými neustále vylepšeními jsou důležitým motivem k přechodu na HTTPS.“

Podle Ristice některé problémy zůstávají, například zastaralé systémy nebo služby třetí strany bez HTTPS podpory. Cítí však, že se situace zlepšuje i ze strany široké veřejnosti, která na osvojení HTTPS tlačí.

„Cítím že s tím, jak více stránek na šifrování přejde, bude vše jednodušší,“ říká.

Lidé mají při použití HTTPS webových stránek vyšší míru sebevědomí a důvěry. Certifikáty jsou však dnes snadno získatelné a mnoho útočníků využívá často nemístné důvěry uživatelů a zakládají čistě útočné HTTPS stránky.

„Pokud jde o otázku důvěry, jednou z věcí, kterou musím zdůraznit je, že HTTPS neznamená nic o spolehlivosti webové stránky ani o tom, kdo ji vlastní,“ říká bezpečnostní expert Troy Hunt.

Organizace se budou muset se zneužíváním HTTPS protokolu vyrovnat a začít na lokálních sítích prozkoumávat přenosy dat, protože šifrované spojení může skrývat nežádoucí malware.

Ochrana osobních údajů přitvrdí, firmy by se měly připravit

15.3.2017 SecurityWorld Zabezpečení
Úniky dat nebo interních informací způsobují firmám nemalé škody, ať už finanční, nebo na dobré pověsti. Ještě významnější roli bude v dohledné době hrát také zabezpečení osobních dat, které firmy zpracovávají nebo schraňují.

Zejména se zahájením platnosti nařízení na ochranu osobních údajů (GDPR) z dílny Evropské unie v květnu 2018. To zavádí za porušení pravidel vedoucí k úniku dat velmi vysoké finanční sankce, a navíc ukládá organizacím povinnost všechny takové incidenty hlásit. Je to ale opravdu v praxi reálné? A jak je to se zodpovědností za bezpečnost dat?

Většina lidí, včetně IT profesionálů se domnívá, že za vážnější porušení ochrany dat by měl zodpovídat výkonný ředitel společnosti. To je ale velmi diskutabilní, protože vrcholové vedení se často o porušení ochrany dat vůbec nedozví, navíc velká část narušení nebo pokusů o ně není vůbec zjištěna.

V nedávném průzkumu společnosti Accenture více než polovina oslovených odborníků na bezpečnost (51 %) přiznává, že trvá měsíce, než se sofistikovaná narušení podaří odhalit, a bezpečnostní týmy vůbec neodhalí celou třetinu úspěšných narušení bezpečnosti.

„Odpovědnost za osobní data má společnost, která takováto data zpracovává nebo schraňuje. Za konkrétní únik je ale vždy zodpovědná konkrétní osoba. Pokud někdo svým jednáním někoho poškodí, ať už záměrně nebo neúmyslně, vždy mohl a může být poháněn k zodpovědnosti a k náhradě škody,“ uvádí Dagmar Mikulová, finanční ředitelka Počítačové školy Gopas. „Pokud organizaci vznikne škoda, bude se snažit najít viníka. Prokázání konkrétního činu je ale většinou v praxi velmi problematické.“

Jakým způsobem nejčastěji firmy o data přicházejí? Převládají tři hlavní cesty možného úniku dat. První je špatné zabezpečení proti neoprávněnému přístupu útočníka z internetu.

„Zde je možné se chránit technickými prostředky – používat firewally, antimalware, aktualizovat software a hardware, správně vše nastavit,“ říká Mikulová.

Druhým je tzv. inside job, tedy krádež dat oprávněným uživatelem zevnitř firmy.

„Proti krádeži dat zaměstnancem, který má oprávnění k práci s daty, protože s nimi musí pracovat, se účinně chránit nedá,“ konstatuje Dagmar Mikulová. „Marketingová tvrzení firem vyrábějících tzv. DLP systémy (data leakage prevention) je třeba brát s rezervou. Jediná smysluplná ochrana je rozdělit pracovní náplň zaměstnanců a neumožnit každému přístup ke všem datům,“ dodává Mikulová.

Třetím je opět inside job, nicméně někým jiným, než přímo oprávněným pracovníkem, pokud ten dělá nějaké chyby, nebo nedodržuje správné postupy.

„Proti chybám zaměstnanců je možné se bránit pouze jejich vzděláváním, udržováním bezpečnostního povědomí a pravidelnými bezpečnostními školeními, jak technologií, tak metodologie,“ uzavírá Dagmar Mikulová.

Routery Asus RT-N10R ukládají heslo v plaintextu
15.3.2017 Root.cz Zabezpečení

Zatím nepublikovaná zranitelnost byla čirou náhodou objevena na routeru Asus RT-N10R. Ač to není žádná katastrofa, je to určitý druh zranitelnosti, o které se mohou Spolu s tím se také budete moci dozvědět, proč je i tato chybka problém a proč může být nazvána zranitelností. Jako bonus si pak také přečtete, jak a za jakých okolností byla zranitelnost odhalena.

Popis zranitelnosti
U routeru Asus RT-N10R jsem zjistil, že při vytvoření zálohy si do ní router ukládá heslo, tak jak je, v plaintextu, nehašované. Spolu s tím ukládá uživatelské jméno, model a výrobce, opět v plaintextu. Soubor zálohy je tedy slabé místo. Zálohování v této formě poměrně jistě dokazuje, že si router heslo ukládá úplně stejně i uvnitř nevolatilní paměti.

Proč si tím můžeme být jisti? Při správně implementované hašovací funkci s dostatečně kvalitní solí není možné získat zpět původní heslo, a to pak ukládal do zálohy. Každý alespoň trochu příčetný programátor by to nikdy nedělal, protože je daleko jednodušší něco uložit, než si muset napsat de-hašovací algoritmus, který by byl navíc slabinou routeru.

Demonstrace zranitelnosti
K demonstraci je zapotřebí samozřejmě zmíněný router a ideálně nějaký „Hex editor/reader". Pak už se jen změní heslo na nějaké známé a uloží se souboru zálohy. Ten pak otevřete zmíněným editorem. Vzhledem k tomu že předpokládám, že zmíněný router nemáte, poskytnu screenshot toho, co je v Hex editoru vidět. Nechám vás zatím v obrázku heslo najít.

Zálohované heslo bylo: Azsemsmispritale

Předpokládám, že jste heslo vykoukali z obrázku sami. Dále je ze zálohy možné vyčíst určitě ještě model, výrobce a v další části dokumentu kterou nezveřejňuji (nevím, co citlivého se dá z té zálohy „přečíst“) se lze např. dozvědět i použitý ntp server.

Proč je to problém
Možná si teď říkáte: „Vždyť je to přece soubor zálohy. Pokud mi někde neproklouzne, jsem v bezpečí“. Problém je ale právě v onom „pokud“, které není možné nikdy stoprocentně zajistit. Také netušíme, jak je naprogramované. Vzhledem k tomu že router pravděpodobně bude mít vaše heslo na nějaké paměťové buňce ve flash paměti, tak jednoduše nelze zaručit, že se z té buňky nedostane ven.

Připomeňme bezpečnostní chybu rom-0, která umožňovala na dálku stáhnout z routerů právě soubor zálohy. Pokud je v ní heslo uloženo v otevřené podobě, může se útočník okamžitě k síti přihlásit a router ovládnout.

Jsou dvě možnosti, jak se může dostat heslo ven:

nedostatkem software
hardwarovou cestou
Nedostatkem software
Takové nedostatky můžou způsobit, že za správných podmínek (např. zadáním správné adresy) se můžeme heslo od routeru dozvědět. Tento druh zranitelnosti existoval a byl patchováni v minulém updatu firmware. Na některých routerech je například vzdáleně dostupný terminál s privilegovaným přístupem, a tudíž je přes něj přístup do úplně celé paměti flash. Nakonec nevíme, jak se router vyrovnává s extrémní zátěží např. při DoS útoku.

Hardwarovou cestou
Většina z vás ví, že existuje způsob, kterým lze číst a zapisovat přímo do paměti. Používá se ICSP, JTAG a podobné. Existují také přímo čtečky flash pamětí.

Jednoduše řečeno, i BIOS na vašem počítači tam musel někdo něčím nahrát, a stejná věc platí o jakékoliv moderní elektronice. Co jde nahrát, by mělo jít i stáhnout.

Jak by to mělo být správně a proč
Jak to správně udělat
Za ideálních podmínek by žádné zařízení, které používá k ověření uživatele jeho jméno a heslo, alespoň to heslo nemělo znát. Tak se to i na slušných službách a ve slušných zařízeních děje. Způsob, jakým vás ověřují, je následující.

V algoritmu, který se stará o ukládaní/ověřování hesla, jsou dvě základní součásti:

generátor náhodného řetězce (říká se mu sůl)
hašovací algoritmus
Při prvním přihlášení tento algoritmus převezme vaše heslo a vygeneruje si sůl. Pak vám vaše heslo pořádně „osolí“. Je důležité, aby se sůl neopakovala a byla dost dlouhá. Pak ideálně přepíše/vymaže paměťový blok, kde bylo heslo uloženo v čitelné podobě. Nakonec se osolené heslo dá do hašovacího algoritmu a ten vrátí haš.

Tento haš spolu se solí a vašim uživatelským jménem pak uloží do relační tabulky. Tady je důležité, aby byl hašovací algoritmus dost silný a každá sebemenší změna v heslu generovala naprosto odlišný haš.

Při každém dalším přihlášení se udělá stejný postup, jen sůl se už znovu negeneruje a podle uživatelského jména se vybírá a čte z tabulky a přidává stejným způsobem k vašemu heslu. Výsledný haš zadaného a soleného hesla se pak porovná s uloženou podobou. Pokud se obě varianty shodují, jste přihlášeni, v opačném případě odmítnuti.

Proč to takto složitě dělat
Jednoduše: zařízení/služba vůbec heslo nezná. Jediné, co se ukládá, je haš a sůl, a zjišťování původních hesel je proto extrémně náročné.

Další výhoda je, že i kdyby všichni uživatelé měli stejné heslo, pokaždé bude v tabulce jiný haš. Nemůžete tedy odhadnout jejich hesla nijak jednoduše, kvůli podobnosti haše. Pro zjištění všech hesel musíte prolomit všechny haše, ne jen jeden.

Pro zvědavce: v této oblasti mě velmi poučilo video na YouTube, podívejte se na něj.

Reakce Asusu
Asus jsem o této skutečnosti samozřejmě informoval. Napsal jsem report nejprve česky (na českou pobočku) a byl jsem informován, že požadavek musím napsat anglicky a že jej přepošlou do centrály. Dodnes se mi nikdo další už neozval.

Laxní přístup je sice nepříjemný, ale z ekonomického hlediska pochopitelný. Router byl už na začátku prodeje velmi levný. Není tedy možné od výrobce čekat, že bude vynakládat další peníze na prakticky mrtvý a pravděpodobně sotva výdělečný produkt.

Způsob odhalení chyby
Přiblížím vám, jak jsem chybu objevil. Všechno to začalo zprávou od mého bývalého zaměstnavatele, která zněla asi takto: „někdo nám hacknul router, někde jsi musel vyzradit heslo“. K tomu, že router někdo nahackoval, vedla zaměstnavatele změna stavu routeru: připojení bylo pomalé a s původním heslem nebylo možné se přihlásit.

Začal jsem rychle přemýšlet, kudy mohlo heslo uniknout. Po vyloučení jiných možností jsem došel k souboru zálohy, které jsem spolu s návodem, jak router uvést do „známého“ funkčního stavu dal k dispozici na společné firemní úložiště. Soubor jsem tedy stáhnul a otevřel v textovém editoru. Uviděl jsem kupu „rozsypané rýže“ a plno NULL, BEL, ETB, EOT a dalších řídicích znaků.

Přemýšlel jsem nad tím, co by to mohlo rozumněji otevřít, a nakonec stačil obyčejný hexeditor. Pak jsem začal v souboru zálohy hledat a velmi rychle jsem začal hořekovat nad tím, proč to někdo takhle hloupě naprogramoval.

Jak to celé dopadlo
Naštěstí to má dobrý konec. Zaměstnavatel si naštěstí spletl verze dokumentu, které jsem mu posílal mailem a verze s hesly zůstaly ve firmě. Druhá verze se dostala do cloudového úložiště bez hesel – k ní mohlo mít pár zaměstnanců přístup, což si ale reguloval zaměstnavatel.

Dále tu bylo podezření, že se soubory dostaly k některé ze spřátelených organizací, které působí ve stejné budově. Ověřoval jsem to, ale nestalo se tak a sdílena byla jen upravená verze bez záloh. Pokud tedy soubor někam utekl, byla to pravděpodobně chyba zaměstnavatele.

Nakonec jsme pořídili novější, který byl stejně potřeba. U Asusu jsme změnili heslo, pro jistotu.

Hacker částečně prolomil zabezpečení nové herní konzole Nintendo Switch, může za to použití zastaralého WebKitu
15.3.2017 Novinky/Bezpečnost Zabezpečení

Neuběhl ani celý měsíc od spuštění oficiálních prodejů nové herní konzole Switch od Nintenda a hackerům se podařilo částečně prolomit („jailbreak“) zabezpečení a získat tak přístup k vnitřním systémům konzole.
Úspěšný hack, který je potřeba k získání plnohodnotného jailbreaku, oznámil na Twitteru hacker s přezdívkou qwertyoruiop, který ukázal fotografii s nápisem „done“ v prohlížeči Nintendo Switch. Prohlížeč je přitom zatím v systému ukrytý a používá se pouze pro potřeby připojení k veřejné Wi-Fi a podobně. Problém ale je, že tento prohlížeč je postavený na půl roku starém WebKitu, takže nemá opravené chyby, jež se během této doby objevily a které útočník použil pro prolomení.

Follow
qwertyoruiop @qwertyoruiopz
that's just how it goes
4:36 AM - 11 Mar 2017
1,012 1,012 Retweets 2,473 2,473 likes
K hacknutí dokonce použil stejné nástroje jako pro iOS, který v rámci prohlížeče Safari stejnou chybu opravil už ve verzi iOS 9.3.5. I když se ještě nejedná o kompletní jailbreak, lze počítat s tím, že v rámci této chyby se lze dostat na další úrovně a nakonec získat „roota“ a plnou kontrolu nad systémem. Potom bude možné na zařízení provozovat aplikace, které Nintendo neschválilo a neprošly obchodem s aplikacemi, třeba i různé emulátory a do budoucna i pirátské verze her.

Uvidíme, jak se Nintendo s tímto problém popere, ale je jisté, že stejně jako u jiných systémů s uzavřeným modelem (iOS zařízení, herní konzole od Sony a Microsoftu a podobně), se budou hackeři neustále snažit najít nové díry a zneužít je k získání kompletní kontroly nad zařízením.

USB firewall vás ochrání před škodlivým zařízením
10.3.2017 Root.cz Zabezpečení

Pokud to myslíte s bezpečností opravdu vážně, měli byste zvážit stavbu nebo nákup USB firewallu. Malé zařízení pracuje mezi počítačem a elektronikou, kterou chcete připojit do USB.
Váš počítač za normálních okolností přijme každé zařízení, které připojíte do USB. V mnoha případech je to v pořádku, protože uživatel chce prostě zapojit a používat. Čím dál častěji se ale hovoří o nových způsobech útoku s využitím hardware. Zatímco proti softwarovým útokům se lze bránit vhodným nastavením systému, nasazením bezpečnostních modulů (LSM) nebo třeba antivirem (na některých platformách), proti zlému hardware se brání jen těžko.

Upravený hardware může zaútočit na chybu v ovladačích nebo se může vydávat za jiné zařízení, než jakým ve skutečnosti je. Nic mu pak nebrání v systému sbírat data, nainstalovat do něj další aplikace nebo se třeba vydávat za síťovou kartu a přesměrovat přes sebe veškerý provoz. Dříve se k podobným účelům používala upravená zařízení s přidanou elektronikou, dnes stačí upravit firmware ve flash disku a vytvořit z něj útočné zařízení.

Vypadá to jako pevný disk, ale uvnitř je flash disk a malý počítač se zlým plánem
Problém je, že takové chování nedokáže zachytit žádná aplikace v systému. Příkazy ze zařízení jsou odchytávány a prováděny přímo ovladačem a operačním systémem a software uvnitř nemá o škodlivé činnosti zvenčí ponětí, pokud neimplementujete například USBGuard.

Vývojář Robert Fisk přišel se zajímavým a univerzálním řešením: USB firewall s názvem USG (G jako Good, místo B jako Bad). Jde o hardware, který připojíte mezi počítač a potenciálně nebezpečné zařízení. Tím dojde k izolaci obou stran, přičemž vložený firewall propouští jen bezpečné příkazy a data.

Schéma použití USG
Uvnitř zařízení jsou dva procesory STM32F4, které jsou zvenčí připojené k USB a mezi sebou jsou propojené pomocí vysokorychlostní sběrnice SPI. První verze USG používá 12Mbits hardware, pokud přes něj připojíte flash disk, budete s ním komunikovat rychlostí okolo 1MB/s. Podle autora je možné vyrobit i vysokorychlostní hardware, ale jeho vývoj bude stát nemalé peníze.

Procesor blíže k počítači pak přijímá jen velmi omezenou sadu USB příkazů, takže případný útok nebude úspěšný. Chráněny jsou obě strany, použitý flash disk nedokáže zaútočit na počítač a stejně tak cizí počítač nedokáže upravit firmware ve vašem flash disku.

Skutečný vzhled USG
USG zvyšuje bezpečnost také tím, že dovoluje připojit vždy jen jedno zařízení. To sice znemožňuje používat nejrůznější USB huby nebo dockovací stanice, ale brání to v použití podvodných zařízení, která v sobě mohou ukrývat více funkcí – třeba klávesnici s integrovaným flash diskem.

Zároveň není možné, aby zařízení za běhu změnilo své označení. To je způsob, jakým se může upravený flash disk na chvíli prohlásit za klávesnici, provést sadu útočných příkazů a zase se vrátit ke své původní funkci. USG takovým metamorfózám brání a připojené zařízení tak nemůže změnit svou funkci, dokud není odpojeno a znovu připojeno napájení.

Kvůli omezené sadě příkazů je také omezený seznam zařízení, která budou za USG fungovat. V tuto chvíli autor uvádí flash disky (mass storage), klávesnice a myši. Další verze firmware by pak mohly přidávat další typy zařízení, pokud to bude potřeba.

Samozřejmě i legitimně vypadající zařízení může provádět nebezpečné akce, proto je možné pro konkrétní přístroje přidávat pravidla omezující jejich činnost. Například klávesnice by neměla být schopná posílat znaky o mnoho rychleji, než je schopen člověk psát. Autor na těchto pokročilých pravidlech zatím pracuje.

USB firewall zabalený a připravený
Pokud vás toto zařízení zaujalo, pak vězte, že jde o otevřený hardware s otevřeným firmwarem. Podrobnosti naleznete na GitHubu, kde autor nabízí také možnost objednání USG za přibližně 60 dolarů, tedy asi 1500 Kč.

Avast: Dokumenty na WikiLeaks neobsahují bezpečnostní mezery

10.3.2017 Novinky/Bezpečnost Zabezpečení
Zveřejněné dokumenty serveru WikiLeaks neodhalují v české firmě Avast žádné bezpečnostní mezery, navíc jsou dva roky staré. Řekl to viceprezident Avastu Sinan Eren v reakci na informaci, že Avast figuruje v dokumentech WikiLeaks jako jeden z prodejců bezpečnostního softwaru, na který se zaměřila americká Ústřední zpravodajská služba (CIA).
Portál WikiLeaks zveřejnil kolem 8000 stran dokumentů o útočném programovém arzenálu CIA, s nímž největší americká výzvědná organizace může pronikat do mobilních telefonů, chytrých televizorů a dalších elektronických zařízení a využít je ke shromažďování informací.

„Avast je zmíněn ve zveřejněných dokumentech, stejně jako další globální bezpečnostní firmy. Nicméně zveřejněné dokumenty neodhalují v Avastu žádné bezpečnostní mezery. Jde navíc o veřejně dostupné dokumenty a prezentace z konferencí, které jsou dva roky staré," uvedl Eren.

Dokumenty mají dostatek technických podrobností
Důvody zájmu CIA o Avast, který je jedním z největších dodavatelů bezpečnostního softwaru na světě, mohou být podle bezpečnostního experta sdružení CZ.NIC Pavla Bašty dva. „Avast dodává bezpečnostní řešení, která používají stovky miliónů uživatelů na celém světě, a z pohledu CIA může být zajímavé, pokud by dokázala tato bezpečnostní řešení ošálit tak, aby nepoznala škodlivý software vytvořený CIA a zároveň dál uživatele informovala o jiných nákazách," řekl.

„Druhým faktorem může být, že stejně jako jakýkoliv jiný hojně rozšířený software by mohly produkty společnosti Avast posloužit k šíření škodlivých programů, pokud by se CIA podařilo v těchto produktech najít vhodnou zneužitelnou chybu," dodal.

Publikované dokumenty podle agentury Reuters obsahují dostatek technických podrobností, aby bezpečnostní experti a prodejci ochranného softwaru pochopili, jak rozsáhlé bezpečnostní mezery existují. Poskytují ale málo detailů, které by mohly napomoci rychlé nápravě.

Společnost Avast, založená v roce 1988, se zabývá tvorbou bezpečnostního softwaru a její antivirové programy chrání přes 400 miliónů počítačů a mobilních zařízení ve světě. Loni koupila konkurenční českou firmu AVG.

Zapomeňte na VPN, máme lepší ochranu, tvrdí Cisco

1.3.32017 SecurityWorld Zabezpečení
Řešení Umbrella, bezpečnou internetovou bránu, která dokáže uživatele ochránit přímo z cloudu, uvedlo na trh Cisco.

Výrobce tak podle svých slov reaguje na změny pracovního procesu a umožňuje i ochranu podnikových zařízení, která jsou připojena k jiné než firemní síti bez využití virtuálních privátních sítí (VPN).

Brána funguje jako bezpečný vstup do internetu a chrání zařízení bez ohledu na to, kde se v daném okamžiku uživatel nachází nebo k jaké síti se snaží připojit.

Většina z firem spoléhá při vzdálené práci na využití virtuálních privátních sítí (VPN), avšak podle průzkumu IDG až 82 % mobilních zaměstnanců připouští, že se ne vždy připojuje prostřednictvím VPN. Umbrella by měla těmto rizikům zabránit.

„Umbrella poskytuje uživatelům bezpečný přístup ze všech míst, a to i bez připojení prostřednictvím VPN. Firma tak má jistotu, že jsou podniková zařízení chráněná bez ohledu na to, jakým způsobem a z jakého místa se zaměstnanci připojují,“ tvrdí Milan Habrcetl, bezpečnostní expert společnosti Cisco.

Umbrella blokuje známé i nově vznikající hrozby na všech portech a protokolech. Kromě toho brání přístupu ke škodlivým doménám, URL, IP adresám a souborům před navázáním spojení či stažením škodlivého obsahu.

Vzhledem k tomu, že většina hrozeb cílí na koncové body, je nezbytné podchytit všechny porty a protokoly a vytvořit bezpečnostní síť, která pokryje 100 % provozu.

Umbrella přitom vysoké nároky na provoz neklade - tím, že vše probíhá v cloudu, odpadá instalace veškerého hardwaru a manuální aktualizace softwaru. Podniky tak prý mohou zajistit ochranu všech zařízení v řádu minut.

Novinka využívá mj. existující nástroje Cisco – například modely založené na strojovém učení odhalující známé i nově vznikající hrozby a blokující připojení ke škodlivým destinacím na úrovni DNS a IP adresy, informace od bezpečnostního týmu Talos k blokování škodlivých URL na úrovni HTTP/S či ochranu proti pokročilému škodlivému softwaru Advanced Malware Protection (AMP) odhalující škodlivé soubory, které následně v cloudu zablokuje.

Umbrella lze navíc integrovat se stávajícími systémy, což umožňuje uživatelům rozšířit ochranu na zařízení a lokality mimo podnikový perimetr.

Umbrella využívá směrování typu „anycast“, kdy každé datové centrum hlásí shodnou IP adresu, takže jsou požadavky transparentně zasílány do aktuálně nejrychleji dostupného DC s automatickým předáváním při selhání.

České podniky se bojí selhání techniky a neopatrnosti uživatelů

22.2.2017 SecurityWorld Zabezpečení
Acronis představil výsledky svého lokálního průzkumu v oblasti zálohování, který provedl letos v lednu a únoru mezi českými prodejními partnery.

Z průzkumu vyplývá, že v souvislosti se ztrátou důležitých podnikových dat se 83 % českých společností a organizací nejvíce obává selhání své techniky. Nejčastěji potřebují zálohovat fyzické servery, ale rychle narůstá podíl zálohování virtualizované infrastruktury.

Klíčová zjištění z lokálního průzkumu:

České firmy a organizace se v souvislosti se ztrátou podnikových dat obávají selhání či poškození své techniky (83 %), neopatrnosti uživatelů (78 %) a malwarových a ransomwarových útoků (61 %);
Nejčastěji firmy řeší zálohování fyzických serverů (72 %), stanic (51 %), virtualizace VMware (49 %) a virtualizace Hyper-V (44 %);
V současné době preferuje lokální zálohovací řešení 88 % firemních zákazníků, 12 % upřednostňuje cloud;
Jako nejrizikovější trendy letošního roku vnímají především hrozby ransomwaru (77 %) a sociálních sítí (39 %);

„Jen v roce 2016 ransomware způsobil škody v hodnotě 1 miliardy dolarů a stal se v současnosti bezpochyby hrozbou číslo jedna,“ řekl Zdeněk Bínek, zodpovědný za prodej řešení Acronis na českém a slovenském trhu. „Protože jsou útoky stále sofistikovanější a napadají nejen standardní firemní data, ale také jejich zálohy a samotné zálohovací systémy, bude stále důležitější, aby backup řešení obsahovala aktivní ochranu proti ransomwaru. Po takovýchto řešeních letos poroste poptávka nejvíce.”

Nezabezpečený router jako zbraň kyberzločinců

19.2.2017 SecurityWorld Zabezpečení
Co všechno hrozí uživatelům nedostatečně zabezpečeného routeru a jak se účinně bránit proti jeho zneužití?

Routery přitahují pozornost kyberútočníků od nepaměti. Pro mnoho lidí jsou základním přístupovým bodem k internetu, ale zároveň jen zlomek uživatelů řeší jejich řádné zabezpečení.

Směrovač, který se z pohledu narušitele nachází v ideální pozici mezi koncovými zařízeními a internetovou sítí, umožní napadnout všechna napojená zařízení v jeho dosahu. Útok tak může mít mnohem ničivější následky než u samotných počítačů, jejichž zabezpečení lidé nepodceňují a každý uživatel má alespoň minimální povědomí o rizicích malwaru i možnostech, jak se proti nim bránit.

Na routery se zapomíná

Když v roce 2014 dělala společnost Tripwire průzkum mezi IT a bezpečnostními experty ve Spojených státech a Velké Británii, dospěla k alarmujícím výsledkům: z téměř dvou tisíc respondentů 30 procent IT profesionálů a 46 procent zaměstnanců po instalaci a zapojení routeru nezměnilo jeho výchozí heslo.

Víc než polovina dotazovaných v průběhu užívání pravidelně neaktualizovala firmware routeru, takže zařízení nemohlo být chráněné případnými bezpečnostními záplatami. Polovina respondentů používala pro zabezpečení Wi-Fi sítí dnes již nedoporučovaný standard WPS, který usnadňuje útočníkům jejich snahu odhalit heslo směrovače bez ohledu na jeho složitost nebo délku.

Naprostá většina dotazovaných využívala jednoduché SOHO routery. Z výzkumu vyplynulo, že až 80 procent těchto routerů obsahuje bezpečnostní chyby a jsou lehce zneužitelné, například pro masivní DDoS útoky.

Známý je případ hackerské skupiny Lizard Squad, která na Vánoce 2014 vyřadila za pomoci desítek tisíc prolomených routerů z provozu stránky Xbox Live a PlayStation Network, a znemožnila tak mnoha lidem vyzkoušet si hry, které dostali pod stromeček.

Skupina Lizard Squad se přitom vyloženě specializuje na odhalování nezajištěných routerů s hesly z továrního nastavení a vytváří z nich síť robotů, kterou zneužívá k takovýmto masivním DDoS útokům.

Útoky jsou natolik sofistikované, že využívají i speciální malware, který hledá další routery v okolí a zkouší, zda používají výchozí nastavené heslo z továrního nastavení nebo hesla typu „admin / admin“ či „root / 12345“.

Infikovaný router tedy rozšiřuje nákazu dál a přispívá k nárůstu počtu zařízení zapojených do útočné sítě DDoS. Mezi takové druhy malwaru patří například Linux/Remaiten, před jehož novou verzí nedávno varoval Eset. Útočí na routery, gatewaye a bezdrátové přístupové body. Kombinuje funkcionality již známých škodlivých kódů Tsunami (Kaiten) a Gafgyt.

Chyba ve firmwaru...

Malware Remaiten dělá kontrolu náhodných IP adres na dostupnost služby Telnet, resp. zkouší, zda se mu povede k této službě přihlásit s některým z výchozích hesel používaných výrobci routerů.

Pokud uspěje, zkusí zjistit platformu zařízení (typicky MIPS nebo ARM) a podle ní nahraje na zařízení komponentu tzv. downloaderu, jehož úkolem je spustit opět platformově odpovídajícího botnet klienta z C&C serveru. Po jeho spuštění má operátor C&C serveru zařízení pod plnou kontrolou.

„Hlavní způsob, jak této hrozbě předejít, představuje upgrade firmwaru routeru na aktuální verzi, nepoužívat mnohdy triviální přednastavené přihlašovací jméno a heslo a rovněž je vhodné zvážit, zda je opravdu nutné mít povolené přihlašování k administračnímu rozhraní routeru z internetu,“ popisuje Miroslav Dvořák, technický ředitel Esetu.

Chyby ve firmwaru routerů jsou přitom poměrně běžné. Například v roce 2014 odhalil český národní bezpečnostní tým CSIRT.CZ chybu u pěti tisíc routerů, které obsahovaly zranitelnost „rom-0“.

Router díky ní umožňoval vyexportovat a stáhnout svoji konfiguraci v podobě binárního souboru. Součástí konfigurace byla i přístupová hesla k webovému administračnímu rozhraní.

Chyba spočívala v tom, že tento soubor bylo možné stáhnout, aniž předtím bylo vyžadováno zadání hesla. Stačilo pouze znát URL tohoto souboru. Při výchozím nastavení routeru bylo možné konfiguraci stáhnout dokonce i přes WAN rozhraní, tedy z celého internetu.

Pokud se útočník dostane k administračnímu rozhraní takového routeru, může snadno přesměrovat adresy. Místo zadaného webu se tak uživateli zobrazí informační panel s upozorněním, že si musí instalovat Flash Player. Místo něj si ale do počítače stáhne škodlivý malware.

Řešením je v tomto případě úplný zákaz přístupu na webovou administraci routeru z WAN rozhraní a povolení administrace jen z jedné konkrétní vnitřní IP adresy. Nelze totiž spoléhat pouze na to, že napadený počítač vyčistí antivir, zdroj dalších hrozeb by se mohl nadále skrývat v nezajištěném routeru, k němuž dosud nemá většina bezpečnostních aplikací žádný přístup.

Chování škodlivého kódu, který napadl router, se navíc může průběžně měnit. Útočníci mohou přesměrovávat vyhledávané internetové stránky na podvodné weby a pomocí takovýchto phishingových útoků získat přístup k on-line účtům uživatelů. Velký problém to může být zejména ve firmách.

Nejhloupější chyby systémových správců

18.2.2017 SecurityWorld Zabezpečení
Dělejte to tak, jak říkám, a nikoliv tak, jak to dělám já: Chyby firemních IT administrátorů často předčí závažnost těch, kterých se dopouštějí uživatelé. Tady je deset nejčastějších.

Zabezpečení není čistě technický problém – je to potíž související s lidmi. Do sítě sice můžete integrovat mnoho technologií, ale nakonec někdo může udělat hloupé lidské chyby.

A co je nejhorší? Těchto přehmatů se často dopouštějí právě ti, kteří by měli nejlépe vědět, jak se jim vyhnout: správci systémů a další personál IT.

Loňská zpráva o riziku vnitřních hrozeb (Insider Risk Report 2015) společnosti Intermedia uvádí, že IT profesionálové byli nejpravděpodobnější skupinou dopouštějící se „nebezpečných“ prohřešků vůči zabezpečení, jako jsou sdílení přihlašovacích údajů, používání osobních hesel pro podnikové účely a poskytování přihlašovacích údajů osobního účtu dalším osobám.

Takové chyby bývají mnohem rizikovější než ty, kterých se dopustí běžní uživatelé, a to v důsledku neomezených pravomocí, jimiž správci velmi často v rámci sítě disponují.

IT profesionálové mohou stejně jako uživatelé podlehnout phishingu, malwaru a dalším útokům – a odcizené přihlašovací údaje správců systému mají téměř vždy za následek mnohem vážnější narušení bezpečnosti.

Zde je deset obvyklých bezpečnostních chyb, které dělají správci systému a další IT personál.
Chyba č. 1: Používání příkazu sudo pro všechno

Když se přihlásíte jako takzvaný root, získáte nad systémem plnou kontrolu. To může být velmi nebezpečné, protože pokud dojde k odcizení vašich přihlašovacích údajů, mohou útočníci dělat, cokoli se jim zachce (pokud se to převede do pojetí operačního systému Windows – není nutné se přihlašovat pomocí účtu Administrator, když nemáte v úmyslu dělat činnosti vyžadující úroveň správce).

Namísto přímého přihlášení do systému jako root se přihlaste prostřednictvím svého osobního účtu a v případě potřeby použijte příkaz sudo pro konkrétní příkazy.

Je ale snadné udělat chybu, pokud si nedáte pozor. Nějaký skript neproběhne úspěšně, protože jeden z příkazů potřeboval sudo, a nyní se musí vše spustit znovu. Pokud nevysledujete, který z příkazů vyžadoval zvýšení oprávnění a kde to naopak není potřebné, možná nakonec spustíte vše pomocí příkazu sudo.

Chyba č. 2: Spouštění skriptů neznámého původu

Instalace linuxových aplikací třetích stran je další oblastí, kde může dojít ke zneužití příkazu sudo. Jediné, co musíte udělat, je zkopírovat a vložit příkaz (který je již nastavený k využití sudo) přímo do terminálu, aby došlo ke spuštění instalačního skriptu. Každý jednotlivý příkaz v takovém skriptu bude potom vykonán se zvýšenými oprávněními.

Zde je příklad zkopírovaný z webu (se skrytou adresou URL):

sudo -v && wget -nv -O- https://xxx/xxx/linux-installer.py | sudo python -c "import sys; main=lambda:sys.stderr.write('Download failed\n'); exec(sys.stdin.read()); main()"

To poskytne oprávnění sudo položce hostované kdekoli na webu, stejně jako místní instanci příkazů v jazyce Python. To v žádném případě nelze doporučit! Správci operačního systému Windows čelí podobným potenciálním katastrofám spuštěním stažených skriptů PowerShell.

Dokonce i když důvěřujete zdroji, nikdy nepředpokládejte, že je skript stažený z internetu bezpečný. Vždy nejprve zkontrolujte obsah skriptu a ověřte, zda spouštěné příkazy nemají nežádoucí účinek.

Chyba č. 3: Spouštění privilegovaných služeb s právy účtu root

Aplikace by se nikdy neměly spouštět jako root. Vytvořte jedinečné účty pro služby s velmi specifickými oprávněními pro každou aplikaci a službu spuštěnou v počítači.

Účty služeb obvykle nemají domácí adresáře a jejich práva práce se souborovým systémem jsou omezená i v případě, že by se někdo pokusil přihlásit pomocí takového účtu. Pokud útočníci zneužijí účet služby, musí se jim ještě podařit spuštění nějakého lokálního exploitu pro získání dalších práv pro spuštění kódu.

Každá aplikace by měla použít vlastní účet pro přístup k databázi namísto účtu root, respektive Administrator. Webové aplikace by měly být ve vlastnictví odpovídající skupiny a uživatele. Při přiřazování oprávnění domény aplikacím Windows nedávejte aplikaci přístup na úrovni správce.

Hlavní linuxové distribuce se ve výchozím stavu starají o účty služeb, ale pokud správce ručně konfiguruje balíčky třetích stran, může snadno udělat chybu.

Nezapomeňte také přepnout oprávnění po dokončení instalace a konfigurace, aby účet root, respektive Administrator nebyl vlastníkem příslušné aplikace.

Chyba č. 4: Používání stejných hesel

Klidně můžete vytřeštit oči. Všichni jsme slyšeli o zlu používání stejných hesel pro různé weby, systémy a aplikace. Faktem však zůstává, že to zůstává velkým problémem a že také správci systémů vůči němu nejsou imunní.

Nedávno Mozilla oznámila, že se do privilegovaného uživatelského účtu naboural neznámý útočník, vnikl do databáze Bugzilla pro sledování chyb a ukradl informace o 53 kritických zranitelnostech.

Ukázalo se, že onen „privilegovaný uživatel“ použil heslo pro databázi Bugzilla na jiném webu a tam došlo k jeho vyzrazení.

V mnoha případech se servery nakonfigurovávají se slabými hesly správce nebo se stejnými hesly, jako mají další počítače v síti.

Útoky hrubou silou pomocí běžných hesel a slovníkových slov pořád fungují, protože dost lidí stále dělá tuto základní chybu. Když má více počítačů stejné heslo, tento problém se ještě umocňuje.

Namísto nastavení stejného hesla na všech počítačích by měli správci zvolit použití souboru s klíčem. Každý server by měl mít soubor veřejného klíče a pracovní stanice správce systému by měla mít privátní klíč odpovídající takovému veřejnému klíči.

Tímto způsobem může správce přistupovat ke všem počítačům umístěným v síti, ale útočník pohybující se v síti laterálně se nebude moci přihlásit bez platného klíče. V takovém případě totiž neexistuje heslo, které by bylo možné zachytit.

Chyba č. 5: Sdílení účtů správce

Účty správce, jako je přístup k databázi a portálům správy, jsou v síti často sdílené. Namísto nastavení prostředí tak, aby správci vyžadovali zvýšená oprávnění až v případě potřeby, jsou tyto účty správců různě sdílené. A to přímo přivolává problémy.

V ideálním případě by měly existovat oddělené účty: jeden účet root a potom by měl mít každý správce svůj vlastní účet. Účty správců by neměly po přihlášení disponovat nejvyšší úrovní přístupu – správce si může v případě práce na specifických úkolech vyžádat speciální přístupová práva.

Zpráva společnosti Intermedia uvádí, že 32 procent IT profesionálů poskytlo své přihlašovací údaje s heslem také dalším zaměstnancům.

Je dost špatné nevědět, kdo přesně používá účty správce, ale ještě horší je, že hesla se jen zřídka mění, když správce opouští firmu. A protože se hesla nemění pravidelně, mohou je někdejší kolegové zneužít a způsobit beztrestně škodu.

Průzkum Intermedie zjistil, že jeden z pěti IT profesionálů uvedl, že by přistupoval k informacím společnosti i poté, co by opustil své současné zaměstnání.

Zásady změn hesel tedy zcela jistě nejsou určené jen pro koncové uživatele. Pravidelně měňte hesla, zejména u účtů správců a u služeb. A hesla změňte vždy, když firmu opustí příslušný administrátor.

Chyba č. 6: Ponechání nastavení pro řešení problémů

Při odstraňování problémů můžete dělat různé triky a experimenty, aby se vám podařilo problém odhalit a vyřešit ho. Při těchto pokusech bývá tendence obejít obvyklé procesy.

Problém nastává, když dojde k vyřešení problému a přechodu na další. Správci mohou ve spěchu zapomenout a něco zanechat ve stavu, který umožňuje zneužití.

Možná jste otevřeli porty ve firewallu – například když jste se snažili přijít na to, proč aplikace neodpovídá. Jakmile se to ale opraví, musíte se vrátit a tyto porty zavřít dříve, než je zneužijí útočníci.

Při výběru EET by se měla zvážit i úroveň zabezpečení

13.2.2017 SecurityWorld Zabezpečení
Hackerské útoky na nezabezpečené systémy elektronické evidence tržeb (EET), ztráta nebo zneužití dat a z nich plynoucí penalizace a trestní stíhání - to jsou největší rizika nepromyšleného výběru řešení EET, jak je formulovala společnost eet1, jeden z tuzemských prodejců systémů EET.

Rizika jsou podle eet1 výrazně vyšší, než před jakými varovala nedávno Hospodářská komora (HK). Podle té hrozí řadě podnikatelů kvůli rychlému napojení na EET pokuty a bezpečnostní rizika, především sankce kvůli neplatným účtenkám podle zákona o účetnictví či za chybějící zákaznické displeje. HK též varovala před rizikem hackerského útoku na kasy a ztráty citlivých obchodních informací.

Jen necelé tři týdny zbývají do spuštění druhé vlny zavádění EET, která se týká maloobchodu a velkoobchodu. Přitom většina podnikatelů a firem stále neřeší, že od 1. prosince 2016 začal platit novelizovaný zákon o trestní odpovědnosti právnických osob (ZTOPO), podle kterého hrozí za porušení povinností ochrany osobních údajů milionové sankce a trestní stíhání.

Dále, od května 2018, navíc začne platit Obecné nařízení o ochraně osobních údajů (General Data Protection Regulation, GDPR), které tyto sankce zásadně zpřísňuje až na 20 milionů eur (nebo 4 % celkového celosvětového ročního obratu příslušné společnosti za předchozí účetní období).

„Tyto hrozby se týkají každého, kdo ochranu dat a osobních údajů podcení. Neznalostí zabezpečení kupovaného EET systému se podnikatelé vystavují neúměrnému riziku trestního stíhání,“ vysvětluje Klaus Hornitschek z eet1.

