Internet směřuje k šifrování. To je dobrá zpráva, která přichází jako reakce na vlnu odposlechů, šmírování a přibývajících útoků. Technicky je vše dobře připraveno, servery i klientský software umí potřebné protokoly i šifrovací algoritmy. Jediným problémem tak zůstává dostupnost důvěryhodných certifikátů, které doposud bylo třeba platit, ověřovat a hlídat jejich platnost.
To byl důvod, proč správci často na podporu HTTPS rezignovali. Byť existovaly způsoby, jak získat certifikát velmi levně nebo dokonce zdarma, za tu práci jim to nestálo. Všechny výše zmíněné problémy by měly v listopadu zmizet spolu s příchodem certifikační autority Let's Encrypt, která nabídne důvěryhodné certifikáty všem, zdarma a s minimem konfigurace.
Padne tak poslední překážka v nasazování HTTPS a to by se mělo stávat čím dál větším standardem i na menších webech. Ty velké celosvětové už ho za samozřejmost považují. Nastal čas, abyste ho za samozřejmost začali považovat i vy a zelený zámeček se rozšířil i do těch nejzapadlejších koutů webu. HTTPS by mělo být všude.
Redakční poznámka: Root.cz doposud podporu HTTPS nemá a věřte, že kdyby to záleželo jen na redakci, má ji deset let. Ovšem ledy se hnuly a měli bychom se dočkat již velmi brzy.
Nezměněný obsah
Jen díky plnému end-to-end šifrování si můžete být jisti, že nikdo po cestě nezmanipuloval obsah, na který se díváte. Existuje celá řada způsobů, jak toho dosáhnout, stejně jako důvodů. Může jít o vyloženě zlé úmysly, ale třeba i jen o úpravu výhodnou pro provozovatele místní sítě.
Existují například hotspoty s „free internetem“, které do prohlížených webových stránek vkládají vlastní měřicí kódy nebo dokonce reklamy. Bez šifrování si nemůžete být nikdy jisti, že něco nebylo přidáno, upraveno či odstraněno.
Rovněž různé proxy servery na cestě mohou provádět zásahy, o které nemáte zájem, nebo mohou logovat konkrétní části provozu. Nad nešifrovanými daty nemáte naprosto žádnou kontrolu. Jedině správně nasazené HTTPS vám zaručí, že data prošla bez změny od startu až k cíli.
Bezpečná identita
Mnoho webů je dnes vázáno na identitu uživatele, k mnoha službám se běžně přihlašujeme. Je proto velmi rozumné, aby přihlašovací údaje neputovaly otevřeným internetem. Kdokoliv by je mohl odposlechnout a zneužít. Při dnešním rozšíření různých hotspotů a běžném užívání notebooků, tabletů a mobilů je velmi snadné jednoduše sedět v kavárně a „poslouchat“ cvrkot okolo. Dokonce na to existují velmi pohodlné nástroje, které dokáže ovládat kdokoliv.
Ovšem i když údaje neputují v otevřené variantě a používá se nějaký druh challenge response přihlašování, později je k identifikaci uživatele používána už jen uložená cookie, která může být opět triviálně odchycena a celé sezení může být uživateli uneseno pod rukama. V dnešní době mobility už nikdo kontrolu podle IP adresy nepoužívá. Je zkrátka příliš nepohodlné se pořád přihlašovat.
Prokazování identity se ale týká i serverů samotných. V nedávné době se začalo přibývat útoků na domácí routery, ve kterých útočník změní nastavení DNS a z vlastních rekurzivních serverů pak začne servírovat vlastní odpovědi. Je pak schopen zmanipulovat počítač oběti tak, že místo pravých webů začne navštěvovat jejich falešné phishingové kopie.
Uživatel pak vlastně vůbec na svém počítači nemá šanci zjistit, že je něco špatně. Útočník mu klidně podvrhne falešnou stránku Google.com, nechá ho přihlásit a získá jméno i heslo. Co ovšem nedokáže, je zkopírovat z původních stránek privátní klíč patřící k platnému certifikátu. Jinými slovy při požadavku na HTTPS verzi webu jste v bezpečí a dokážete snadno rozpoznat, že druhá strana je skutečně tím, s kým si přejete komunikovat.
Přecitlivělost na citlivost
Dokud nenasadíme šifrování všude, budeme muset řešit otázku, která data jsou pro uživatele citlivá a která ještě ne. Je tahle akce ještě veřejnou záležitostí nebo už uživatel překročil hranici a měl by být chráněn. Dokud jen čte, může být na HTTP, jakmile začne psát, musíme začít šifrovat?