Uživatel podle něj nese plnou zodpovědnost za to, že ochrání data i jejich vkládání do systému nebo používaného zařízení před zneužitím.

„Je to podobné jako u platební karty, kdy si musí chránit PIN, měl by kartu používat s určitou opatrností a samozřejmě by měl pravidelně sledovat proběhlé transakce, zda mezi nimi není nějaká podvodná nebo podezřelá,“ dodává Jiří Berger, bezpečnostní expert eet1.

Vícefaktorová autentizace jako mainstream

11.2.2017 SecurityWorld Zabezpečení
Stále více uživatelů používá pro svou identifikaci spíše otisk prstu než zadání hesla. Vícefaktorová autentizace (MFA, Multifactor Authentication) se totiž jeví jako jednodušší a bezpečnější. A navíc u ní neexistuje uložený seznam hesel, který by mohli útočníci ukrást. Jsou ale MFA už natolik propracované, aby se staly hlavním proudem?

V roce 2014 se USAA stala první finanční institucí, která zavedla rozpoznávání obličejů a hlasu do mobilní aplikace, prohlašuje Gary McAlum, tamější ředitel zabezpečení této společnosti. Rozpoznávání otisků prstů následovalo o pár měsíců později. A rok poté už měla USAA mezi svými pěti miliony uživatelů mobilní bankovní aplikace 1,1 milionu těch, kteří nativně využívali vícefaktorovou autentizaci.

„Současný model zabezpečení internetu je zastaralý a umírající. Je založen na informaci, která je známá (například vaše heslo nebo maskot na střední škole), ale vše už lze snadno zjistit – třeba pomocí úniků dat z Facebooku,“ poznamenává McAlum. „Odklon od ‚známé informace‘ je tedy naprosto nezbytný.“

„Téměř každá banka na světě používá jako alternativu vícefaktorovou autentizaci,“ tvrdí Avivah Litanová, analytička Gartneru. Po celá desetiletí se vícefaktorová autentizace využívala v podobě „bezpečnostního tokenu“, malého zařízení, které zobrazovalo jednorázové heslo, jež se každých několik minut měnilo. Bezpečnostní server banky měl stejný algoritmus a dokázal nejnovější správné heslo poznat.

„Vícefaktorová autentizace byla vždy příliš složitá a pro široké použití drahá,“ říká Jon Oltsik, bezpečnostní analytik společnosti Enterprise Strategy Group. „Co se nyní mění, je použití spotřebitelských technologií, především chytrých telefonů a rostoucí použití biometrických faktorů, jako jsou čtečky otisků prstů v chytrých telefonech.“

Definice faktorů

„Vícefaktorová autentizace je něco, co víte, něco, co máte, a něco, co jste, a používá přitom více než jeden z těchto faktorů,“ vysvětluje Michael Lynch, šéf strategií ve firmě InAuth, která se specializuje na problematiku autentizace.

„Něco, co víte, jsou přihlašovací údaje jako heslo. Něco, co máte, může být bezpečnostní token, avšak v případě mobilních telefonů jsou bezpečnostním tokenem právě tyto přístroje. Nebo to také může být počítač. Něco, co jste, je biometrie, například rozpoznávání otisku prstu, oční duhovky, hlasu nebo pulzu,“ vysvětlujeLynch.

Mezi další biometrické faktory, které se používají nebo se o nich uvažuje, patří srdeční tep, rychlost psaní na klávesnici, rozložení cév v bělmu oka nebo v kůži, způsob chůze, lokalita a vzorce dlouhodobého chování. Rozpoznávání oční duhovky ale vyžaduje kameru s funkcí infračerveného snímání.

V některých případech se využívá dvoufaktorové zabezpečení. Tradiční kombinace jména a hesla se obvykle počítá za jeden faktor a příslušné zařízení za ten druhý, popisuje Lynch. Novým trendem ale je (jako u USAA) použití mobilního zařízení jako jednoho z faktorů a biometrické vlastnosti detekované tímto zařízením jako druhého faktoru, aniž se musí použít heslo.

Lynch vysvětluje, že pro desktop lze použít tzv. otisk prohlížeče jako druhý faktor, který se vytvoří získáním informací o písmu, jazyku, aplikaci a typu prohlížeče.

„Tzv. otisk počítače se v průběhu času mění, jak se aplikace aktualizují a dochází k instalaci oprav, takže obvykle vydrží 60 dnů nebo i méně,“ což je důvodem, proč se mohou přihlašovací požadavky banky pro uživatele desktopu náhle změnit, vysvětluje Lynch a dodává, že kombinace souboru cookie a otisku prohlížeče je spolehlivější metodou.

Soubory cookie podle něj mohou vydržet stejně dlouho jako instalace prohlížeče, ale daný počítač je nemusí povolit.

„Druhý faktor však nemusíte vidět – banka téměř vždy kontroluje váš počítač přes soubor cookie,“ poznamenává Litanová. Pokud nerozpozná počítač, často pošle jednorázové heslo na mobilní telefon uživatele nebo na jeho e-mailovou adresu.

Co se týče biometrických faktorů pro mobilní zařízení, je „metoda ID využívající otisk prstu významná, protože už bývá často vestavěná, je pohodlná a uživatelé ji používají, není však lepší nebo horší než jiné metody ID,“ tvrdí Jim Ducharme, viceprezident bezpečnostní firmy RSA, která nově spadá pod Dell EMC.

Nižší popularita metod jako rozpoznávání hlasu či tváře je podle něj způsobovaná tím, že v mnoha případech nefungují – hlas v metru či tvář v nočním klubu.

Ve firmě USAA spoléhá cca 90 % jejích uživatelů na rozpoznávání otisků prstů, přičemž míra úspěšnosti přihlašování je pro otisky prstů i tváře vyšší než 90 procent, říká McAlum.

Přestože rozpoznávání hlasu více závisí na okolním prostředí, někteří uživatelé ho stále upřednostňují, dodává. (USAA nabízí i přístup pomocí kódu PIN pro případ, že by ostatní metody selhaly.)

Výběr faktoru pro použití však nezávisí vždy jen na technologii. „Na některých místech není přijatelné použít tvář jako identifikátor, protože tomu brání oblečení nebo někteří lidé považují oko za cestu k duši,“ vysvětluje Marc Boroditsky, viceprezident společnosti Authy, která dodává autentizační software.

Nemusejí se jim také z různých důvodů líbit snímače otisků prstů. V Brazílii si podle něj myslí, že to naznačuje kriminalitu. V některých částech Asie jsou zase lidé přesvědčeni, že je nečisté dotýkat se snímače otisků prstů.

„Vaše identita je osobní věc, a když začnete používat části osob pro identifikaci, zasahujete do něčeho s komplexními kulturními důsledky,“ dodává Boroditsky.

„S téměř každým biometrickým faktorem se také pojí otázka špehovanosti. Je zde děsivý aspekt detekce uživatelů bez jejich zapojení do procesu. Musíme být napřed a dát zákazníkům možnost volby. Například aby mohli vypnout zjišťování polohy a přidat další krok do procesu autentizace,“ tvrdí Boroditsky.

Google začne v Gmailu blokovat JavaScript

27.1.2017 SecurityWorld Zabezpečení
Od poloviny února se přílohy s koncovkou .js ocitají v Gmailu na černé listině. Jsou totiž podle Googlu významným zdrojem potíží spojených s distribucí malwaru včetně ransomwaru.
Lidé tak už od 13. února nebudou moci ke svým zprávám elektronické pošty v Gmailu připojovat soubory .JS, -- bez ohledu na to, zda je připojí přímo, nebo prostřednictvím nějakých archivů, jako například.gz, .bz2, .zip nebo .tgz.

Pro případ, kdy je nezbytné takové soubory .js přes elektronickou poštu posílat, budou muset uživatelé využít cloudových úložných služeb – jako třeba Google Drive – a pak sdílet jejich adresu (link).

Soubory typu .js tak doplňují několik desítek „zajkázaných příloh, které už dříve Gmail oznámil. Jde třeba o soubory s přílohou .ade, .adp, .bat, .chm, .cmd, .com, .cpl, .exe, .hta, .ins, .isp, .jar, .jse, .lib, .lnk, .mde, .msc, .msp, .mst, .pif, .scr, .sct, .shb, .sys, .vb, .vbe, .vbs, .vxd, .wsc, .wsf nebo .wsh. Napřrostá většina z nich se rovněž používala pro distribuci malwaru mezi uživatele e-mailu.

Problém s .js se vystupňoval hlavně poté, co soubory JavaScriptu jde přímo spouštět v prostředí Windows prostřednictvím systémové komponenty Windows Script Host (WSH).

JavaScript si oblíbili i šiřitelé ransomwaru – například tvůrci TeslaCrypt nebo Locky hojně využívali pro distribuci tohoto malwaru právě JavaScript a například ransomwarový program RAA byl kompletně vytvořený v JavaScriptu.

Další skriptovací soubory, jako třeba .vbs (VBScript), .vbe (VBScript Encoded), .wsh (Windows Script Host Settings File) and .wsf (Windows Script File) už přitom Gmail už nějakou dobu blokuje.

Může FBI nahlížet do evropských e-mailů na Outlook.com? Stále to nikdo neví jistě
25.1.2017 Živě.cz Zabezpečení

V zámoří již roky probíhá nekonečný boj mezi tamním Ministerstvem spravedlnosti a Microsoftem o to, kde opravdu končí pravomoc amerických úřadů.

Vyšetřovatelé před lety požádali Microsoft, ať jim zpřístupní poštovní schránku na Outlooku v rámci jistého případu ohledně narkotik. Na tom by nebylo nic zvláštního, kdyby se ovšem ona schránka nenacházela na evropské půdě – v v irském datacentru redmondské korporace.

Američtí vyšetřovatelé chtějí nahlížet do schránek Outlooku. Microsoft nesouhlasí, pokud se nacházejí v evropských datacentrech mimo jurisdikci USA.

Americké úřady se cítily být v právu, poněvadž provozovatelem datacentra je americká společnost podléhající americkým zákonům, Microsoft to však odmítl udělat s tím, že datacentrum provozuje jeho evropská filiálka a platí tam tedy irské zákony.

Kauza měla obrovský přesah, pokud by totiž soudy uznaly nárok ministerstva, znamenalo by to, že se zahraniční úřady mohou dostat k údajům o milionech Evropanů. Evropa hrozila, že by se v takovém případě zachovala recipročně, nicméně amerických služeb je dnes na západním internetu nepoměrně více než těch evropských – ostatně kolik evropských twitterů, facebooků a googlů používáte, viďte?

Vítězství pro Microsoft. Společnost nemusí americké vládě poskytnout data z evropských serverů
Soudy daly loni zapravdu Microsoft, případ se však táhl dál a teprve v úterý Federální odvolací soud odmítl smést původní rozhodnutí ze stolu. Jenže je to složitější, soudci se totiž v názorech rovně rozdělili 4:4, takže vítězství Microsoftu není jednoznačné a soudci, kteří zastávali názor ministerstva, možná předloží případ k posouzení Kongresu a Nejvyššímu soudu.

Nový Acronis dokáže zálohovat také Facebook, zabrání i škodám ransomwaru

25.1.2017 SecurityWorld Zabezpečení
True Image 2017 New Generation, novou verzi softwaru pro osobní zálohování dat s ochranou proti ransomwaru, doplněnou o Notary (verifikace dat na základě technologie blockchain) a ASign (služba elektronického podpisu), uvedl na trh Acronis.

Podle výrobce je to první řešení na trhu, které obsahuje funkci aktivní ochrany k detekci a prevenci před ransomwarovými útoky v reálném čase, dále pak automatickou obnovu všech dat a ochranu vlastní zálohovací aplikace.

True Image nabízí kompletní ochranu dat pro osobní i rodinné použití s využitím šifrování AES 256 a úložišti na nejrůznějších lokalitách včetně externích disků, NAS zařízení, síťových sdíleních a zabezpečeném úložišti Acronis Cloud.

Novinky v True Image ve verzi 2017 podle výrobce:

Active Protection pro aktivní ochranu před ransomwarem v reálném čase. Identifikuje neobvyklou aktivitu na počítačích a zabraňuje škodlivým aplikacím poškozovat uživatelská data, zálohy a zálohovací software. Behaviorální heuristika detekuje nové i známé ransomwarové útoky a brání před nimi, přičemž integrované zálohovací funkčnosti umožňují obnovit neomezený počet souborů jakékoliv velikosti.
Notary pro autentizaci dat na bázi blockchain. Nabízí certifikaci obsahu jakéhokoliv souboru a verifikaci obsahových modifikací v porovnání s původní verzí. Jedinečný „otisk digitálního souboru“ je uložen a v distribuované, nezměnitelné databázi postavené na technologii blockchain, která umožňuje uživatelům kdykoliv verifikovat autentičnost informací. To je důležité zejména v případě cenných dokumentů, jako jsou smlouvy, mediální záznamy a finanční dokumenty.
ASign pro certifikaci dokumentů chráněných technologií blockchain. Dovoluje více stranám vytvářet a certifikovat dokumenty se zabezpečeným a veřejně auditovatelným podpisem. Uživatelé mohou chránit své zálohované dokumenty, které jsou verifikovány s pomocí Notary a elektronicky podepsány – vše v rámci jednoho spolehlivého zálohovacího řešení.

Kromě toho nabízí novinka také řadu vylepšení, jako je třeba přepracované uživatelské rozhraní s přehledným webovým prostředím pro vzdálený přístup a správu dat, podpora NAS pro zálohovací zdroje a úložiště, bezdrátové zálohování mobilních zařízení na počítače Mac, šifrování dat pomocí AES 256, prohlížení a obnova souborů, možnost prohledávání všech cloudových záloh z mobilního zařízení.

Novinkou je i zálohování a obnova účtů na Facebooku – je tak možné prohledávání a obnova dat facebookového účtu na existující či nové účty s daty zašifrovanými a uloženými v cloudu Acronisu.

Cena se pohybuje od 2 800 Kč/rok v případě jednouživatelské licence s 1 TB záložního prostoru v cloudu až po 4 480 Kč za 5uživatelskou licenci, ve všech případech s možností zálohování libovolného počtu mobilů.

Bojíte se odposlechů? Tohle vám může výrazně pomoci

24.1.2017 SecurityWorld Zabezpečení
Nový protokol DIME dokáže sofistikovaným způsobem ukrýt e-maily před cizími zraky.

Jeden z vývojářů stojící za e-mailovou schránkou Lavabit, kterou využíval kupříkladu i Edward Snowden, veřejně poskytl zdrojový kód nového end-to-end šifrovaného e-mailového standardu. Ten by měl nabídnout bezpečné konverzování přes elektronickou poštu bez obavy z externího špehování.

Kód nového standardu nazývaného DIME (Dark Internet Mail Environment) bude brzy dostupný na Githubu spolu s přidruženým e-mailovým serverovým programem, řekl minulý pátek vývojář standardu Ladar Levison.

DIME bude fungovat napříč různými poskytovateli e-mailových služeb a bude „dostatečně flexibilní na to, aby umožnil uživatelům nadále využívat své e-maily i bez nutnosti doktorátu v kryptografii“.

V souvislosti s uveřejněním standardu zároveň Levison oživuje původní Lavabit. E-mailový klient s pokročilým šifrováním skončil v roce 2013 po žádosti amerických federálních agentů, kteří po službě požadovali přístup k e-mailovým zprávám jeho 410 000 zákazníků, a to včetně privátních šifrovacích klíčů jednotlivých uživatelů.

Státní zpravodajské služby tehdy podrobně zkoumali kauzu kolem Snowdena a uniklých dokumentů NSA. Levison -- než aby pomohl vládě Spojených států porušit podmínky soukromí svých zákazníků -- službu raději ukončil, píše se v jeho pátečním příspěvku.

„Vybral jsem si svobodu,“ píše emotivně. „Mnoho se od mého rozhodnutí změnilo, ale mnoho bohužel ne ani v našem post-snowdenovském světě.“ Nyní službu znovu rozjíždí, jako důvod uvedl „nedávné šokující informace“ o tom, jak nezabezpečené e-maily ve skutečnosti jsou.

„Dnes začínáme novou cestu svobody a otevíráme dveře příští generaci e-mailového soukromí a zabezpečení,“ píše na stránkách Lavabitu.

Obnovený Lavabit rovněž staví na standardu DIME, který Levison vyvíjí díky službě komunitního financování projektů Kickstarter z roku 2014. Standard má šifrovat e-mail samotný i jeho přenos, včetně metadat typu titulek zprávy a adresa odesílatele nebo příjemce.

Lavabit nově představí tři různé úrovně šifrování, nazvané Trustful, Cautious a Paranoid – tedy důvěřivý, opatrný a paranoidní. Každá úroveň pracuje s šifrováním zprávy a ukládáním privátních klíčů rozdílně, největší rozdíl je v pohodlnosti užívání.

Nejvyšší úroveň Paranoid například znamená, že servery Lavabitu nebudou privátní klíče uživatelů ukládat vůbec. Zprvu bude Lavabit dostupný pouze existujícím uživatelům služby, a to pouze na úrovni Trustful. Noví uživatelé se musí předregistrovat a čekat na oficiální vydání Lavabitu.

Lavabit pracuje na základě předplatného. V pátek byla služba nabízena se slevou – za 15 dolarů ročně má uživatel přístup k 5 GB úložného prostoru, za 30 dolarů pak k 20 GB.

Lavabit, mail používaný Snowdenem, je zpět a bude bezpečnější
23.1.2017 Root.cz Zabezpečení
Bezpečná e-mailová služba, kterou používal i Edward Snowden, opět otevřela své brány. Zatím jen dřívějším uživatelům, ale slibuje výrazné zvýšení zabezpečení, aby nebylo možné uživatele v budoucnu ohrozit.
Ladar Levison oznámil, že opět spouští bezpečnou e-mailovou službu Lavabit. Ta se stala nejpopulárnější na svém konci v roce 2013, protože se ukázalo, že ji používal i Edward Snowden. Spekulovalo se dokonce o tom, že právě informace z jeho účtu měly být za nátlakem na provozovatele, který raději službu vypnul, než aby přistoupil na spolupráci a vydání uživatelských dat.

Později se ukázalo, že je to pravda a že NSA chtěla přístup ke všem datům včetně TLS klíčů (dříve SSL). Levison se z této nepříjemné zkušenosti poučil a před několika dny nenápadně naznačil, že se chystá spuštění nového Lavabitu. K tomu nakonec došlo v pátek 20. ledna a na webu Lavabit.com se objevilo veřejné prohlášení.

Píše se v něm, že nová verze je založena na projektech Dark Internet Mail Environment (DIME) a Magma, které byly v roce 2014 úspěšně zafinancovány na Kickstarteru. DIME je nový standard pro bezpečnou komunikaci s podporou end-to-end šifrování a Magma je otevřený e-mailový server, který DIME implementuje.

Prozatím je Lavabit dostupný uživatelům, kteří na něm měli založené účty už dříve – těch existuje 410 000. Uživatelé sice nemají k dispozici svou starou poštu (měli možnost ji zálohovat na konci roku 2013), ale mohou začít novou službu okamžitě využívat. V zašifrované podobě prý existuje více než 50 milionů zpráv ze starého systému, ale není jasné, zda bude možné e-maily přenést do nového Lavabitu.

Časem bude možné se běžným způsobem registrovat, zatím to ale není možné a spuštěny jsou pouze předregistrace s výhodnější poloviční cenou.

Více šifrování, žádná metadata
Služba už nechce v budoucnu vystavit uživatele podobnému riziku jako před více než třemi lety, proto se rozhodla pro několik razantních změn. Aby nebylo možné získat TLS klíče, nemají ji k dispozici ani lidé Lavara Levisona. Soukromé klíče jsou prý uloženy v HSM (Hardware Security Module), který je nikomu nevydá, ale umožní jejich použití v infrastruktuře Lavabitu. Podobná zařízení používají například certifikační autority, ale i další společnosti, které chtějí zabránit odcizení privátních klíčů například při bezpečnostním průniku.

Klíče prý byly vygenerovány „naslepo“, takže je nikdo neviděl. Poté byly vloženy do HSM a původní kopie byla zničena. Jakmile jsou klíče uvnitř, už je nikdo nedokáže dostat ven, potvrdil jeden z vývojářů služby, který veřejně vystupuje jen pod jménem Sean. Je jedním z mnoha dobrovolníků, kteří se na vývoji systému podílejí, ale nechtějí prozradit svou identitu.

Autor: Albert Herring, podle licence: CC BY-SA 2.0
Ladar Levison, Lavabit
Klíče jsou zatím pro bezpečnost Lavabitu kritické, ale během následujících měsíců má být uvolněn nový systém end-to-end šifrování, který jejich důležitost sníží. Uživatelé totiž své zprávy zašifrují už na svém vlastním zařízení, včetně všech metadat. To má být jedna z klíčových vlastností nového Lavabitu, který neumožní vládním agenturám a jiným subjektům sbírat vůbec žádná data, tedy ani metadata.

Jde o veškerá transakční data z hlaviček, tedy kdo, komu a například předmět zprávy. V případě použití normálního e-mailu jsou tyto informace otevřené, i když je zbytek zprávy zašifrován. Různé subjekty mohou ale číst tyto servisní informace a v mnoha případech je i z nich možné vyčíst poměrně hodně. Lavabit slibuje, že zpráva bude zašifrovaná end-to-end jako celek, takže poslouchající agent se nedozví nic.

Model anonymizovaného zasílání zpráv je vypůjčen z principu fungování sítě Tor. Jakmile uživatel odesílá zašifrovanou zprávu, jen jeho poskytovatel připojení ví, že někomu píše. Nezná však cílovou adresu příjemce, jen jeho doménu. Plná adresa je zašifrována pro cílový server, který ji dokáže rozšifrovat, nezná ale zase plnou adresu odesílatele. Všechny informace znají jen uživatelé na obou stranách end-to-end šifrovaného kanálu.

Tři stupně bezpečnosti
Jakmile se Lavabit otevře veřejnosti, přijde se třemi režimy bezpečnosti: Trustful, Cautious a Paranoid. Česky bychom mohli říct: Důvěřivý, Obezřetný a Paranoidní.

První zmiňovaný bude určen uživatelům, kteří nepotřebují příliš mnoho skrývat a dají přednost pohodlnému používání. Tento způsob bude připomínat starý Lavabit – zprávy jsou šifrovány na serverech provozovatele. Znamená to ale, že uživatel musí věřit Ladaru Levisonovi a jeho týmu. Pro mnohé z nich je ale dostatečným důkazem fakt, že je ochoten službu raději zavřít než by ji otevřel někomu cizímu.

Zároveň je software Lavabitu otevřený, takže kdokoliv má možnost si jej zkontrolovat. To znamená, že pokud celé službě odmítáte věřit, můžete si vytvořit vlastní. Zdrojové kódy jsou na GitHubu: libdime a Magma. Jaká jiná služba pro posílání zašifrovaných zpráv vám dovolí stáhnout si její server a použít u sebe? ptá se řečnicky Levison.

Prostřední stupeň zabezpečení přesouvá šifrování ze serverů Lavabitu na uživatelská zařízení. Klíč je vygenerován přímo u uživatele, poté zašifrován zadanou frází a uložen na serveru. To umožňuje pohodlně službu používat napříč několika zařízeními, protože Lavabit nemá k dešifrované podobě klíče přístup a zároveň je možné tento klíč pohodlně získat při vybalení nového zařízení z krabice. Stačí se přihlásit.

Pokud bude uživatel chtít ještě víc, sáhne po třetím stupni. Ten zcela ruší ukládání klíčů na serveru a ponechává je jen v uživatelově zařízení. Správa klíčů je pak plně v rukou uživatele. Pokud bude chtít Lavabit používat třeba i v mobilu, bude muset klíče přenést ručně ze svého počítače. Samozřejmě zároveň platí, že v případě ztráty klíčů neexistuje způsob, jak je obnovit. Server je nezná a nedokáže pomoci. Data jsou v tu chvíli ztracena.

Má šanci, díky Snowdenovi
Právě zmíněná historie spojená s Edwardem Snowdenem dává Lavabitu šanci prorazit. Podobných služeb se za posledních několik let vyrojily tucty, ale známé jméno a zajímavá historie mohou na službu zapůsobit jako živá voda. Má však jen jednu šanci.

Sám Snowden říká, že tím nejcennějším, co může Lavabit nabídnout je ochota raději firmu zavřít než prodat uživatele. To je hodně velká věc. Jsou možná jediní na světě, kteří to mohou tvrdit, řekl v jednom z rozhovorů Snowden.

LOGmanager nabídne snadnější sběr logů z různých míst

20.1.2017 SecurityWolrd Zabezpečení
Řešení LOGmanager Forwarder, které slouží ke sběru logů z poboček, pronajatých datových center nebo od zákazníků do hlavního systému LOGmanager, kde probíhá analýza a ukládání, uvedl na trh jeho výrobce, firma Sirwisa.

Rozšiřuje se tak produktové portfolio LOGmanageru, českého nástroje na správu a analýzu logů. LOGmanager Forwarder je dostupný buď jako hardwarová appliance, nebo jako virtuální stroj.

Podstatou LOGmanageru je sběr všech relevantních eventů a logů organizace, jejich ukládání do centrálního zabezpečeného úložiště s předem definovanou retencí a možností prohledávat enormní množství dat v reálném čase. Výstupy prohledávaní se prezentují v textové i grafické podobě s vysokou mírou interakce vzhledem k nalezeným datům.

Systém rovněž umožňuje dlouhodobě ukládat data v nezpochybnitelné podobě pro potřeby shody s předpisy, požadavky pro forenzní analýzu a případné bezpečnostní audity. Řešení rovněž pomáhá plnit požadavky dané ze Zákona o kybernetické bezpečnosti.

Distributorem řešení LOGmanager v tuzemsku je firma Veracomp, pro implementaci lze využít i služeb řady certifikovaných partnerů.

Šifrování WhatsApp je lež, server umí klientům vyměnit klíče
19.1.2017 Root.cz Zabezpečení
Světově nejpopulárnější komunikační aplikace WhatsApp se chlubí velkou bezpečností a end-to-end šifrováním. Ve skutečnosti je to ale lež, server totiž umí u klientů potichu vyměnit klíče a odposlechnout komunikaci.
V komunikační službě WhatsApp byla objevena vlastnost, která má zásadní dopad na bezpečnost šifrované komunikace. Tobias Boelter, bezpečnostní expert z University of California, totiž zjistil, že provozovatel služby má možnost si přečíst zprávy, ke kterým by neměl mít díky end-to-end šifrování vůbec přístup. Může totiž donutit klienty k výměně klíčů. Ve většině případů se o tom uživatelé vůbec nedozví.

Služba s více než miliardou uživatelů se už téměř rok chlubí tím, že podporuje end-to-end šifrování, takže nikdo nemá možnost číst komunikaci uživatelů. Ani Facebook, který je tři roky vlastníkem a provozovatelem WhatsApp, by tak neměl mít k obsahu komunikace přístup. Zprávy totiž mají být zašifrovány bezpečně pomocí klíčů, které jsou uloženy jen v zařízeních uživatelů.

WhatsApp dokonce o této vlastnosti hovoří jako o zásadní výhodě a tvrdí, že každá konverzace používá vlastní klíč. Ten je možné volitelně ověřit a získat tak jistotu, že komunikujeme se správnou protistranou. Protože je k šifrování použit bezpečný protokol Signal, který vyvinula společnost Open Whisper Systems, uživatelé předpokládali, že komunikace je skutečně bezpečná.

Server ovládá klienty
Ve skutečnosti je součástí této konkrétní implementace backdoor, který serveru dovoluje toto bezpečné šifrování obejít. Server totiž může klientům nařídit, aby zatím nedoručené zprávy znovu zašifrovaly jiným klíčem a poslaly mu je. Příjemce se o této změně navíc vůbec nedozví a odesílatel jen v případě, že v nastavení výslovně zapne zobrazování varování týkajících se šifrování. V případě drtivé většiny uživatelů tak projde výměna klíčů zcela potichu.

Zobrazení těchto notifikací je možné najít v menu Settings → Account → Security pod položkou „Show Security Notifications“. Uživatel se pak dozví o tom, že protistrana vyměnila šifrovací klíče.

Tímto způsobem je možné se skutečně dostat ke komunikaci, která by měla zůstat utajena. Pokud by byl WhatsApp požádán vládní organizací k vydání záznamů komunikace, mohl by k nim touto cestou získat přístup, říká Tobias Boelter. Chybu prý Facebooku hlásil už v dubnu 2016, ale dostalo se mu odpovědi v tom smyslu, že jde o „očekávané chování“ a firma se problémem dále nezabývala.

Funkce totiž má své opodstatnění a využívá se například ve chvíli, kdy uživatel vymění telefon nebo přeinstaluje aplikaci. Původní klíče jsou pak ztraceny a nový telefon je nezná. Pokud byly mezi tím uživateli poslány zprávy zašifrované starým klíčem, server vyzve odesílatele k jejich přešifrování a znovuodeslání. Pak je doručí uživateli do nové instalace aplikace.

Nové klíče jsou samozřejmě doručovány pomocí infrastruktury WhatsApp a pokud uživatel znovu neprovede jejich ověření, je možné mu podvrhnout libovolný klíč. Služba tak může velmi snadno provést útok typu man-in-the-middle a oběma komunikujícím stranám podvrhnout vlastní klíče.

Problém není ani tak v samotné možnosti vyměnit klíč, jako v tom, že se o změně uživatel ve výchozím stavu nedozví. Chyba rozhodně není v protokolu, ale je v konkrétní implementaci. Stejný protokol například používá aplikace Signal (kterou doporučuje Edward Snowden), která při výměně klíčů velmi hlasitě protestuje a žádá od uživatele jejich nové ověření. WhatsApp to nedělá.

I když možná neúmyslná, pořád díra
Na odhalení problému velmi rychle zareagoval Open Whisper Systems s vlastním prohlášením, ve kterém tvrdí, že nejde o backdoor, ale o nutnou funkcionalitu. Podle jejich slov se velmi podobně chová většina šifrovacích systémů, vše je proto v pořádku a normální. WhatsApp nedává vládám ‚backdoor‘ do svých systémů a bude bojovat proti jakémukoliv požadavku k jeho vytvoření.

Tvrdí také, že takto je možné znovu zašifrovat jen ty zprávy, které nebyly doposud doručeny klientovi. Nedodává ale, že zprávy o stavu doručení předávají stejné servery, které jsou schopné přikázat výměnu klíčů. Ve skutečnosti je tedy možné v libovolnou chvíli komunikaci pozdržet, klíče vyměnit a nechat si zprávy poslat v dešifrovatelné podobě.

Dalším argumentem proti zneužitelnosti je podle firmy to, že servery nemají informace o tom, zda konkrétní klienti mají zapnuté či vypnuté oznamování změn klíčů. Útočník prý tak nemůže sbírat informace o zranitelných uživatelích. Protože je ale notifikační volba ve výchozím stavu vypnutá, drtivá většina uživatelů je proti tomuto útoku bezbranná.

Firma tvrdí, že se rozhodně nejedná o backdoor. Ve skutečnosti ale nezáleží na tom, jak takovou vlastnost pojmenujete. End-to-end šifrování má sloužit k tomu, aby v žádném bodě přenosové trasy nebylo možné komunikaci ohrozit. Pokud je toto základní pravidlo porušeno, je poškozen celý princip šifrování a bezpečné prostředí mizí.

Na svou obhajobu společnost také říká, že pro uživatele je lepší, když notifikace tohoto typu nevidí. Pravděpodobně by je taková věc obtěžovala a stejně by ji slepě ignorovali. Ovšem existuje velký rozdíl mezi tím, když uživatel na důležité oznámení reaguje zbrkle a chybně, a když žádné oznámení nedostane a reagovat na něj nemůže.

Je úplně jedno, jestli jde o implementační nedokonalost nebo vědomou cestu k uživatelským datům. Stačí, že existuje technické řešení, které v případě potřeby umožní data přečíst. Pokud bude mít nějaká vládní organizace důvod se k datům dostat, dokáže provozovatele donutit takové technické řešení použít. Nehledě k tomu, že ho může použít útočník, který se dostane k serverům služby. Uživatel správně implementované služby by mohl mít stále jistotu, že je jeho komunikace v bezpečí krytá end-to-end komunikací s ověřeným klíčem.

SSL a internetové bankovnictví? Ne vždy si rozumějí

15.1.2017 SecurityWorld Zabezpečení
Některé banky SSL podceňují – přihlášení do internetového bankovnictví tak nemusí být vždy bezpečné.

Protokol SSL/TLS je technologií běžně užívanou pro šifrování komunikace mezi klientskými počítači a serverem. Ač není jediným mechanismem užívaným bankami pro ochranu internetového bankovnictví, bývá pomyslným základním kamenem této ochrany.

Přesto v testu společnosti Xiphos Research, uskutečněném začátkem roku 2016, dopadly britské banky poměrně špatně a u většiny z nich byly objeveny větší či menší nedostatky v zabezpečení SSL užívaném na jejich serverech. Obdobný test vykonaný společností Alef Nula v českých podmínkách dopadl o poznání lépe – většina bank v něm uspěla.

Ve svém průzkumu otestovala britská společnost Xiphos Research 84 bank působících na tamním trhu. Banky hodnotila písmeny podobně jako na některých univerzitách. Celkem 14 procent z testovaných bank si vysloužilo nejhorší známku F, protože nastavení jejich serverů a používaný SSL protokol vykazovaly významné bezpečnostní chyby.

Nedostatečně zabezpečený server internetového bankovnictví byl detekován u poloviny z 59 britských bank a finančních institucí. Stejně dopadlo i 79 procent serverů užívaných 25 bankami působícími ve Velké Británii, ale majícími zahraniční vlastníky.

V osmi případech obsahoval používaný SSL protokol zranitelnost Poodle, která byla detekována bezpečnostním týmem Googlu už v říjnu 2014. Tato zranitelnost přitom může umožnit útočníkovi dostat se k dešifrované části obsahu SSL relace mezi klientem a serverem.

Ukázalo se také, že banky často využívají zastaralé verze SSL šifrování nebo překonané SHA šifrovacího klíče.

České banky úspěšnější

Nepříliš dobré výsledky britských bank inspirovaly k vykonání podobného testu i bezpečnostní tým společnosti Alef Nula.

Čeští experti využili stejnou metodologii jako výzkumníci Xiphos Research a otestovali nastavení SSL na celkem 33 serverech internetového bankovnictví provozovaných 30 českými bankami (resp. bankami užívajícími pro internetové bankovnictví adresy v doméně .cz).

Úroveň zabezpečení byla hodnocena na zmíněné škále SSL Server Rating. Ta podle výsledků měření hodnotí bezpečnost nastavení SSL stupni A (velmi vysoká) až F (vykazující závažné nedostatky a zranitelnosti).

U nejlepšího hodnocení A rozlišuje ještě úroveň A+, určenou pro případy, kdy banky implementovaly některá nadstandardní opatření, a A– znamenající, že v zabezpečení SSL protokolu se objevily jen méně závažné nedostatky.

Oproti Británii dopadl test v Česku o poznání lépe – více než dvě třetiny českých bank získaly hodnocení A. U deseti z nich se nalezly jen marginální bezpečnostní nedostatky, takže byly ohodnocené stupněm A–, naopak čtyři získaly nejvyšší hodnocení A+, což znamená, že zabezpečení SSL na svých serverech zvýšily pomocí nadstandardních opatření.

A u 11 serverů pak byly zjištěny různě závažné slabiny a/nebo konfigurační nedostatky SSL.

Chyby? Opět boduje pudl

Stejně jako v případě bank ve Velké Británii také u českých bank byl nejčastěji objevenou závažnou zranitelností Poodle. V Česku to bylo ale jen u dvou bankovních serverů, tedy přibližně u šesti procent. Ve Velké Británii to byla téměř desetina.

Po jednom serveru obsahovalo ve svém bezpečnostním protokolu zranitelnosti Crime a Logjam. Zranitelnost Crime umožňuje útočníkovi učinit tzv. session hijacking, tedy za určitých okolností převzít SSL relaci, Logjam pak dokáže snížit složitost užitého šifrování na velmi nízkou úroveň, v důsledku čehož je možné relativně snadno dešifrovat a modifikovat probíhající komunikaci.

Zmíněné zranitelnosti mohou představovat citelnou hrozbu pro aplikace pracující s důvěrnými daty. V kombinacích, které by mohly reálně ohrozit bezpečnost klientů užívajících internetové bankovnictví, se vyskytovaly v případě dvou z testovaných serverů.

Pokud jde o verzi používaných protokolů a šifrovacích klíčů, byla situace v Česku podobná Velké Británii. U pěti serverů užívajících SSL bylo zjištěno využívání zastaralého šifrovacího algoritmu RC4 a u stejného počtu byly detekovány slabiny v konfiguraci Diffie Hellmanova algoritmu výměny klíčů (užití malých prvočísel).

Test také objevil nedostatky v oblasti podpory protokolů. Dva servery stále spoléhaly na zastaralý a nedostatečně zabezpečený protokol SSL verze 3.0 a celkem šest analyzovaných SSL instancí nepodporovalo nejnovější a nejbezpečnější verzi (1.2) protokolu TLS.

Na pěti zkoumaných serverech byly používány certifikáty SHA-1, které v současnosti přestávají být považované za bezpečné a všechny nejčastěji užívané prohlížeče plánují v blízké době ukončit jejich podporu. Certifikát nepodepsaný důvěryhodnou certifikační autoritou používal pouze jeden z analyzovaných serverů.

Obezřetnost, nikoli panika

Přestože třetina serverů poskytujících v České republice služby internetového bankovnictví obsahovala v době průzkumu nedostatky či zranitelnosti v užitých SSL mechanismech, není třeba propadat panice.

Útok na většinu z nich by totiž byl poměrně komplikovaný. Reálně využitelné zranitelnosti, které představují citelnou hrozbu pro chráněnou komunikaci mezi klientem a bankou, vykazovaly pouze dva ze zkoumaných serverů (oba hodnocené stupněm F).

V případě jednoho dalšího by potom úspěšný útok na bezpečnost navázaného spojení mohl být potenciálně realizován za velmi specifických okolností. Realisticky závažné zranitelnosti se tedy týkaly pouze šesti až devíti procent analyzovaných serverů.

Jak se testuje SSL v bankovních systémech

Český i britský test bezpečnosti SSL mechanismů využívaly stejnou metodologii. Použil se při nich nástroj SSL Server Test a úroveň zabezpečení byla hodnocená na škále SSL Server Rating v rozmezí A až F, s doplňkovým označením písmenem T pro servery s nedůvěryhodným certifikátem.

Parametry užívanými pro zařazení ve škále jsou typy podporovaných protokolů, tvořící 30 procent výsledného hodnocení, dalších 30 procent připadá na užité mechanismy bezpečné výměny klíčů a 40 procent zaujímají typy podporovaných šifer.

Router jako šedé místo v zabezpečení

14.1.2017 SecurityWorld Zabezpečení
Směrovač v domácnosti je, co se osvěty a prevence v oblasti bezpečnosti týče, stále podceňovaným prvkem. Co všechno vám správné nastavení může přinést a co naopak špatného způsobit?

Co se týče routerů, uživatelé se příliš neupozorňují na to, že správné nastavení tohoto zařízení, které je v řadě případů branou do internetu, může mít zásadní vliv na jejich on-line bezpečnost.

Poté, co si router koupí a zapojí ho, často se nedopracují k tomu, aby defaultní nastavení změnili, a tím eliminovali rizika, která tato základní konfigurace může způsobit.

Na domácí routery se kladou stále větší nároky jak z pohledu výkonnosti v důsledku narůstajícího počtu zařízení připojených do internetu v domácnosti, tak z hlediska bezpečnosti. Počet útoků vedených přes routery přitom neustále roste.

Ze světa i z České republiky jsou známé řady případů, kdy zotročené domácí routery posloužily například k DDoS útokům. V tomto textu se zaměříme na nejčastější nedostatky a důvody napadení domácích routerů.

1. Firmware

Specializovaný firmware pro routery obsahuje chyby stejně jako programy, které každodenně používáme, a proto taktéž vyžaduje pravidelné záplatování. Tento zdánlivě jednoduchý krok však může představovat hned několik problémů.

Jedním z nich je někdy poměrně náročné hledání poslední verze firmwaru pro konkrétní typ routeru, jenž uživatel používá. Když se uživateli podaří najít přesně ten, který hledal, musí ho ještě do routeru nainstalovat, což zase nemusí být u všech modelů úplně jednoduché a intuitivní.

Pokud to jde, je dobré, když si uživatel může nastavit automatické nebo alespoň poloautomatické upozorňování na updaty sám, aby mu žádný bezpečnostní update neunikl. Na update by se nemělo zapomínat ani v případě koupě nového routeru, protože mezi nahráním firmwaru do routeru při výrobě a spuštěním routeru v domácnosti může uplynout poměrně dlouhá doba.

Zde je důležité připomenout, že i když vám router poskytl váš provider (ať už ve formě pronájmu nebo koupě), zodpovědnost za aktualizace firmwaru nesete sami. Když se bavíme o firmwaru, může nastat i jedna nezáviděníhodná situace – tedy ta, že výrobce routeru podporu pro daný firmware ukončil.

I s tím mají nejen uživatelé v České republice své neblahé zkušenosti. Proto by se měli mít uživatelé na pozoru a již při koupi nového routeru by si měli ověřit, zda výrobce vydává pro firmware pravidelné updaty.

2. Universal plug and play

UPnP je protokol, který programům umožňuje mimo jiné jednoduše měnit nastavení routeru, konkrétně otevřených portů, které programy potřebují pro svou komunikaci. Protokol byl primárně vytvořen pro použití v lokálních sítích, a tak neobsahuje jeden z důležitých bezpečnostních prvků, jímž je autentizace.

Mnoho routerů má však dostupnost UPnP nastavenou nejen z lokální sítě, ale také z celého internetu. Bezpečnostní riziko je samozřejmě větší, když je protokol UPnP dostupný z internetu, což umožňuje útočníkům přistoupit ke konfiguraci portů, a zneužít je tak například pro získání přístupu do lokální sítě nebo jako proxy pro surfování.

Implementace protokolu UPnP v routerech je také často děravá, a proto se doporučuje protokol raději vypnout a přesměrování služeb na porty udělat ručně.

Další bezpečnostní riziko spočívá v defaultně zapnutém protokolu již z výroby. Běžný uživatel si totiž zapnutého nebo vypnutého UpnP protokolu nemusí vůbec všimnout, a proto jeho defaultní zapnutí v domácích routerech představuje určité riziko, které by výrobci routeru mohli velmi jednoduše eliminovat, a předejít tak zbytečným problémům.

3. Přístupnost administrace routeru z internetu

Dostupnost rozhraní umožňujícího nastavení routeru z prostředí internetu představuje zásadní riziko. Tzv. vzdálený přístup (remote access) slouží k administraci nastavení routeru, pokud se uživatel nachází mimo lokální síť.

Podíl domácností, které by tento doplněk využilo, bude však velmi malé. Problém pak opět nastává v routerech, jež nabízejí vzdálenou administraci routeru již v defaultním nastavení.

V tom případě musí uživatel v nastavení routeru tuto funkcionalitu vypnout. Podobně jako defaultně zapnutý UPnP protokol nebo děravý firmware také tento nežádoucí doplněk uživatele v práci s internetem nijak neomezuje, a proto jej obvykle nic nenutí tuto vzdálenou administraci znemožnit, což může být v kombinaci s defaultním nastavením přihlašování do administrace routeru kritickým problémem pro bezpečnost sítě.

Pro minimalizaci rizika je možné omezit také přístup do administrace z lokální sítě jenom pro jedno zařízení, protože útočník může bezpečnost routeru ohrozit i pomocí skriptu nahraného v rámci stránek, které si uživatel připojený přes daný router prohlíží.

4. Podcenění prvotního nastavení

Router má po zakoupení do domácnosti první šanci na správné nastavení při prvním spuštění. Pokud však vše funguje tak, jak má (bez ohledu na bezpečnostní díry), často se stane, že jeho první šance je zároveň tou poslední.

Problém velké většiny modelů spočívá již v úvodním průvodci nastavením, který uživatele nenavede nebo nepřinutí ke změně nebo zvolení vlastních přístupových údajů k administraci routeru.

Pokud se v průvodci nastavení routeru toto nevyžaduje, z uživatelského hlediska není třeba nic měnit. Defaultní kombinace jména a hesla k administraci routerů jsou ale na internetu velmi lehce dohledatelné pro každý model routeru od jakéhokoliv výrobce. A pokud se tam náhodou nějaký model od výrobce nenachází, stačí zkusit použít přístupové údaje jiných modelů, protože ty se u stejného výrobce často opakují. Obejít by to bylo možné například tak, že by si uživatel při prvotní instalaci musel zvolit své heslo pro administraci sám.

U výrobců routerů by také bylo žádoucí, kdyby již při prvním spuštění routeru průvodce vyžadoval zvolení IP adresy jejího administrátorského rozhraní. Nahrazení nejčastěji používané adresy 192.168.1.1 nebo 192.168.0.1 může uživatele před částí útoků ochránit. Jde hlavně o CSRF (Cross Site Request Forgery), který se jako zranitelnost nachází v řadě routerů. Cílem útoku je pak nejčastěji změna nastavení DNS záznamu.

Snaha o osvětu

Trh v oblasti routerů je poměrně velký a zásadním způsobem do něj vstupují také poskytovatelé připojení, kteří jsou jejich velkými odběrateli a dodavateli zároveň. Běžného uživatele pak při výběru domácího routeru zajímají většinou jenom dvě věci: cena a funkčnost připojení. Nic z výše uvedených funkcí není pak natolik uživatelsky zajímavé, aby přimělo běžného uživatele ke studiu funkcí UPnP protokolu nebo vzdálené administrace.

Bez pochopení základního fungování internetu a jeho protokolů si tak ale nemůže uvědomit ani reálné riziko chybného nastavení svého routeru. Proto by měli výrobci routerů a poskytovatelé připojení pochopit důležitost defaultních nastavení a funkcionalit, které routery využívají.

Právě úvodní průvodce nastavení routeru může být zásadní pro jeho další správné a bezpečné fungování v domácnosti. Při správném a hlavně dostatečně srozumitelném nastavení tak může uživatel sám zhodnotit, které funkcionality bude skutečně využívat, a nevystavovat tak svou domácí síť zcela zbytečným rizikům.

První své antiviry AVG uvedl na trh Avast

10.1.2017 SecurityWorld Zabezpečení
Společnost Avast po akvizici firmy AVG uvádí na trh první produkty pod značkou AVG. Ty chrání počítače před útočníky, ransomware nebo ztrátou dat, a zároveň prý pomáhají zlepšovat i jejich výkon.

Avast vydal edice 2017 svých klíčových produktů pod značkou AVG – základní bezplatný AVG AntiVirus Free, prémiovou verzi antiviru pro neomezený počet zařízení AVG Internet Security (AIS) a také AVG TuneUp určený pro údržbu a čištění.

Nové verze chrání před viry a malware (včetně ransomware), před útoky hackerů, zajišťují bezpečné procházení webu a emailů a chrání soukromá data. Inovované uživatelské rozhraní přichází s jednoduchou instalací, navigací a ovládáním programu z jednoho místa.

Produkty přicházejí na trh méně než čtyři měsíce po akvizici AVG firmou Avast. Podle tvůrců kombinují to nejlepší z obou firem, aby uživatelům dodaly uživatelsky přívětivou ochranu s čistým jednoduchým vzhledem a bezproblémovým využitím pro všechny členy rodiny.

“Zkombinovali jsme způsoby detekce hrozeb AVG a Avastu a získali tak náležitý vhled do trendů mezi kyberútočníky,” řekl Vince Steckler, generální ředitel Avastu. Antimalware AVG podle něj má ochranu, která v reálném čase dokáže zasáhnout proti tzv. zero-second malware, a to díky cloudové technologii CyberCapture vyhledávající škodlivé soubory.

Například nová funkce v AIS -- Secure DNS -- ověřuje IP adresy webových stránek prostřednictvím DNS serveru, který spravuje přímo Avast. Uživatel tak má podle výrobce jistotu, že jeho finanční transakce nebo platby za on-line nákupy nemohou být přesměrovány na falešné weby a je tak chráněn před podvody a phishingovými útoky.

Ve všech bezpečnostních produktech AVG byla také integrovaná funkce bezplatného produktu TuneUP, která zvyšuje výkon počítače nebo mobilního zařízení tím, že sleduje výkon počítače a dokáže odstranit soubory zbytečně zabírající místo.

Plná verze produktu navíc zahrnuje nový nástroj určený k aktualizaci software (tzv. Software Updater), který automaticky vyhledá a instaluje nové verze nejpoužívanějších počítačových aplikací. Aktualizovaný software eliminuje případné zranitelnosti v programech a opravuje v daném software chyby.

Co jsou důležité bezpečnostní metriky?

2.1.2017 SecurityWorld Zabezpečení
Vedení firem v současné době požaduje metriky, aby získalo jasnější pohled na bezpečnost. Tady jsou čtyři metriky, které nabízejí široce využitelný pohled, a několik dalších s menší hodnotou.

Jak problematika zabezpečení získává ve vedení společností a řadách vyšších manažerů stále větší viditelnost, žádá se, aby bezpečnostní profesionálové poskytovali metriky vhodné pro sledování aktuálního stavu obrany společnosti. Ale jaká čísla jsou ta skutečně důležitá?

Nejvyšší management obvykle neví, na co by se měl ptát, a může se příliš soustředit na prevenci a nedostatečně na zmírnění. Metriky, jako jsou průměrné náklady na reakci na incident nebo počet útoků zastavených firewallem, se zdají být smysluplné pro osobu bez znalosti zabezpečení, ale ve skutečnosti nijak nepomohu zlepšit program zabezpečení organizace.

Experti doporučují zaměřit se namísto toho na metriky, které ovlivňují chování nebo mění strategii.

„Co byste udělali teď jinak, když máte tuto metriku?“ ptá se Caroline Wongová, šéfka bezpečnostních iniciativ společnosti Cigital, která poskytuje poradenství a software pro zabezpečení.

Metriky jako průměrné náklady na zmírnění zranitelností či střední doba opravy jsou užitečné, pokud má organizace zralé a vysoce optimalizované procesy, ale to není případ 95 procent současných organizací, upozorňuje Wongová.

Metriky měřící účast, efektivitu a okno expozice však nabízejí informace, které mohou organizace použít k vytvoření plánů a zlepšení programů.

Bezpečnostní metrika č. 1: Úrovně účasti v programu

Metriky účasti sledují pokrytí v rámci organizace. Mohou zjišťovat, kolik podnikových oddělení pravidelně vykonává penetrační testy nebo kolik koncových bodů je aktualizovaných automatizovanými systémy instalace oprav.

Tyto základní informace pomáhají podle Wongové organizacím vyhodnotit úroveň zavedení bezpečnostní kontroly a zjistit potenciální mezery.

Přestože by například bylo hezké mít možnost říci, že má organizace sto procent svých systémů opravených do jednoho měsíce od dostupnosti nových aktualizací, není to realistický cíl, protože instalace oprav může v některých systémech vyvolat určité provozní riziko.

Pohled na účast pomáhá vyloučit systémy, které nepodléhají běžným pravidlům pro opravy, a zaměřit pozornost na takové, kde by se měla oprava nainstalovat.

Bezpečnostní metrika č. 2: Doba trvání útoku

Časová prodleva nebo jak dlouho je útočník v síti, je také informace poskytující cenný vhled. Informace o době trvání útoku pomáhá bezpečnostním profesionálům připravit se na hrozby, zvládnout je, kontrolovat je a minimalizovat škody.

Průzkumy ukázaly, že útočníci stráví v průměru uvnitř sítě firmy několik měsíců, než dojde k jejich odhalení. Tráví čas seznamováním se s infrastrukturou, dělají průzkumné činnosti, pohybují se v síti a kradou informace.

Cílem by mělo být maximální zkrácení doby prodlevy, aby měli útočníci menší příležitost k bočnímu pohybu a ukradení kritických dat, upozorňuje Douglas. Znalost časové prodlevy pomáhá bezpečnostním týmům zjistit, jak řešit zmírnění zranitelností a reakce na incidenty.

„Čím déle jsou útočníci ve vaší síti, tím více informací mohou získat, a tím více škody mohou způsobit,“ připomíná Douglas.

Bezpečnostní metrika č. 3: Hustota vad kódu

Hustota vad nebo počet problémů nalezených v každém tisíci (či milionu, v závislosti na kódové základně) řádků kódu pomáhají organizacím hodnotit bezpečnostní praxi vlastních vývojových týmů.

Klíčem je však kontext. Pokud je aplikace v rané fázi vývoje, potom vysoká hustota vad znamená, že se daří nalézat všechny problémy. To je dobré. Na druhou stranu v případě, že je aplikace již v režimu údržby, měla by být hustota vad nižší a měla by mít klesající tendenci, aby to ukazovalo na růst bezpečnosti aplikace v průběhu času. Pokud ne, existuje zde problém.

Bezpečnostní metrika č. 4:Okna expozice

Organizace může zjistit chyby v aplikaci, ale dokud nedojde k jejich odstranění, zůstává program zranitelný. Okno expozice udává počet dní v roce, po které zůstává aplikace zranitelná vůči vážným exploitům a problémům.

NASA na svou síť instalovala VPN, je rychlejší i bezpečnější

20.12.2016 SecurityWorld Zabezpečení
AT&T pomohla americké vesmírné agentuře NASA se zabezpečením mezinárodní sítě antén Deep Space Network (DSN). Propojila je pomocí virtuální privátní sítě.

„Naše technologie pomáhá NASA prozkoumávat nejhlubší kouty známého vesmíru,“ říká Mike Leff, viceprezident AT&T. „Deep Space Network je mocný systém pro řízení, sledování a monitorování stavu sond a dalších kosmických lodí, vysílaných na meziplanetární cesty.“

Nová síť poskytne vysoce zabezpečené a spolehlivé komunikační rozhraní pro přenos telemetrických dat sesbíraných z rádiových signálů kosmických lodí, sond a stanic.

DSN tvoří síť velkých antén a tří komunikačních stanic (rozmístěných v USA, Španělsku a Austrálii), využívaných mimo jiné i pro radarové mapování prolétávajících asteroidů. Síť rovněž umí odesílat informace objektům – mimo jiné ovládala Mars rover nebo New Horizons a Juno sondy, obíhající Jupiter.

DSN je strategicky rozmístěna po celé planetě, díky čemuž umožňuje stabilní komunikaci se sondami a jinými vesmírnými objekty. Využívá ji také evropská agentura ESA a japonská JAXA.

Jak planeta postupně rotuje a sondy ztrácí dosah jedné komunikační sítě, jiná naopak signál pochytí a pokračuje v komunikaci bez přerušení.

Podle Mika Leffa byla VPN instalována ve dvou fázích. První fáze skončila letos v létě, zatímco druhá na začátku prosince.

Nově zřízená VPN umožňuje až trojnásobně rychlejší přenos dat než dříve a podporuje komunikaci v téměř reálném čase, přičemž zároveň informace mnohem lépe zabezpečuje.

„Ochrana integrity dat plynoucích s DSN je klíčová pro vědecký výzkum,“ popsal Leff Computerworldu. „Bohužel žijeme ve světě, kde jednotlivci i celé státy jsou ochotni a připraveni hacknout jakýkoli počítačový systém pro různé vlastní potřeby.“

Ezra Gottheil, analytik u Technology Business Research, říká, že dává smysl pro jakoukoli uzavřenou síť – nehledě na její velikost – používat VPN.

„Tato síť je velká jen vzdáleností, ne počtem uzlů,“ dodává. „Potřebují kompresi a zabezpečení, takže VPN je vhodná volba.“

Patrick Moorhead, analytik u Moor Insights & Strategy, souhlasí.

„Jsem překvapený že nepoužívali VPN už předtím a myslím, že bez ní existuje velká hrozba ztráty duševního vlastnictví i sabotáže,“ popisuje. „Hackeři jsou aktivní již desítky let. Miliardy dolarů se utrácí na průzkum vesmíru a mnoho ze vzniklých technologií lze použít pro obranné účely. Vesmírný program je tedy lákavý cíl pro kriminální živly… je chytré využít VPN k zabezpečení svých investic.“

Jaká Češi používají hesla? Expert analyzoval hacknutou databázi e-shopu Xzone.cz
16.12.2016 cnews.cz Zabezpečení
Dostalo se nám pod ruku přes sto tisíc hesel jednoho českého e-shopu, která hacker odcizil minulý rok a nedávno je umístil na pastebinu. Z nich jsem analyzoval 16 587 kousků obnažených v plaintextu, ostatní hesla byla zveřejněna v nic neříkající číselné reprezentaci; zřejmě se je nepodařilo rozhashovat.

Předkládám vám tuto svou skromnou studii, která původně neměla za cíl nic jiného, než si povšechně zaokounět nad podobou českých hesel, nakonec se však vyvinula v kolůsek, který Národnímu bezpečnostnímu CSIRTu pomohl vyvinout lepší způsob regulární analýzy nad množinou dat.

Soudě dle uživatelských jmen se z dobré poloviny jedná o hesla majitelů e-mailu na Seznamu, z šestiny na Gmailu, z desetiny na Centru.

Počet znaků v hesle
Promítli-li bychom si délky hesel na gaussovu křivku, našli bychom její střed v bodě osm, celá čtvrtina vzorku používá 8znaké heslo (4401). Téměř shodný počet lidí používá kratší heslo (4857), zbylá polovina má heslo delší (7329). Celých 90 % hesel je mezi 6 a 11 znaky. Pouze 6 hesel je delší 18 znaků: jedna snadno zapamatovatelná anglická fráze, frontman Slipknotu s číselnou řadou, vyjádření lásky k hrám Doom a Far Cry. A kraluje 26znakové heslo, které se skládá ze slova „prosím“ a úctyhodných dvaceti číslovek, které musí být med si pamatovat. 3znaké heslo máme jen jedno: „.85′.“.

Délka hesel

Kořeny slov
Stáhl jsem si seznam lemmat českého národního korpusu, odstranil lemmata kratší než 4 znaky a porovnal s textem, abych zjistil, jaké kořeny slov se v heslech nacházejí. Seznam obsahuje všechna používaná slova, tj. nejenom česká, ale narazil jsem i na anglická (player), německá (Wassermann), francouzská (maison), profláklá latinská (deus). Třetina hesel se nepodobá ničemu (‚kekeke78‘, ‚.“y!W‘, ‚IDkfa75jj‘), přes deset tisíc hesel však obsahuje nějaké rozpoznatelné slovo.

Vůbec nejoblíbenější řetězec je „zone“, vyskytuje se v obměnách celkem 184× (‚xzonelogin‘, ‚xzone44‘, ‚psikzone‘). Jistě ne náhodou je to část jména e-shopu – z toho je vidět, jak lidé rádi jméno služby používají v hesle.

Dominují především jména: potkal jsem 103 petrů, 85 janů, na 70 lukášů a martinů, 60 tomášů, 50 davidů, 40 pavlů, na 30 jardů, adamů, míš, jakubů, honzů, pepů a 24 výskytů ojedinělě anglického jména john (další anglické jméno je až george – 8 výskytů). Vzorek není dostatečně reprezentativní, ale zdá se, že převažují jména mužská, ženy se zřejmě volí do zdrobnělin.

Ženám vede 22 lenek, 14 peter a aniček, 13 páj, 13 lucek – a zvlášť 13 lucinek, 12 elišek, 8 velkých terez a 9 malých terezek, které mají za sebou důsledně 2 či 4místné číslo nebo partnera martina. Kromě toho 176 hesel obsahuje ženské příjmení končící „-ova“. U 50 z nich obsahuje příjmení i uživatelské jméno a zde v dobré polovině případů totéž příjmení. Lze spekulovat, že druhá polovina představuje jméno ženy za svobodna. Uživatelských jmen na „ova“ je celkem 1186 (po odečtení n-ová-ků).

V říši zvířat jsem našel 33 psů (z toho 13 i se svým jménem), 22 draků a 7 dragonů, 18 lam, 8 králíků a slonů, 7 orlů a kaprů, 6 klokanů, opic, ryb a veverek, 4 osli, tygři a kuřata, 3 očíslované kočky, 6 kocourů, 6 mourků, 3 myši a 3 potkani, 2 krávy, 1 slepici, žirafu, vlka, vlkodlaka a vlka jakuba, 1 pavouka a 6 spiderů.

Co jsem našel dál? Parentální vztahy (11× mama, 10× maminka, 9× tata, 2× tatinek a 1 tataracek), městskou příslušnost (12x Praha, 11x Brno, 8x Ostrava), vyznání (14× sparta, 8× banik, 4× slavie), výrobky (11× asus, 9× acer, 9× nokia, 8× samsung), hambatosti (4× nas*at, 7 orgánů ženského pohlaví, 15 kokotů, 11 hoven a 13× pr*el (v kombinaci s rokem narození, množstvím v ní obsaženého či prováděnou činností); pr*el je k tomu i 6× v e-mailu a coby bonus nalézáme 9× prd v různých situacích), sex (je spíše v uživatelských jménech – 15×, oproti 10 výskytům v heslech) a návykové látky (4x piva, 1x fernet, 1x becherovka).

Nejfrekventovanější heslo coby podstatné jméno je „heslo“ – 68 výskytů (‚tajneheslo1998‘, ‚heslonetreba‘, ‚Megaheslo‘, ‚heslo‘ a číslo…). Se 43 výskyty se objevuje lemma „kolo“ (43×), v závěsu jsou tři anglicismy „game“ (38×), „star“ (34×), pozitivní „kill“ (24×) a „ahoj“ (19×). Následuje seznam slov s alespoň 3 výskyty. Ovšem slova pod deset výskytů jsou zde většinou, jen pokud patří k delším nebo zajímavějším kouskům. Vypsal-li bych všechna ojedinělá kraťoučká slova, asi by vás to nebavilo.

17× shop
16× moto
15× dark
14× fotbal
13× master
12× nakup
12× poklop, super, tiscali (tito autoři nepoužívají současně schránku na doméně tiscali), veslo (asi že se rýmuje s ‚heslo‘: ‚vESLO‘, ‚hesloveslo5‘, ‚oveslo1′,’prdaveslo‘)
11× rock, craft, kolik, destiny, auto
10× forever, team, mega
9× magor a milacek
8× cert (což asi nebude zkratka pro náš bezpečnostní tým CSIRT.CZ), rambo
7× kofola a matrix
7× sluníčko a motor
6× silver a street
5× policie, jahoda, lopata, okurka, kostra, password, shadow, future, citron, mazlik, trabant
5× vanoce a geniove
4× aragorn, chleb, gothic, storm, milanek
3× slunce, kytara, wanted a meloun
Nutno podotknout, že jsem ignoroval lemmata, u nichž se zdálo, že drtivě nereprezentují konkrétní slovo – například hned druhé nejfrekventovanější lemma vůbec, „inka“ (149×), se vyskytuje jen v koncovkách (‚Dusinka‘, ‚pavlinka90‘, ‚zibrinka‘) – skutečnou slečnu „Inka12“ máme jenom jednu.

Cestou hesly jsem nezachytil snad vůbec žádnou diakritiku. Buď nebyla rozhashována, nebo se ji Češi zdráhají v heslech používat (což je možná škoda). Též všechno jsou jen první pády – pokud si někdo zvykne používat třeba sedmý pád, hned bude odolnější vůči slovníkovému útoku. Lemmat (základních tvarů) existuje na 120 000; pokud použijeme i pády a další tvary slov, hned se topíme v miliónech kombinací.

Skupiny znaků
Žádné heslo o méně než 5 znacích není tvořeno jen malými písmeny; tací autoři se snaží. Vyjma „T601“ a „Pes5“ se jedná o obtížná hesla, co bych asi neuhodl a co by stroji crackujícímu hash mohla trvat i několik vteřin. Na pěti písmenech začíná největší šlendrián – „UTERY“ (alespoň že velkými), „drzek“, 2x „Gabka“ (přičemž jedna z nich se tak jmenuje) apod.

Rozdělil jsem všechna hesla podle kategorií, zda obsahují písmena malá, velká, číslice a všechny ostatní, speciální znaky.

Speciální znaky

Vypadá to, že žádné heslo není tvořeno jen speciálními znaky. Kolik hesel je tvořeno jen číslicemi, nedovedu říct – nerozpoznám je od nerozhashovaných hesel. Celkem máme 720 hesel, která používají speciální znak; 124 mají speciální znaky dva, v 46 případech jsou dva speciální znaky za sebou. Nejoblíbenější je tečka, vyskytuje se 211×, z toho 57× na konci slova.

Přidávám úplný seznam speciálních znaků.

Skupiny složitosti hesel

Znak „větší než“ nemá nikdo. Též nikdo nepoužívá dvojtečku, což mě překvapuje, protože je na klávesnicích běžně k dostání, rozhodně o něco více než „větší než“ > a třeba circumflex ^.

Nejčastější kombinace skupin
Hesel, která jsou tvořeny písmeny s číslicemi na konci je většina – 8037 výskytů (‚pepa1256‘, ‚frank167‘, ‚pidos007‘, ‚obchod1254‘). Z toho dvě tisícovky hesel končí na 2 číslice, další dvě na 4 číslice, tisíc a půl hesel je zakončeno 3 číslicemi, tisícovka jedinou číslicí a půl tisíce má dokonce 6 číslic.
Pokud je v hesle číslice, bude to s největší pravděpodobností jednička (5542 hesel). Pokud jsou v hesle dvě číslice za sebou, bude to jedna dva (1101 hesel); pokud číslice mají být totožné, jsou to dvě nuly (584 hesel).

Korelace s přihlašovacím jménem
Zkoumal jsem zajímavou otázku, zda lidé používají heslo, které se podobá přihlašovacímu jménu. Ano; když jsem vzal každý sled pěti znaků hesla a hledal je v řetězci jména, ukázalo se, že každý třináctý uživatel: 1297 hesel má 5 a více znaků stejných nebo zcela shodných s e-mailem.

ondraluk@email.cz → 2ondraluk
zinule.m@seznam.cz → zinulem
genius1006@gmail.com → netGENIUS11
martin.sn@atlas.cz → martin0117
pmachtik@centrum.cz → machta100
alledain@seznam.cz → Alledain
Závěr
Osobně si myslím, že je lepší heslo delší nežli složitější – deset jednoduchých znaků se vyplatí mnohem více než tři složité. Ovšem jak vidíme, ať je heslo dlouhé či krátké, ať obsahuje obskurní znaky nebo jenom latinku, všechno marné, když poskytovatel příliš nehashuje. Vzpomínám si na vtipy o hackerovi, lamerovi a looserovi. Looser si dá heslo ‚zuzana‘, protože kdo by mohl tušit, že se jeho manželka jmenuje Zuzana? Hacker si dá heslo ‚zuzana‘, protože je mu jedno, jestli ho někdo hackne. Lamer si dá heslo ‚n#FG*[f83‘ a každý týden ho zapomene.

Používejte jiná hesla na různé služby; ach, alespoň na ty kruciální.

Pro psaní článku byl využit Český národní korpus: Srovnávací frekvenční seznamy. Ústav Českého národního korpusu FF UK, Praha 2010. Dostupné z WWW: http:ucnk.ff.cuni.cz/srovnani10.php
Citlivá data použitá v článku jsou pozměněna – všechny e-mailové adresy a některá hesla. Někdo má hezké krátké heslo, tak mu ho tu neprásknu.

Odhalte interní hrozby hned v počátku

12.12.2016 SecurityWorld Zabezpečení
Interní hrozby představují velmi časté riziko, před kterým jsou bezpečnostní profesionálové neustále varovaní. Podle expertů potřebujeme software nové generace, integrovanou inteligenci pro odhalování hrozeb a schopnost najít vzájemné souvislosti mezi velkým množstvím událostí z protokolů a kontextem. Jak by tedy mohla vypadat výzbroj proti těmto hrozbám?

Odborníci jsou přesvědčeni, že pokročilé nástroje jsou pro blokování útoků a zotavení z nich, pokud by byly úspěšné, nezbytné. Bohužel když firmy zjistí, že došlo k jejich kompromitaci, velmi často se dozvědí i to, že jejich systémy byly napadené už delší dobu.

„Interní hrozby mohou zahrnovat kombinaci zločinců z řad vlastního personálu, nevědomých kompromitovaných zaměstnanců a nedbalých pracovníků,“ vysvětluje Wade Williamson, ředitel produktového marketingu ve společnosti Vectra Networks.

„K identifikaci všech těchto hrozeb budete potřebovat speciální řešení, které se ale liší v chování i ve způsobech, jak může rizika v zabezpečení odhalit.“

Sesbírali jsme rady od několika bezpečnostních expertů, kteří se zaměřují právě na pomoc firmám odhalit interní útok v co nejranější fázi.

Tip 1: Hledejte ve svých DNS přenosech neobvyklé vzory

„DNS je často opomíjenou vrstvou,“ tvrdí Arno Meulenkamp, systémový inženýr společnosti Infoblox. „Lze ji používat jako cestu pro únik dat. Neobvyklé vzory v DNS provozu, jako jsou například změti dat, mohou signalizovat, že se děje něco nekalého.“

Tip 2: Kontrolujte, zda protokoly neobsahují informace o autentizacích hostitel-hostitel

„Pokud vidíte, že se někdo autentizuje vůči hostiteli z jiného hostitele, zatímco ten cílový se obvykle autentizuje pomocí řadiče domény, můžete mít problém,“ varuje Yonathan Klijnsma, hlavní analytik pro inteligenci zaměřenou na hrozby ve společnosti Fox-IT.

„V této souvislosti je důležité znát nástroje, které útočníci používají – například PSExec (a jeho varianty) nebo Mimikatz –, a hledat provoz odpovídající těmto nástrojům.

Je běžné, že takovéto nástroje jsou používané právě prostřednictvím komunikace mezi hostiteli (host-to-host) pro laterální pohyb – k přechodu mezi počítači se systémem Windows zapojenými v síti.“

Tip 3: Kontrolujte, zda na webu nenajdete vystavené přihlašovací údaje zaměstnanců

„Monitorujte weby, jako je například Pastebin, zda se na nich nevyskytnou přihlašovací údaje vašich zaměstnanců,“ radí Nagraj Seshadri, viceprezident marketingu společnosti Recorded Future.

„Pokud došlo ke zneužití přihlašovacích údajů uniklých na web, možná máte uvnitř firmy záškodníka, a přitom zaměstnanec, kterému dané přihlašovací údaje patří, nemusí o ničem vědět. Zareagujte změnou hesel a zvažte zavedení dvoufaktorové autentizace.“

Tip 4: Sledujte datové toky týkající se klíčových aktiv.

„Záškodník z řad zaměstnanců bude často krást velké objemy dat během krátkého časového období. Shromažďování velkých objemů dat lze snadno zjistit monitorováním interního majetku,“ dodává Williamson ze společnosti Vectra Networks.

„Sledováním interních přenosů mohou týmy rychle zjistit, zda dochází k tunelování dat ze sítě nebo jestli se data přenášejí na více zařízení kvůli jejich následné krádeži.“

Tip 5: Mapujte vícenásobná přihlašování počítačů do cloudových služeb úložišť

„Hledejte uživatele, kteří se přihlašují k různým počítačům ze stejného účtu, přistupují k velkým datovým úložištím a synchronizují svá data s cloudovými službami úložišť, jako je například Dropbox,“ radí Itsik Mantin, ředitel výzkumu zabezpečení ve společnosti Imperva.

„Interní záškodník totiž může využít vyzrazené přihlašovací údaje uživatele pro přístup k uživatelským účtům Dropboxu – takové odesílání dat pak může vypadat jako běžné firemní využití služeb.“

Tip 6: Používejte falešné přihlašovací údaje a soubory jako návnady

„Vnitřní zloduch se bude pohybovat v síti, vyhledávat nové přihlašovací údaje a používat svá nově získaná privilegia pro přístup k datům,“ prohlašuje Haroon Meer, zakladatel a výzkumník společnosti Thinkst.

„Použití falešných přihlašovacích údajů a falešných souborů jako návnad umožňuje vidět, když se tyto přihlašovací údaje začnou používat (a nikdy by k tomu vlastně dojít nemělo).“

Tip 7: Hledejte věci, které již neexistují

„Záškodníci z řad zaměstnanců se často snaží zakrýt své stopy – podobně jako malware, který se pokouší si zajistit dlouhodobě neodhalenou existenci pomocí mazání mnoha kompromitujících věcí,“ prohlašuje Fabien Perigaud, bezpečnostní expert divize Airbus Defence and Space – CyberSecurity.

„Hledejte klíče registru, služby a objekty, ke kterým někdo přistupoval, v minulosti je používal, ale nyní již v počítači neexistují. Mohly by být neklamnou známkou výskytu záškodníka.“

Tip 8: Mapujte protokoly autentizace koncového bodu pomocí protokolů Active Directory

„Pokud uživatel dříve využíval jen tři až čtyři zařízení v síti, ale nyní se za krátký čas tento počet výrazně zvýšil, je možné, že máte problém s vnitřním zloduchem,“ vysvětluje Mark Schloesser, výzkumník zabezpečení ze společnosti Rapid7.

„Je nutné hledat souvislosti mezi protokoly z Active Directory (AD) a protokoly z koncových bodů, protože obsahují události lokální autentizace účtu, které nejsou pro AD viditelné.“

Tip 9: Vyhledejte první instanci události

„Hledejte první výskyt vykonávané aktivity,“ doporučuje Johan den Hartog, technik společnosti Tenable Network Security. „Pokud taková aktivita dříve neexistovala, mohlo by to ukazovat na začátek útoku interního záškodníka a je třeba to vyprofilovat.

Například společnosti HSBC a Sabre zažily případy, kdy došlo k vytvoření stínových zaměstnanců pomocí aliasů a nové aktivity byly vykonávané právě pod těmito aliasy.“

Tip 10: Identifikujte použití nástrojů stínových IT

„V naší nedávné zprávě o používání aplikací a hrozbách jsme uvedli, že více než 4 400 organizací zažilo současné používání pěti a více unikátních aplikací pro vzdálený přístup. Očekávatelné množství je ale jedna nebo dvě, rozhodně ale ne pět,“ popisuje Greg Day, viceprezident a ředitel zabezpečení pro oblast EMEA ve společnosti Palo Alto Networks.

„Přestože může jít o záměrné využívání, může nasazení těchto nástrojů v konečném důsledku vést k nepředvídatelným následkům.“

Tip 11: Před smazáním malwaru jej analyzujte

„Protože je udržení provozu hlavní prioritou, vytvořily si společnosti zvyk okamžitě při identifikaci malwaru obnovit infikované systémy z bitových kopií, aby mohly opět hned fungovat,“ popisuje Ralph Pisani, výkonný viceprezident provozu společnosti Exabeam.

„Malware je příznakem, že se děje něco špatného, takže by firmy neměly tuto důležitou stopu tak rychle eliminovat – mohla by totiž jim pomoci pochopit smrtící kybernetickou posloupnost.

Malware totiž často nepředstavuje konec, ale naopak začátek problému. Je velmi důležité vědět, co uživatelé udělali předtím, než došlo k detekci malwaru, a také co se dělo po infekci.“

Zabezpečte se i bez peněz

10.12.2016 SecurityWorld Zabezpečení
Přinášíme ukázku metod a produktů, pomocí kterých mohou malé a středně velké firmy zlepšit své zabezpečení, aniž musejí vydávat nějaké další výdaje.

Problémem je, že řada dobrých rad existuje jen ve znalostech nejzkušenějších bezpečnostních profesionálů a společností, takže se k malým a středně velkým firmám nedostanou, a nemohou jim tedy pomoci.

Mezi menšími firmami stále přetrvává dojem, že zlepšení jejich zabezpečení vyžaduje obrovské organizační změny a značné investice v takovém rozsahu, který se pravděpodobně vymyká jejich aktuálním možnostem.

Náprava největších slabin však vždy nemusí vyžadovat velké finanční náklady. Přinášíme některá z doporučení expertů.

1. Přestaňte ignorovat e-mailové hrozby

E-mail je hlavní branou, kterou se útočníci vždy pokusí využít jako první, když se chtějí zaměřit na firemní systémy. To, jak dobře a snadno tato taktika funguje, ukazují četné případové studie incidentů z reálného světa kybernetického zločinu.

Stačí jen zaslat jeden e-mail s přílohou s nastraženým malwarem jakoby od známého uvedeného kontaktu a útočník snadno získá záchytné místo v systému. Odtud může zasílat e-maily dalším kontaktům a přistupovat do části sítě, takže se útok rychle rozšíří.

Říkat lidem, aby neotevírali přílohy zaslané od neznámých osob, je rada upřímně řečeno téměř k ničemu – pokud lidé nesmějí otevírat přílohy od třetích stran, k čemu jim potom e-mail vůbec je? Nevyhnutelně to budou dělat.

Prvním zlepšením je podívat se na používané e-mailové systémy. Hostované služby Exchange a Gmail lze nakonfigurovat tak, aby používaly whitelisty tvořené z kontaktů přidaných do adresáře, a používají také své vlastní filtrování v první řadě za účelem snížit zátěž podezřelými e-maily.

Všichni nezastaralí e-mailoví klienti včetně webmailových služeb, jako je například Gmail, budou také považovat přílohy od neznámých kontaktů za automaticky podezřelé a podobně přísná pravidla budou používat i pro e-maily obsahující odkazy. To je začátek.

Problém spočívá v tom, že útočníci stejně často používají phishingové útoky formou napodobení komunikace legitimních webů, takže druhá vrstva obrany vyžaduje vyškolení uživatelů, tak aby dokázali rozpoznat jemné příznaky napadení.

To se samozřejmě snáze řekne, než udělá, ale řada firem nabízí antiphishingová školení a systémy testování, které ale obvykle stojí určité peníze.

Předpokládejme zranitelnost webů

Využívání děr na webech e-commerce pomocí injektáže SQL, skriptování mezi weby (XSS) atd. je dalším naprosto standardním způsobem, jak zaútočit na firmu. Dokonce i největší firmy bojují s tím, co by už v současné době mělo být dobře pochopenou záležitostí – jak třeba nedávno ukázaly škody vzniklé z útoku na společnost TalkTalk.

K dispozici je mnoho skenerů webových zranitelností. Např. od firem Qualys, AlienVault a Acunteix (obvykle jsou nabízené také bezplatné zkušební verze) nebo je možné použít četné nástroje open source, které však vyžadují větší odborné znalosti.

Pro začátek mohou být dobré nástroje, jako jsou Vega, W3af a SQLmap.

Zablokujte rizikový software

Většina počítačů obsahuje příliš mnoho softwaru a část z toho může být nainstalovaná zaměstnanci, aniž o tom správci vědí. Je to neuvěřitelně riskantní, ale naštěstí je možná náprava prostým odstraněním softwaru, který je známý jako neustálý zdroj zranitelností nultého dne.

Hlavními pachateli jsou zásuvné moduly Flash prohlížečů, aplikace PDF Reader společnosti Adobe a Java Runtime Environment (JRE včetně starých verzí) a téměř cokoli publikované společností Apple – nic z toho už není nezbytné tak, jako to bylo v minulosti.

Takový software odstraňte a zbavíte se velké části rizika při minimálních nevýhodách. Potřebujete PDF? Nejnovější browsery využívají prohlížeč v izolovaném prostoru bez potřeby spouštět celý program nebo dokonce stahovat soubor.

Přinejmenším rozhraní, jako je například Flash, by se měla zapínat jen v případě potřeby tak, že by je uživatelé spouštěli ručně.

„Pokud software nemůžete zablokovat, je přinejmenším nutné, abyste věděli, co ve vašich prostředích běží. Monitorujte, monitorujte a monitorujte. Kontrolujte, kdo co dělá, k jakým souborům se přistupuje, kdo se přihlašuje atd. Seznamte se zkrátka s tím, jak váš systém vypadá,“ radí Javvad Malik z bezpečnostní společnosti AlienVault.

Šifrování používejte uvážlivě

Žádná technologie není tak často zmiňovaná jako jednoduchý způsob zlepšení, jako je tomu u šifrování, ale jeho nasazení není jednoduchým všelékem. První problém spočívá v tom, že šifrování je často nákladné, proprietární pro konkrétní aplikace a také samozřejmě je nutné někam bezpečně ukládat klíče.

Šifrování může být užitečné pro ochranu uložených dat, zejména těch v mobilních zařízeních na platformách iOS a Android, které v novějších verzích nabízejí bezpečné šifrování standardně.

Firemní notebooky bývají v současné době poskytované s možností plného šifrování disku (FDE, Full Disk Encryption), což by měly malé a středně velké firmy vždy využít. USB disky by se měly šifrovat vždy.

Šifrování desktopů v malém měřítku je vždy trochu složitější. O to více, když svého času slavný a spolehlivý open source program TrueCrypt už nadále není považovaný za důvěryhodný.

Microsoft nabízí vynikající nástroj BitLocker ve verzích Pro svého systému Windows včetně nejnovějšího Windows 10, což by měl být základ konfigurace každého desktopu s tímto operačním systémem, ze kterého se přistupuje k důležitým datům.

Nástroje se liší ve způsobu fungování v případě šifrování jednotlivých souborů či šifrování celých svazků. Mezi zajímavé nástroje pracující se svazky patří DiskCryptor a FreeOTFE. Symantec navíc nabízí nástroj Drive Encryption, ale ačkoli je relativně drahý, neposkytuje některé funkce centrální správy.

Cisco vylepší zabezpečení koncových bodů pomocí nové cloudové služby

8.11.2016 SecurityWorld Zabezpečení
AMP for Endpoints, cloudové řešení, které podle výrobce spojuje prevenci, detekci a reakci na hrozby, představilo Cisco. Chce pomocí něj zjednodušit zabezpečení koncových bodů bez důrazu na neefektivní preventivní strategii.

Spojením prevence, detekce a reakce na hrozby do jednoho cloudového řešení poskytovaného na bázi modelu software jako služba (SaaS) prý novinka zastaví více hrozeb.

Díky cloudovému modelu navíc podle výrobc dokáže reagovat na hrozby rychleji a lépe je připraví na triky dnešních útočníků.

Vlastnosti AMP for Endpoints podle dodavatele:

Prevence nové generace kombinující osvědčené a pokročilé typy bezpečnostních funkcí, která zastaví známé i nově vzniklé hrozby. Páteř systému tvoří globální informace o hrozbách od týmu Cisco Talos. Díky tomu může novinka nabídnout zabudovanou technologii integrovaného izolovaného prostředí (tzv. sandboxu) pro oddělení a analýzu neznámých souborů.
Lepší viditelnost a rychlejší detekci díky průběžnému monitoringu a sdílení analytik pro odhalení skrytých útoků. AMP for Endpoints zaznamenává veškerou aktivitu na úrovni souborů a dokáže proto rychle detekovat škodlivé aktivity a upozornit bezpečnostní tým. Produkt disponuje největším množstvím dat o hrozbách, neboť analyzuje všechny škodlivé soubory, které se objevily u zákazníků firmy Cisco.
Účinnější odezvu postavenou na viditelnosti sítě a detailním záznamům o minulém chování různých typů malwaru – odkud se do sítě dostaly, kde byly a jak se chovaly. Produkt zrychluje proces odhalování škodlivého softwaru a cloudové rozhraní umožňuje vyhledávat napříč všemi podnikovými koncovými body a snadno zjistit indikátory, podle kterých škodlivý software lze odhalit.