„Nevkládejte citlivé informace do naší stránky, není bezpečná proti odposlechu.“ Takový nápis by měl stát na mnoha webech, které se necitelně rozhodnou být vhodné jen pro necitlivé informace. Proč to ale vlastně máme rozlišovat a rozhodovat o kvalitě dat?
Když zavedeme šifrování všude, přestaneme tuto otázku řešit. Jednoduše přestaneme data dělit na citlivá a běžná a budeme mít prostě data. Nastavíme vysoký standard týkající se dat jako takových, citlivost pak můžeme ponechat na uživateli, protože jen ten ví, která data může zveřejňovat a která ne.
Rostoucí důvěra
Pokud začneme šifrování považovat za standard, začne se mu věnovat více pozornosti a uživatelé jej začnou brát jako standard. Prohlížeče budou moci otočit svou logiku a místo zdůrazňování HTTPS na některých webech budou zdůrazňovat nešifrované spojení na několika málo zbývajících. Šifrované spojení se tak stane „tím normálním“.
To opět zvýší důvěru uživatelů a posílí celé šifrované prostředí. Pokud začneme šifrovat i „méně důležitá“ data, pomůžeme tím i těm „důležitějším“. Nešifrovaný obsah tak bude postupně čím dál více vytlačován na okraj sítě a útočníkům se nevyplatí zaměřovat se na malou hrstku uživatelů, kteří budou okrajové weby používat.
Vyšší rychlost
Šifrování webu má také pozitivní dopad na rychlost jeho načítání. Moderní prohlížeče totiž podporují protokol SPDY a z něj vycházející HTTP/2, dovolují ale jejich použití pouze zároveň s HTTPS. Pokud je nový protokol použit, mohou být k přenosu použity takzvané proudy, které dovolují paralelně vyřizovat několik požadavků zároveň. Detailně to v článku Jak funguje nový protokol HTTP/2 popisuje Pavel Satrapa.
Reálně je možné zrychlit načítání webu o desítky procent, jak si můžete sami vyzkoušet na webu HTTPvsHTTPS.com. Web načítá 360 různých objektů (v tomto případě obrázků) a měří, jak si povede šifrovaná a nešifrovaná varianta.
Zrychlení o více než 50 %. Zda konkrétní server podporuje SPDY, zjistíte na webu SPDYcheck.org.
HTTPS je budoucnost současnost
Internet jednoznačně směřuje k šifrování. Velké společnosti spolu s internetovou komunitou dělá vše proto, aby se stalo standardem, který máme nejen očekávat, ale i vyžadovat. Není to žádná budoucnost, už teď se to děje, velké organizace už vydaly doporučení a nastavily loď správným směrem.
IETF v RFC7258 říká, že všudypřítomné sledování je útokem samo o sobě a že nové protokoly by měly šifrování považovat za výchozí stav. W3C říká, že web by měl aktivně upřednostňovat šifrované spojení. Google zvýhodňuje šifrované weby. Tvůrci webových prohlížečů se už snaží prosadit upozorňování na nezašifrovaný web.
Cílem celé internetové komunity je udělat ze šifrování standard. Výsledkem bude levnější, rychlejší a jednodušší nasazení pro všechny. Iniciativa Let's Encrypt je jen první velkou vlaštovkou, věřte, že přijdou další. Dojde ke změně software, dokumentace a služeb tak, aby bylo nasazení šifrování velmi snadné a nakonec aby nevyžadovalo vůbec žádné úsilí. Pak HTTP zmizí stejně, jako kdysi zmizel telnet.
Zabezpečení Applu poprvé selhalo, App Store se dostal pod velký kyberútok
21.9.2015 Zabezpečení Populární internetovou prodejnu aplikací pro mobilní zařízení iOS App Store americké společnosti Apple napadl zákeřný program, který pronikl do stovek aplikací pro telefony iPhone a tablety iPad zejména čínských uživatelů. Jde o první velký útok na App Store, uvedla agentura Reuters. Zákeřný program pronikl do stovek aplikací pro telefony iPhone a tablety iPad. Apple v neděli večer oznámil, že svou prodejnu aplikací nyní od zákeřného programu čistí. Firma uvedla, že hackeři vložili škodlivý program čili malware do řady aplikací, které používají majitelé iPhonů a iPadů v Číně, tím, že oklamali vývojáře aplikací, aby používali padělanou verzi firemního softwaru pro tvorbu aplikací, jemuž Apple říká Xcode. Falešný program zvaný XcodeGhost pak hackerům umožňoval sbírat z přístrojů data.