Kromě toho Cisco zavádí nový způsob nákupu a nasazení svého bezpečnostního softwaru, a to přes program softwarových licencí Cisco ONE Software.

Lidé podceňují bezpečnost domácích routerů. Mohou je ovládnout kyberzločinci

27.10.2016 Novinky/Bezpečnost Zabezpečení
Na alarmující situaci na poli domácích routerů poukazuje čerstvý průzkum antivirové společnosti Eset. Podle něj totiž lidé velmi podceňují zabezpečení těchto bran do světa internetu. Z každých sedmi testovaných routerů se podařilo napadnout alespoň jeden. To velmi nahrává kyberzločincům, kteří mohou tyto síťové prvky ovládnout na dálku.
„Test se zaměřil na kontrolu výchozích uživatelských jmen a hesel a jejich nejčastěji používaných kombinací. Je znepokojující, že v jednom případě ze sedmi byl útok úspěšný,” řekl Peter Stančík, Security Evangelist společnosti Eset.

Ten zároveň upozornil na to, jakého hlavního neduhu se lidé při konfiguraci síťových prvků dopouštějí.

„Zejména nezabezpečené služby, jako je Telnet, by rozhodně neměly být otevřené, a to ani do interních sítí, což bylo bohužel zjištěno ve 20 procentech případů,“ dodal Stančík.

Slabá hesla, nevhodné nastavení
Průzkum dále ukázal, že 15 procent uživatelů používá slabá hesla, nejčastěji v kombinaci s přednastaveným uživatelským jménem „admin“. Přibližně 7 % testovaných zařízení navíc obsahovalo zranitelnost, kterou bezpečnostní experti označili jako středně nebo vysoce vážnou. Skenování portů odhalilo, že síťové služby jsou velmi často přístupné nejen z vnitřních, ale i z externích sítí.

Více než polovina dalších zranitelností vycházela z nevhodně nastavených přístupových práv. Na pozoru by se měli mít lidé podle průzkumu, do kterého bylo zařazeno na 12 000 routerů, také před zneužitím příkazů tzv. metodou command injection.

„Ta cílí na spouštění libovolných příkazů ve vzdáleném operačním systému skrze zranitelnosti v aplikacích, které nemají dostatečně ošetřeno ověření vstupů. Bezmála 10 % softwarových zranitelností se týkalo takzvaného cross-site scriptingu (XSS), který umožňuje útočníkovi měnit konfiguraci routeru tak, aby mohl spouštět škodlivé skripty na straně klienta,“ uvádí bezpečnostní expert.

Co se stane, když se útočníkům podaří do routeru dostat? Nejčastěji se snaží přesměrovat internetový provoz. Místo serverů, jako jsou například Seznam nebo Google, se poškozeným zobrazí například hláška o nutnosti instalace flash playeru. Místo té se ale do PC stáhne další virus. Útočníci tak rázem mají přístup nejen k routeru, ale i k připojenému počítači.

Počet útoků stoupá
Na brány do světa internetu se zaměřují kyberzločinci stále častěji. Využívají toho, že zabezpečení těchto internetových zařízení uživatelé především v domácnostech velmi podceňují, někdy to ale platí i o firmách. Březnová studie Cisco Annual Security Report ukázala, že devět z deseti internetových zařízení má slabá místa.

Hlavní problém je podle bezpečnostních expertů v tom, že routery není možné chránit antivirovými programy, jako je tomu u počítačů. I tak ale nejsou uživatelé úplně bezbranní. Řešením je stahování vždy nejnovějších aktualizací a bezpečnostních záplat, stejně jako vhodná konfigurace každého síťového prvku.

Do konfigurace routerů by se nicméně neměli pouštět méně zkušení uživatelé. Mohou totiž nevhodným nastavením způsobit více škody než užitku. Paradoxně tak mohou klidně otevřít zadní vrátka pro útočníky.

Bezpečnost svých řešení vylepšuje Microsoft. Co doznalo změn?

7.10.2016 SecurityWorld  Zabezpečení
Hned několik zajímavých novinek představila na své nedávné konferenci Ignite firma Microsoft. Prim v nich hraje bezpečnost.

Ochrana dat

Co se týče bezpečnosti, vylepšení v této oblasti se týkají zejména produktů Windows 10, Office 365 a Enterprise Mobility + Security.

Windows Defender Advanced Threat Protection (WDATP) a Office 365 ATP jsou nově propojené. Toto spojení může profesionálům snadněji, efektivněji a rychleji reagovat na hrozby napříč platformami Windows 10 a Office 365.

Office 365 Advanced Threat Protection se rozšíří i na Word, Excel, PowerPoint, SharePoint Online a OneDrive for Business, Office 365 Threat Intelligence zase přináší upozornění a informace o původu útoků v rámci stávajícího systému SIEM a umožňuje uživateli zvolit dynamické řešení v závislosti na povaze hrozby.

Outlook pro iOS a Android jsou už plně v režii služby Microsoft Cloud pro Office 365 u komerčních uživatelů s nativní podporou Exchange Online -- žádné údaje ve schránkách tak nejsou zavedené mimo prostředí Office 365, a tím pádem se garantují stejné bezpečnostní standardy.

Enterprise Mobility + Security E5 je nová nabídka služeb, která usnadňuje přechod na mobilní a cloudovou platformu. Dostupná je od října 2016 a zahrnuje Microsoft Azure Information Protection, která umožňuje společnostem klasifikovat, třídit a chránit citlivé údaje.

Od října 2016 je dostupná i služba Secure Productive Enterprise, která přináší podle tvůrců nejnovější a nejpokročilejší nastavení bezpečnosti a produktivity napříč Office 365, Windows 10 Enterprise a Enterprise Mobility + Security.

Inteligentní řešení

Office 365 získá prostřednictvím cloudových řešení nové inteligentní schopnosti jako:

Tap in Word and Outlook, využití Microsoft Graph bude jednodušší sloučení obsahu z existujících dokumentů do nově vznikajících dokumentů či emailů.

QuickStarter pro PowerPoint a Sway přináší nástin zpracování všech možných témat, včetně textu a obrázků, který poslouží jako inspirace při vytváření vlastní prezentace.

Mapy, nová tabulka v Excelu propojená s Bing Maps, proměňující geografická data do detailních vizualizací.

Cloud

Microsoft spolu s Dockerem vytvoří Commercially Supported Docker Engine, dostupný pro Windows Server 2016 zdarma. Mezi novinky patří i Windows Server Containers a Nano Server, které vývojářům usnadňují vyvíjet aplikace nové generace. Rychlejší implementace a kompatibilita se stávající infrastrukturou jsou hlavními přednostmi.

Na trh míří i System Center 2016, který přinese zjednodušené řešení managementu napříč celým datacentrem a cloudem pro Windows Server.

Portfolio strategických partnerství Microsoftu rozšířila také spolupráce s Adobe Systems. Zákazníci se mohou těšit na cloudové služby Adobe Creative Cloud, Adobe Document Cloud a Adobe Marketing Cloud. Poslední zmíněný bude preferovanou marketingovou službou pro Dynamics 365, Enterprise edition.

Operations Mangement Suite (OMS) uvádí na trh čtyři nové integrované služby: Insights & Analytics, Automation & Control, Security & Compliance a Protection & Recovery. V cloudu i v datovém centru, OMS umožňuje zákazníkům získat lepší přehled, zvýšit kontrolu, rychleji řešit problémy a zajistit dostupnost aplikací a dat.

Využívání cloudů je díky bezpečnostní architektuře společnosti Fortinet naprosto bezpečné

11.10.2016 SecurityWorld Zabezpečení
Internet věcí, cloud computing, virtualizace či využívání soukromých zařízení ve firemních sítích přináší netušené možnosti rozvoje byznysu, avšak také nové hrozby a bezpečnostní rizika. Mnoho společností stále spoléhá na zastaralé bezpečnostní strategie. Aktuální problémy kybernetické bezpečnosti řeší společnost Fortinet bezpečnostní architekturou Security Fabric.

Bezpečnostní architektura Security Fabric poskytuje škálovatelnou, širokospektrou ochranu proti bezpečnostním hrozbám pomocí úzce provázané, účinné bezpečnostní infrastruktury.

„Všudypřítomná digitalizace mění zavedené obchodní modely, zatímco technologické trendy jako internet věcí a cloud computing stírají hranice dnešních sítí. Mnoho podniků naneštěstí stále spoléhá na desítky let staré bezpečnostní strategie, které neodpovídají dynamice dnešního byznysu. Na rozdíl od platforem volně propojených na úrovni řízení provazuje architektura Security Fabric jako předivo vysoce pokročilý hardware a software a umožňuje přímou komunikaci mezi jednotlivými řešeními a tedy i jednotnou a rychlou reakci na hrozby,“ vysvětluje Ken Xie, šéf společnosti Fortinet.

Integrovaná, spolupracující a adaptabilní architektura Security Fabric poskytuje korporacím distribuované zabezpečení a zajišťuje ochranu proti hrozbám ze strany internetu věcí a vzdáleně připojených zařízení, jak v jádru informační infrastruktury tak i v cloudu.
Pět základních principů Security Fabric

Bezpečnostní architektura Security Fabric propojuje dříve nezávislé systémy do jediného provázaného celku založeného na pěti základních vzájemně závislých principech – přizpůsobitelnosti, informovanosti, bezpečnosti, praktické využitelnosti a otevřenosti.

Aby bezpečnostní architektura dokázala detekovat a neutralizovat hrozby ve všech částech dnešních neohraničených sítí, musí být dynamicky přizpůsobitelná (škálovatelná) nejen z hlediska proměnlivých požadavků na objem a výkon, ale také z hlediska rozsahu a povahy sítě. Portfolio bezpečnostních technologií společnosti Fortinet zahrnuje řešení, která pokrývají každou část infrastruktury, včetně pevných a bezdrátových sítí, uživatelských koncových zařízení a zařízení internetu věcí, přístupových vrstev, veřejných, soukromých i hybridních cloudových modelů, softwarově definovaných sítí a virtualizace. Technologie zajišťují, aby funkčnost, výkon a škálovatelnost sítě nebyla bezpečnostními prvky narušena.

Rozšiřitelnost řešení společnosti Fortinet na celou infrastrukturu je základem pro další zásadní princip architektury Security Fabric – informovanost. Architektura funguje jako celek a poskytuje přehled o zařízeních, uživatelích, obsahu a datech proudících do sítě i ven z ní a o vzorcích v datovém provozu. To na jedné straně snižuje komplexitu a náklady, na druhé zvyšuje efektivitu řízení a usnadňuje zavádění nových schopností a inovativních bezpečnostních strategií.

Dokonalý přehled o infrastruktuře je zásadní pro dosažení požadované úrovně zabezpečení proti všem typům ohrožení. Jako společné rozhraní pro všechny součásti bezpečnostní architektury Fortinet Security Fabric slouží FortiOS, nejčastěji nasazovaný bezpečnostní operační systém na světě. Technologie jako Fortinet Advanced Threat Protection Framework provádí hloubkovou analýzu provozu, dynamicky generují lokální informace o hrozbách a předávají data laboratořím FortiGuard Labs, které automaticky v reálném čase distribuují aktualizace do celého systému. Šíře těchto informací spolu s propracovanou, škálovatelnou a rychlou analýzou poskytuje bezpečnostní architektuře prakticky využitelné vstupy umožňující rychlou reakci a neutralizaci hrozeb bez ohledu na místo jejich výskytu.

Aby zákazníci mohli využít stávajících investic do infrastruktury a zabezpečení, je architektura Security Fabric koncipovaná tak, aby ji bylo možno integrovat s širokou škálou řešení jiných dodavatelů. Společnost Fortinet úzce spolupracuje s partnery sdruženými v globální alianci na vývoji otevřených API pro všechny části bezpečnostní architektury. Zákazníkům to poskytuje flexibilitu při zavádění řešení společnosti Fortinet vedle stávajících nebo nových bezpečnostních technologií a integrovat je spolu pro dosažení vyšší úrovně ochrany.

Více informací naleznete na: http://demand.fortinet.com/cz-securityfabric

Podnikovou síť ochrání NetShield

27.9.2016 SecurityWorld Zabezpečení
Produkt NetShield společnosti SnoopWall, který podle dodavatele poskytuje zabezpečení vnitřní sítě, jež nejsou schopné nabídnout současné firewally a antivirové programy, uvedl na náš trh VUMS Datacom.

NetShield představuje novou generaci řešení pro řízení přístupu mobilních i pevných zařízení. Firma pomocí něj získá přehled a kontrolu nad nedůvěryhodnými síťovými aktivitami prostřednictvím dynamického řízení pevných, mobilních a virtuálních koncových zařízení.

Bez-agentová podoba ochrany usnadňuje integraci do stávající podnikové infrastruktury, a navíc je řešení prý snadno spravovatelné, flexibilní, nákladově efektivní a škálovatelné. Navíc se může připojit kdekoliv -- a odhalit či zajistit problém odkudkoliv.

NetShield přináší sadu funkcí Network Access Control (NAC). Implementovaná funkce Pre-Cognition Engine zajišťuje, aby karanténa koncového bodu předcházela infekci. Tento mechanismus tak podle dodavatele zajišťuje umístění do karantény s nulovým výskytem false-positive chyb.

Vlastnosti řešení NetShield podle výrobce:

NAC – aby se ke korporátním sítím připojily pouze důvěryhodné zdroje
Zero-hour malware a phishing karanténa – prevence ransomwaru s nulovou false positive chybou
Vulnerability assessment a patch management
Vykazování shody s bezpečnostními standardy
TLD blokování & Detekce MAC spoof

Nový antimalware Kaspersky lépe zabezpečí spojení na citlivé stránky

14.9.2016 SecurityWorld Zabezpečení
Novou verzi Kaspersky Internet Security – multi-device, plně v češtině, uvedl na náš trh Kaspersky Lab. Uživatelům nabízí několik dalších možností, jak zabezpečit svá data na platformách Windows, Mac i Android.
Například verze pro Windows nově zahrnuje například funkci Secure Connection zajistí, že uživatelská data se nemohou během připojení k internetu zachycovat podvodníky. Doplňky Software Updater a Software Cleaner zase mohou pomoci opravit potenciální mezery v zabezpečení zařízení.

Kromě toho je nové řešení vybavené dalšími technologiemi, jako je několikaúrovňová ochrana finančních transakcí (Safe Money), prevence proti instalaci nevyžádaných aplikací (Application Manager, který byl dříve součástí doplňku Change Control) či blokování reklamních bannerů v prohlížeči (Anti-Banner).

Co se týče Secure Connection, tato funkce umožňuje pomocí kódování všech v rámci sítě poslaných i přijatých dat bezpečně se připojit k internetu. To je obzvlášť důležité při realizaci finančních operací, autorizace na webových stránkách nebo přesunu důvěrných informací.

Užitečná je hlavně během cestování, kdy se mnoho lidí častěji připojuje k nezabezpečeným Wi-Fi sítím, aby zůstali ve spojení. Secure Connection se může spouštět jak z hlavní nabídky produktu, tak i automaticky při připojení k veřejné Wi-Fi síti nebo vkládání důvěrných informací například na webové stránky bank, do online úložišť, platebních systémů, e-mailů, na sociální sítě, atd.

Cleaner zase monitoruje všechny aplikace nainstalované v počítači a upozorňuje na ty, které mohou představovat potenciální riziko. Uživatele upozorní v případě, že do jejich zařízení přibyl program bez jejich vědomí (například přídavný software během instalace jiné aplikace) nebo pokud nějaký program zpomaluje jejich zařízení, poskytuje neúplné nebo nesprávné informace o jeho funkcích, funguje na pozadí, zobrazuje bannery a zprávy bez povolení (reklama) nebo je využíván jen zřídka.

Přichází nová generace ochrany koncových bodů

3.9.2016 Zabezpečení
Platformy nové generace ochrany koncových bodů (Next Generation Endpoint Protection, NGEPP) spíše, než by hledaly signatury malwaru, jak to dělá tradiční antivirový software, analyzují procesy, změny a připojení, aby tak rozpoznaly aktivitu, která naznačuje nečestné chování. Přestože je tento přístup lepší při zachytávání exploitů nultého dne, i zde existují problémy.

Potíže s novou generací ochrany mohou být různé. Například zprávy o činnosti zařízení lze shromažďovat pomocí klientského softwaru i bez něj.

Podniky se tedy rozhodují, zda použít řešení bez klienta a získávat méně podrobné informace o hrozbách, nebo shromažďovat bohaté podrobnosti, ale s nutností řešit problémy s nasazením, správou a aktualizací, spojené s instalací agentů.

Potom nastává volba, jak zjistit důkazy, že probíhá invaze, a jak se přitom neutopit v záplavě shromážděných dat. Jakmile dojde k odhalení útoků, musejí organizace najít způsob jejich nejrychlejšího zablokování.

Mezi dodavatele, kteří se snaží vyřešit tyto problémy, patří i společnosti se širokou řadou produktů, jako jsou například Cisco nebo EMC, zavedení dodavatelé zabezpečení, jako jsou Bit9+Carbon Black FireEye, ForeScout, Guidance Software, Trend Micro a další, a také novější firmy zaměřené na zabezpečení koncových bodů, jako firmy Cylance, Light Cyber, Outlier Security nebo Tanium.

Je to jen malý vzorek, protože je toto pole přeplněné a konkurenti přicházejí s různými způsoby, jak problémy zvládnout.

Hodnota platforem pro ochranu koncových bodů je v tom, že dokážou identifikovat specifické útoky a urychlit reakci na ně poté, co dojde k jejich detekci. Dělají to tak, že shromažďují informace o komunikaci mezi koncovými body a ostatními zařízeními v síti stejně jako změny vykonané v koncovému bodu samotném, které mohou znamenat ohrožení.

Databáze této telemetrie koncových bodů se potom stává forenzním nástrojem pro zkoumání útoků, mapování jejich rozvoje, zjišťování zařízení, která potřebují nápravu, a případnou predikci možných budoucích hrozeb.

Agent, nebo ne?

Hlavní averze vůči agentům obecně spočívá v tom, že jsou dalším softwarem, který je nutné nasadit, spravovat a aktualizovat. V případě nové generace ochrany koncových bodů poskytují obrovské množství jinak nezískatelných dat o koncových bodech, ale to může být také nevýhoda.

Agenti koncových bodů nashromáždí tolik informací, že může být obtížné odlišit útoky od tzv. šumu pozadí, takže je důležité, aby se práce těchto agentů podpořila analytickým strojem, který dokáže takový objem dat zvládnout, upozorňuje Lawrence Pingree, analytik Gartneru. Množství generovaných dat se liší podle agentů a typů koncových bodů.

Bez agenta mohou platformy ochrany koncových bodů stále shromažďovat cenná data o činnosti zařízení napojením se na přepínač nebo směrovač a sledováním síťových služeb Windows (Windows Network Services) a WMI (Windows Management Instrumentation).

Tyto údaje mohou zahrnovat informace, kdo je přihlášen k zařízení, co uživatel dělá, úrovně oprav, zda běží další agenti zabezpečení, zda jsou připojena USB zařízení, jaké běží procesy a podobně.

Analýza může odhalit, zda zařízení vytvářejí připojení mimo očekávaný rámec, což je možným příznakem bočního pohybu útočníků, kteří hledají způsoby napadení dalších počítačů a eskalace privilegií.

Použití agentů může znamenat nutnost mít další konzoli pro správu, což představuje větší složitost a potenciálně vyšší náklady, upozorňuje Randy Abrams, ředitel výzkumu ve společnosti NSS Labs, která zkoumá platformy NGEPP.

„V určitém bodě to povede i k rozdílu v počtu pracovníků,“ vysvětluje Abrams a dodává: Pro správu všech konzolí může být třeba větší množství personálu, a to se promítá do vyšších nákladů.

Je to také záležitost kompatibility, tvrdí Rob Ayoub, také jeden ze šéfů výzkumu ve společnosti NSS Labs. „Jak zajistíte, aby libovolní dva agenti spolupracovali, a komu zavoláte, pokud kooperovat nebudou?“

Bezpečnost řízení a správy těchto platforem by se měla kontrolovat také, upozorňuje Pingree, aby se minimalizovalo ohrožení platforem samotných od interních útočníků.

Podniky by měly hledat produkty ochrany koncových bodů s nástroji, které umožňují různé úrovně přístupu pro personál IT, jenž má rozdílné role. Bylo by například užitečné povolit omezený přístup pro správce, zatímco inženýři reagující na incidenty by měli větší přístup, vysvětluje Pingree.

Analytické stroje

Analýza je nezbytná, ale také složitá, a to natolik, že to může být samostatná služba, jako je například ta, kterou nabízí společnost Red Canary.

Namísto shromažďování dat z koncových klientů pomocí vlastních agentů využívá senzory dodávané společností Bit9+CarbonBlack. Red Canary tato data obohatí o zpravodajské informace o hrozbách, získané od různých dalších komerčních bezpečnostních firem, vše analyzuje a generuje varování o narušeních, která najde v sítích svých zákazníků.

Tento analytický stroj označí potenciální problémy, ale kontrolu označených událostí vykonávají lidé – analytici, aby ověřili, zda jde o skutečné hrozby. To analytikům podnikového zabezpečení pomáhá omezit počet varování, na která musejí reagovat.

Nově vytvořená společnost Barkly zase uvádí, že pracuje na agentovi pro koncové body, který místně analyzuje situaci koncového bodu a automaticky blokuje škodlivé aktivity. O vykonaných akcích také informuje příslušného správce.

Tyto stroje potřebují připojení k větším zdrojům zpráv o hrozbách, kde jsou informace o charakteristice útoků z hlediska jejich šíření a o aktivitách vedoucích k narušení bez použití kódu, který by bylo možné označit jako malware, uvádí Abrams.

Většina z toho, co se ví o funkcích detekce v rámci koncového bodu a nástrojích reakce, je to, co o jejich schopnostech říkají ti, kdo je i vytvářejí. Pokud je to tedy možné, měli by potenciální zájemci použít zkušební verze, aby si funkce a efektivitu osobně ověřili ještě před nákupem. „Nevýhodou vznikajících technologií je, že nejsou dostatečně otestované,“ upozorňuje i Pingree.

Náprava

Nástroje detekce v koncovém bodu sbírají velké množství dat, která lze takticky použít k zastavení útoků, ale také k podpoře forenzního vyšetřování vývoje událostí – od průniků až po exploity. To může pomoci zjistit, jaká zařízení potřebují ošetření, a někteří dodavatelé se snaží tento proces zautomatizovat...

Lidé podceňují zabezpečení. Každý dvanáctý Čech čelil v zahraničí útoku hackerů

22.8.2016 Novinky/ Bezpečnost Zabezpečení
Útoky hackerů nejsou ničím výjimečným, a to ani v době dovolených. V zahraničí se s nimi setkal každý 12. Čech. Vyplývá to z průzkumu antivirové společnosti Kaspersky Lab, podle kterého celkem 15 procent Čechů přišlo někdy v zahraničí o peníze, 12 procent se setkalo s on-line podvodem a osmi procentům někdo zneužil jejich platební karty.
Vzhledem k chování Čechů na cestách nejsou tyto údaje podle Kaspersky Lab překvapující. Průzkum ukázal, že tři čtvrtiny dotázaných se připojují k jakýmkoli veřejným Wi-Fi sítím, které mohou být zneužity kybernetickými zločinci. Přes potenciálně nebezpečná připojení pak téměř polovina českých respondentů používá internetové bankovnictví a více než třetina nakupuje on-line.

Bezpečnou VPN při připojení k veřejným sítím používá pouze 26 procent Čechů. Téměř čtvrtina v průzkumu přiznala, že se při připojování k internetu nijak nechrání.

"Připojit se k internetu pomocí nezabezpečené Wi-Fi sítě v zahraničí je jednoduché. Lidé pak automaticky pokračují v rutinních činnostech, jako je použití internetového bankovnictví nebo nakupování. Nepřemýšlí už ale, jaké následky může jejich chování mít," uvedl analytik Kaspersky Lab David Emm.

Uživatelé by se měli při cestování a připojování k internetu v zahraničí dostatečně chránit. Nikdy by neměli spustit z dohledu své platební karty a k internetu by se měli připojovat pouze pomocí zabezpečeného VPN připojení.

LOGmanager ve verzi 2.0 nabídne lepší práci s parsery i alerty

19.8.2016 Securityworld Zabezpečení
Novou verze svého řešení LOGmanager, systému pro log management a SIEM, uvedla na náš trh tuzemská firma Sirwisa.
LOGmanager ve verzi 2.0 nabídne lepší práci s parsery i alerty

Hlavní inovací varianty 2.0 jsou podle výrobce uživatelsky definované parsery přes grafické rozhraní, dále klasifikátory parserů podle zdrojů a nová podoba systému varovných hlášení s velmi detailní definicí podmínek.

V nové variantě LOGmanageru se uživatelé mohou setkat rovněž s přepracovaným uživatelským prostředím GUI, který přináší výrazně rychlejší odezvu webového rozhraní.

Doplněná byla podpora pro správu přidání vlastních certifikátů a aktualizovaný je také Windows Event Sender, agent pro sběr logů z prostředí Windows, který v nové verzi podporuje šifrovaný režim přenosu a ověřování validity certifikátů.

Produkt na našem trhu distribuuje firma Veracomp.

Eset vylepšuje NOD32 i Smart Security

19.8.2016 Securityworld Zabezpečení
Nové verze – varianty 10 -- svých bezpečnostních řešení NOD32 a Smart Security představil Eset. Nabízejí mj. ochranu před skriptovými útoky či zabránění zneužití webové kamery.

Eset zahájil prodej nové řady produktů pro SOHO a domácnosti. Nabízejí řadu nových funkcí, mezi které patří například ochrana před skriptovými útoky, která je součástí antivirové ochrany NOD32 Antivirus.

Smart Security navíc nově obsahuje ochranu webové kamery - uživatel může jednoduše povolit nebo zablokovat aplikace (dočasně i trvale), které se snaží webkameru použít.

Nové funkce v bezpečnostních řešeních Esetu podle výrobce

Ochrana před skriptovými útoky detekuje útoky škodlivých skriptů, které se snaží zneužít prostředí Windows PowerShell, a Javascriptové útoky ve všech běžných internetových prohlížečích. Funkce je obsažena ve všech uváděných produktech.
Ochrana domácí sítě umožňuje otestovat domácí router na různé zranitelnosti, jako je slabé heslo nebo neaktuální firmware. Poskytuje seznam aktuálně připojených zařízení a uživatel je může pro lepší přehlednost řadit do různých kategorií. Funkce je obsažena v produktu Smart Security.
Ochrana webkamery monitoruje všechny procesy a aplikace běžící na počítači a upozorní uživatele na nestandardní použití webové kamery. Funkce je obsažena v produktu Smart Security.

Nový Firefox se zaměří na bezpečnost, bude upozorňovat na neobvyklé a nebezpečné soubory při stahování
2.1.2016 Zdroj: Zive.cz Zabezpečení

Firefox aktuálně umí při stahování varovat uživatele, pokud stahuje nebezpečný obsah z internetu. Ve verzi 48 však bude tento systém rozšířen a nově se naučí rozpoznávat další typy potenciálně nebezpečných souborů. Na novinku upozornil Tom's Hardware.

Firefox bude uživatele nově informovat o potenciálně nechtěném obsahu. V tomto případě se bude jednat o soubory, které nejsou malwarem, ale mohou například po instalaci sbírat osobní informace uživatele.

unwanted-software.PNG
Nové varování před nechtěným a neobvyklým obsahem (zdroj: Tom's hardware)

Dalším novým typem upozornění budou neobvyklé soubory. Prohlížeč zde bude informovat uživatele o tom, že soubor není často stahován a tudíž může být nebezpečný. Tím chce Mozilla ochránit uživatele před podvrženými instalačními soubory. Pokud uživatel bude stahovat nový Flash, který však bude upravenou verzí, Firefox jej může zablokovat na základě toho, že originální Flash bude stahovaný mnohem častěji.

fx48_security_options.png
Funkci bezpečného stahování bude možné zcela vypnout v nastavení prohlížeče
(zdroj: Tom's hardware)

Firefox na oba typy obsahu bude upozorňovat malým symbolem nad ikonou stahování. Pokud se bude jednat o nechtěný či neobvyklý obsah, zobrazí se žlutý vykřičník. V případě, že Firefox detekuje malware, ikona stahování bude doplněna o červený vykřičník.

Vědci prolomili čtečku otisku prstu na telefonu. Stačila jim inkoustovka a vodivý papír
2.1.2016 Zdroj: Živě.cz Zabezpečení
V posledních letech se na mnoha telefonech vyšší třídy rozšířily čtečky otisku prstu, které nahrazují běžný PIN a jiné formy zabezpečení. Analýza Michiganské státní univerzity však ukazuje, že i tato biometrická ochrana má své limity.

Michigan State University

Výzkumníky z tamního kybernetického oddělení v červnu požádala policie, aby ji pomohli v přístupu do telefonu oběti, který byl chráněný kontrolou otisku prostu. Vědci získali od policie fotografii otisku a na jeho základě vytvořili speciální vodivý 3D model povrchu prstu.

Jenže to nefungovalo, samotný policejní otisk totiž nebyl úplně dokonalý. Výzkumníci se ale nevzdali a pomocí softwaru obraz opravili – dopočítali chybějící místa, zvýraznili linky a tak dále.

Co je však nejpodstatnější, namísto velmi drahé a specializované 3D tiskárny použili v druhém experimentu běžnou inkoustovou tiskárnu a vodivý papír.

A podařilo se! Pomohl jim v tom především samotný telefon oběti Samsung Galaxy S6, který při chybném skenu nevyžadoval zadání kontrolního kódu, takže mohli výzkumníci zkoušet jeden tisk za druhým, dokud se jim to nepodařilo a telefon skutečně neodemkli.

Vlastní postup poté dokázali zopakovat i na telefonu Honor 7 od Huaweie, nicméně (prozatím) neprolomili ochranu iPhonu a některých dalších výrobců.

Podstatné je však to, že k tomu nepotřebovali žádné sofistikované zařízení, ale vystačili s běžnými instrumenty – jedinou specialitou byl vodivý papír.

Biometrické ověřování plateb je za rohem

27.7.2016  Zdroj: SecurityWorld Zabezpečení
Podle nového průzkumu společnosti Visa mají evropští spotřebitelé při platbách kartou zájem využívat biometrické bezpečnostní prvky, a to zejména v kombinaci s dalším zabezpečením. Na 73 % spotřebitelů považuje podle průzkumu dvoufaktorovou autentifikaci platby s využitím biometrického prvku za bezpečný způsob ověření identity majitele účtu.
„Identifikace a verifikace prostřednictvím biometrických prvků v oblasti plateb přináší zjednodušení a zdokonalení spotřebitelského zážitku. Náš průzkum ukázal, že čím dál tím více lidí vnímá biometriku jako důvěryhodnou formu autentifikace a je s používáním této technologie na svých zařízeních obeznámeno,” říká Jonathan Vaux, výkonný ředitel pro inovace společnosti Visa Europe.

Scénář o biometrice jako jediné formě ověřování plateb by ale byl podle Jonathana Vauxe zatím spíše výzvou. „Na rozdíl od ověření PIN kódem, který může být zadaný jen správně nebo nesprávně, je biometrie založená na pravděpodobnosti shody se vzorem. Biometrické prvky fungují proto nejlépe v kombinaci s dalšími zařízeními, geolokačními technologiemi nebo dodatečnými metodami autentifikace,“ dodává Vaux.

Více než polovina Evropanů (51 %) si myslí, že biometrická verifikace, která potvrzuje identitu uživatele měřením jeho charakteristických znaků, jako jsou otisky prstů nebo vzor oční duhovky, proces platby urychlí a zjednoduší. Přes 30 % lidí pak podle průzkumu na biometrické autentifikaci oceňuje, že jejich data zůstanou v bezpečí i v případě ztráty nebo odcizení platebního zařízení.

„Postupně budou mít spotřebitelé možnost vybírat si ze stále více platebních metod. S tím jak se budou měnit naše platební návyky podle místa nákupu a použitého zařízení, budou se těmto případům muset přizpůsobovat i autentifikační metody plateb. Navzdory své pohodlnosti a bezpečnosti tak nebude biometrika jediným řešením a v budoucnosti uvidíme rozličné varianty ověřování v závislosti na konkrétní nákupní situaci,” pokračuje Jonathan Vaux.

Průzkum na 14 000 Evropanech ukázal, že nejdůležitější faktory pro přijetí biometrického ověřování plateb jsou diskrétnost, zkušenost a obeznámenost s tématem. Pro svou jednoduchost a bezpečnost je nejoblíbenější biometrickou metodou ověření otisku prstu. I co se samotné bezpečnosti týče, nejvíce (81 %) respondentů staví na první místo právě otisky prstů. Jako druhá nejbezpečnější biometrická metoda následuje sken oční duhovky se 76 procenty.

I proto více než polovina dotázaných (53 %) preferuje při placení identifikaci otiskem prstu před jinými metodami. 73 % respondentů vyhovuje tato forma biometrické autentifikace dokonce stejně jako vyplnění PIN kódu.

Autentifikace platby rozpoznáním hlasu nebo podle tváře by podle průzkumu zvolilo jen 15, respektive 12 % respondentů, a to v případě nákupu přímo v obchodě i platby online.

Nový průzkum ukazuje na zlepšení v ochraně dat, ale také na vyvíjející se hrozby

27.7.2016 Zdroj: SecurityWorld Zabezpečení
Společnost EMC oznámila výsledky nového průzkumu zabezpečení. Ty odhalily, že organizace podceňují narůstající výzvy spojené s ochranou svých dat a v důsledku toho zakoušejí ekonomické dopady ztráty dat.
Nová zjištění průzkumu EMC Global Data Protection Index 2016, který zpracovala společnost Vanson Bourne jako nezávislou studii podnikového zálohování mezi respondenty z 18 zemí světa, ukazují, že podnikům se sice podařilo omezit dopad čtyř největších tradičních rizik ztráty dat, nejsou však připraveny na nově vznikající hrozby, jež si tak vybírají svou daň namísto tradičních příčin.

V porovnání s výsledky průzkumu EMC Global Data Protection Index 2014 zaznamenalo v posledních 12 měsících ztrátu dat nebo narušení provozu o 13 % více podniků. S tím spojené potíže je stály v průměru 914 000 dolarů.

Společnost EMC zadala aktualizaci průzkumu, aby organizacím pomohla pochopit rychle se měnící podobu rizik ohrožujících podniková data a připravit se na ně. Podle výsledků průzkumu EMC Global Data Protection Index 2016 ztěžují moderní ochranu dat tři hlavní hrozby:

1) Ohrožení záložních dat

Téměř čtvrtina (23 %) respondentů zaznamenala ztrátu dat nebo neplánovaný výpadek systémů vinou bezpečnostního útoku zvenčí. Pokud započítáme i útoky zevnitř, vzroste toto číslo na více než třetinu podniků (36 %).

Podniky při tom stále častěji čelí nejen ohrožení primárních dat, ale také záloh a dalších dat uložených kvůli ochraně. Ať už bojují s kybervyděrači, kteří požadují výkupné za odemknutí dat zašifrovaných škodlivým softwarem (ransomware), nebo s jinými riziky spojenými se zálohováním a ochranou dat, potřebují podniky najít řešení, která přesunou jejich „data poslední záchrany“ do bezpečí.

2) Ohrožení dat v cloudu

Přes 80 % respondentů průzkumu uvedlo, že jejich organizace bude v nejbližších dvou letech provozovat alespoň část z osmi klíčových podnikových aplikací ve veřejném cloudu. Zároveň ovšem jen necelá polovina z nich odpověděla, že chrání data v cloudu před poškozováním, obdobný počet respondentů pak tato data chrání před smazáním.

Více než polovina účastníků průzkumu již ve veřejném cloudu provozuje poštovní aplikaci. A celkově již respondenti do veřejného cloudu přesunuli v průměru 30 % svého IT prostředí.

3) Měnící se potřeby ochrany

Přes 70 % organizací zapojených do průzkumu si není zcela jisto, že by v případě ztráty dat nebo neočekávaného výpadku systémů dokázalo systémy či data plně obnovit.

Sebedůvěrou respondenti neoplývají, ani pokud jde o výkon datových center: 73 % uvádí, že si nejsou zcela jisti, že jejich řešení udrží krok s vyšším výkonem a novými funkcemi flashových úložišť.

Zabezpečte si e-maily pomocí šifrování

27.7.2016 Zdroj: SecurityWorld Zabezpečení
Šifrování e-mailu se natolik zlepšilo, že je pošetilé ho nepoužívat. Hushmail, Virtru, HP Voltage, Datamotion, AppRiver, ProtonMail a Tutanova vás ochrání před slídivýma očima.
Kdysi jsem jako spoluautor napsal knihu o podnikovém e-mailu, ve které jsem přirovnal šifrování e-mailů k „ošklivé ráně v hrudi“. Bylo to v roce 1997, kdy jste si museli veškerou správu šifrovacích klíčů zajistit sami – a to bylo, řekněme, přinejmenším odrazující.

I když se situace od té doby výrazně zlepšila, šifrování poštovních zpráv stále není tak jednoduché, jak by mohlo být, a vyžaduje důkladné studium, chcete-li získat skutečně soukromou komunikaci, kterou nedokážou vaši konkurenti či vládní instituce sledovat.

V minulosti museli příjemci šifrovaných e-mailů používat stejný systém jako odesílatel a mnoho e-mailových klientů bylo v tomto směru obtížné nakonfigurovat.

V současné době nabízí mnoho produktů funkci „šifrování s nulovými nároky na znalosti“, což znamená, že můžete odeslat šifrovanou zprávu i tomu, kdo vámi vybranou šifrovací službu nepoužívá.

K dešifrování zpráv a k napsání odpovědí postačuje poskytnout heslo a v některých případech lze zprávu přečíst jen na základě autentizace, tedy prokázání své identity. Po prvotním navázání komunikace dokáže příjemce celkem snadno komunikovat prostřednictvím šifrovaných zpráv.

Kromě nulové potřeby znalostí šifrování usnadňují moderní produkty zasílání a přijímání zpráv, takže s pomocí modulů plug-in pro aplikaci Outlook a pro prohlížeče je potom šifrování podobně snadné jako stisk jednoho tlačítka.

Všechny testované produkty mají vylepšenou kontrolu nad přenosem zpráv, jako jsou nastavení data vypršení platnosti, možnost odvolat nepřečtené zprávy a zabránit jejich přeposílání, jakmile je příjemce přečte. To vše jsou dobrá znamení, že šifrování konečně dospělo.

Zůstal zde však jeden problém: Způsoby využití e-mailů se také vyvinuly a jsou složitější. Někteří z nás střídají klienty ve stolních počítačích i mobilních zařízeních a také používají jako e-mailového klienta webové rozhraní.

Někteří lidé upřednostňují aplikaci Outlook a mnoho organizací závisí na serverech Microsoft Exchange a také existují desítky poskytovatelů hostovaných e-mailových služeb založených na službách SaaS – jako jsou například Google Apps nebo Office 365.

To znamená, že jakékoliv šifrovací řešení musí pokrýt různé případy použití a různé koncové klienty. Navíc zde stále existuje velký nezájem koncových uživatelů o šifrování zpráv, přestože jim není neznámá sága Snowdena a další poučení o potřebě udržovat zabezpečenou komunikaci.

Pro analýzu současného stavu dostupných řešení jsme otestovali sedm produktů a zjistili, že spadají do tří funkčních skupin.

První jsou hostované e-mailové služby, které využívají komplexní šifrování přenosů zpráv. Obvykle se přitom k zabezpečenému zasílání a příjmu e-mailů používá webový klient daného poskytovatele.

Pokud už používáte hostovanou e-mailovou službu, bude nutné tohoto poskytovatele nahradit jednou z těchto služeb. V této kategorii jsme testovali Hushmail a ProtonMail.

Hushmail již existuje více než deset let, zatímco ProtonMail je relativně nový a stále je v rozšířené betaverzi. Tato kategorie je atraktivní pro menší sítě a místa s okamžitou potřebou šifrování a požadavkem rychlého zavedení.

Druhou skupinou jsou pak brány (gatewaye) pro šifrování e-mailů. Ty byly prvním druhem šifrovacích produktů a stále je lze na trhu nalézt. Vyžadují speciální moduly plug-in nebo servery umístěné v interní infrastruktuře, nakonfigurované za ochranným firewallem s přístupem k vašemu hlavnímu e-mailovému serveru. Do této kategorie patří produkty Datamotion SecureMail a HP Voltage SecureMail.

Tyto brány nabízejí velkou kontrolu nad způsobem zpracování e-mailů, nad případným přechováváním částí zpráv v místních úložištích zařízení i nad možnými způsoby obnovení hesel.

I když je to přitažlivé, s veškerou touto kontrolou přichází také větší náročnost správného nakonfigurování. A to je důvod, proč o tyto gatewaye klesá zájem, zejména nyní, když existuje tolik dalších možností.

Brány jsou stále užitečné pro firmy, které se buď zdráhají využívat cloud, nebo mají specifické důvody týkající se dodržování předpisů pro šifrování své e-mailové komunikace, jako jsou například makléři a zdravotnictví.

A konečně třetí skupinou jsou řešení založená výhradně na koncových klientech, která rozšiřují existující desktopový software pro e-maily, jako jsou například Outlook nebo Apple Mail.

Jde typicky o přídavné nástroje šifrující zprávy pomocí existující e-mailové infrastruktury. Do této kategorie patří Tutanota, Virtru a AppRiver.

Tato řešení jsou oblíbená ve firmách, které používají celou řadu e-mailových klientů a nechtějí rychle nasadit službu univerzálního šifrování nebo nemohou snadno vyměnit části své e-mailové infrastruktury (viz prezentace těchto produktů).

Existuje mnoho dalších šifrovacích služeb, které jsme netestovali, a to ze dvou důvodů. Zaprvé mnoho z nich je podobných službě ProtonMail, ale nabízejí jen šifrování osamocených poštovních schránek a nejsou vhodné pro celopodnikové nasazení.

Zadruhé několik dlouho na trhu působících dodavatelů šifrování se testu nechtělo zúčastnit, a to včetně dodavatelů bran jako Symantec (PGP) nebo ZixCorp.

Vítězové a poražení

Vzhledem k rozmanitosti situací v oblasti e-mailů a typů produktů jsme nemohli zvolit celkového jednoznačného vítěze. Každý z těchto produktů však může být velmi užitečný pro odpovídající situace.

Produkt Tutanota zatím i přes přítomnost některých inovativních funkcí nemůžeme doporučit do doby, než dostatečně dozraje.

Pokud budete využívat pro své e-maily server s internetovými standardy IMAP/SMTP, potom pro vás bude asi nejlepší volbou použít Hushmail nebo Virtru.

Hushmail používá kombinaci různých oborových standardů šifrovacích technologií k přenášení e-mailů z desktopu přes internet. Virtru má zase svůj vlastní ekosystém a sadu doplňků pro aplikaci Outlook, prohlížeče a Gmail, které mohou chránit vaše zprávy.

Pokud používáte MS Exchange nebo IBM Notes, může být lepším řešením Datamotion s jeho vlastní branou. Je ze sedmi testovaných produktů nejdražší, ale nabízí velkou flexibilitu konfigurace.

Voltage je také dobrou alternativou založenou na bráně gateway, pokud potřebujete velký rozsah kontroly pro správu e-mailových přenosů, a může fungovat na serverech platforem Linux i Windows.

Pokud nechcete nasadit šifrování pro každého a chcete tuto možnost poskytnout jen několika zaměstnancům nebo máte-li systém založený na protokolu POP, potom se podívejte na řešení AppRiver.

Jeho zajímavost je mimo jiné způsobená schopností zvládnout přílohy s velikostí až 5 GB, zatímco většina ostatních produktů dokáže zvládnout jen malé přílohy.

Přestože se ProtonMail hodí zejména pro jednotlivce, je ukázkou toho, co současná úroveň soukromí a paranoie dokáže udělat pro zajištění produktu se snadno použitelným šifrováním.

I když jeho uživatelské rozhraní zaostává za některými vyzrálejšími produkty, má několik funkcí, které je dobré prozkoumat, včetně výchozího dvojitého šifrování zpráv a způsobu, jak dokáže automaticky upozornit nové korespondenty na čekající šifrované zprávy.

Digitální stopy a jejich odstraňování

27.7.2016  Zdroj: SecurityWorld Zabezpečení
Jakýkoliv pohyb po internetu zanechává po naší činnosti stopy. A nemusíte být zrovna náčelník Apačů, abyste je našli. Takže jak je dobře zamaskovat?
Digitální stopy jsou informace, které uživatel zanechává v prostředí internetu či jako součást souborů. Tyto stopy o svém tvůrci prozradí víc, než by sám chtěl. Stopy v podobě metadat vznikají i při používání přístrojů z oblasti IT, při práci s různými typy souborů a při řadě dalších aktivit.

Stopy se dělí na aktivní a pasivní. Aktivní vznikají přičiněním uživatele vytvářením profilů, přispíváním na diskuzní fóra, interakcemi na sociálních sítích, nahráváním fotek či jiných souborů aj. Velmi zneužitelné stopy jsou příspěvky do technických fór s celým popisem problému, což často dělají i profesionálové v IT.

Zaujal vás tento článek? Přehled nejzajímavějších zpráv získáte odebíráním našeho newsletteru »
Pasivní stopy vznikají jako vedlejší produkt uživatelovy aktivity, jsou to záznamy serverů o chování konkrétního návštěvníka, délce návštěvy, aktivitě na daném webu, IP adrese a dalších údajích. K těmto informacím uživatel obvykle nemá přístup a může je ovlivňovat maximálně svým chováním či některými nastaveními.

Sledování stop závisí na tom, co se sledující chce dozvědět.

Marketing. Zde sledují mimo jiné pohyb uživatele po internetu, aktivitu a dobu výskytu na stránkách, klikání na odkazy, preference uživatele („to se mi líbí“ na Facebooku) a mnoho dalších aspektů. Marketingové společnosti obvykle data aktivně zaznamenávají a obchodují s nimi v obrovském množství. Dost stránek, které poskytují služby zdarma, funguje na bázi prodeje či výměny informací o uživatelích, případně data využívá pro personalizaci reklamních sdělení.
Kriminalistické vyšetřování. To bere digitální stopu jako důkazní materiál, sleduje podle potřeby data, která hrají roli v objasňování trestné činnosti, jako jsou pohyb uživatele po síti, doba přihlášení, soubory nahrané na internet, soubory v uživatelově zařízení, aktivita na diskuzních fórech aj. Často má k dispozici pokročilé nástroje a postupy, jak překonat běžné zabezpečení uživatelských účtů či jak se dostat k uživatelovým datům.
Kybernetický útočník podle svého záměru může sledovat různé skupiny podle konkrétních specifik (např. uživatele konkrétního serveru či služby) nebo konkrétní osobu. Podle toho přizpůsobuje své jednání, zjišťuje slabiny jak v zabezpečení systému, tak v chování uživatele.

Překvapení: Avast za 1,3 miliard dolarů kupuje AVG

27.7.2016  Zdroj: SecurityWorld Zabezpečení
Dvě původně české antivirové firmy se spojují. Avast si za více než 32 miliard korun kupuje AVG.
To je tedy překvapení. Avast výrobce antivirových programů kupuje svého konkurenta původem také z Československa AVG. Za konkurenční firmu zaplatí 1,3 miliardy dolarů. Obě firmy začínaly na přelomu 80. a 90. let minulého století právě v Praze a v Brně. Dnes sice mají obě v Česku dominantní část vývoje, ale tváří se jako americké společnosti, které se ke svým kořenům přiliš nehlásí.

Podle oznámení obou firem transakce proběhne v hotovosti, kdy Avast zaplatí za jednu akcii 25 USD, což je o 33 % více, než byla v době oznámení cena na akciovém trhu. Celá transakce je již schválena boardem AVG, který ji doporučil akcionářům akceptovat.

Podle vyjádření Avastu pomůže akvize konkurenta zejména v prudce se rozvíjejícím segmentu internetu věcí.

"Získáme náskok," okomentoval akvizici šéf Avastu Vince Stecler.

"Věříme, že spojení s AVG nám přinese další růst a že je vhodné i pro naše akcionáře," prohlásil ředitel AVG Gary Kovacs.

Uvidíme, jak se bude firmám, které vsadily na dostribuci bezpečnostního softwaru zdarma v novém konglomerátu dařit.

Jak nejlépe vysvětlit bezpečnostní rizika

27.7.2016 Zdroj: SecurityWorld Zabezpečení
Šéfové zabezpečení informací již nějakou dobu slyší, že by se měli naučit lépe „mluvit, aby jim ostatní v podniku rozuměli“. Je to jeden ze způsobů, jak lze získat respekt a předejít riziku být vnímaný především jako někdo, na koho se svalí veškerá vina v případě výskytu problému.
Pro ty, kdo přemýšlejí o způsobu, jak lépe vysvětlit podstatu problému firemního zabezpečení, přináší rady Chris Wysopal, spoluzakladatel a technický ředitel společnosti Veracode.

Níže uvedené poznatky byly jádrem Wysopalovy přednášky nazvané „Perspektiva ředitele zabezpečení informací při jednání s vedením firmy o kybernetické bezpečnosti“ na letošní konferenci RSA v San Francisku.

Změna myšlení

Prvním krokem je podle něj naučit se myslet jako vůdce podniku namísto „někoho, kdo jen spravuje technologie zajišťující provoz firmy“.

Uznává, že ještě tak před třemi až čtyřmi roky to byla primární role šéfa zabezpečení informací.

„Tato pozice se však mění způsobem, který zvyšuje její viditelnost pro nejvyšší vedení firmy. Teď jsou tito lidé lídry dohlížejícími na podniková oddělení při zavádění aplikací SaaS. Musejí ale přitom spolupracovat s dalšími odděleními, která mají na starost právo, předpisy, vztahy s veřejností atd.,“ říká Wysopal.

Kromě toho „se také mění sféra hrozeb“, popisuje Wysopal a dodává: „Existují věci mimo kontrolu šéfa zabezpečení informací, jako jsou například dodavatelský řetězec nebo poskytovatelé různých služeb. Používání technologií umožňuje růst podniku, ale také to přináší zvýšení rizika.“

Vedení firem konečně bere tato rizika více na vědomí. A tak zatímco se nároky a tlak na šéfa zabezpečení zvyšují, vznikají tím také další příležitosti.

„Připravenost na narušení a reakce na narušení jsou žhavá témata,“ uvádí Wysopal. „V důsledku toho jsou viditelnost, připravenost a plán pro vztahy s veřejností definitivně záležitosti, které nejvyšší vedení firmy zajímají.“

Konkrétní rady pro komunikaci

Aby bylo jisté, že budou naslouchat, nabízí Wysopal konkrétní radu – začít stručně, protože v praxi mívá šéf zabezpečení informací na přesvědčování obvykle jen cca 15 minut.

Toto přesvědčování není vhodné založit na nějakých tabulkách, grafech a technických pojmech – tedy záležitostech, které netechniky nedokážou plně zaujmout.

„Jsou to inteligentní lidé, ale nejsou obvykle technicky orientovaní,“ upozorňuje Wysopal. „Myslete tedy v pojmech, jako byste mluvili se svou matkou.“

Jeho krátký seznam komunikačních dovedností pro ředitele zabezpečení informací zahrnuje následující rady:

Nepoužívejte akronymy jako DDoS. Používejte slova, a nikoli pouhá písmena.
Používejte vizualizaci, a ne text.
Používejte čísla, zejména finanční vyjádření, například ztráty vznikající z úniku dat, aby členové vedení dokázali srovnávat rizika s náklady.
Používejte přirovnání k něčemu podobnému, co manažeři znají.
Vysvětlete, jak funguje školení. Můžete například měřit efektivitu školení týkajícího se phishingových útoků.
Ptejte se členů vedení, co chtějí získat od svých plánů pro zabezpečení informací.
Zdůrazněte, že neexistuje žádná organizace, která by se nemusela obávat narušení bezpečnosti.
Zdůrazněte, že se podnikové zabezpečení musí implementovat do celého podniku: Je třeba zaangažovat nejen oddělení IT, ale také právní, produkční a oddělení vztahů s veřejností.
Kybernetická bezpečnost musí být pro přežití značky záležitostí dlouhodobé strategie.
Wysopal upozorňuje, že šéfové zabezpečení také musejí vysvětlovat úroveň rizika v pojmech, kterým budou členové vedení firmy rozumět. To znamená zmínit narušení v podobných oborech a popsat, jak k nim došlo.

Také to znamená vysvětlit, kdo může zvenku zaútočit na vaši konkrétní firmu a proč. Co by pravděpodobně chtěli útočníci získat?

„U maloobchodníků je to docela jasné,“ vysvětluje Wysopal. Není žádným překvapením, že chtějí získat informace o platebních kartách. Ve zdravotnictví chtějí informace, které lze přiřadit ke konkrétním lidem, a podobně.

„Hrozba tedy souvisí s vaší činností. Co by chtěl útočník zpeněžit?“

Vypíchnutí největších rizik

Nakonec Wysopal připomíná, že by šéf zabezpečení informací měl „vysvětlit pět nejdůležitějších rizik pro svou firmu a ukazatele, které informují o úrovni, na jaké je jim firma vystavená“.

Mělo by se také určit, zda mají rizika tendenci růst, klesat nebo zůstávají stejná.

„A konečně by tito manažeři měli rovněž vysvětlit, jak jejich společnost tato rizika spravuje a udržuje je v přijatelných mezích,“ uzavírá Wysopal.

Startupová společnost využívá umělou inteligenci k detekci kyberútoků – dřív, než se vůbec stanou

27.7.2016 Zdroj: SecurityWorld Zabezpečení
Prevence je lepší, než následné řešení potíží, věří společnost Cylance, která se zaměřuje na využití umělé inteligence k detekci a prevenci kyberútoků. Ve středu oznámila, že se jí podařilo vybrat celých 100 milionů dolarů (přes dvě miliardy korun) v Series D fázi financování. Novou peněžní injekci firma využije k rozšíření svých prodejních, marketingových a strojních oblastí.
Vlajková loď společnosti, nazvaná CylanceProtect, slibuje na umělé inteligenci založené zabezpečení koncových bodů, avšak za využití pouhého zlomku systémových zdrojů, vyžadovaných valnou většinou dnešních řešení. Tuto úsporu umožňují nové technologické inovace typu strojového učení.

Zatímco současné způsoby jako podpisy, heuristické algoritmy nebo sledování chování mají především reaktivní přístup, tj. reagují až na započatou hrozbu a vyžadují připojení k internetu, Cylance využívá umělou inteligenci k proaktivní analýze charakteristik souborů, a předvídá ještě před spuštěním na local hostu, zda jsou nebezpečné, nebo ne.

Detailněji: Cylance extrahuje miliony unikátních charakteristik kódu a analyzuje je proti naučeným statistickým modelům, aby odhalil cíle onoho kódu. Namísto spolehání se na porovnávání hashe a hashovací algoritmy, Cylance odhadne případné nekalé záměry souboru za méně než 100 milisekund. Spuštění souboru tak jde zabránit ještě v jeho rané fázi.

CylanceProtect ochrání proti různým systémovým a paměťovým útokům, spear phishingu (cílený phishing), zero day útokům, elevacím oprávnění, skriptům a nakaženým programům, říká Cylance. Eliminuje tak nutnost antivirového, detekčního a prevenčního softwaru. Připojení k internetu ani každodenní aktualizace nejsou nutné.

Podle firmy mají již přes tisíc zákazníků.

„Náš cíl změnit fungování zabezpečení koncových bodů pomocí strojového učení, abychom se díky němu naučili přemýšlet stejně, jako kyberútočníci, byl úspěšný,“ říká ředitel Cylance Stuart McClure. „Nyní musíme zajistit, že bude [náš program] vložen do rukou bezpečnostních expertů v podnicích, organizacích a vládách jak rychle to jen bude možné.“

Flowmon nabídne monitoring sítě i přes mobil

27.7.2016 Zdroj: SecurityWorld Zabezpečení
Flowmon Friday – to je název akce, v rámci které firma Flowmon Networks koncem května seznámila veřejnost s novými řešeními zaměřenými na monitorování a bezpečnost počítačových sítí. Partnerem konference baly IDG Czech Republic.
Během programu se návštěvníci mohli seznámit s novinkami v řešení Flowmon, jako je například nová architektura ukládání datových toků, větší viditelnost do aplikační vrstvy nebo rychlejší detekce incidentů, a vývojem technologie monitorování síťového provozu.

Vedle toho Pavel Minařík, technický ředitel Flowmon Networks, představil zbrusu novou mobilní aplikaci pro operační systémy iOS a Android. Díky ní mají uživatelé Flowmonu přehled o své síti kdekoliv a kdykoliv na svém mobilním zařízení.

Z řad technologických partnerů vystoupil na konferenci Jaromír Pilař z Cisco Systems, který se věnoval síťové infrastruktuře jako klíčovému prostředku pro detekci a kontrolu hrozeb.

Praktická nasazení a přínosy řešení Flowmon napříč různými segmenty pak postupně představili Miloš Němec z Kofoly, Aneta Coufalíková z Centra CIRC Ministerstva obrany, Daniel Dvořák z Vysoké školy chemicko-technologické v Praze a Filip Višenka ze Slovenské spořitelny.

Na konferenci byli také vyhlášeni nejúspěšnější partneři společnosti za rok 2015. Titul českého Distributora roku si odnesl Veracomp, partnerem roku pak společnost Dimension Data. Obě ocenění předal Zoltán Csecsödi, nový obchodní ředitel Flowmonu pro Českou republiku, jenž byl na konferenci oficiálně ve funkci představen.

„Příští rok to bude deset let existence Flowmonu. Z malého týmu se nám podařilo vytvořit úspěšnou společnost, které se daří růst u nás i v zahraničí,“ dodal Rostislav Vocilka, ředitel společnosti Flowmon Networks.

Nástroje pro penetrační testování: Vyberete si?

27.7.2016  Zdroj: SecurityWorld Zabezpečení
Pokud nemáte žádné obavy, že by vaše IT vybavení mohli napadnout zahraniční či místní útočníci, je pro vás tento článek zbytečný. Pokud však žijete ve stejné realitě jako zbytek z nás, mohou vám rady od skutečného profesionála, týkající se solidních nástrojů pro preventivní penetrační testování, velmi pomoci.
Evan Saez, který je nadšencem, návrhářem a programátorem penetračního testovacího nástroje a pracuje jako analytik kybernetických hrozeb ve společnosti Lifars, promluvil o nejnovějších a nejlepších penetračních nástrojích a o vhodném způsobu jejich použití. Tady jsou jeho postřehy.

Dostupné nástroje pro penetrační testování

Nástroje pro penetrační testování, o kterých se zde bude mluvit, zahrnují Metasploit, Nessus Vulnerability Scanner, Nmap, Burp Suite, Owasp ZAP, SQLmap, Kali Linux a Jawfish (Evan Saez je vývojářem projektu Jawfish).

Tyto nástroje jsou klíčem k zabezpečení podniku, protože jsou to ty samé produkty, které používají útočníci. Pokud nenajdete své díry a neopravíte je, najdou je oni.

Metasploit je framework s větší základnou programátorských fanoušků, který se rozšiřuje o vlastní moduly fungující jako testovací nástroje k otestování slabin v operačních systémech a aplikacích.

Lidé vydávají tyto vlastní moduly na serverech GitHub a Bitbucket. Bitbucket je stejně jako GitHub on-line repozitářem pro programátorské projekty.

„Metasploit je zřejmě nejpopulárnějším řešením svého druhu pro penetrační testování,“ uvádí Saez.

Nessus Vulnerability Scanner je na signaturách založený nástroj pro vyhledávání zranitelností. „Nessus dokáže pouze porovnávat výsledky skenování s databází známých signatur zranitelností,“ popisuje Saez.

Síťový skener Nmap umožňuje penetračním testérům zjistit typy počítačů, serverů a hardwaru, které má podnik ve své síti.

Skutečnost, že jsou tyto stroje identifikovatelné prostřednictvím těchto externích sond, je sama o sobě zranitelností. Útočníci používají tyto informace k vytvoření základů pro útoky.

Burp Suite je dalším oblíbeným nástrojem pro penetrační testování, určeným pro webové aplikace. Mapuje a analyzuje webové aplikace, vyhledává a umí zneužít zranitelnosti, jak uvádí společnost PortSwigger, která je dodavatelem nástroje Burp Suite pro zabezpečení webu.

Owasp ZAP (Zed Attack Proxy) je řešení pro penetrační testování webových aplikací od neziskového projektu Owasp (Open Web Application Security Project). Nabízí automatizované a manuální skenování webových aplikací, jehož účelem je pomoci nováčkům i zkušeným profesionálním penetračním testérům. ZAP je open source systém dostupný na webu GitHub.

SQLmap automatizuje odhalování děr typu SQL Injection. Ty se potom snaží zneužít a získat úplnou kontrolu nad databázemi a hostujícími servery.

Kali Linux představuje komplexní nástroj obsahující předinstalovanou sadu specializovaných penetračních testovacích (a bezpečnostních a forenzních) nástrojů. „Obsahuje nástroje použitelné pro lidi, kteří nemají v oblasti bezpečnosti žádné znalosti,“ popisuje Saez.

Jawfish je na rozdíl od většiny nástrojů založených na signaturách řešením, které využívá genetické algoritmy. „Genetické algoritmy hledají věci v kontextu vyhledávání,“ vysvětluje Saez.

Na základě vyhledávacích kritérií, jak se Jawfish dostává blíže k tomu, co se hledá (v tomto případě zranitelnost), nakonec nějakou může najít. Jawfish nevyžaduje databázi signatur.

Jak je používat

Metasploit, Nessus Vulnerability Scanner, Nmap, Burp Suite, Owasp ZAP, SQLmap, Kali Linux a Jawfish mají své specifické využití. Většina podniků tak bude potřebovat více nástrojů.

Metasploit nabízí jak rozhraní Ruby, tak i příkazový řádek, takže si váš penetrační testér může vybrat libovolné z nich v závislosti na tom, co právě chcete dělat.

„Rozhraní Ruby je vhodnější pro testování velmi rozsáhlé sítě, protože spouštění příkazů z příkazového řádku by bylo příliš zdlouhavé,“ vysvětluje Saez.

Nessus Vulnerability Scanner hledá otevřené porty v počítačích a firewallech a instalace potenciálně zranitelného softwaru. „Pokud jde o penetrační testování, je tento nástroj méně užitečný, protože je příliš nápadný a při zjišťování zranitelností jde tzv. předními dveřmi a komunikuje s operačním systémem.

Toto řešení se obvykle používá při kontrole dodržování předpisů ke zjišťování, zda jsou nainstalované všechny záplaty,“ vysvětluje Garrett Payer, vedoucí technolog v konzultační a implementátorské společnosti ICF International.

Nmap je dobré používat k vyhledávání hostitelů, otevřených portů, verzí softwaru, operačních systémů, verzí hardwaru a zranitelností – obecně k mapování terénu pro síťový útok.

Je užitečný v každé fázi penetračního testování, kdykoli máte novou sadu hostitelů, portů a dalších prostředků, které je potřebné identifikovat, například při zadávání nového segmentu sítě.

„Tento systém nabízí funkci skriptování a je užitečný pro výčet uživatelského přístupu,“ dodává Payer.

K mapování webových aplikací používejte Burp Suite a webový prohlížeč. Nástroje uvnitř sady Burp Suite zjišťují funkcionalitu aplikací a bezpečnostní díry a potom zahájí vlastní útoky.

Burp Suite automatizuje opakované funkce, a přitom uživateli ponechává volbu pro případy, kdy penetrační testér potřebuje kontrolu nad jednotlivými možnostmi testování.

„Tento funkcemi nabitý nástroj zkoumá skriptování mezi weby a další zranitelnosti pomocí proxy,“ popisuje Payer. „Přináší to transparentnost toho, co webové stránky vlastně posílají na server.“

Owasp ZAP vykonává různá skenování a testy včetně skenování portů, skenování hrubou silou a fuzzingu za účelem nalezení nezabezpečeného kódu. Penetrační testéři používají intuitivní grafické uživatelské rozhraní podobné aplikacím Microsoftu a některé nástroje pro design webu (jako je například Arachnophilia).

Poté, co začnete surfovat a uděláte na webu potřebné úkony, znovu použijete ZAP a můžete vidět kód a co se stalo při těchto činnostech. Owasp ZAP nastavíte jako proxy server a začne kontrolovat webový provoz, který zpracovává.

„Tento nástroj je novější než Burp Suite, nemá tolik funkcí, ale je zdarma jako open source. Poskytuje podmnožinu funkcí a grafické uživatelské rozhraní, které je užitečné pro lidi, kteří s penetračním testováním webových aplikací teprve začínají,“ uvádí Payer.

Řešení SQLmap se používá pomocí příkazů Pythonu na příkazové řádce k testování nesprávně naprogramovaných webových stránek a adres URL spojených s databázemi. Pokud škodlivě vytvořený odkaz (URL) do databáze vyvolá chybu, potom je takový odkaz předmětem útoku.

SQLmap se instaluje do operačního systému Ubuntu Linux ve virtuálním stroji. „SQLmap je vhodný pro skriptování. Umí zjistit takové věci, jako například zda programátor parametrizoval vstupy,“ uvádí Payer.

Pokud ne, mohou penetrační testér či útočník odeslat jméno, středník a SQL příkaz a spustit ho v databázi a získat kontrolu, vysvětluje Payer.

Nainstalujte si Kali Linux a spusťte libovolný z desítek integrovaných nástrojů pro penetrační testy a útoky. „Kali Linux je k dispozici s velkým množstvím uživatelské dokumentace,“ uvádí Saez.

Penetrační testovací řešení Jawfish můžete zkusit použít pomocí dostupného formuláře grafického uživatelského rozhraní. Jednoduše zadejte IP adresu serveru, zranitelnou webovou adresu na této IP adrese, zranitelnost, metodu a cílový text.

Nástroj vrátí cílový text, když se vám podaří úspěšně napadnout tuto adresu. Je to ale zcela nový systém a není zatím prověřený pro podnikové nasazení...

Nejbezpečnější router jde do výroby. Vytvořili jej Češi

27.7.2016  Zdroj: Novinky/Bezpečnost Zabezpečení
V tomto týdnu odstartovala výroba údajně nejbezpečnějšího routeru na světě, který by měl zamezit hackerům a škodlivým programům v přístupu do domácí sítě. Není bez zajímavosti, že za zmiňovaným projektem Turris Omnia stojí čeští tvůrci.
BEZ KOMENTÁŘE: Co se skrývá pod plastovým krytem? Hardwarová výbava routeru Turris Omnia
Jak funguje Turris Omnia? Uživatel se nemusí o nic starat

Práce na projektu Turris započaly v roce 2013, tehdy vznikly i první routery, které byly testovány na omezeném množství českých uživatelů.
Na první pohled vypadá Turris Omnia jako obyčejný router, uvnitř nenápadné bílé krabičky se ale ukrývají pokročilé technologie. Zařízení pohání dvoujádrový procesor Marvell Armada 385, který je taktovaný na 1,6 GHz, a 1 GB operační paměti. Dále jsou k dispozici dva USB 3.0 konektory či slot na SIM kartu.
Vše navíc pracuje pod operačním systémem Turris Omnia, díky kterému dokáže router rychle reagovat pomocí aktualizace systému na aktuální hrozby. Aktualizace přitom přichází přímo od sdružení CZ.NIC, uživatel se nemusí o nic starat. Pro ještě vyšší zabezpečení je novinka vybavena speciálním čipem, jenž se stará o šifrování a identifikaci routeru.
úterý 12. července 2016, 15:25
Unikátní router Turris Omnia pochází z dílen sdružení CZ.NIC, které je správcem české národní domény.

Právě šéf sdružení Ondřej Filip v pondělí potvrdil, že jde novinka do výroby. „Posledních deset dnů jsme strávili testováním předvýrobních prototypů. Ignorovali jsme přitom víkend i svátky, vše jsme podřídili testování. Vše se zdá být perfektní, výroba tedy může začít,“ prohlásil Filip.

„Nečekejte však, že dodávky routeru započnou hned zítra. Celý proces výroby bude trvat několik týdnů,“ konstatoval šéf sdružení CZ.NIC. Prvních zařízení se tak zákazníci dočkají pravděpodobně v průběhu září.

Lidé poslali milióny
V první vlně se vyrobí tisíce routerů, které získají přednostně lidé, kteří si je objednali už na konci loňského roku prostřednictvím crowfundingového serveru Indiegogo.com. Právě ten nápadití jedinci a malé podniky využívají k získání potřebných financí pro rozjetí masové výroby.

Na zmiňovaném serveru zaujala novinka tisíce lidí, díky čemuž si čeští tvůrci připsali na svůj účet přesně milión a 518 amerických dolarů, tedy v přepočtu více než 24 miliónů korun. Právě tyto prostředky posloužily k tomu, aby mohla výroba začít.

Router mimochodem dostane každý, kdo přispěl v kampani na serveru Indiegogo částkou alespoň 179 dolarů (4500 Kč). 

Lze předpokládat, že za podobnou cenu se nakonec novinka objeví i ve volném prodeji.

Americká vláda musí posílit kyberbezpečnost, prohlásil Obama

27.7.2016 Zdroj: Novinky/Bezpečnost Zabezpečení
Vláda Spojených států musí v době moderních technologií a věku chytrých telefonů posílit svou kybernetickou bezpečnost. V neděli to během návštěvy Španělska prohlásil americký prezident Barack Obama, který mimo jiné potvrdil, že do systémů Bílého domu pronikli hackeři.
„Jsem z toho znepokojen, nemyslím si, že ji (kybernetickou bezpečnost) máme bezchybnou. Musíme se více snažit, musíme se učit z chyb," řekl Obama na tiskové konferenci v Madridu. „Víme, že jsme měli v Bílém domě hackery," dodal.

O průniku do počítačových systémů sídla amerického prezidenta se již několikrát spekulovalo. Například letos v dubnu list The New York Times s odvoláním na nejmenované americké představitele uvedl, že ruským počítačovým pirátům se podařilo získat přístup k neutajovaným Obamovým e-mailům.

Obama již v sobotu hovořil v souvislosti s aférou Hillary Clintonové o tom, že ho nemile překvapilo, jak americké ministerstvo zahraničí nakládá s tajnými informacemi.

Federální úřad pro vyšetřování (FBI) zjistil, že Clintonová v době, kdy ministerstvo vedla, posílala přes svůj soukromý e-mail utajovaná data. Podle FBI se podobně lehkovážně chovali i další představitelé ministerstva.

Proč si lidé zakrývají kameru na notebooku

27.7.2016 Zdroj: Novinky/Bezpečnost Zabezpečení
Během poloviny posledního desetiletí se technologický průmysl předháněl v tom, abychom měli čím dál lepší kamery v zařízeních, která každodenně používáme. Ovšem tento trend s sebou teď začíná přinášet kuriózní protiakci - rozvíjí se nové průmyslové odvětví, které se zaměřuje na výrobu krytek na zvědavé oko kamer. Jde o výrobky od levných nálepek až po značkové plastové záklopky navržené tak, aby zakryly kameru na telefonu, laptopu, a dokonce i na televizi.
Po celé roky odborníci na bezpečnost nejen tvrdili, ale často i názorně dokazovali, jak se hackeři dokážou dostat do kamer a sledovat všechno, co se děje na opačném konci. Abyste dosah tohoto sdělení pochopili, zkuste si představit, co všechno vás už váš laptop nebo telefon „viděl” dělat.

Tato varování konečně padla na úrodnou půdu. „Zalepil jsem si kameru kouskem lepenky, protože jsem totéž viděl udělat někoho, kdo je chytřejší než já," prohlásil v dubnu ředitel amerického Federálního úřadu pro vyšetřování (FBI) James Comey.

Společnost Idea Stage Promotions označuje svou krytku Webcam Cover 1.0 za „nejžhavější propagační předmět na trhu", zatímco kabelová televize USA Networks poslala novinářům krytku na webové kamery s názvem „Mr Robot", napsal list The Guardian.

Internet se neustále dívá
Zakrývání kamer ovšem není nic nového pro ty, kdo vědí, že internet se neustále dívá. Politoložka nadace Electronic Frontier Foundation (EFF) Eva Galperinová říká, že zakrývá vševidoucí oko od chvíle, kdy si v roce 2007 koupila první laptop se zabudovanou kamerou na obrazovce – MacBook Pro.

EFF začala tisknout své první nálepky na zakrytí webových kamer v roce 2013 a také prodává i rozdává nálepky s nápisem „Tyto odstranitelné nálepky jsou pro hackery neprůstřelnou technologií na obranu proti sledování”. A lidé si je podle nadace pravidelně kupují.

Znamená to, že jsme všichni paranoidní? No, nejde o žádnou sci-fi. Vědci v roce 2013 předvedli, jak dokážou aktivovat kameru v MacBooku, aniž by se rozsvítilo zelené světýlko naznačující, že je zapnutá. Jeden pár také tvrdí, že se na internetu objevilo jejich video při sexu, které pořídil hacker, který se dostal do kamery jejich chytré televize. A také záznamy amerického federálního soudu dokazují, že i FBI ví, jak použít kamery v laptopech ke špehování jejich uživatelů.

Jsou ale i tací, kdo se tímto trendem zatím strhnout nenechali. Třeba odborník na šifrování z Univerzity Johnse Hopkinse Matthew Green na otázku, proč si nezakrývá svou kameru, odpověděl: „Protože jsem idiot.” A dodal. „Jinou omluvu pro to, proč tuhle záležitost neberu vážně, opravdu nemám. Ale koneckonců si říkám, že vidět mě nahého by už samo o sobě bylo pro kohokoli dost velkým trestem.”

Vznikne nový bezpečnostní gigant, Symantec koupí za 111 miliard korun Blue Coat

27.7.2016  Zdroj: Novinky/Bezpečnost Zabezpečení
Americký výrobce bezpečnostního softwaru Symantec Corp. koupí soukromou firmu zabývající se kybernetickou bezpečností Blue Coat za 4,65 miliardy USD (111,7 miliardy Kč). Dohoda výrazně posílí hodnotu bezpečnostních aktivit firmy Symantec, uvedla agentura Reuters.
Firma Blue Coat pomáhá chránit webové vstupní brány společností před kybernetickými útoky, což je služba, která doplní současnou nabídku produktů Symanteku pro velké společnosti. Symantec mimo jiné vyrábí antivirový software Norton.

Akvizice by měla být dokončena ve třetím čtvrtletí a bude mít okamžitě pozitivní vliv na hospodaření. Po dokončení akvizice budou mít na celkových příjmech Symanteku podíl 62 procent příjmy z bezpečnostních produktů pro firmy. Bude tak schopný lépe čelit konkurenci dalších firem, jako Networks Inc., FireEye Inc. a Check Point Software Technologies.

Převzetím Blue Coat vyřeší Symantec rovněž personální otázky. Generální ředitel Blue Coat Greg Clark se totiž stane generálním ředitelem Symanteku. Předchozí generální ředitel Michael Brown v dubnu po zveřejnění nepříznivých výsledků hospodaření odstoupil.

Hackeři budou mít těžší práci. Microsoft zakáže jednoduchá a hloupá hesla

27.7.2016  Zdroj: Novinky/Bezpečnost Zabezpečení
Společnost Microsoft se bude snažit co nejvíce ztížit práci počítačovým pirátům a kyberzločincům. Svým uživatelům proto zakáže používat jednoduchá a hloupá hesla. Proniknout na účet, který je chráněn například postupně jdoucí číselnou řadou, je totiž otázka pár sekund.
Americký softwarový gigant se podle britského deníku The Independent odhodlal poté, co se na černém trhu objevily k prodeji desítky miliónů hesel ze sítě LinkedIn. Jejich analýzou se totiž ukázalo, že s vytvářením hesla si příliš lidí hlavu neláme.

Statisíce lidí používaly k zabezpečení svých účtů jednoduché heslo 123456 nebo nepříliš originální linkedin (název profesní sítě, ze které data unikla) či password, což v překladu znamená jednoduše heslo. 

Jednoduchá hesla jsou hazard
Používat podobná hesla je přitom podle bezpečnostních expertů hazard. „Stejně jako počítačoví piráti analyzujeme přihlašovací údaje, které uniknou na internet. Není žádným tajemstvím, že totéž dělají počítačoví piráti,“ uvedl Alex Weinert ze společnosti Microsoft a hned doplnil: „Zlí hoši pomocí těchto údajů organizují své útoky.“

Řešením je podle něj podobně jednoduchá a hloupá hesla jednoduše zakázat. „Když je uživatelé nebudou moci používat, jen těžko pak podobné úniky ohrozí jejich uživatelské účty,“ doplnil Weinert.

Narážel přitom na to, že podobně jednoduchá hesla používají lidé prakticky na všech webových službách. Je totiž vcelku běžné, že uživatelé zabezpečují stejným heslem různé internetové účty.

Čtyřmístný kód rozlouskne PC za 1,5 minuty
Bezpečnostní experti odolnost takto jednoduchých hesel testovali už dříve. Za pouhých deset hodin se jim na sestavě v hodnotě bezmála tří desítek tisíc korun podařilo s volně dostupnými aplikacemi bez velkých obtíží prolomit 200 tisíc hesel.

Tento test ukázal, že složitější je pro počítačové piráty prolamovat delší hesla. Například čtyřmístný kód složený jen z malých písmen abecedy zvládne průměrná sestava rozlousknout za 1,5 minuty. Na osmimístné heslo však již potřebuje 2,5 hodiny. 

Bezpečné heslo by mělo mít minimálně šest znaků a mělo by obsahovat číslice a ideálně velká i malá písmena. Heslo by naopak v žádném případě nemělo být tvořeno jménem uživatele, jednoduchými slovy (jako je například heslo) nebo pouhou posloupností číslic.

Kdy přesně Microsoft jednoduchá a hloupá hesla zakáže, zatím není jasné. Otazník také visí nad tím, zda se to bude týkat pouze jeho e-mailové služby, nebo i dalších služeb.

Google se chce obejít bez hesel. Testuje Trust API
27.7.2016  Zdroj: Živě Zabezpečení
Frekvence zadávání všemožných hesel by se mohla snížit – alespoň na Androidu, Google totiž minulý týden na I/O oznámil testování nového Trust API. Pokud se osvědčí, vývojáři by se k němu mohli dostat v závěru roku.

Trust API nahrazuje zadávání exaktního hesla sledováním různých indikátorů – třeba polohy, charakteru psaní, údajů z 3D kamery a tak dále. Vlastně to celé připomíná novou verzi jeho služby reCAPTCHA pro weby, která se pokusí zjistit, jestli jste robot, nebo člověk, aniž byste museli opisovat jakákoliv špatně čitelná písmenka a číslice.

Těžko říci, jestli je technologie Trust API v takovém stavu, aby mohla nahradit zadávání hesla ve všech případech, ale alespoň pro začátek by mohla sloužit tam, kde je sice třeba chránit přístup heslem, případně je třeba se prostě autentifikovat, ale nejedná se o kritickou službu.

Nástroje pro penetrační testování: Vyberete si?

27.7.2016   Zdroj: ComputerWorld Zabezpečení
Pokud nemáte žádné obavy, že by vaše IT vybavení mohli napadnout zahraniční či místní útočníci, je pro vás tento článek zbytečný. Pokud však žijete ve stejné realitě jako zbytek z nás, mohou vám rady od skutečného profesionála, týkající se solidních nástrojů pro preventivní penetrační testování, velmi pomoci.
Evan Saez, který je nadšencem, návrhářem a programátorem penetračního testovacího nástroje a pracuje jako analytik kybernetických hrozeb ve společnosti Lifars, promluvil o nejnovějších a nejlepších penetračních nástrojích a o vhodném způsobu jejich použití. Tady jsou jeho postřehy.

Dostupné nástroje pro penetrační testování

Nástroje pro penetrační testování, o kterých se zde bude mluvit, zahrnují Metasploit, Nessus Vulnerability Scanner, Nmap, Burp Suite, Owasp ZAP, SQLmap, Kali Linux a Jawfish (Evan Saez je vývojářem projektu Jawfish).

Tyto nástroje jsou klíčem k zabezpečení podniku, protože jsou to ty samé produkty, které používají útočníci. Pokud nenajdete své díry a neopravíte je, najdou je oni.

Metasploit je framework s větší základnou programátorských fanoušků, který se rozšiřuje o vlastní moduly fungující jako testovací nástroje k otestování slabin v operačních systémech a aplikacích.

Lidé vydávají tyto vlastní moduly na serverech GitHub a Bitbucket. Bitbucket je stejně jako GitHub on-line repozitářem pro programátorské projekty.

„Metasploit je zřejmě nejpopulárnějším řešením svého druhu pro penetrační testování,“ uvádí Saez.

Nessus Vulnerability Scanner je na signaturách založený nástroj pro vyhledávání zranitelností. „Nessus dokáže pouze porovnávat výsledky skenování s databází známých signatur zranitelností,“ popisuje Saez.

Síťový skener Nmap umožňuje penetračním testérům zjistit typy počítačů, serverů a hardwaru, které má podnik ve své síti.

Skutečnost, že jsou tyto stroje identifikovatelné prostřednictvím těchto externích sond, je sama o sobě zranitelností. Útočníci používají tyto informace k vytvoření základů pro útoky.

Burp Suite je dalším oblíbeným nástrojem pro penetrační testování, určeným pro webové aplikace. Mapuje a analyzuje webové aplikace, vyhledává a umí zneužít zranitelnosti, jak uvádí společnost PortSwigger, která je dodavatelem nástroje Burp Suite pro zabezpečení webu.

Owasp ZAP (Zed Attack Proxy) je řešení pro penetrační testování webových aplikací od neziskového projektu Owasp (Open Web Application Security Project). Nabízí automatizované a manuální skenování webových aplikací, jehož účelem je pomoci nováčkům i zkušeným profesionálním penetračním testérům. ZAP je open source systém dostupný na webu GitHub.

SQLmap automatizuje odhalování děr typu SQL Injection. Ty se potom snaží zneužít a získat úplnou kontrolu nad databázemi a hostujícími servery.

Kali Linux představuje komplexní nástroj obsahující předinstalovanou sadu specializovaných penetračních testovacích (a bezpečnostních a forenzních) nástrojů. „Obsahuje nástroje použitelné pro lidi, kteří nemají v oblasti bezpečnosti žádné znalosti,“ popisuje Saez.

Jawfish je na rozdíl od většiny nástrojů založených na signaturách řešením, které využívá genetické algoritmy. „Genetické algoritmy hledají věci v kontextu vyhledávání,“ vysvětluje Saez.

Na základě vyhledávacích kritérií, jak se Jawfish dostává blíže k tomu, co se hledá (v tomto případě zranitelnost), nakonec nějakou může najít. Jawfish nevyžaduje databázi signatur.

Jak je používat

Metasploit, Nessus Vulnerability Scanner, Nmap, Burp Suite, Owasp ZAP, SQLmap, Kali Linux a Jawfish mají své specifické využití. Většina podniků tak bude potřebovat více nástrojů.

Metasploit nabízí jak rozhraní Ruby, tak i příkazový řádek, takže si váš penetrační testér může vybrat libovolné z nich v závislosti na tom, co právě chcete dělat.

„Rozhraní Ruby je vhodnější pro testování velmi rozsáhlé sítě, protože spouštění příkazů z příkazového řádku by bylo příliš zdlouhavé,“ vysvětluje Saez.

Nessus Vulnerability Scanner hledá otevřené porty v počítačích a firewallech a instalace potenciálně zranitelného softwaru. „Pokud jde o penetrační testování, je tento nástroj méně užitečný, protože je příliš nápadný a při zjišťování zranitelností jde tzv. předními dveřmi a komunikuje s operačním systémem.

Toto řešení se obvykle používá při kontrole dodržování předpisů ke zjišťování, zda jsou nainstalované všechny záplaty,“ vysvětluje Garrett Payer, vedoucí technolog v konzultační a implementátorské společnosti ICF International.

Nmap je dobré používat k vyhledávání hostitelů, otevřených portů, verzí softwaru, operačních systémů, verzí hardwaru a zranitelností – obecně k mapování terénu pro síťový útok.

Je užitečný v každé fázi penetračního testování, kdykoli máte novou sadu hostitelů, portů a dalších prostředků, které je potřebné identifikovat, například při zadávání nového segmentu sítě.

„Tento systém nabízí funkci skriptování a je užitečný pro výčet uživatelského přístupu,“ dodává Payer.

K mapování webových aplikací používejte Burp Suite a webový prohlížeč. Nástroje uvnitř sady Burp Suite zjišťují funkcionalitu aplikací a bezpečnostní díry a potom zahájí vlastní útoky.

Burp Suite automatizuje opakované funkce, a přitom uživateli ponechává volbu pro případy, kdy penetrační testér potřebuje kontrolu nad jednotlivými možnostmi testování.

„Tento funkcemi nabitý nástroj zkoumá skriptování mezi weby a další zranitelnosti pomocí proxy,“ popisuje Payer. „Přináší to transparentnost toho, co webové stránky vlastně posílají na server.“

Owasp ZAP vykonává různá skenování a testy včetně skenování portů, skenování hrubou silou a fuzzingu za účelem nalezení nezabezpečeného kódu. Penetrační testéři používají intuitivní grafické uživatelské rozhraní podobné aplikacím Microsoftu a některé nástroje pro design webu (jako je například Arachnophilia).

Poté, co začnete surfovat a uděláte na webu potřebné úkony, znovu použijete ZAP a můžete vidět kód a co se stalo při těchto činnostech. Owasp ZAP nastavíte jako proxy server a začne kontrolovat webový provoz, který zpracovává.

„Tento nástroj je novější než Burp Suite, nemá tolik funkcí, ale je zdarma jako open source. Poskytuje podmnožinu funkcí a grafické uživatelské rozhraní, které je užitečné pro lidi, kteří s penetračním testováním webových aplikací teprve začínají,“ uvádí Payer.

Řešení SQLmap se používá pomocí příkazů Pythonu na příkazové řádce k testování nesprávně naprogramovaných webových stránek a adres URL spojených s databázemi. Pokud škodlivě vytvořený odkaz (URL) do databáze vyvolá chybu, potom je takový odkaz předmětem útoku.

SQLmap se instaluje do operačního systému Ubuntu Linux ve virtuálním stroji. „SQLmap je vhodný pro skriptování. Umí zjistit takové věci, jako například zda programátor parametrizoval vstupy,“ uvádí Payer.

Pokud ne, mohou penetrační testér či útočník odeslat jméno, středník a SQL příkaz a spustit ho v databázi a získat kontrolu, vysvětluje Payer.

Nainstalujte si Kali Linux a spusťte libovolný z desítek integrovaných nástrojů pro penetrační testy a útoky. „Kali Linux je k dispozici s velkým množstvím uživatelské dokumentace,“ uvádí Saez.

Penetrační testovací řešení Jawfish můžete zkusit použít pomocí dostupného formuláře grafického uživatelského rozhraní. Jednoduše zadejte IP adresu serveru, zranitelnou webovou adresu na této IP adrese, zranitelnost, metodu a cílový text.

Kaspersky Lab dokáže nově zabezpečit i průmyslové systémy

12.05.2016  Zdroj: ComputerWorld Zabezpečení
Specializované bezpečnostní řešení pro ochranu kritické infrastruktury a zabezpečení průmyslových podniků představila včera v Praze firma Kaspersky Lab. KICS (Kaspersky Industrial CyberSecurity) podle tvůrců přináší jednotný přístup k IT bezpečnosti pro průmyslové podniky. Novinka přitom zabezpečuje ICS/SCADA servery, HMI panely a inženýrské pracovní stanice, PLC, aniž by nějak ovlivnilo plynulost a konzistenci provozu.
KICS je ve své podstatě kombinací běžných bezpečnostních technologií přizpůsobených pro potřeby průmyslových podniků. Obsahuje ochranu proti malwaru, whitelisting a funkci pro odhalování zranitelností.

To je ale rozšířené o technologie, které jsou speciálně navržené přímo pro průmyslová prostředí – jde o kontrolu integrity PLC programů (Integrity check for PLC programs), sémantický monitoring kontroly příkazů (Semantic monitoring of proces control commands) či telemetrická data (Telemetry data), která dokážou odhalit kybernetické útoky cílící na fyzické části infrastruktury.

Speciální režim Observability Mode se pak soustředí na odhalení kybernetických útoků, chyby provozního personálu a anomálie uvnitř průmyslové sítě. Centrální řídící panel pak umožňuje administrovat veškeré bezpečnostní prvky firmy Kaspersky Lab – tedy od antivirů až pro sofistikované systémy pro SCADA.

Řešení lze prý implementovat i do už existující ICS sítě a technologického procesu dané organizace.

Dodavatel navíc ke KICS poskytuje celou řadu doprovodných služeb včetně kyberbezpečnostních školení (cybersecurity training) pro IT profesionály či vzdělávacích programů pro běžné zaměstnance nebo penetrační testování (Cyber Security and Penetration Testing).

Další služba -- Incident Response -- podle jejích dodavatelů pomáhá lokalizovat narušení sítě, zmírnit následky, zamezit útočníkům hlouběji proniknout do infrastruktury, předcházet dalším útokům a rozvíjet krizový plán do budoucnosti.

Kdo najde díru na Pornhubu, dostane až 25 tisíc dolarů
12.5.2016 Zabezpečení
Bezpečnost je na internetu velkou prioritou a na porno stránkách je neméně důležitá. Uživatelé jsou sice zvyklí vnímat erotické stránky jako zdroj podvodných inzerátů, které mohou nést malware, současně se ale provozovatelé placených serverů snaží ochránit své uživatele před únikem informací.

Pornhub, jeden z největších erotických serverů, proto nyní vypsal veřejnou soutěž, kde může kdokoli na serverech *.pornhub.com zkusit najít nějakou zranitelnost. Podmínkou je, že chybu musíte nahlásit do 24 hodin od objevení, nesmíte nic zničit, leda své vlastní účty a vše musíte pečlivě zdokumentovat.

Minimální odměna je 50 dolarů, maximální 25 000 dolarů podle závažnosti. Hodnocení, co je jak závažné je ale zcela na Pornhubu. platby jsou pak zprostředkované přes server HackerOne, který se právě na tento typ organizovaných akcí specializuje.

SWIFT odpovídá bankéřům: Za bezpečnost si zodpovídáte sami

12.5.2016 Zabezpečení
Bankovní systém s odstupem reaguje na zprávy o tom, že byla prolomeno jeho zabezpečení.
Systém, kterým komunikují banky po celém světě, se dosud pozornosti hackerů vyhýbal, ale to už teď neplatí. Podle bezpečnostních expertů byl poslední útok na účty bangladéšské centrální banku veden právě přes SWIFT.

Při útoku zmizelo 81 milionů dolarů a akce je označována za dosud největší kybernetickou zlodějnu. Sdružení SWIFT se ale brání nařčení, že jeho zabezpečení jeho systému bylo prolomeno. “SWIFT není a nemůže být odpovědný za vaše rozhodnutí ohledně výběru a implementace firewallů a vnitřní strukturu vašich sítí," zní v dopise, který rozeslalo vedení bankám.

Podle agentury Reuters bývalí zaměstnanci tvrdí, že taková upozornění banky dostávaly i v minulosti. Jen na ně příliš nereagovaly. SWIFT jako takový totiž negarantuje, že někdo nepovolaný nemůže získat přístup ke klientským klíčům. Tomu musí zabránit banky, které s přístupy operují.

Dnes SWIFT (Society for Worldwide Interbank Financial Telecommunication) používá kolem jedenácti tisíc bank a institucí po světě. Ne všechny ale využívají Alliance Access, který byl při útoku využitý.

S teorií, že za hackem stojí zmanipulovaný klient SWIFTu označovaný jako Alliance Access, přišlo britské BAE. Podle bezpečnostních expertů šlo o vysoce profesionální útok. Adrian Nish z BAE tvrdí, že takhle propracovaný model útoku ještě za svou kariéru nepotkal.

Opera nabízí VPN pro uživatele iPhonů zdarma -- i když ne tak úplně

12.5.2016 Zabezpečení
Služba sice skutečně zdarma bude, ale nejen, že je pravděpodobná přítomnost reklam, ale společnost bude prodávat anonymizované uživatelské informace. To ale může spoustu zájemců odradit.
Opera nabízí VPN pro uživatele iPhonů zdarma -- i když ne tak úplně

Opera Software včera uvlonila VPN aplikaci zdarma, určenou specificky pro iOS. Opera VPN, jak se služba nazývá, v základu spoléhá na stejnou společnost (kanadskou SurfEasy) jako desktopový Opera prohlížeč pro služby typu ukrývání lokace, zablokování online sledování či obcházení blacklistů spravovaných vládami, korporacemi a školami. SurfEasy norská Opera odkoupila v březnu tohoto roku.

U veřejných služeb, jako je např. Wi-Fi v kavárně, „VéPéEnka“ poskytuje zabezpečený „tunel“ k cíli, který uživatele ochraňuje před krádeží osobních informací a hesel.

Opera VPN je samostatnou službou, není dokonce ani integrována v iOS prohlížečích Opery, kterými jsou Opera Mini a Opera Coast.

Podobně jako u desktopové varianty Opery – konkrétně dubnového předběžného náhledu pro Windows, OS X a Linux, kde je již zahrnuta VPN – je i VPN na iOS zdarma jak ke stažení, tak k použití. Většina jiných VPN služeb od konkurentů požaduje měsíční nebo roční poplatky, které nebývají zrovna malé.

Ač je však Opera VPN na první pohled zdarma, firma se pro takové řešení nerozhodla z čistě šlechetných záměrů. Spoléhá se na dvě různé strategie výdělku.

Podle Chrise Houstona, ředitele SurfEasy, Opera bude do Opera VPN vkládat reklamy: Tuto možnost však prozatím objasnil jen jako „pravděpodobnou,“ spíše než jistou. „Ačkoliv tu prozatím reklamy nejsou, v budoucnu pravděpodobně budou do aplikace zavedeny,“ napsal v dlouhém sdělení na blogu firmy.

SurfEasy, nyní již divize Opera Software, bude také prodávat anonymizované „balíky“ dat, sesbíraných od uživatelů Opera VPN, popisuje Houston. „Tyto informace budou dostupné třetím stranám, které projeví zájem o lepší porozumění toho, jak funguje mobilní ekosystém a jak se rozvíjí.“

Data z placené VPN služby SurfEasy – ta si stále účtuje 6,49 dolarů měsíčně – a data těch, co používají desktopovou verzi VPN v prohlížeči Opera, k prodeji nejsou. Společnost si je totiž neukládá.

Houston také potvrdil spekulace: Opera přidala do desktopového prohlížeče VPN v pokusu zvýšit počty uživatelů. „Přidání VPN do desktopového prohlížeče Opera je pro Operu cesta, jak svůj prohlížeč odlišit a rozšířit tak svou uživatelskou základnu,“ uznává. V teorii platí, že čím víc uživatelů bude Opera mít, tím více peněz firma dostane od svých vyhledávacích partnerů, jimiž jsou např. Google či ruský Yandex. Tito partneři platí Opeře za to, že je má nastaveny jako základní vyhledávače ve svém prohlížeči.

Opera je pravidelně na spodní příčce v pěti nejpoužívanějších prohlížečích, a potřebuje svá čísla nutně zlepšit. Během dubna si Opera ukrojila 2% podíl ze všech uživatelů, alespoň podle americké analytické firmy Net Applications. Ač se takové číslo zdá zanedbatelné, jde o posun o osm desetin procenta oproti minulému roku, tedy o poměrně působivý 69% nárůst.

V porovnání s ostatními čtyřmi největšími hráči je však Opera benjamínkem. Google Chrome drží 41,7 % uživatelů, Internet Explorer a Edge dohromady 41,3 %, Mozilla Firefox 10,1 % a stabilní Safari do Applu je na 4,5% podílů uživatelů.

Opera VPN je ke stažení v App Storu.

Kaspersky Lab dokáže nově zabezpečit i průmyslové systémy

12.5.2016 Zabezpečení
Specializované bezpečnostní řešení pro ochranu kritické infrastruktury a zabezpečení průmyslových podniků představila včera v Praze firma Kaspersky Lab. KICS (Kaspersky Industrial CyberSecurity) podle tvůrců přináší jednotný přístup k IT bezpečnosti pro průmyslové podniky. Novinka přitom zabezpečuje ICS/SCADA servery, HMI panely a inženýrské pracovní stanice, PLC, aniž by nějak ovlivnilo plynulost a konzistenci provozu.

KICS je ve své podstatě kombinací běžných bezpečnostních technologií přizpůsobených pro potřeby průmyslových podniků. Obsahuje ochranu proti malwaru, whitelisting a funkci pro odhalování zranitelností.

To je ale rozšířené o technologie, které jsou speciálně navržené přímo pro průmyslová prostředí – jde o kontrolu integrity PLC programů (Integrity check for PLC programs), sémantický monitoring kontroly příkazů (Semantic monitoring of proces control commands) či telemetrická data (Telemetry data), která dokážou odhalit kybernetické útoky cílící na fyzické části infrastruktury.

Speciální režim Observability Mode se pak soustředí na odhalení kybernetických útoků, chyby provozního personálu a anomálie uvnitř průmyslové sítě. Centrální řídící panel pak umožňuje administrovat veškeré bezpečnostní prvky firmy Kaspersky Lab – tedy od antivirů až pro sofistikované systémy pro SCADA. Řešení lze prý implementovat i do už existující ICS sítě a technologického procesu dané organizace.

Dodavatel navíc ke KICS poskytuje celou řadu doprovodných služeb včetně kyberbezpečnostních školení (cybersecurity training) pro IT profesionály či vzdělávacích programů pro běžné zaměstnance nebo penetrační testování (Cyber Security and Penetration Testing).

Další služba -- Incident Response -- podle jejích dodavatelů pomáhá lokalizovat narušení sítě, zmírnit následky, zamezit útočníkům hlouběji proniknout do infrastruktury, předcházet dalším útokům a rozvíjet krizový plán do budoucnosti.

Na návštěvě v bezpečnostním dohledovém centru O2 ITS
27.4.2016 Zdroj: Root.cz  Zabezpečení

Společnost O₂ IT Services představila „Security Expert Center“. Jeho službu nabízí nejen těm, kteří spadají pod zákon o kybernetické bezpečnosti, nýbrž komukoli, kdo zpracovává citlivá data.
V úterý 19. dubna otevřela společnost O₂ IT Services formálně svoje komerční dohledové středisko. Na prohlídku pozvala novináře i možné zákazníky.

Běžně jsou podobná centra známa jako SOC — security operations center. Z obchodních důvodů se v O₂ ITS rozhodli pro název „Security Expert Center“, aby bylo zákazníkům už ze zkratky SEC zřejmější, že jde o bezpečnost.

Středisko chystali od loňského března. V provozu je opravdu od počátku prosince a zatím má šest zákazníků. O₂ ITS je ovšem nejmenuje, ale jsou to dílem velké státní instituce (například ministerstva) spadající pod zákon o kybernetické bezpečnosti a dílem zákazníci komerční, a to zatím spíše střední nebo menší.

O₂ ITS sice dodává nebo upravuje také řešení na straně zákazníka, ale SEC je pojato především jako služba za stálý měsíční poplatek. Pro jak malé zákazníky dává smysl? Setkali jsme se i s právními kancelářemi o dvou počítačích, kde se ale spravují důležité smlouvy. Vezmu‑li to na objem dat, chodil by nám od nich tak gigabajt denně a stáli bychom je asi dvacet tisíc měsíčně. Uvážíte‑li, že výstavba vlastního SIEM začíná od dvou miliónů…, odhaduje analytik Petr Tejnský.

SIEM: Security Information and Event Management, tedy řízení informační bezpečnosti a bezpečnostních událostí, vlastně průběžný dohled nad síťovým provozem a sběr záznamů o něm, a možnost analýzy a protiopatření v případě mimořádného jevu, který může znamenat narušení bezpečnosti. (Pojmu SIEM poprvé užil patrně Gartner v roce 2005.)

SEC je prozatím připraven obsloužit asi čtyřicítku zákazníků různé velikosti. Indexovat může celkem 1,7 TB příchozích dat denně (asi sto tisíc EPS, tedy událostí za sekundu). Největší zákazníky vyjde bezpečnostní dohled od SEC zhruba na tři sta tisíc korun měsíčně.

Jak je postaveno

U zákazníka musí být sběrač čili kolektor dat o síťovém provozu a síťových zařízeních. Zpravidla se dodává jako zařízení virtuální (virtual appliance), leč kdyby zákazník neprovozoval žádný virtuální stroj, lze mu dodat sběrač jako hardware. Do uživatelských stanic se zavádějí klientské agenty (podporují Windows a Linux/Unix); ty posílají data do sběrače.

SEC používá ke sběru dat Syslog-ng Premium Edition od Balabitu. Sběr je proti výpadkům zajištěn tříúrovňově: klientské agenty dokáží data podržet po 24 hodin, nemají-li spojení s kolektorem; kolektor je podrží po sedm dní, nemá-li spojení do SEC; v SEC se data ukládají nejméně na tři měsíce, a to zašifrovaně, na důvěryhodném a certifikovaném úložišti, udává Petr Tejnský. Veškerá data jsou časově označena, aby nemohlo dojít k manipulaci; jak to požaduje zákon.

Důležitou výhodou Syslog-ng proti třeba Rsyslog a podobným je řízení datového toku, možnost vyhradit jen určitou šířku pásma, vyzdvihuje Tejnský. Většina útoků způsobí množství zpráv ve velmi krátkém čase, bez řízení toku je snadné zahltit celý řetězec.

Sběrač je se SEC spojen buďto skrze VPN, nebo přes Internet s využitím TLS 1.2. Podle toho, co zákazník požaduje, sděluje Tejnský. TLS 1.2 je, myslím si, v zásadě bezpečné. Kdyby mělo dojít k prolomení TLS, dojde i k prolomení VPN, soudí.

Samo SEC je implementováno v „neveřejném cloudu“. Jeho obsluha však nemusí sedět v té místnosti na fotkách, stačí jim notebook a připojení k internetu. (Přístupová práva řídí Shell Control Box od Balabitu.)

Tým SEC má šest pracovníků a šéfa, zatímco partnerská společnost Axenta poskytuje asi desítku administrátorů a vývojářů; právě ona postavila, spravuje a vyvíjí technické řešení SEC.

Úlohy v týmu SEC

Dva operátoři sledují aktivní kanály a ukazatele, zakládají případy a popisují je; nedokáží‑li sami vyhodnotit, že případ je pouze planým poplachem, předávají ho na analytiky.

Tři analytici, vybaveni analytickými nástroji, doporučují a implementují případná protiopatření.

Expert udržuje a rozšiřuje znalostní databázi — rozpoznává nové případy, rozvíjí stávající. Navrhuje nové korelace, filtry, monitory, aktivní seznamy a kanály, ukazatele a hlášení.
Ve středisku se zatím pracuje osm hodin pět dní v týdnu. Ale někdo na to kouká 24/7, ujišťuje Petr Tejnský. Máme ještě interní dohledové centrum. I analytici mohou být dostupní 24/7, ale zákazníci obvykle požadují řešení bezpečnostních událostí následujícího pracovního dne.

Čtvero základních modulů SEC

Aktivní monitorování všech součástí SEC — jak u zákazníka, tak v datacentru. Na rozpoznávání anomálií je nasazen Flowmon ADS.
Správa logů, tedy posbíraných dat: už výše zmíněný Syslog-ng.
Řízení bezpečnosti. Využíváme HP ArcSight ESM, sděluje Tejnský, a to z toho důvodu, že je nativně multitenantní, umožňuje real‑time korelace bezpečnostních událostí různých typů. To není u SIEM nic nového, ale výhodou ArcSightu je včasná a přesná detekce. Nasazování SIEM běžně způsobí množství planých poplachů, ale ArcSight lze velice rychle naučit, co jsou false positives, lze vymezit různé případy pro různé stavy; plané poplachy se jím dají dost omezit.
ArcSight se dále vyznačuje tím, že má rozsáhlou kategorizaci a normalizaci dat a více než tři sta chytrých konektorů už v sobě: připojíte jakékoli zařízení, které požadujete, podporuje SAP, různé aplikace a pod. ArcSight zkracuje řešení běžných incidentů z hodin na minuty.
Tiketovací systém a zákaznický portál: Provozujeme iTop; je to open‑source. Zvolili jsme ho proto, že podle ITIL je to best practice. Obsahuje konfigurační databázi CMDB s auditem změn; bez CMDB nepostavíte správný SIEM. iTop má flexibilní správu tiketů nebo analýzu dopadů a závislostí — například které další servery budou ovlivněny výpadkem určitého serveru; to oceníte i při údržbě, popisuje Tejnský.
Odpovědnost ze zákona zůstane na zákazníkovi
Spadá‑li zákazník do působnosti zákona o kybernetické bezpečnosti, odpovědnost vyplývající ze zákona zůstává na něm, upozorňuje ředitel Národního centra kybernetické bezpečnosti Vladimír Rohel. Dodává, že pro podobná centra zatím NCKB nezamýšlí žádné certifikace: Nechceme na začátku regulovat trh a nemáme na to ani kapacity, vysvětluje. Různé certifikace však mohou mít jednotliví pracovníci centra.

Postavit pořádné dohledové centrum je velká investice. Je na vás, abyste si vypsali soutěž tak, aby vám z ní nevyšla garážovka, a musíte si dobře sepsat i smlouvu, doporučuje Rohel. Ředitel komerční divize O₂ IT Services Václav Provazník doplňuje: Do našich smluv dáváme, že zajišťujeme soulad se zákonem o kybernetické bezpečnosti.

Opera představila VPN, která vlastně není VPN. Takhle funguje

27.4.2016 Zdroj: Lupa.cz Zabezpečení

Opera Software ve své tiskové zprávě tvrdí, že jejich “VPN” je lepší, než tradiční VPN. No, jak se to vezme.
25.4. 16:15 – doplněn odkaz na The Oprah Proxy a informace o připojování přes HTTPS
Po několika dlouhých letech jsme se včera opět setkali a dnes jsme spolu strávili noc. Pamatuji si ji jako dívku, kterou bych ani za kus naleštěného chromu nevyměnil, ale dnes ráno jsem měl trochu hořko v ústech. Jmenuje se Opera a její rodiče se snaží dohnat vlak, který jim tak trochu ujel, když svého potomka v roce 2013 přestěhovali do čtvrti, kde vládne famílie Blink, aby s nimi Opera mohla začít nový život.

Opera se tento rok docela rozjela. V únoru Norská firma oznámila, že ji kupuje skupina čínských investorů, v březnu Opera přišla s blokováním reklam přímo zabudovaným do prohlížeče a minulý týden oznámila, že do svého prohlížeče přidala neomezenou „VPN“ zdarma. Ta je zatím jen ve vývojářské verzi Opery pro Windows, Mac a Linux a jedná se o produkt postavený na základech firmy SurfEasy, která nově patří do stále ještě norské rodiny. Uvidíme, s čím Opera přijde v květnu.

VPN (Virtual Private Network) je ta věc, kterou možná používáte v situaci, kdy chcete nebo musíte pracovat, ale máte tělo oslabené natolik, že si sotva dojdete pro nabíječku na laptop. Převážně velké nadnárodní firmy používají VPN, aby zpřístupnily své interní služby i lidem, kteří zrovna pracují z domova. VPN byste také měli používat vždy, když jste připojeni na nějakou veřejnou Wi-Fi, protože nikdy nevíte, komu ta síť patří a jaké má úmysly.

Jenže VPN v Opeře není tak docela VPN, i proto jsem tu zkratku výše dal do uvozovek. Klasická VPN totiž chrání všechna spojení, která jdou z vašeho počítače, včetně všech webových prohlížečů, outlooků a skajpů. VPN v Opeře zabezpečí jen Operu, respektive požadavky odcházející z a odpovědi vracející se do Opery. VPN v Opeře nezabezpečí jiné prohlížeče ani ty skajpy a outlooky. Potud asi v pořádku, ačkoliv to tisková zpráva Opery nezmiňuje. Jen na tohle musíte pamatovat, až si budete chtít ve vaší oblíbené kavárně stáhnout nově došlé e-maily do vašeho poštovního programu.

Sama Opera trochu tápe v tom, jak novou vlastnost nazývat, v nastavení sice najdete “povolení VPN”, ale hned pod tím je poznámka, že “zabezpečenou proxy poskytuje SurfEasy”. Zajímavé je i to, že když VPN zapnete, tak v prohlížeči nemůžete měnit nastavení proxy serverů. To trochu zavání, u klasických VPN takovéto omezení nenajdete.

Nastavení Opery s vyhledáním slova “proxy”
To zaujalo i Ondreje Galbavého a na Twitteru si lehce rýpnul do zástupce technického ředitele (Deputy Chief Technology Officer) Opery Bruce Lawsona, ale ten ho ujistil, že to opravdu je VPN.

A tady začíná moje část příběhu, to totiž zaujalo i mě a tak jsem si stáhnul vývojářskou Operu, spustil packetový sniffer a ponořil se do tajů prohlížečů postavených na Chromiu, abych zjistil, co to vlastně ta VPN od Opery je a…

Jak to funguje?

Jakmile v nastavení Opery zaškrtnete, že chcete VPN povolit, tak prohlížeč odešle několik požadavků metodou post na https://api.surfeasy.com, aby zjistil, kam a na jakou “VPN” se vlastně má připojit.

První požadavek jde na https://api.surfeasy.com/v2/re­gister_subscriber a z odpovědi serveru browser získá několik cookie, které později posílá pro ověření zpět na SurfEasy API. Jsou to cookie subscriber_credentials, api_session (ta se v průběhu posílání požadavků mění) a _proxy_manager_session31. V požadavku jsou vidět hlavičky SE-Client-Type a SE-Client-API-Key, to jsou pravděpodobně hodnoty uvedené přímo v browseru, alespoň to tak vypadá po prozkoumání rozšíření SurfEasy VPN for Opera, ze kterého nejspíš “VPN” v Opeře vychází.

Api.CLIENT_TYPE_OPERA = 'se0204';
Api.CLIENT_TYPE_CHROME = 'se0205';

Api.CLIENT_API_KEY_OPERA = '184E166877D1AA1AB7BB702E31DE0EE650442D67529CFEE7DA12FE72455EF32D';
Api.CLIENT_API_KEY_CHROME = '37403FC0A1C5C5FCDAAF7A31253A855AC900BEE2CFF2AB3FFF5AEFD83ECB04F9';

api.js z surfeasy-proxy-an-opera-software-company-1.2.3–1.crx

Druhý požadavek browser posílá na https://api.surfeasy.com/v2/re­gister_device, server nazpět pošle device_password a device_id, těmito údaji se poté browser autorizuje proxy serveru (kterému Opera říká VPN server)

"data" : {
"device_password" : "C74891C1220057FBC43B1C403D6D10916F609DFB678D04BAB39303646E14CA77",
"client_type" : "se0304",
"device_id" : "se0304-30e2096eed63607b34b36af"
},

Příchozí id a heslo

Požadavkem poslaným na https://api.surfeasy.com/v2/geo_list pak Opera zjišťuje, kde všude po světě jsou dostupné VPN proxy servery.

V odpovědi na poslední, čtvrtý požadavek se Opera konečně dozví, jaké IP adresy jednotlivé proxy servery mají a v jaké zemi se ten který server nachází. Nějakou vnitřní magií si vybere jednu IP adresu, v mém případě to byla adresa 185.108.219.42, ke které prohlížeč přiřadil jméno de0.opera-proxy.net a server s tímto jménem pak používal jako proxy server. Jméno de0.opera-proxy.net jde přeložit na IP pouze a jen v Opeře a jen když je zapnutá “VPN”, Opera pravděpodobně používá nějak upravený resolver.

Kompletní záznam všech požadavků a odpovědí najdete u mě na GitHubu. Vytvořil jsem také jednoduchý skript v Pythonu, který všechny ty požadavky pošle a zpracuje tak, jak to nejspíš dělá i samotná Opera. Nazval jsem ho The Oprah Proxy.

Proxy servery jako např. de0.opera-proxy.net vyžadují jméno a heslo, heslo prohlížeč zná z odpovědi na druhý API požadavek ( device_password), jméno je vypočítané jako sha1(device_id). Když toto jméno a heslo získáte, třeba tak, že si v browseru zachytíte požadavek na proxy server, který jméno a heslo obsahuje v hlavičce Proxy-Authorization, tak se pak na proxy servery Opery můžete připojit i z jiného počítače, na kterém Opera vůbec není nainstalována. Jsou to klasické HTTP(S) proxy servery, které vyžadují ověření, ne VPN servery.

Od těch klasických běžných HTTP proxy serverů se přece jen ve dvou věcech odlišují: za prvé, browser se na ně připojuje vždy pomocí šifrovaného HTTPS, a to i přesto, že se zrovna snaží načíst stránku pomocí nešifrovaného HTTP a za druhé, překlad domény na IP adresu se provádí až na tom proxy serveru, nedělá ho samotný prohlížeč, takže z browseru bokem neutíkají nešifrované dotazy do DNS. Díky tomu si celkem oprávněně zaslouží název “secure proxy”.

Proxy vyžaduje ověření
Je tu ještě několik důležitých drobností. Nastavení “VPN” přežije restart browseru, což znamená, že device_id (a tedy uživatelské jméno pro přihlášení na proxy) zůstává stejné, i když browser vypnete a zase zapnete. Toho by se dalo využít pro sledování chování uživatelů, a reklamní průmysl by jistě věděl, co s takovými daty dělat. Parametr device_id přežije dokonce i reinstalaci browseru, pokud při odinstalaci nevyberete, že chcete smazat i uživatelská data.

“VPN” v Opeře má ještě jeden problém. Může prozradit vaši IP adresu, i když jste připojeni přes tuto “VPN”. K vyzrazení se dá zneužít WebRTC, které adresu leakne. Vyzkoušet si to můžete na https://ipleak.net/. Pokud jste připojení přes opravdovou VPN, tak by k vyzrazení vaší IP adresy docházet nemělo.

Opera Software ve své zprávě tvrdí, že jejich “VPN” je lepší, než tradiční VPN. No, jak se to vezme. Není to VPN, nezabezpečí to všechna spojení tak jako VPN, ale umí to vyzradit vaši IP adresu a má to potenciální sledovací možnosti a je to zdarma a neomezené. Odpovězte si raději sami.

Podobných “VPN” bude jistě víc, ale pokud si chcete vybrat nějakou opravdovou VPN, může vám pomoci třeba tento rozsáhlý přehled porovnávající VPN služby. SurfEasy, tedy služba, kterou Opera používá, tam nemá zrovna nejlepší hodnocení, údajně má zaznamenávat IP adresy klientů používajících službu, ačkoliv v Privacy Policy aktualizované 18. dubna už tvrdí, že to nedělá.

Prohlížeč Opera dostává bezplatné připojení k VPN

25.4.2016 Zabezpečení
Prohlížeč Opera dostává bezplatné připojení k VPNVčera, Milan Šurkala, aktualitaInternetový prohlížeč Opera dostal další zajímavou funkci v podobě VPN připojení zdarma. To umožní zvýšit bezpečnost např. při připojení k veřejné Wi-Fi nebo obcházet regionální omezení různých serverů.
Autoři internetového prohlížeče Opera se nevzdávají a přichází s další, tentokrát dosti netradiční funkcí. Po integraci blokování reklamy bez jakýchkoli plug-inů přichází podpora bezplatného VPN připojení. Zatímco přístupy k VPN serverům jsou obvykle placené, případně jde o VPN zdarma pro pracovní či vzdělávací účely, Opera nabídne možnost využít VPN servery naprosto bezplatně. Není tedy třeba instalovat žádného VPN klienta třetí strany, funkce je nativně v prohlížeči. Důvody pro VPN připojení mohou být různé. Hodí se to např. na veřejných Wi-Fi sítích, kdy šifrování komunikace přes VPN může výrazně zvýšit bezpečnost připojení. VPN se dá ale používat i méně legálně tím, že počítač se pak může tvářit, že je umístěn v jiné zemi a může tak mít přístup k obsahu, který by ale neměl být v dané zemi přístupný.

V minulosti toto řešilo např. BBC u svého iPlayeru, je to ale běžné u drtivé většiny služeb, které mají restrikce v závislosti na tom, kde se nachází počítač, který se snaží k dané službě připojit. Podle statistik VPN použilo nebo používá více než půl miliardy lidí (24 % internetové populace). Důvody jsou např.:
přístup k zábavnému obsahu (38 %)
zvýšení anonymity při procházení internetu (30 %)
zajištění přístupu k omezeným sítím a stránkám ve vlastní zemi (28 %)
zajištění přístupu k podnikové pracovní síti (27 %)
komunikace s rodinou v zahraničí (24 %)
přístup k omezenému novinářskému obsahu ve vlastní zemi (22 %)

Odemčení zabijákova iPhonu stálo FBI přes 31 miliónů korun

22.4.2016 Zabezpečení
Americký Federální úřad pro vyšetřování (FBI) zaplatil za odemčení iPhonu teroristy Syeda Farooka ze San Bernardina přes 1,3 miliónu dolarů, tedy v přepočtu přes 31 miliónů korun. Ve čtvrtek to podle agentury Reuters naznačil šéf FBI James Comey. Detaily o průniku však vyšetřovatelé stále tají.
Spor o „zadní vrátka”

Vyšetřovatelé z FBI se do uzamčeného iPhonu islámského radikála nemohli dostat dlouhé dva měsíce. Jeho iPhone 5C byl nastaven tak, aby se po zadání deseti nesprávných kódů automaticky vymazal, s čímž si bezpečnostní experti z FBI původně nedokázali poradit.
Soud proto Applu v únoru nařídil, aby tuto funkci vypnula, což však není technicky možné. Proto vyšetřovatelé chtěli po americkém softwarovém gigantu vytvořit v operačním systému iOS „zadní vrátka“, což však vedení Applu odmítalo.
Vyšetřovatelům z FBI se nakonec podařilo do uzamčeného zařízení dostat. Detaily o průniku však nezveřejnili.
Útok v San Bernardinu byl nejtragičtějším od teroristických útoků v zemi v září 2001. Zradikalizovaný muslim Syed Farook a jeho žena Tashfeen Maliková tam na počátku prosince zastřelili 14 lidí. Později byli zabiti při přestřelce s policií.
Comey se o zabijákově iPhonu rozpovídal na akci Aspen Security Forum, která se konala ve čtvrtek v Londýně. Jeden z přítomných novinářů se jej tam zeptal, na kolik FBI vyšlo prolomení zabezpečení iPhonu.

Přesnou částku šéf FBI sice neprozradil, ale je možné ji z jeho slov odvodit. „Opravdu hodně. Je to víc, než si zvládnu u FBI vydělat do konce svého funkčního období. Tedy za sedm let a čtyři měsíce,“ přiblížil Comey.

Pomohli Izraelci?
Vzhledem k tomu, že jeho roční plat činí 183 300 dolarů (4,3 miliónu korun), není těžké spočítat úplatu za odblokování jablečného smartphonu. Celková částka musela dělat minimálně 1,3 miliónu dolarů (přes 31 miliónů korun).

Více nechtěl na dotazy týkající se celé kauzy odpovídat. Doposud tedy není jasné, jak přesně se podařilo vyšetřovatelům do uzamčeného iPhonu dostat a jaká společnost jim s odblokováním zařízení pomohla. [celá zpráva]

Podle dřívějších informací je to však práce společnosti Cellebrite se sídlem v Izraeli. Firma britské stanici BBC potvrdila, že s americkými vyšetřovateli spolupracuje, ale více nesdělila. Na svých internetových stránkách nicméně Cellebrite prohlašuje, že jeden z jejích nástrojů umí dekódovat a extrahovat data z iPhonu 5C.

Nástroj na odemčení FBI ještě poslouží
Odemčení zabijákova iPhonu nicméně vyšetřovatelům příliš nepomohlo, jak informoval na konci minulého týdne server CBS News. Nebyla totiž odhalena žádná data, díky nimž by se vyšetřování posunulo nějak dopředu.

Zdroj serveru nicméně zdůraznil, že veškerá získaná data z chytrého telefonu budou ještě několik dní nebo dokonce týdnů podrobně analyzována. Vše nicméně nasvědčuje tomu, že ani důkladnější prohledávání nepřinese žádné kloudné výsledky.

I tak ale nebyly vynaložené milióny zbytečné. Získaný nástroj totiž dokáže FBI využít k odemčení i dalších jablečných přístrojů. Konkrétně by mělo jít o iPhone 5C a starší modely, na ty nové jsou vyšetřovatelé krátcí.

„Máme nástroj, který však nepracuje na všech iPhonech,“ prohlásil již dříve Comey. Ani tehdy však žádné bližší informace nechtěl prozradit.

Let's Encrypt už není beta, zůstávají však nesplněné sliby
21.4.2016 Zabezpečení

Bezplatná automatizovaná certifikační autorita nedávno odstranila nálepku „beta“ ze svého názvu. Kdysi slibované bezpečnostní prvky ale byly zrušeny, nebo zůstávají neimplementované.
Certifikační autorita Let's Encrypt měla být revolucí v bezpečnosti na internetu. Jejím cílem bylo zpřístupnit snadné šifrování pro všechny a udělat to bezpečněji, než je stávající praxe. Zatímco první cíl se zajisté splnit povedlo, z druhého vidíme po čase spíše ústupky směrem ke snazší použitelnosti za cenu nižší bezpečnosti.

Domain Control Validation – validace, která moc nevaliduje

Z reakcí na předchozí články a přednášky o Let's Encrypt pozoruji, že spousta lidí až do příchodu Let's Encrypt měla jen velmi zkreslenou představu o tom, jak málo stačí k vydání důvěryhodného certifikátu pro webový (i jiný) server. Zřejmě i na základě samotného pojmu často mylně usuzují, že k jeho získání je potřeba nějaká certifikace. Když se pak dozví, že stačí vystavit správný soubor na webovém serveru, často neskrývají zděšení.

Tato nejnižší forma validace je přitom k dispozici již mnoho let a podporuje ji naprostá většina veřejných certifikačních autorit. O žádnou certifikaci ve smyslu ověření totožnosti držitele ale nejde. Autorita jen potvrdí, že v nějaké době před vystavením certifikátu ovládal doménové jméno ten, kdo o certifikát požádal. Pokud od té doby doména změnila majitele, nebo byla IP adresa přidělena jinému zákazníkovi, nebo někdo po cestě odklonil provoz, může se snadno stát, že certifikát ve skutečnosti nepatří držiteli doménového jména, ale někomu jinému. Jinými slovy, ani ten základní a jediný účel, pro který certifikáty existují, tedy prokázání identity komunikujících stran, DV certifikát řádně nesplňuje.

Nízké důvěryhodnosti si samozřejmě jsou vědomi i lidé ze Let's Encrypt, na druhou stranu je to jediný způsob validace, který je možné plně automatizovat. Proto přišli s vlastními nápady, jak validaci držitele domény co nejvíce zabezpečit proti případnému zneužití.

Ochrana před náhodným vystavením autentizační výzvy

Jedním z nejběžnějších způsobů validace držení doménového jména je vystavení určitého souboru na webserveru, který běží na daném doménovém jméně. Funguje takto:

klient požádá autoritu o vystavení certifikátu
autorita požádá klienta, aby vystavil konkrétní soubor na konkrétní cestě
klient vystaví soubor a požádá o validaci
autorita soubor zkontroluje a vystaví certifikát
Jedním z problémů, ke kterému zde může dojít, je vystavení autentizační výzvy někým jiným, než držitelem příslušného doménového jména. Jde-li o webový server, na který nahrávají data v nějaké formě uživatelé (např. diskuzní fórum, cloudové uložiště a pod.), může nepříjemnou shodou okolností dojít k tomu, že se autentizační soubor podaří uložit některému z uživatelů.

Původní implementace Let's Encrypt proti tomuto bojovala nejen speciální cestou /.well-known/acme-challenge/, ale i požadavkem na vystavení ověřovacího souboru se speciálním MIME typem application/jose+json. Vzhledem k tomu, že validační soubor nemá žádnou příponu, bylo nutné tohoto docílit zásahem do konfigurace webserveru, což sloužilo jako dostatečný důkaz toho, že soubor skutečně vystavuje administrátor webserveru a nikoli náhodný uživatel webové služby.

Tento požadavek byl z ostré verze Let's Encrypt odstraněn ještě před spuštěním beta programu. Podle všeho bylo takový požadavek příliš složité splnit na IIS. Má se za to, že ochrana umístěním ověřovacích souborů do podadresáře .well-known plní účel dostatečně.

Ochrana před manipulací s DNS

Specifikace protokolu ACME v tomto ohledu požadovala a stále požaduje, aby autorita prováděla validaci DNSSEC dat. To skutečně také dělá, jak jsem se přesvědčil při pokusu ověřit doménové jméno se záměrně rozbitým DNSSEC podpisem:

Verifying:www.rhybar.cz
www.rhybar.cz:Verify error:DNS problem: SERVFAIL looking up A for www.rhybar.cz
Ovšem, i tady je prostor ke zlepšení. Když jsem stejným způsobem požádal o vystavení certifikátu pro doménové jméno se záměrně rozbitým DNSSEC podpisem používajícím ECDSA algoritmus, certifikát jsem dostal. Jedná se zřejmě o zastaralý software DNSSEC validátoru, který ECDSA algoritmům dosud nerozumí. Problém jsem nahlásil bezpečnostnímu týmu ISRG, přislíbili, že se jím budou zabývat.

Ochrana před únosem adres

Další riziko, kterému DV validace čelí, je únos IP provozu na cestě mezi autoritou a serverem domény, která žádá o certifikát. K řešení tohoto problému se vyjadřoval Peter Eckersley na loňském DebConfu. Přislíbil dva základní prostředky snížení rizika.

Prvním má být ověřování validačních výzev z více pozorovacích bodů. Jsou-li body dostatečně síťově vzdálené, je pro případného útočníka obtížnější unést provoz mezi autoritou a klientem – útočník pak musí být buď na společné části cesty, nebo musí ovládat všechny cesty k danému klientovi. Na stejném principu ostatně funguje třeba známé rozšíření Firefoxu Perspectives, které pomocí skupiny notářských serverů po celém světě ověřuje, zda vidí všichni stejný certifikát.

Jaká je realita ostrého Let's Encrypt? Podle logu webserveru byly všechny mé validační výzvy kontrolovány pouze jednou a to z IP adresy 66.133.109.36 (doménové jméno outbound1.letsencrypt.org). Pohled na traceroute ukazuje, že kritická cesta, na které se kdekoli může vyskytovat útočník, je opravdu velmi dlouhá:

traceroute to 66.133.109.36 (66.133.109.36), 30 hops max, 60 byte packets
1 cat58-gw.cesnet.cz (195.113.134.129) 0.482 ms 0.521 ms 0.606 ms
2 195.113.179.141 (195.113.179.141) 1.931 ms 1.939 ms 1.939 ms
3 195.113.235.109 (195.113.235.109) 5.309 ms 5.337 ms 5.318 ms
4 prag-b3-pos4-0.telia.net (213.248.77.117) 1.993 ms 2.290 ms 2.247 ms
5 win-bb2-link.telia.net (62.115.117.100) 7.643 ms 7.782 ms 7.782 ms
6 ffm-bb2-link.telia.net (62.115.113.108) 20.126 ms 18.862 ms 18.852 ms
7 ash-bb4-link.telia.net (80.91.246.62) 115.515 ms prs-bb2-link.telia.net (62.115.143.81) 31.927 ms hbg-bb4-link.telia.net (62.115.112.47) 26.704 ms
8 ash-b1-link.telia.net (62.115.115.154) 118.382 ms ash-b1-link.telia.net (62.115.113.213) 116.098 ms ash-bb4-link.telia.net (80.91.251.247) 110.192 ms
9 206.111.0.225.ptr.us.xo.net (206.111.0.225) 116.656 ms 117.380 ms 117.374 ms
10 206.111.0.225.ptr.us.xo.net (206.111.0.225) 111.686 ms 111.445 ms 116.614 ms
11 207.88.14.162.ptr.us.xo.net (207.88.14.162) 178.180 ms 171.673 ms vb6.rar3.chicago-il.us.xo.net (207.88.12.33) 173.453 ms
12 te-4-1-0.rar3.denver-co.us.xo.net (207.88.12.22) 169.670 ms 173.880 ms vb6.rar3.chicago-il.us.xo.net (207.88.12.33) 185.601 ms
13 ae0d0.mcr1.saltlake-ut.us.xo.net (216.156.0.2) 169.649 ms 169.179 ms 169.169 ms
14 ip65-46-61-22.z61-46-65.customer.algx.net (65.46.61.22) 173.020 ms ae0d0.mcr1.saltlake-ut.us.xo.net (216.156.0.2) 164.528 ms ip65-46-61-22.z61-46-65.customer.algx.net (65.46.61.22) 172.705 ms
15 ip65-46-61-22.z61-46-65.customer.algx.net (65.46.61.22) 183.939 ms teng-04-02.crrt02.slc07.viawest.net (66.51.2.169) 174.316 ms 174.453 ms
16 66.133.111.222 (66.133.111.222) 250.284 ms teng-04-02.crrt02.slc07.viawest.net (66.51.2.169) 169.295 ms 66.133.111.222 (66.133.111.222) 228.521 ms
17 66.133.111.222 (66.133.111.222) 228.496 ms outbound1.letsencrypt.org (66.133.109.36) 172.651 ms 66.133.111.222 (66.133.111.222) 342.482 ms
Vizualiace cesty k autoritě Let's Encrypt pomocí systému <a href="https://atlas.ripe.net/measurements/3678977/">RIPE Atlas</a>.
Vizualiace cesty k autoritě Let's Encrypt pomocí systému RIPE Atlas.
Nerealizovaný důkaz držení předchozího klíče

Druhá pojistka proti zneužití DV validace měla být zároveň bezpečnostní killer feature projektu Let's Encrypt. Myšlenka byla taková, že žádá-li kdokoli o vydání certifikátu na doménové jméno, pro které již existuje vydaný a platný certifikát některé veřejné certifikační autority (tato skutečnost se dá dohledat například v databázi SSL Observatory, nebo Certificate Transparency), je třeba pro úspěšné ověření provést také důkaz držení privátního klíče k původnímu certifikátu. Takový důkaz může proběhnout například tak, že se privátní klíč použije k podpisu autoritou předepsané zprávy.

Tímto způsobem by bylo možné elegantně eliminovat zneužití autority odkloněním provozu, neboť samotný fakt disponování doménovým jménem by v tomto případě nestačil. Bohužel, ani tento bezpečnostní mechanizmus nebyl implementován a pravděpodobně tomu tak ani v dohledné době nebude. Tiket k dané funkci byl těsně před koncem beta období uzavřen. Osobně se domnívám, že k jeho realizaci nedojde také proto, že spoustu klientů a řešení, které už Let's Encrypt rutinně používají, by bylo nutné zásadním způsobem změnit.

Transparentnost s trhlinami

Další oblast, ve které se autorita Let's Encrypt měla odlišovat od konkurence, byla naprostá transparentnost procesu. V praxi to mělo být zajištěno:

sekvenčním číslováním sériových číslel certifikátů
posíláním všech certifikátů do veřejných logů Certificate Transparency
zveřejňováním záznamů ACME komunikace
veřejným blacklistem doménových jmen
Ze všech těchto bodů zůstalo v platnosti pouze posílání certifikátu do Certificate Transparency. Sekvenční číslování bylo zrušeno ještě před veřejnou betou s odůvodněním, že výrazným způsobem komplikuje kód autority boulder a přitom jen nedokonale provádí totéž co Certificate Transparency.

Zveřejnění ACME logů by mohlo představovat dobrý důkazní materiál pro vyšetřování případného zneužití. Bylo by možné prozkoumat, jakým způsobem validace proběhla, jakou IP adresu server měl v době validace a další důležité podrobnosti. Podle vyjádření z listopadu 2015 je funkce stále plánována, avšak nebyl čas ji zprovoznit do zahájení beta programu. S odstupem času můžeme říct, že se to bohužel nepovedlo ani do ukončení beta programu.

A konečně, Let's Encrypt používá, ve shodě s jinými autoritami, blacklist speciálních a/nebo hodnotných doménových jmen, pro která certifikát za žádných okolností nevydává. V průběhu vývoje byl tento seznam součástí otevřených zdrojových kódů autority. Od té doby však došlo k refaktoringu, kdy byl blacklist přesunut nejprve do databáze a později do samostatných datových souborů. Tyto však již nejsou hostovány na GitHubu, takže není možné snadno zkontrolovat, která doména na blacklistu je a která ne.

Rate-limiting stále v akci

Koncem března byly drobně uvolněny rate limity. Nyní je možné v rámci jednoho doménového jména vystavit:

20 různých certifikátů týdně
5 certifikátů s totožnou sadou jmen týdně
neomezené množství obnovených certifikátů (se stejnou sadou jmen, jako již vydaný certifikát)
I když se limity zdají být velkorysé, jsou pro některé účely hluboce nedostačující. Příkladem mohou být nejrůznější bezplatné DNS hostingy, kde pod jedním doménovým jménem existují tisíce samostaných uživatelů, kteří by rádi měli každý svůj certifikát. Stejný problém trápí také třeba velké univerzity, které mají pod společným doménovým jménem mnoho fakult a také třeba kolejní sítě.

Předčasně ukončená beta

Autoritě Let's Encrypt se toho povedlo opravdu hodně, o tom není pochyb. Více než půl druhého milionu platných certifikátů během půlročního provozu svědčí o tom, že projekt má smysl a zájem o podobně fungující autoritu je. Bohužel, z plánovaných bezpečnostních vlastností, které měly DV certifikáty od Let's Encrypt odlišovat od obyčejných DV certifikátů ostatních autorit postupně sešlo. Teď, když už autorita ztratila označení beta, se nedá očekávat, že by byly v dohledné době doplněny.

Pozitivní však je, že nástup Let's Encrypt rozhýbal trh komerčních certifikačních autorit. Známá autorita StartSSL například převlékla svůj web do trošku modernějšího kabátu a uvolnila limit počtu doménových jmen v bezplatném certifikátu. Symantec zase oznámil program Encryption Everywhere, který je v zásadě klonem Let's Encrypt, ale zaměřeným na provozovatele webhostingů místo na koncové uživatele. Obchod The SSL Store zase vysvětluje, jaká má Let's Encrypt omezení a proč se tedy v určitých případech stále vyplatí zakoupit si certifikát od nich.

Tradiční certifikační autority své místo na trhu nepochybně mají, ale jejich místo je především v provádění řádné validace, tak aby vystavené certifikáty zaručovaly aspoň nějakou úroveň jistoty, že patří, komu patřit mají. DV certifikát je sice mnohonásobně lepší než nešifrovaný přístup, rozhodně se ale nehodí pro službu, která jakýmkoli způsobem zpracovává například osobní nebo platební údaje uživatelů.

Certifikáty pro HTTPS zdarma: Komunitní autorita Let's Encrypt spouští ostrý provoz
18.4.2016 Zdroj: Živě Zabezpečení
Projekt bezplatných certifikátů pro webové servery Let’s Encrypt po několikaměsíčním zkušebním provozu opouští betatestování a spouští ostrý provoz.

Beta program autoři spustili loni v září a od té doby vydali 1,7 milionů certifikátů, které jsou díky sponzorům důvěryhodné ve většině moderních webových prohlížečů. Nyní se pochlubili, že na svou stranu získali další dva silné partnery: Cisco a Akamai.

O Let's Encrypt je zájem

Cílem Let’s Encrypt není zničit současný trh s certifikáty, ale spíše umožnit základní důvěryhodné šifrování webových stránek a masové nasazení HTTPS:// napříč internetem. To je doposud problém, protože bez důvěryhodného certifikátu prohlížeče zobrazují varovná hlášení a autoři malých webů zpravidla nechtějí platit vedle domény a hostingu ještě za certifikát od důvěryhodné autority. Let’s Encrypt by tento základní problém mohl vyřešit, nabízí totiž přesně tento typ nejjednodušších certifikátů.

Jedinou šmouhou na kráse je ovšem to, že nasazení certifikátů není úplně nejjednodušší úkon a vyžaduje alespoň základní znalosti administrátorské práce a znalosti, jak vlastně certifikáty fungují. A o Let’s Encrypt to platí dvojnásob.

V ideálním případě by nájemce domény získal certifikát automaticky v rámci platby za doménu a jeho instalace na webovém serveru by proběhla maximálně automatizovaně v rámci standardizovaného API.

WordPress spustil šifrované HTTPS na všech doménách, které poskytuje
17.4.2016 Zabezpečení

WordPress již od roku 2014 podporuje bezpečnější HTTPS, zatím ale pouze na stránkách s poddoménou wordpress.com (např. https://barry.wordpress.com). Nově se ale podpora rozšiřuje i pro všechny ostatní weby, které jsou u WordPressu registrovány.

Veškeré weby registrované na WordPress.com nyní podporují HTTPS

Změna proběhne automaticky a není potřeba žádných úprav na straně zákazníka. Nyní by už měly všechny weby běžet na šifrovaném protokolu, což lze na první pohled poznat podle ikony zámku vedle adresy webu v prohlížeči.

Takový přechod rozhodně přispívá k bezpečnému pohybu na internetu a doufejme, že se stejnou cestou vydají i další velké společnosti. Zvýšená bezpečnosti není jediným přínosem HTTPS. Weby, které mají tento protokol implementován, jsou v třídícím žebříčku vyhledávače Google automaticky řazeny na vyšším pozice. Podrobnější informace o proběhlých změnách lze nalézt na stránkách WordPress.

Microsoft pomocí hardwaru výrazně vylepší zabezpečení Windows 10

14.4.2016 Zabezpečení
Od konce července 2016 budou muset všechny nové počítače, tablety a smartphony s Windows 10 splňovat standard TPM 2.0. Microsoft tímto způsobem chce výrazně zvýšit zabezpečení těchto zařízení.

Snaha Microsoftu o vylepšení ochrany dat systémů s Windows 10 tentokrát dopadla na samotné výrobce hardwaru. Dodavatel operačního systému totiž bude využívat hardwarově koncipovanou funkci TPM (Trusted Platform Module) 2.0 a stanovil i minimální požadavky na zařízení s Windows 10 – a ty požadují, aby výrobci osadili svá zařízení příslušným čipem či firmwarem.

Čipy TPM jsou už dostupné řadu let, a to především v podnikových verzích osobních počítačů. Verze 2.0 ale nabídne hardwarovou vrstvu pro ochranu uživatelských dat, a to tak, že bude sama spravovat a ukládat kryptografické klíče v důvěryhodném úložišti (kontejneru).

„Požadavek na TPM se bude vynucovat prostřednictvím našeho programu Windows Hardware Certification," tvrdí Microsoft v blogu na svých stránkách.

Výrobci hardwaru tak budou muset do svých zařízení implementovat TPM 2.0, a to buď formou speciálního čipu, anebo prostřednictvím firmwaru. Funkce TPM přitom musí být defaultně aktivovaná, i když zatím není úplně jasné, zda tuto funkcionalitu budou moci uživatelé dodatečně zrušit.

TPM by mělo podle expertů vést ve Windows 10 k širšímu využívání dvoufaktorové autentizace pro zalogování do PC, aplikací či webových služeb. Například Windows Hello, což je biometrický autentizací systém Microsoft využívající tvář, otisk prstu či rozpoznání oční duhovky, bude nově možné spolu se šifrovanými klíči v TPM spolehlivě využívat k plnohodnotné autentizaci uživatelů.

Spousta firemních notebooků či tabletů s procesory od Intelu už TPM 2.0 zahrnuje, levnější PC ale zpravidla TPM nenabízejí, což se od 28. července musí změnit. A podobně jsou na tom i smartphony. TPM ale i nadále nebude muset být v mini-počítačích typu Raspberry Pi 3.

„Jendoznačným cílem je vytvořit z PC mnohem zabezpečenější platformu,“ tvrdí Kevin Krewell, analytik Tirias Research. Windows podle něj totiž dnes představuje jeden z nejméně chráněných operačních systémů.

Neaktualizované aplikace bývají příčinou napadení, české firmy to ale podceňují

8.4.2016 Zabezpečení
Až 85 % českých menších a středních podniků podceňuje softwarové aktualizace, tvrdí průzkum GFI. Většina podniků prý má dobře ošetřené updaty softwaru Microsoftu, nicméně podceňuje „záplatování“ softwaru třetích stran, jako Adobe, Google či Mozilla.

Podle organizace National Vulnerability Database, která sleduje globální zranitelnosti softwarových systémů, jsou dlouhodobě nejzranitelnější aplikace, několikanásobně více než operační systémy či hardwarové systémy.

K nejzranitelnějším aplikacím se podle ní řadí webové prohlížeče, Java a aplikace zdarma od Adobe jako Flash Player, Reader, Shockwave Player či AIR. A právě na tento software se soustřeďuje pozornost hackerů, kteří se snaží prostřednictvím bezpečnostních děr napadnout počítače a podnikovou síť.

Firma GFI nedávno vykonala lokální průzkum, kde zjišťovala, jak se k tomuto problému staví tuzemské firmy. A zjištění jsou podle ní alarmující. Například s problémy nedostatečně dělaných softwarových aktualizací se často setkává 23 % českých SMB společností, ojediněle 62 %.

Hlavními překážkami správně prováděného patch managementu ve firmách jsou přitom nedostatečné povědomí o problematice (54 %), obavy, že po aktualizaci nebude něco fungovat (46 %) a vysoká cena specializovaných nástrojů (41 %).

Z nástrojů pro patch management, které se v českých fimách používají, jde převážně o služby WSUS (46 %) a Windows Update (43 %)

„Tam, kde dobře fungují automatizované aktualizace, jako například u operačních systémů, je úroveň zranitelnosti nižší,“ říká Zdeněk Bínek, zodpovědný za prodej řešení GFI Software v ČR a na Slovensku a dodává: „Problém nastává u aplikací třetích stran, kde uživatelé často aktualizaci manuálně zamítnou a tím vystaví svůj počítač a celou firemní síť možným útokům.“

Podle něj může být vhodným přístupem využít centralizované nástroje, které dokážou jednak s pomocí simulovaných útoků vyhodnotit zranitelnost infrastruktury a jednak dovolí automaticky instalovat aktualizace na jednotlivé počítače bez potřeby zásahu uživatele.

FBI: Náš odblokovací nástroj na iPhony nefunguje na nové modely

8.4.2016 Zabezpečení

V kauze zašifrovaného iPhonu střelce ze San Bernardina je jasno. FBI si sehnala člověka, který telefon odblokuje. Univerzální řešení ale úřady nemají.
Dnes 8:56 Jan Beránek
Sdílet na Facebooku Odeslat na Twitter Sdílet na Google+
Nálepky: Apple Bezpečnost iPhone Šifrování WhatsApp
Prolomili zabezpečení u iPhonu 5C, ale dál se zatím nedostali. Podle agentury Reuters to přiznal šéf FBI James Comey. „Máme nástroj, který funguje jen na některých telefonech,“ tvrdil na šifrovací konferenci v Kenyon College v Ohiu. Podle agenta jejich technika nefunguje u modelů od verze 5S výše.

Ačkoliv nejde technologie vyšetřovatelů použít pro novější modely, FBI to nevzdává. Zkouší se k univerzálnímu klíči dostat za pomoci soudů. Přístup k zašifrovaným iPhonům by se agentům totiž hodil i v jiných případech než jen u přestřelky v San Bernardinu.

A je to právě otázka, jestli má výrobce telefonů poskytovat úřadům nástroj na odemykání zašifrovaných mobilů, nebo ne, která která poslední měsíce lomcuje Silicon Valley.

"Potěšila nás podpora celé Ameriky. Vydržíme. Věříme tomu, že máme zodpovědnost za ochranu vašich dat a vašeho soukromí. Dlužíme to našim zákazníkům a dlužíme to i této zemi,“ dokončil Tim Cook svůj proslov na prezentaci nových produktů.

Každopádně šifrování začalo být zase sexy. Kompletní šifrování veškeré komunikace třeba ohlásil WhasApp. Komunikační aplikace posbírala zatím miliardu uživatelů. A všichni budou teď mít šifrované nejen zprávy, ale i videa nebo obrázky.

Podle vyjádření firmy, i hlasové hovory. Koneckonců, majitel WhatsAppu, Facebook, si bere ochranu soukromí za jeden ze svých cílů, ať už to může znít jakkoliv paradoxně.

Miliardový WhatsApp je nyní kompletně šifrovaný. Soudy i NSA mají prý smůlu
6.4.2016 Zabezpečení
Letos v zimě WhatsApp oznámil, že jej používá již více než miliarda surfařů a o dva měsíce později přispěchala s přelomovou zprávou i společnost Open Whisper Systems, které komunikátoru poslední dva roky pomáhá v nasazování vlastní šifrovací technologie Signal Protocol.

Všechny části WhatsAppu jsou nyní podle bezpečnostních specialistů šifrované způsobem end-to-end a to včetně hlasové komunikace, takže službu nemůže nikdo snadno odposlouchávat a žádná státní autorita nemůže po provozovateli požadovat dešifrovací klíč, protože ten jej prostě nemá.

WhatsApp je nyní kompletně end-to-end šifrovaný, takže se k obsahu žádným způsobem nedostane ani provozovatel a to třeba i po soudní žádosti, naléhání NSA aj.

Vzhledem k tomu že je WhatsApp pravděpodobně nejpoužívanějším komunikátorem na světě (jeho hlavním konkurentem bude nejspíše Messenger od Facebooku), silné zabezpečení kritizují některé země, jejichž bezpečnostní agentury se děsí, že nebudou moci nikoho snadno odposlouchávat.

Komunikační službu před dvěma lety koupi Facebook, který ze ni zaplatil okolo 19 miliard amerických dolarů.

Pentagon si nechá hackovat systémy, vyplatí stovky tisíc dolarů
5.4.2016 Zabezpečení
Korporace jako je Microsoft, Facebook, ale i Mozilla pravidelně vyplácí odměny hackerům, kteří objeví bezpečnostní díry v jejich produktech a místo zneužití je nahlásí. O něco podobného se chce pokusit i americké Ministerstvo obrany a vyhlásilo proto program Hack the Pentagon.

Podle The Next Web je to vůbec poprvé, kdy se některá z vládních institucí odhodlala k tomuto typu prověření svých bezpečnostních systémů. Na rozdíl od běžných společností, jako je Google, které umožňují zapojení do programu komukoliv, si Pentagon bude hackery vybírat.

Samotné schválení přihlášky bude záviset na ochotě pracovat ve Spojených státech, trestní bezúhonnost a zájemce také nesmí žít v zemi, na které americká vláda uvalila obchodní sankce. Pro každého přijatého uchazeče je vyhrazena částka minimálně 150 tisíc dolarů, přičemž sumy se budou zvyšovat podle úspěšnosti.

Najděte zranitelnost ve Windows a dostanete až 100 000 dolarů

Pro pilotní program se Ministerstvo obrany spojilo s odborníky ze společnosti HackerOne, která se specializuje právě na tento typ testování. Zájemci se mohou hlásit do pilotního programu, který bude probíhat od 18. dubna do 12. května.

Tor zlepšuje zabezpečení, dokáže odhalit špehovací kód
23.3.2016 Zabezpečení
Společnost již tři roky vylepšuje své schopnosti při odhalování podvodného softwaru.
Projekt Tor zdokonalil svůj software na takovou úroveň, že dokáže rychle detekovat, zda se s konkrétní sítí nějak manipulovalo pro sledovací účely, napsal v pondělí jeden z hlavních developerů projektu.
Panují obavy, že by Tor mohl být buď rozvrácen, či omezen soudními příkazy, což by mohlo přimět projekt předat citlivé informace vládním společnostem; tedy podobný případ, jako je současný spor Apple vs. soud Spojených států.
Vývojáři Toru tedy nyní vytváří systém takovým způsobem, aby vícero lidí mohlo zkontrolovat, zda kód nebyl pozměněn a který „eliminuje jednotlivá selhání,“ napsal také v pondělí Mike Perry, hlavní vývojář prohlížeče Tor Browser.
Během několika posledních let se Tor soustředil na to umožnit uživatelům přístup k jejich zdrojovému kódu, který si následně mohou pozměnit a vytvořit tak vlastní buildy Toru, jež se dají následně ověřit veřejnými šifrovacími klíči organizace a jinými kopiemi aplikace.
„I kdyby vláda nebo zločinci získali naše šifrovací klíče, naše sítě a její uživatelé by zvládli rychle odhalit tuto skutečnost a nahlásit ji jako bezpečnostní hrozbu,“ pokračuje Perry. „Z technického pohledu, naše revize a proces vývoje zdrojového kódu způsobují, že pravděpodobnost odhalení takového škodlivého kódu by byla vysoká, a náprava rychlá.“
Minimálně dva šifrovací klíče by byly potřeba, aby upravená verze Tor Browseru alespoň zpočátku překonala bezpečnostní opatření: SSL/TSL klíč, který zabezpečuje spojení mezi uživatelem a Torem, a klíč užívaný jako podpis softwarových aktualizací.
„Právě teď jsou potřeba dva klíče, a tyto klíče ani nemají k dispozici ti samí lidé,“ píše Perry v Q&A na konci svého příspěvku. „Také jsou oba zabezpečeny různým způsobem.“
I kdyby útočník klíče získal, teoreticky by uživatelé byli schopni prozkoumat hash sofwaru a tak přijít na to, zda nebyl škodlivě upraven.
Apple zatím bojuje s příkazem federálního soudu, aby vytvořil speciální verzi iOS 9, která by odstranila bezpečnostní opatření na iPhonu 5c, používaný Syedem Rizwanem Farookem, strůjcem masakru v San Bernardinu.
Naplnění rozsudku se obává mnoho technologických společností, neboť by vládě poskytl snadný způsob, jak podkopat šifrovací systém jejich produktů.
Americký úřad spravedlnosti v pondělí uvedl, že pátrá po jiných možnostech, jak se dostat to iPhonu Farooka. V tom případě by pomoc Applu stát nepotřeboval.
Perry dále napsal, že společnost Tor Project „stojí za Applem a jeho rozhodnutím bránit šifrování a odporovat tlaku vlády. Nikdy nevytvoříme zadní vrátka pro náš software.“
Tor, zkratka pro The Onion Router („cibulový router“) je síť, která poskytuje anonymní přístup k internetu pomocí upraveného prohlížeče Firefox. Projekt započala Laboratoř pro námořní výzkum ve Spojených státech, ale teď ji řídí nezisková organizace Tor Project.
Prohlížení webu je šifrováno a zajišťováno skrze různé proxy servery, což výrazně stěžuje možnost zjistit skutečnou IP adresu počítače. Tor je životně důležitá aplikace pro aktivisty a disidenty, neboť poskytuje silnou vrstvu soukromí a anonymity.
Některé z funkcí Toru však využili též kriminální živly, především kyberzločinci. To vyvolalo zájem u bezpečnostních agentur po celém světě. Tisíce webů běží skrytě na systému Toru a mají speciální „.onion“ URL; dá se tak na ně připojit pouze skrze upravený prohlížeč.
The Silk Road, „hedvábná stezka,“ byl undegroundový, částečně ilegální trh, zavřený FBI v říjnu 2013. Šlo o jednu z nejznámějších služeb, využívajících pro svou činnost právě Tor.

Microsoft dá sbohem šifře RC4, která chránila HTTPS a Wi-Fi
18.3.2016 ZAbezpečení

Microsoft oznámil , že v dohledné době výchozím odstraní podporu pro RC4 ve svých internetových prohlížečích Edge a Internet Explorer (11). Jde o algoritmus, který se využívá například při šifrovaném přenosu u webových stránek či při zabezpečení bezdrátových sítí. Historie šifry RC4 sahá ještě do roku 1987.

RC4

Šifra široce používaná u běžně používaných protokolů SSL/TLS pro HTTPS nebo WEP a WPA u Wi-Fi sítí. Byla oblíbená pro svou rychlost, jednoduchost a snadnou implementaci. Aktuálně už je ale překonána modernějšími alternativami.
Změna se odehraje v rámci kumulativních bezpečnostních aktualizací, které budou vydány příští měsíc, konkrétně 12. dubna (čili společně s dalšími bezpečnostními záplatami pro jiné produkty).

Microsoft tím plní závazek, o kterém informoval ještě loni. Zároveň následuje konkurenční produkty jako Google Chrome, Mozilla Firefox nebo Opera. Tyto prohlížeče již podporu RC4 zakázaly v předchozích aktualizacích.

Jelikož se většina moderních webových služeb i prohlížečů od RC4 už odklonila, v principu se běžní uživatelé nemusí při surfování na zabezpečených webech obávat nějakého omezení.

Šifrovaný ProtonMail už je dostupný pro všechny. K dispozici jsou i aplikace pro smartphony
17.3.2016 Zabezpečení

ProtonMail vzniknul na začátku loňského roku jako výsledek zvýšené poptávky po zabezpečené komunikaci. Vývojáři, kteří mají pracovní zkušenosti ze Švýcarského CERNu, šifrují text zpráv pomocí OpenPGP a internetem tedy putuje jako nesmyslná změť znaků. Dekóduje se opět až na konci u příjemce. ProtonMail se nyní dostává z fáze beta do běžného provozu a zaregistrovat si účet může kdokoliv.

Schránka ProtonMailu vypadá na první pohled jako kterýkoliv jiný webmail. Zprávy jsou však zašifrovány jak při odesílání, tak při ukládání na server provozovatele

Registrace pro uživatele, kteří nebyli součástí beta testování se otevřela dnes ve 12.30 a zároveň s tím zamířily do App Store a Google Play aplikace pro mobilní zařízení. V blogpostu, kterým zakladatel společnosti oznámil ostrý start, zdůraznil vzrůstající poptávku po takto zabezpečené komunikaci i v souvislosti s aktuální kauzou, jež se kolem šifrování rozjela.

Na startu ProtonMailu stála úspěšná crowdfundingová kampaň, která tvůrcům přinesla 550 000 dolarů, tedy asi 13 milionů korun. Aktuálně je novým uživatelům k dispozici schránka s kapacitou 500 MB, přičemž rozšíření probíhá pomocí některého z placených účtů. Za 5 GB navíc zaplatíte 5 euro měsíčně a získáte možnost denně odeslat až 1 000 zpráv. V základní neplacené verzi je limit nastaven na 150 zpráv. Za příplatek si lze pořídit vlastní domény s několika aliasy nebo možnost třídit zprávy pomocí více štítků – v bezplatné verzi jich je 20.

Při registraci vás čeká volba běžného přihlašovacího hesla a potom druhého, s jehož pomocí jsou zprávy šifrovány. První z nich lze resetovat v případě, že k účtu přiřadíte ještě jeden běžný e-mail. Šifrovací heslo však není možné žádným způsobem obnovit a k předchozí poště se při jeho ztrátě již nedostanete.

Biometrie na vzestupu: Co všechno vám už dnes může přinést?

13.3.2016 Zabezpečení
Biometrické zabezpečení zažívá strmý růst. Je to z velké části i kvůli tomu, že mnoha mobilním uživatelům vyhovuje pohodlnost používání nástrojů, jako je identifikace otiskem prstu. Bude však hrát biometrie významnou roli také v řešeních podnikového zabezpečení?

Bezpečnostní experti upozorňují, že biometrické technologie mají pozitiva i negativa. Na straně pozitiv je biometrie efektivním způsobem prokazování skutečné identity jednotlivých uživatelů.

„Nejviditelnější výhodou je, že se dokazuje identita osoby s větší mírou jistoty,“ tvrdí Jason Taule, ředitel zabezpečení ve firmě FEI Systems, která je poskytovatelem technologických produktů pro zdravotnictví.

„Předpokladem ovšem je, že se biometrie použije v kombinaci s něčím, co tento člověk zná. To je velmi důležité v situacích, kdy dochází k přístupu k systémům a prostředkům vyšší úrovně citlivosti,“ dodává Taule.

S využitím biometrie „víte, že jednotlivec přistupující k zabezpečeným oblastem či informacím je nejen osobou disponující odpovídajícími přihlašovacími údaji, ale je to skutečně osoba, které se přístup udělil“, říká Maxine Most, ředitel společnosti Acuity Market Intelligence. „To zlepšuje zabezpečení a poskytuje to kontrolní záznam.“

Biometrie může také poskytnout větší komfort. „Přestože existují jasné rozdíly mezi různými variantami biometrie (například otisky prstů versus skenování duhovky), výhodou využití této technologie pro autentizaci je skutečnost, že osoba nemůže tento identifikátor zapomenout, jako se to může například stát u hesla, ani ho nemůže někde nechat nebo jí ho někdo nemůže ukrást, jako se to může stát u tokenu,“ popisuje Taule.

To podle něj přináší snížení nároků na linku technické podpory a potenciálně úspory v oblasti nákladů na zaměstnance.

Na rozdíl od metod založených na heslech poskytuje biometrie „silnou autentizaci“, kterou nelze později popírat při soudním sporu, tvrdí Taule. V závislosti na způsobu implementace systému existuje možnost využít biometrii pro ověření totožnosti při vstupu do budovy nebo k autoritě, která poté umožní přístup k dalším zdrojům.

Biometrie může při správném využití „vyřešit mnoho problémů s pouhým využitím uživatelské identifikace a hesel“, tvrdí Mary Chaneyová, hlavní vedoucí týmu správy dat a reakce na incidenty ve finanční instituci GE Capital.

„Pokud použijete dynamické behaviorální biometrické rozpoznávání, jako je například dynamika úhozu do kláves, můžete získat výhodu dvoufaktorové autentizace,“ popisuje Chaneyová.

Použití dynamiky stisků kláves umožňuje organizacím měřit u každé osoby dobu stisku kláves a dobu mezi stiskem dalších kláves, říká Chaneyová a dodává: „Při tomto scénáři poskytuje pouhé zadání hesla dvoufaktorovou autentizaci.“

Kromě toho je podle ní dynamika stisků kláves velmi přesná a není pro uživatele rušivá, což jsou dva z největších problémů při používání biometrie při jakékoli implementaci zabezpečení.

Nesnadné zneužití

Dalším velkým přínosem použití biometriky je, že se velmi těžce falšuje, tvrdí Chaneyová. Při měření obou (fyziologických a dynamických) údajů se zaznamenávají informace pro každou osobu jedinečné a v průběhu času se málokdy mění.

Při správné implementaci není třeba v některých případech nic dalšího dělat, ani si pamatovat. Ztracená ID a zapomenutá hesla budou minulostí, říká Chaneyová.

Protože je osobní údaje nesmírně obtížné padělat, „mohly by se biometrické identifikátory používat k usnadnění jak fyzického přístupu, například v určitých oblastech podnikového areálu, tak i k virtuálnímu přístupu k vybraným místům v podnikovém intranetu“, uvádí Windsor Holden, šéf výzkumu v analytické firmě Juniper Research.

„Tato přihlášení lze přímo propojit s konkrétní aktivitou, takže v případě narušení bezpečnosti v rámci organizace lze rychle identifikovat odpovědnou osobu,“ říká Holden.

Biometrii lze také použít k integraci BYOD (využívání osobních zařízení pro firemní účely) do podnikových bezpečnostních strategií, „protože tak dochází k propojení osob a přístupu pomocí jejich osobních mobilních zařízení“, vysvětluje Most.

Prozatímní negativa

Na straně negativ stále figurují dvě velké nevýhody biometrie – vysoká cena a obavy o zachování soukromí, uvádějí experti...

Nový firewall Cisco namísto omezování uživatelů sám vyhledává hrozby

8.3.2016 Zabezpečení
Cisco přepracovalo své firewally Firepower NGFW tak, aby podle svých slov namísto zaměření na regulaci aplikací naopak omezovaly rizika. Přístup lze prý přirovnat k ochraně rodinného domu – zatímco dříve se chránilo zabezpečením oken a dveří, nově se odhalují potenciální zloději.

Firepower Next-Generation Firewall řady 4100 podle výrobce představuje jejich vůbec první plně integrovaný firewall zaměřený na hrozby. Spolu s ním začala firma nabízet i asistenční službu Security Segmentation Service, která má firmám pomoci zavádět mj. bezpečnostní opatření pro zlepšení souladu s předpisy.

Firepower NGFW například propojuje kontextuální informace o tom, jak uživatelé přistupují k aplikacím, s aktuálními informacemi o hrozbách a s vynucováním pravidel. To urychluje odhalování a potlačování hrozeb.

Produkt je prý také jedním z prvních zařízení se 40Gb ethernetovým připojením v kompaktním provedení pro jednu pozici v racku. Firewall dokáže také na základě přehledu o zranitelnostech, informačních aktivech a hrozbách automatizovat a vylaďovat nastavení bezpečnostních opatření pro rychlé posílení obrany.

Novinka spojuje technologii firewallů a služby pro odhalování hrozeb do jediného řešení. Je založená i na řešeních třetích stran, kdy se umožňuje sdílení bezpečnostních a kontextových informací mezi různými systémy – třeba Radware for Distributed Denial of Service (DDoS).

Podniky tak podle výrobce mohou efektivně propojovat dříve nesourodé informace a díky nim rychleji odhalovat a reagovat na pokročilé útoky bez ohledu na to, kde k nim dojde.

Nejlepší Antivir: podle testů AV Comparatives jsou výsledky těsné

7.3.2016 Zdroj: Živě Zabezpečení
Nezávislá testovací organizace AV Comparatives každoročně publikuje zprávu se souhrnnými výsledky z celoročního průběžného testování antivirových programů. Metodika testovaní se skládá z několika kategorií, které jsou hodnoceny zvlášť, přičemž o celkovém výsledku rozhodne souhrn těch dílčích. Hodnotí se úspěšnost v odstraňování malwaru, hledání infikovaných souborů, výkonnost, ochrana v reálném nasazení a proactive test.

Z celkového počtu dvaceti jedna testovaných antivirů všechny obdržely doporučující hodnocení, přesto ale některé vynikají více. Nejlepší hodnocení (Product of the year) obdržel software od Kaspersky Lab (konkrétně Kaspersky Internet Security).

Seznam všech testovaných antivirů a jejich výsledky v jednotlivých kategoriích

K prostudování výsledků nás motivoval rozsáhlý „falešní poplach“, který způsobil software od ESETu minulý týden. Na falešná hlášení se totiž antivirové programy rovněž testují a poslední test specializující se na tuto problematiku provedli v AV Comparatives v září loňského roku. Jak si vedl ESET? Zvítězil ještě spolu s dalšími dvěma programy, protože v rámci testu nenahlásil žádnou chybnou detekci. Případ z minulého týdne byl zjevně ojedinělý.

Testované antiviry v roce 2015

V celkovém hodnocení za rok 2015 získal Kaspersky ve většině kategorií nejlepší hodnocení a obhájil tak své prvenství z předchozího roku. V těsném závěsu se ale nachází hned šestice antivirů, které si také vedly velmi dobře. Tyto antiviry získávají ocenění „Top rated products“. S tímto označením z testu vyšel Avast, AVIRA, Bitdefender, Emsisoft, eScan a ESET.

Výsledky v kategorii „Real-world protection“, zde se hodnotí úspěšnost detektece škodlivého softwaru v reálném nasazení, zohledňuje se také míra falešných poplachů

Detekce důmyslných útoků pomocí analýzy chování

6.3.2016 Zabezpečení
Big data a strojové učení pomáhají téměř v reálném čase posoudit riziko aktivit uživatelů, zda ještě vyhovují normě či naopak už jsou tzv. za hranou.

Zaměstnanec denně používá během pracovní doby legitimní oprávnění pro přístup k podnikovým systémům z podnikového pracoviště. Systém zůstává v bezpečí. Najednou však dojde po půlnoci k použití stejných oprávnění pro přístup k databázovému serveru a spustí se dotazy, které uživatel nikdy předtím nezadával. Je systém stále v bezpečí?

Možná je. Správci databáze musejí koneckonců dělat údržbu a údržba se obvykle činí po pracovní době – některé operace údržby vyžadují vykonání nových dotazů. Ale možná také není. Mohlo dojít k vyzrazení přihlašovacích údajů uživatele a právě může probíhat pokus o ukradení dat.

Konvenční bezpečnostní kontroly na takovou situaci neposkytnou jednoznačnou odpověď. Statická obrana perimetru již nestačí pro svět, ve kterém se krádeže dat stále častěji vykonávají prostřednictvím ukradených přihlašovacích údajů uživatelů.

Tyto případy však nelze srovnávat se zločinnými zaměstnanci, kteří zneužijí své přihlašovací údaje. Také současná prostředí BYOD mohou zcela zničit statický perimetr, jak dochází k neustálému přidávání nových pravidel pro externí přístup.

Jedním z inovativních přístupů se označuje jako analýza chování uživatelů (UBA, User Behavior Analytics). Dokáže tuto hádanku řešit pomocí analýz big dat a algoritmů strojového učení, které téměř v reálném čase posuzují riziko aktivit uživatelů.

Co umí UBA?

UBA využívá modelování k popisu normálního chování. Toto modelování zahrnuje informace o uživatelských rolích a funkcích z aplikací personálního oddělení a z adresářů včetně přístupu, účtů a oprávnění, aktivity a geografické lokalizační údaje shromážděné ze síťové infrastruktury, upozornění od obranných bezpečnostních řešení atd.

U těchto dat se vyhodnocují souvislosti a analyzují se na základě předchozích a současných aktivit. Tyto analýzy zohledňují mimo jiné také typy transakcí, využívané zdroje, trvání relací, konektivitu a obvyklé chování jedinců ze stejné skupiny.

UBA zjišťuje, co je ještě normální chování a co už jsou nezvyklé aktivity. Jestliže původně anomální chování jedné osoby (například půlnoční databázové dotazy) následně začnou vykonávat i další jedinci z téže skupiny, přestane se to považovat za střední či vysoké riziko.

Dále UBA vykonává modelování rizik. Anomální chování se automaticky nepovažuje za riziko. Musí se nejprve vyhodnotit z perspektivy potenciálního dopadu.

Pokud anomální činnost zahrnuje zdroje, které nejsou citlivé, jako jsou například informace o využití konferenční místnosti, je potenciální dopad nízký. Naopak pokusy o přístup k citlivým souborům, jako je například duševní vlastnictví organizace, však dostávají mnohem vyšší hodnocení.

Následně se riziko pro systém, tvořené určitou transakcí, definuje pomocí vzorce Riziko = Pravděpodobnost x Dopad.

Pravděpodobnost ve vzorci souvisí s pravděpodobností, že je dotyčné chování uživatele anomální. Zjišťuje se s využitím algoritmů pro modelování chování. Dopad se odvodí z úrovně důvěrnosti a důležitosti informace, se kterou se pracuje, a z kontroly, jež se používá pro práci s těmito údaji.

Transakce a jejich vypočítaná rizika se poté mohou spojit s konkrétním uživatelem, který tyto transakce vykonává, a výsledně se určí úroveň rizika.

Výpočet uživatelského rizika obvykle zahrnuje další faktory, jako jsou stupeň důvěrnosti aktiv, oprávnění, potenciální zranitelnosti, zásady atd. Jakékoli zvýšení těchto faktorů zvýší skóre rizika tohoto uživatele.

Všechny faktory v těchto výpočtech mohou ale mít své vlastní váhové hodnoty pro automatické vyladění celkového modelu.

Nakonec UBA sbírá, koreluje a analyzuje stovky atributů včetně situačních informací a informací o hrozbách od třetích stran. Výsledkem je bohatá množina dat s velikostí v řádu petabajtů, která zohledňuje kontext.

Podpora strojového učení

Algoritmy strojového učení UBA mohou nejen odfiltrovat a eliminovat falešné poplachy a vytvořit inteligenci pro riziko, kterou lze využít pro rozhodování, ale mohou také na základě shromažďovaných informací revidovat normy, předpovědi a celkové procesy hodnocení rizik...

OpenSSH 7.2: SHA-2 a chytřejší ssh-agent
5.3.2016 Zabezpečení
Po několika rychle vydaných verzích OpenSSH, opravujících několik závažných bezpečnostních chyb, přichází opět verze s novými funkcemi.
Facebook Twitter Google+ Líbí se vám článek?
Podpořte redakci
8 NÁZORŮ
Bezpečnost (nejen posledních verzí)

Poslední verze, která přišla s novými funkcemi a prošla řádným testováním, byla verze 6.9. Následující verze 7.0p1 přinesla několik nových funkcí, ale hlavně opravovala čtyři závažné bezpečnostní chyby, primárně související s integrací PAM (CVE-2015–6563, CVE-2015–6564), špatným nastavením přístupu k TTY na serveru (CVE-2015–6565) a možností překročit povolený počet pokusů o zadání hesla při využití ChallengeResponseAuthentication (CVE-2015–5600).

Následující verze 7.1p1 vyšla deset dní po verzi 7.0 a opravovala logickou chybu ve vyhodnocování nastavení PermitRootLogin without-password, která mohla nastat v závislosti na nastavení v čase kompilace.

Roaming
Další verze, 7.1p2, přišla v polovině ledna a zakazovala funkci Roaming, která byla ve výchozím nastavení povolená a zneužitelná ze strany modifikovaného serveru (CVE-2016–0777, CVE-2016–0778, CVE-2016–1907). V posledních verzích již existovaly různé obranné mechanismy zabraňující úspěšnému zneužití, ale tato funkce existovala od verze 5.4, tedy více než 6 let a při určitých okolnostech mohla vést k odeslání části paměti s privátním klíčem zákeřnému serveru.

Aktuální verze tedy odebírá celý kód související s funkcí Roaming, který nikdy nebyl pořádně zdokumentovaný, otestovaný a mohl by být zdrojem dalších problémů. Výchozí konfigurace nově nastavuje sandbox před-autentizačního procesu (na Linuxu je dnes většinou použitý seccomp, na OpenBSD pledge) minimalizující jeho privilegia.

X11 a staré algoritmy
Nová verze opravuje další problém spojený s tunelováním X11 protokolu na dnešních systémech bez rozšíření XSECURITY, kdy výchozím chováním bylo tiché ignorování selhání požadavku na Untrusted spojení a použití neomezeného.

Aktuální verze posouvá minimální velikost akceptovaných prvočísel pro výměnu klíčů pomocí DH na 2048 bitů, která je zatím za hranicí potenciálního prolomení (Logjam).

Dále je ve výchozím nastavení klienta zakázána většina historických algoritmů ( blowfish-cbc, cast128-cbc, arcfour-*, ...) na straně klienta. Ty byly již dříve odebrány z výchozí serverové konfigurace. Stejně tak jsou nově zakázány HMAC algoritmy používající ořezané/zkrácené MD5.

Nové funkce

SHA-2
První novinkou, které se můžeme dočkat, je možnost použití SHA-2 256 a SHA-2 512 při autentizace privátním RSA nebo DSA klíčem. V původním protokolu SSH2 (rfc4253) je pevně určen hashovací algoritmus SHA-1, který již není doporučovaný. Proto došlo k rozšíření protokolu (zatím k dispozici jako návrhy, pod hlavičkou Bitvise – komerční SSH server a klient pro Windows) o tyto nové algoritmy pro podpis, o standardní možnost tyto algoritmy oznamovat druhé straně a následně používat. Pro uživatele se v tomto směru nic nemění, ale jedná se o další krok k větší flexibilitě, robustnosti a vyšší bezpečnosti samotného protokolu.

Inteligentní ssh-agent
Další užitečnou funkcí je změna procesu, jakým je možné používat ssh-agent. Dosud bylo potřeba před použitím klíče z ssh, ručně přidat klíče do agenta a klíč „odemknout“. Nyní je možnost přidávat klíče „za běhu“, v tu chvíli kdy klíč poprvé použijeme. To umožňuje omezit počet odemčených klíčů při startu systému na minimum a s vhodným nastavením životnosti klíčů v agentovi (přepínač -t), je můžeme také automaticky „zamykat“. Tato funkce je ve výchozím nastavení vypnutá, ale věřím, že si brzo najde své uživatele, až většina distribucí aktualizuje.

Příklad chování:

[me@f24 ~]$ ssh-copy-id -f -i ./rsa.pub test@f24
test@f24's password:
[me@f24 ~]$ ssh-add -l
The agent has no identities.
[me@f24 ~]$ ssh -i ./rsa -oAddKeysToAgent=yes test@f24
Enter passphrase for key './rsa':
[test@f24 ~]$ logout
Connection to localhost closed.
[me@f24 ~]$ ssh -i ./rsa -oAddKeysToAgent=yes test@f24
[test@f24 ~]$
Kromě striktních možností, které zakazují nebo povolují tuto funkci, existuje také možnost „ask“, která se před přidáním klíče zeptá pomocí dialogu ssh-askpass.

Omezení klíčů na serveru
K dalšímu zjednodušení došlo na straně serveru v možnosti přidávat omezení jednotlivým klíčům. Tato funkce je většinou použita pro skripty provádějící vzdáleně jeden určitý úkol. Dosud bylo potřeba přidávat dlouhý seznam privilegií ( no-pty,no-port-forwarding,no-agent-forwarding,no-X11-forwarding,...), kterými chceme připojujícího se uživatele omezit. Nyní je možné použít klíčové slovo restrict, které nahrazuje všechna zákazová klíčová slova, včetně těch v budoucnosti přidaných, a pokud chceme některou akci povolit, je to možné pomocí explicitního whitelistu ( restrict,pty,port-forwarding,...).

Další rozšíření dostaly také nástroje ssh-keygen a ssh-keyscan, hlavně v souvislostí se zpracováním certifikátů a otisků klíčů.

Opravy chyb

Proběhla aktualizace nástroje ssh-copy-id, který obsahoval v posledních verzích několik problémů. Možnost obměny klíčů sezení (rekey) se dočkala revize pro velké množství přenesených dat, které bylo problémové.

SFTP server vyžaduje rozšířený glob(), jehož struktury nejsou binárně kompatibilní s verzí poskytovanou Linuxem. Tato funkce a její struktury byly přejmenovány jako příprava pro podporu klíčového slovaInclude v rámci konfiguračních souborů.

Více informací naleznete v oficiálním oznámení. Pokud si chcete nové funkce OpenSSH vyzkoušet, balíčky pro aktuální Fedoru jsou již k dispozici.

Komplexní bezpečnostní služby včetně školení v češtině nabízí Kaspersky

4.3.2016 Zabezpečení
Služby Security Intelligence Services, které slouží především pro bezpečnostní operační střediska, korporace a poskytovatele služeb, spustil Kaspersky Lab. V jeho rámci Security Intelligence Services mají uživatelé k dispozici data o hrozbách, reporting zpravodajských informací, online a onsite školení a program zvýšení povědomí o bezpečnosti nebo specializované služby jako penetrační testování a posouzení zabezpečení aplikací.

Služby se skládají ze tří hlavních součástí – analýzy bezpečnosti, školení a zpravodajství o hrozbách. Ty jsou navrženy tak, aby splňovaly požadavky korporací, vládních agentur, poskytovatelů internetového připojení, telekomunikačních společností a poskytovatelů bezpečnostních služeb.

Novinka v podobě analýzy bezpečnosti zahrnuje penetrační testování a posouzení zabezpečení aplikací. Tyto služby umožní klientům předvídat specifika kybernetického útoku ještě před tím, než se odehraje. Podporou těchto služeb se zabývá specializovaný tým analytiků Kaspersky Lab, který může otestovat zabezpečení podniku proti široké škále napadení.

Školení kybernetické bezpečnosti uplatňuje techniky herních designů (gamifikace) a je založené na nejnovějších zpravodajských informačních službách v oblasti sociálního inženýrství a cílených útoků, čímž prý ztělesňuje princip prožitkového učení. Tento program určený zaměstnancům je možné vést i v češtině. A konečně zpravodajství nabízí přístup k datům Kaspersky Lab skrze datové kanály pro informace o hrozbách a sledování botnetů. Datové kanály pro informace o hrozbách obsahují nejaktuálnější data o škodlivých programech a URL adresách, phishingových útocích a mobilních hrozbách.

Navíc jsou kompatibilní s oblíbenými SIEM (Security Information and Event Management) řešeními třetích stran. Informace jsou dostupné také ve formě reportingu o hrozbách, který je připravován na míru na základě specifických aspektů prostředí hrozeb a zpráv o nejnovějších a nejsofistikovanějších hrozbách.

Eset expanduje v západní Evropě, otevírá pobočku ve Velké Británii

3.3.2016 Zabezpečení
Během pěti let chce Eset zdvojnásobit lokální tým a výhledově se dostat mezi tři největší prodejce bezpečnostních řešení pro IT ve Velké Británii.

Otevření vlastní obchodní a distribuční pobočky ve Velké Británii navazuje na dlouholetou spolupráci s partnerskou společností DESlock. Společnost Eset provedla akvizici tohoto dodavatele šifrovacích řešení v roce 2015 a rozšířila tak své technologické portfolio.

„Věříme, že spojení lokálního týmu Eset UK s našimi globálními schopnostmi, know-how a zkušenostmi vytvoří dokonalou kombinaci, díky které posílíme naši pozici na britském trhu,“ říká Richard Marko, generální ředitel společnosti Eset. Dodavatel bezpečnostních řešení působí ve Velké Británii prostřednictvím partnerské společnosti DESlock přes deset let.

Pobočku Eset UK se sídlem v Bournemouthu na jihu Anglie povede obchodní a marketingový ředitel společnosti Eset pro region EMEA Miroslav Mikuš. Všichni zaměstnanci bývalého exkluzivního partnera se stávají zaměstnanci společnosti Eset. Ta očekává, že během následujících pěti let by se měl její tým ve Velké Británii přinejmenším zdvojnásobit.

„S týmem ve Velké Británii jsme zejména v posledních letech velmi úzce spolupracovali a velice nás těší, že můžeme tuto spolupráci posunout ještě dále, aby se značka bezpečnostních řešení od společnosti Eset stala atraktivnější jak pro domácnosti, tak pro firmy a běžné uživatele. Výhledově bychom se chtěli dostat mezi tři největší prodejce bezpečnostních řešení pro IT ve Velké Británii,“ říká Mikuš.

„Během prvního roku existence nové pobočky se zaměříme na rozšíření týmu, co nejkvalitnější technologickou podporu a komunikaci s prodejci, abychom v dlouhodobém horizontu optimalizovali naši partnerskou síť ve Velké Británii,” dodává Mikuš.

Vznik samostatné pobočky ve Velké Británii je součástí dlouhodobé strategie společnosti. Jejím cílem je posilovat pozici na tomto nejdůležitějším trhu s bezpečnostními řešeními pro IT v rámci regionu EMEA, aby si v prodejích i nadále udržela dvouciferný meziroční růst.

V Evropské unii provozuje Eset již osm poboček a výzkumných a vývojových center. Otevření britské pobočky následuje po zřízení zastoupení společnosti Eset v Německu, ke kterému došlo v roce 2013.

Šifrování nechápou ani brazilské úřady. Ve vězení skončil viceprezident Facebooku/WhatsApp
2.3.2016 Zabezpečení

Zatímco se ve Spojených státech řeší kauza FBI vs. Apple, v níž odmítá technologický gigant zpřístupnit zašifrovaný obsah telefonu, v Brazílii posunuly úřady podobný spor ještě dál. Doplatil na to viceprezident Facebooku pro Latinskou Ameriku, který má na starosti komunikátor WhatsApp. V úterý jej podle Fortune zatkla policie a skončil ve vazbě.

Důvodem je podobný postoj jako v případě Applu. Provozovatelé aplikace WhatsApp, jež komunikaci šifruje, odmítli zpřístupnit policii komunikaci několika podezřelých. Vydat ji samozřejmě nemohli – na serverech služby je zašifrována. To však brazilským úřadům nezabránilo v tom, aby tento postup označili za maření vyšetřování.

Prvním zásahem bylo odstavení služby na 48 hodin loni v prosinci. Nyní to odnesl vysoký manažer, který byl zadržen při cestě do kanceláře. V prohlášení brazilské policie je uvedeno jako důvod opakované nedodržování nařízení soudu. Ten vyšetřoval několik případů obchodu s drogami.

Sandboxing Sophosu dokáže zablokovat i pokročilé hrozby

1.3.32016 Zabezpečení
Své řešení Email Appliance rozšířil Sophos o Sandstorm, technologii sandboxingu, která podle něj umožňuje detekci, zablokování i vyřešení i sofistikovaných a neustále se měnících hrozeb.

Sandstorm zajišťuje ochranu proti pokročilým hrozbám typu APT (advance persistent threat) i proti malwaru využívajícímu dosud nezveřejněné zranitelnosti (tedy tzv. zero-day threat).

Současný malware je podle Sophosu navržený tak, aby útočil nenápadně a pomalu a zůstal běžnými prostředky neodhalený, přičemž k zabránění, nebo alespoň oddálení detekce využívá polymorfní i maskovací techniky.

Sandstorm využívá cloudovou technologii, která tyto typy hrozeb izoluje a řeší ještě před jejich proniknutím do podnikové sítě. IT manažeři navíc mají k dispozici podrobné přehledy o chování hrozeb i výsledcích analýz, díky kterým mohou v případě potřeby dále zkoumat jednotlivé bezpečnostní incidenty a přijímat odpovídající opatření.

Technologie Sandstorm tak představuje další vrstvu pro bezprostřední detekci i ochranu. Běžné technologie jsou zpravidla velmi nákladné a pro implementaci i monitoring vyžadují další znalosti z oblasti bezpečnosti. To prý v případě nové technologie Sophosu neplatí.

Sandstorm přitom identifikuje potenciálně nebezpečné chování napříč různými operačními systémy včetně Windows, Mac i Android, a to ve fyzických i virtualizovaných prostředích, v síťové infrastruktuře, v mobilních aplikacích, v elektronické poště, v PDF i wordových dokumentech i ve více než dvou desítkách souborů dalších typů.

Novinka je k dispozici i jako rozšíření řešení pro ochranu webů Web Appliance, které kontroluje obsah webových stránek a blokuje i nejnovější webové hrozby, a také v rámci systému UTM 9.4.

Eliminaci síťových hrozeb usnadní propojení nástrojů LOGmanager a AddNet

22.2.2016 zabezpečení
Propojení bezpečnostních produktů LOGmanager a AddNet oznámily firmy Sirwisa a Novicom. Cílem je výrazně zkrátit a zjednodušit klíčový proces reakce na kybernetické bezpečnostní hrozby – od zjištění hrozby po její úplné zamezení nebo izolace kompromitovaného zařízení v síti organizací.

Systém LOGmanager, centrální úložiště logů a SIEM, tak nově dokáže zpracovávat logy z bezpečnostního řešení AddNet pro správu IP adresního prostoru a řízení bezpečnosti přístupu v rozsáhlých sítích.

Bude tak pracovat s klíčovými informacemi poskytnutými systémem AddNet a umožní tak například přímé prokliknutí z IP adresy pracovní stanice na informace o jejím umístění, a to nejen o tom, na kterém přepínači a v jaké VLAN je stanice umístěna, ale také přímo na informaci o fyzickém umístění – místnosti.

„Systém AddNet chápeme jako klíčovou součást konceptu Aktivní bezpečnost sítě, a proto chceme v našem LOGmanageru informacím z tohoto bezpečnostního systému plně rozumět a umět je interpretovat správcům sítě a bezpečnostním manažerům s maximálním komfortem,“ tvrdí Filip Weber, výkonný ředitel firmy Sirwisa.

Podle Jindřicha Šavela, obchodního ředitele Novicomu, jejich firma vidí v podobných integracích velký přínos a věří, že spojením sofistikovaného nástroje detekce kybernetických hrozeb s praktickým nástrojem okamžité lokalizace zařízení (detailní L2 monitoring) s přímou možností jeho odpojení (NAC) dostávají administrátoři velice pokročilé řešení s možností reakce v řádu sekund.

Check Point oznámil levné UTM pro malé firmy i systémy pro datová centra

5.2.2016 Zabezpečení
Nová bezpečnostní zařízení řady 700 představil Check Point. Určená jsou pro menší organizace a podle výrobce nabízejí stejnou úroveň ochrany jako specializované systémy pro velké podniky. Stranou ale nezůstala ani ochrana datových center, pro něž Check Point představil sofistikované systémy 15000 a 23000.

Nové produkty nabízejí také vyšší výkon (propustnost firewallového provozu až 4 Gb/s, respektive až 200 Mb/s při aktivování všech funkcí prevence hrozeb) a webovou správní platformu.

Řada 700 zahrnuje výkonnostně rozličné modely 730 a 750, které nabízejí celopu plejádu ochranných prvků - firewall, VPN, prevenci narušení bezpečnosti (IPS), anti-virus, anti-spam, řízení aplikací, filtrování URL a možnost povolit monitorování bezpečnosti sítě.

Cena novinky se pohybuje od 500 dolarů (zhruba 12 tisíc Kč), na přání je k dispozici i modul 802.11ac Wi-Fi, v létě pak i modul pro sítě VDSL.

Zařízení řady 15000 a 23000 (každá obsahuje dva různé modely) chrání náročná síťová firemní prostředí a sítě v datových centrech. Podle dodavatele kombinují pokročilou ochranu před hrozbami se specializovanou platformou, která podporuje bezpečnostní požadavky v oblasti výkonu nebo provozuschopnosti.

Obsahují například plně integrovaný firewall, prevenci narušení systémů (IPS), anti-bot, antivirus, řízení aplikací, filtrování URL a sandboxingovou technologii SandBlast.

K dispozici je i kompletní šifrovaný provoz (SSL), aniž by prý musel být obětovaný výkon, a k dispozici je podpora pro různé prvky, jako jsou komplexní redundance, flexibilní síťová konektivita (měď a optika), obslužnost pomocí vzdálené správy i v případě výpadku primární sítě či rozšiřující 40Gb karty.

Google vylepšuje bezpečné vyhledávání v Chromu

5.2.2016 Zabezpečení
S rozšířením funkcí bezpečného vyhledávání v Chromu počítejte rovněž s častějším výskytem bezpečnostních varování.

Google dbá na bezpečnost uživatelů prohlížeče Chrome a rozšiřuje technologii Safe Browsing – bezpečného vyhledávání. Cílem je předcházet situacím, kdy neopatrní uživatelé prostřednictvím klamavé reklamy zadají osobní informace někam, kde mohou být zneužity, anebo si do počítače stáhnou škodlivý software tvářící se jako nezbytná aktualizace.

„Rozšiřujeme bezpečné vyhledávání, abychom vás ochránili před škodlivým obsahem,“ uvádí Lucas Ballard, jeden z vývojářů stojících za bezpečným vyhledáváním Googlu.

V praxi se podle něj nové opatření projeví rudou obrazovkou s textem „deceptive site ahead“ - „chystáte se otevřít podvodnou stránku“. Do kategorie „podvodných“ přitom Google řadí všechny ty, které „se tváří, chovají anebo vzbuzují dojem jako důvěryhodné“.

Jako příklad Ballard zmiňuje například sdělení vybízející uživatele ke stažení či aktualizaci softwaru třetích stran údajně nezbytného k zobrazení obsahu webové stránky (často takto bývá zneužíván např. Adobe Flash), což je dlouho užívaná a osvědčená strategie kyberzločinců vedoucí uživatele ke stažení a instalaci např. škodlivého malwaru.

Původně bezpečné vyhledávání od Googlu sloužilo jen k odhalování phishingových útoků (prostřednictvím falešných stránek vybízejících uživatele k zadání osobních údajů, jakož i hesel), společnost jej ale v posledních třech letech vylepšila o indikaci potenciálně závadných downloadů a softwaru pokoušejícího se změnit nastavení prohlížeče.

Loni v listopadu do něj Google přidal také nástroje k identifikaci rovněž různých druhů manipulativních oznamů, klamně uživatele upozorňujících na to, že jejich PC je infikované a pokoušejících se je přesměrovat na škodlivé stránky či call centra, kde jsou od nich požadovány často nemalé finanční částky za domnělou falešnou podporu.

Google na bezpečí svých uživatelů dbá důsledně dlouhodobě, podle svých kritiků tím ale sleduje i vlastní zájmy, kdy si takto „udržuje“ uživatele v mantinelech a na stránkách, které společnosti generují zisk.

Drtivá většina firem má v Česku nevyhovující zabezpečení dat

2.12.2015 Zabezpečení
Zhruba 85 procent českých firem má nevyhovující nebo jen částečně vyhovující zabezpečení podnikových informací. Ve světě je podíl podniků s nevyhovujícím zabezpečením ještě o tři procentní body vyšší. Hlavním důvodem je přitom nízká výše rozpočtu na kybernetickou bezpečnost. Vyplývá to ze studie EY Global Information Security Survey.
Kvůli nízkým investicím do kybernetické bezpečnosti a chybějícím odborníkům jsou české firmy pomalejší v odhalování bezpečnostních incidentů. Do hodiny odhalí útok 33 procent českých firem, ve světě je to polovina. Vylepšení zabezpečení svých systémů v Česku plánuje 55 procent firem, ve světě chystá bezpečnostní opatření 78 procent společností.

Demotivovaní zaměstnanci a phishing
„Priority kybernetické bezpečnosti jsou v ČR odlišné od okolních zemí, hlavní hrozby se však příliš neliší. Mezi ty patří především demotivovaní zaměstnanci a phishing," uvedl Petr Plecháček z české pobočky EY. Phishing je metoda podvodného získání citlivých údajů na internetu a následné krádeže peněz. Podle Plecháčka je zajímavé, že české firmy příliš nevnímají zvyšující se hrozby vyplývající z mobilních technologií či zneužití sociálních sítí.

Rozpočet na kybernetickou bezpečnost chce v příštím roce zvýšit alespoň o pět procent zhruba pětina českých firem, ve světě je to polovina podniků. V Maďarsku hodlá více investovat každá třetí firma a v Polsku 57 procent podniků.

Obavy z kybernetických útoků
Firmy se nejvíce obávají kybernetických útoků od kriminálních spolků (59 procent), vlastních zaměstnanců (56 procent) a hacktivistů (54 procent). Na dalších místech figurují například státem sponzorované útoky. Obavy z organizovaného zločinu, hacktivistů a státem sponzorovaných útoků zesílily, naopak slábnou obavy z incidentů způsobených nevědomostí či nedbalostí zaměstnanců či zastaralostí systémů.

Global Information Security Survey vychází z odpovědí 1755 firem z celkem 67 zemí světa včetně ČR.

USA a Británie zkoušely reakci finančního sektoru na útok hackerů

13.11.2015 Zabezpečení
Británie, Spojené státy a přední světové firmy uskutečnily dnes plánované cvičení, které mělo prověřit jejich reakci na případný kybernetický útok ve finančním sektoru. S odvoláním na sdělení britského ministra financí o tom informovala agentura Reuters.
Test měl ukázat, jak by New York a Londýn, coby dvě největší světová finanční střediska, dokázaly zvládat případný hackerský útok, sdílet informace a komunikovat s veřejností.

„Připravujeme se na hrozbu kybernetického incidentu ve finančnictví,” uvedl v prohlášení britský ministr financí George Osborne. „A budeme nadále spolupracovat s našimi partnery ve Spojených státech, abychom zlepšili naši kybernetickou spolupráci,” uvedl také.

Uskutečnění testu během roku avizovali britský premiér David Cameron a americký prezident Barack Obama.

Americká prokuratura tento týden obvinila tři muže v souvislosti s hackerskými útoky na finanční instituce a úřady, včetně největší americké banky JPMorgan Chase. Podle agentury Reuters se obvinění vztahují také na nedávno odhalené krádeže dat ve vydavatelství Dow Jones, které vydává například ekonomický deník The Wall Street Journal.

Pokročilé hrozby dokáže odhalit novinka firmy Symantec

2.11.2015 Zabezpečení
Řešení Advanced Threat Protection (ATP) podle výrobce umožňuje odhalit bezpečnostní hrozby, zjistit jejich závažnost a odstranit je napříč celou infrastrukturou.

Bezpečnostní řešení navržené speciálně proti pokročilým hrozbám oznámil Symantec. Ke sledování hrozeb prý postačuje jediná konzole, vykonání všech důležitých akcí vyžaduje pouze jediné kliknutí myši a na koncové body není nutné instalovat žádné nové agenty.

Řešení ATP koreluje podezřelé aktivity ze všech kontrolních bodů a řadí události podle jejich priority tak, aby bylo možné ihned zjistit, jaké z nich představují pro organizaci největší riziko.

Jakmile je kritická hrozba identifikovaná, lze snadno a rychle zablokovat její veškeré instance (kopie na dalších bodech, různé projevy v podnikové síti apod.).

K hlavním pokročilým hrozbám dnes patří ransomware (malware vydírající oběti), trojské koně umožňující útočníkovi vzdálený přístup, pokročilé přetrvávající hrozby (advanced persistent threats, APT) nebo útoky zero day (zneužití chyb softwaru v době, než jeho výrobce vydá opravu).

ATP obsahuje mj. technologii Cynic, což je nová technologie sandboxu, na cloudu založené simulační prostředí, které umožňuje stanovit závažnost jednotlivých hrozeb.

Součástí ATP je rovněž funkcionalita Synapse, tedy technologie fungující napříč jednotlivými kontrolními body, která analyzuje podezřelé aktivity na úrovni koncových bodů, sítí a e-mailu, přičemž opět pomáhá určit, co aktuálně představuje pro organizaci největší riziko.

Řešení bude k dispozici na konci roku 2015.

Honeytokeny: Obrana útokem

4.10.2015 Zabezpečení
V digitálním světě se často stává, že zatímco u hlavního vchodu se hlídá s vlčákem, zadní dveře zůstávají otevřeny dokořán. Snadnost a beztrestnost přístupu přes otevřené dveře může být však jen zdánlivá a sloužit k tomu, aby se útočník nalákal – a sedl „na lep“.

K poznání chování útočníků slouží především tzv. honeypoty. V rámci projektu CS Danube (Kybernetická bezpečnost v Podunají) v rámci programu START se CZ.NIC spolu s chorvatským partnerem zaměřil na pasivní obranu ve formě honeytokenů (česky nejspíše „nastražený údaj“) a jejich integrace do webových aplikací.

Zatímco konvenční metody se snaží systém opevnit a bránit, honeytoken jde útočníkům naproti. Přestože honeytoken původem není doménou informatického světa, výborně poslouží. Upravená webová stránka totiž může samočinně odhalit a izolovat útok nebo ho dokonce obrátit proti útočníkovi.

Rozmanitost útoků

Webmaster musí své stránky zabezpečit proti různým typům útoků. Tato opatření nejčastěji začínají skenováním zranitelností webové aplikace. Většinou automatický nástroj otestuje všechny veřejné parametry a potom zaútočí některým ověřeným způsobem (pro jejich seznam viz například projekt Owasp Top 10).

Server používající klasické způsoby obrany jako WAF (Web Application Firewall) nebo IDS (Intrusion Detection System) skenování poměrně snadno rozpozná a zabrání i známým atakům. Útokům dosud neznámým je ale vydán tzv. na milost.

Je téměř nemožné se připravit na všechny hrozby tradičními metodami a nástroji. Ale aby se útočníkům zvedla laťka alespoň o píď, lze napsat aplikaci, která se bude nějakým způsobem sama bránit.

Existuje mnoho nástrojů, které testují zranitelnost webové aplikace. Aplikaci nejprve proleze nějaký vyhledávací bot a shromáždí všechny údaje, co může. Pak se zkouší SQL injekce, XSS a známé exploity.

Některá řešení se pokoušejí odhalit i neodkazované složky a soubory, o kterých není nikde na webu zmínka – naslepo se připojují k souborům jako admin.php, a hledají tak vstupní body do neveřejné části aplikace, na něž pak zkusí zaútočit.

Další možností, jak zabránit tomuto střílení naslepo, je nastavit serveru HTTP status 200 OK pro každý požadavek, ať už směřuje k existujícímu zdroji nebo ne. Tato technika sken znatelně zpomalí. Také lze server nastavit tak, aby vracel fiktivní webové stránky, tedy neexistující vstupní body.

Co je honeytoken?

Ve většině případů si serverová část webové aplikace vyměňuje data s uživatelskou částí pomocí parametrů v URL, a to je také nejvhodnější místo, kam honeytoken umístit – jako jeden z parametrů s konstantní hodnotou (canary value).

Jeho použití je prosté. Systém hlídá, zda je hodnota neměnná, přičemž každá změna znamená, že si někdo zkouší s aplikací hrát.

Honeytoken může být v podstatě cokoli. Nejen parametr v URL, ale i údaj v databázi nebo textový soubor. Podle aktuálních potřeb se může koncept honeytokenu implementovat na každou úroveň aplikace, kde pomůže odhalit skenování zranitelností a může spustit nějakou proceduru včasného varování a zabránit kompromitování systému.

Když honeytoken na jedné úrovni selže, další honeytoken pomůže odhalit selhání prvního a zalarmovat administrátory, aby následně vyšetřili systém.

Samotná implementace honeytokenů však ještě nepřinese detaily útoku na zlatém podnose. K tomu je zapotřebí zapojit software typu SIEM (Security Information and Event Management) nebo libovolný centrální logovací systém, který dokáže uspořádat logovací záznamy aplikace, webového serveru, operačního systému, databáze apod. do vztahů a názorných grafů, z nichž lze útok a jeho účinky vystopovat.

Hodí se ale vizualizovat i další informace – o geolokaci, routingu, množství generovaného přenosu apod.

Konkrétní příklad

Jak je možné takový honeytoken implementovat? Jako příklad si lze vzít webovou aplikaci, která na příslušné URL vrací data uživatele s identifikátorem 1:
https://example.com/Site.aspx?ID=1

Jedním z nejsnadnějších způsobů implementace honeytokenu je jeho umístění do parametrů. Vývojář použije nějaké lákavé jméno, které útočníka navnadí, ovšem ohlídá, že hodnota parametru zůstane neměněná.

Nyní se přidá druhý parametr, který se bude tvářit, že má co do činění s administrátorskými právy: https://example.com/Site.aspx?ID=1&Admin=false. Útočník možná zatouží změnit hodnotu parametru na true, tím ale jen spustí samoobranný mechanismus aplikace.

Honeytokenem se může stát i údaj v databázi. Pokud k tomuto údaji někdo přistoupí, aplikace dostane zprávu, že byla napadena, a zvolí způsob obrany: zda útočníkovu relaci odpojí, a zabrání tím dalšímu úniku dat, nebo jestli začne sama sbírat stopy, aby útočníka dokázala identifikovat.

Podobně jako honeytoken lze využít i fyzický soubor, který monitoruje svůj přístup a vyvolá poplach. Přitom se nabízí využít možnosti konvenčního souboru robots.txtv kořenovém adresáři webu, jenž informuje boty, které stránky mohou navštívit a které nesmějí.

Jednoduše se botům předhodí, že nesmějí navštěvovat instalované honeytokeny. A když neuposlechnou – jsou to ti zlí.

Metody obrany

Co dělat, když se odhalí probíhající útok? Buď se může útočníkova relace ukončit, nebo ji tajně přesunout do nějakého zabezpečeného režimu a v něm při následné analýze nasbírat zajímavá data o způsobech útoku.

Případně se také může automaticky změnit nastavení firewallu webového serveru. Tady jsou některé možnosti:

Ukončení relace

Tento přístup má svá pro i proti. Výhodou je, že se session bude muset znovu vytvořit, pokud chce útočník ve své činnosti pokračovat. Ten si ovšem snadno dá dvě a dvě dohromady, parametry s honeytokenem odhalí a následně ignoruje.

Status 200 OK pro každý požadavek

Dotaz na libovolné URL vrátí stránku s HTTP statusem 200 OK, který značí, že stránka existuje. Přestože je metoda celkem účinná, lze ji také snadno odhalit, pokud fiktivní stránka obsahuje stále týž obsah.

Poněkud se vylepší, pokud se obsah pokaždé upraví, ale útočník nebo i stroj mohou rozpoznat, že ho obránci zkouší napálit. Pak je ovšem otázka, nakolik dobře rozpozná vzorec obsahu a odliší fiktivní stránky od skutečných.

Status 200 OK pro náhodné požadavky klienta

Metoda je téměř shodná s předchozí, ovšem efektivnější, neboť když se vracejí fiktivní stránky jen někdy, je mnohem těžší odhalit, že server podvrhuje odpovědi.

Zvláště pokud se vyrobí nějaký slovník, na základě kterého bude server vracet status 200 pro stránky s lákavým názvem jako example.com/AdminPage.aspx raději než pro nepravděpodobné stránky jako example.com/Tot%C3%A1ln%C3%AD_bl%C3%A1bol_xyz.aspx.

Izolace relace, sandbox

Velmi efektivní je uzavřít útočníka do sandboxu. Při detekci útoku aplikace relaci zcela zaizoluje, zablokuje svou skutečnou funkčnost a útočníkovi vrátí jen předpřipravené (nebo dynamicky generované) falešné stránky.

Problémem zde je ale vysoká náročnost implementace komplexního podvrhu.

Zpomalení odezvy

Možná úplně nejjednodušší obranou je implementovat sabotážní mechanismus, který útočníkovu činnost zpomalí k nepoužití. Webmaster na druhé straně získá čas a prostředky k protiakci.

Status 408 – Request Timeout

Útok navíc citelně poškodí, když se některé požadavky útočníka nezodpovědí záměrně vůbec, nebo se mu předhodí falešné tvrzení, že jeho požadavek vypršel. Tento způsob je vhodné kombinovat se zpomalováním odezvy.

Útočníkovi se tak ztíží skenování, útok nebo zkrátka cokoli, co dělá.

Zpětný úder

Útočníci často skrývají svou skutečnou IP adresu za jednou nebo několika proxy. Aplikace může být naprogramovaná tak, že v případě útoku použije XSS zranitelnost, která v případě úspěchu vyzradí klientovu skutečnou IP adresu. Stejným způsobem lze útočníkovi zcizit i cookies, e-mailový účet apod.

Síla je v kombinované obraně

Zmíněné metody popisují možnosti aktivní prevence proti automatickým nástrojům a/nebo uživatelům – útočníkům. Zdálo by se, že honeytokeny v databázi a v souborovém systému nejsou třeba, protože každý útok se zastaví už na aplikační vrstvě.

Ovšem je nutné předjímat, že aplikační vrstva stále může mít zranitelnost – ba dokonce v obraně samé. Vyplatí se tedy implementovat co nejvíce nezávislých metod obrany, které doplní klasické nástroje – firewall a IDS totiž nemohou zabránit modifikaci parametrů a webový firewall (WAF) lze obejít.

Honeytokeny však zůstávají skryté hluboko v aplikační logice. Přinášejí administrátorům, vývojářům nebo bezpečnostním pracovníkům další výhodu a šanci, jak získat kompletní vhled do samotného útoku, jeho metod a technik a nasadit aktivní protiopatření automaticky přidaná do aplikace v momentě výskytu útoku.

A když si pozdě v noci jdete pro svačinu, je skvělé tušit, že si zloděj v kuchyni vaří kávu.

Zabezpečení na úrovni samotného procesoru nabídl Check Point

1.10.2015 Zabezpečení
SandBlast, nové řešení prevence hrozeb, které funguje přímo na úrovni centrální procesorové jednotky, oznámil Check Point. Podle výrobce odhaluje hrozby ještě v předinfekční fázi a nabízí tak prý ochranu i před těmi nejnebezpečnějšími útoky a jinak těžko odhalitelným malwarem.

Útočníci podle Check Pointu stále častěji využívají sofistikované nástroje, jako jsou nové metody útoků spojené se zranitelnostmi nultého dne a vlastní neznámé varianty jinak známého malwaru, aby obešli tradiční sandboxingové technologie a pronikli nepozorovaně do firemní infrastruktury – a to vyžaduje změnit přístup v detekci hrozeb, třeba právě formou ochrany na úrovni CPU.

SandBlast obsahuje technologie Threat Emulation a Threat Extraction. Threat Emulation kombinuje detekci na úrovni CPU s nedávno představeným sandboxingem na úrovni operačního systému.

Threat Extraction zase uživatelům dovoluje přístup k bezpečným verzím obsahu (třeba dokumentů) okamžitě, zatímco soubory se mezitím testují na malware.

SandBlast je k dispozici jako cloudová služba nebo on-premise řešení.

Klíčové funkce SandBlast podle výrobce:

Identifikuje malware už ve fázi snahy o zneužití nějaké slabiny, tedy ještě předtím, než mohou být použity techniky k narušení bezpečnosti. Řešení nelze obejít pomocí zpožděné smyčky nebo snahou o detekci virtualizovaného operačního systému nebo jinými metodami, které mají obelstít sandbox.
Kombinuje sílu detekce na úrovni CPU s emulací na úrovni operačního systému pro vyhodnocení obsahu nejrůznějších typů souborů, včetně například MS Office, PDF, flash, spustitelných souborů nebo archivů.
Ihned poskytuje bezpečné verze datových souborů díky integrované technologii Threat Extraction, což umožňuje blokování škodlivého obsahu, aniž by došlo k nějakému významnému zpoždění.

Nový antimalware Esetu ochrání i bankovní a platební transakce

1.10.2015 Zabezpečení
Eset uvedl na trh nové verze svých bezpečnostních produktů pro SOHO a domácnosti - Smart Security a NOD32 Antivirus. Produkty kromě toho, že jsou plně kompatibilní s Windows 10, nabídnou přepracované uživatelské prostředí a také novou technologii k ochraně bankovních a platebních transakcí (jen ve Smart Security 9).

Smart Security 9 dostal hned několik nových ochranných technologií. Nejdůležitější z nich je ochrana on-line bankovnictví a plateb, která chrání finanční transakce v internetových obchodech a platebních bránách.

Technologie má dvě klíčové funkce: pro vykonávání finančních operací poskytuje takzvaný zabezpečený browser a šifruje komunikaci mezi klávesnicí a prohlížečem, aby specifický malware (keylogger) nemohl získat citlivá data typu hesel a podrobností
o kreditních kartách.

„Pozorujeme stálý vzestup malware, který cílí na finanční informace nebo přímo na finanční transakce. Protože máme k dispozici technologie, které mohou tyto útoky zastavit, vytvořili jsme novou funkcionalitu, která umožní chránit peníze zákazníků na úplně nové úrovni,“ tvrdí Palo Luka, ředitel pro technologie v Esetu.

Další ochranné prvky v Smart Security zahrnují antibotnet, Exploit Blocker, Vulnerability Shield, Anti-Phishing a další.

Eset také oznámil, že nová verze správního nástroje ERA (Eset Remote Administrator ), plánovaná na listopad, bude zahrnovat i podporu pro mobilní zařízení s iOS a také integraci s řešením SysInspector, což je nástroj pro komplexní diagnostiku.

Zabezpečení firemních Wi-Fi přes cloud představil Fortinet

29.9.2015 Zabezpečení
Nové funkce svého cloudového systému řízení FortiCloud a novou řadu cloudově řízených bezdrátových přístupových bodů pro sítě WLAN oznámil Fortinet. Podle jeho představitelů jde o nejvyšší zabezpečení bezdrátových sítí na současném trhu.

Bezdrátové přístupové body řady FortiAP-S umožňují vynechat samostatné WLAN kontroléry, aniž by tím byla síť vystavena kybernetickým hrozbám.

Každý access point je centrálně řízený pomocí cloudového systému FortiCloud, který podle výrobce umožňuje snadnou implementaci i správu, zajišťuje lepší kontrolu a také celkově zjednodušuje infrastrukturu.

Zároveň dovoluje správu flexibilně škálovat podle rozsahu sítě, takže je vhodný pro distribuované podniky s provozy či pobočkami v mnoha lokalitách.

FortiAP-S zahrnují funkce jako prevence průniku, webfiltering, detekce neautorizovaných přístupových bodů, antivirová ochrana, podrobné řízení aplikací a další.

Tyto funkce doplňují neustále aktualizované bezpečnostní informace z laboratoří FortiGuard. Každý přístupový bod FortiAP-S je tak prý v reálném čase chráněný proti nejnovějším bezpečnostním hrozbám.

„Nyní lze aplikovat specifické bezpečnostní politiky pro mobilní zařízení, řízení přístupu k aplikacím a antivirovou ochranu včetně aktualizací přímo v přístupových bodech, čímž zákazníkům poskytujeme další vrstvu ochrany pro prostředí, kde zaměstnanci využívají soukromá zařízení pro pracovní účely,“ dodáváOndřej Šťáhlavský, regionální ředitel pro oblast střední a východní Evropy ve společnosti Fortinet.