Je to první případ, kdy se přes přísné bezpečnostní bariéry Applu dostal velký počet aplikací nakažených zákeřným programem. Předtím se vyskytlo v App Store pouze pět podobně nakažených aplikací, uvádí firma Palo Alto Networks.
„Odstranili jsme z App Store aplikace, o nichž víme, že byly vytvořeny pomocí padělaného softwaru," uvedla mluvčí Applu Christine Monaghanová. ”Spolupracujeme s vývojáři na tom, aby měli jistotu, že používají správnou verzi Xcode," dodala.
Škodlivý software zatím žádnou škodu nenapáchal Mluvčí neuvedla, jaké kroky by uživatelé telefonů a tabletů Applu měli udělat, aby zjistili, zda jsou jejich přístroje napadeny. Ryan Olson z Palo Alto Networks ale řekl, že malware funguje jen omezeně a že jeho firma neobjevila případy krádeže ani jiných škod. Podle něj to je ale i tak „velká věc", protože to ukázalo jiným možnost narušení App Store přes vývojáře aplikací.
Pozměněná verze Xcode byla stažena z jednoho serveru v Číně. Ten vývojáři používají proto, že jim umožňuje rychlejší stahování programů než americké servery Applu.
Čínská bezpečnostní firma Qihoo360 Technology uvedla, že našla 344 aplikací, do nichž pronikl XcodeGhost. Apple počet nakažených aplikací neupřesnil.
Microsoft propojuje své služby správy identit s Googlem i Facebookem
18.9.2015 Zabezpečení Microsoft rozšiřuje Azure Active Directory, službu pro správu identit a řízení přístupu pro lokální i cloudové aplikace. Nově ji propojil s populárními aplikacemi googlovské sady, ale také s Facebookem.
Podle Gartneru je Azure AD předním produktem sloužícím společnostem k ověřování identit zaměstnanců. Podle dat Microsoftu ho aktuálně využívá kolem šesti milionů zákazníků.
I proto se ho rozhodl rozšířit tak, aby společnosti mohly ověřovat identity nejen zaměstnanecké, ale rovněž svých zákazníků a obchodních partnerů.
„Poskytnout bezpečnou platformu pro ověřování totožnosti, jejíž funkčnost bude opřená i o zákazníky oblíbené aplikace, je zásadním krokem pro udržení jejich důvěry, spokojenosti a věrnosti,“ uvádí viceprezident Microsoftu Brad Anderson v příspěvku na svém blogu, v němž novinku oznamuje.
A jako příklad uvádí spolupráci s fotbalovým gigantem Real Madrid, který novou službu testuje na svých produktech. Jeho fanoušci se tak nově můžou přihlašovat do klubových mobilních aplikací prostřednictvím facebookového loginu.
Microsoft zároveň ohlásil takzvanou Active Directory B2B Collaboration. Rozšíření umožňující společnostem ověřovat identitu svých obchodních partnerů.
„Díky těmto novým funkcím můžou společnosti snadno prohlubovat důvěru a vztahy mezi uživateli Azure AD, takže můžou pohodlně sdílet obchodní aplikace napříč firmami, aniž by museli zřizovat další sdílené adresáře nebo se dál zabývat správou partnerských identit,“ uvádí dále Anderson.
Obě nové funkce už jsou k dispozici, ačkoliv Microsoft neoznámil jejich přesnou cenu. Ta by tak měla být úměrná jejich využití, tedy podle počtu spravovaných identit.
Kaspersky Internet Security nově dostupný ve verzi 2016
16.9.2015 Zabezpečení Novou verzi bezpečnostního řešení Internet Security multi-device uvedl na trh Kaspersky. Je plně v češtině a slouží ke komplexní ochraně uživatelských zařízení. Součástí produktu jsou aktualizované technologie zajišťující ochranu uživatelů při jakékoliv on-line činnosti bez ohledu na to, zda používají platformu Windows, OS X nebo Android.
Například sociální sítě a reklamní či analytické agentury často požadují informace o online aktivitách uživatele, jako je například poloha či historie vyhledávání. Tato data získávají prostřednictvím prohlížeče, přeprodávají je a používají je k zobrazování kontextové reklamy.
Anonymní režim prohlížeče odstraní tyto informace z internetového provozu s pomocí paginu Kaspersky, který je dostupný pro Mozilla Firefox, Internet Explorer a Google Chrome, a nahlásí uživateli jakékoliv zablokované žádosti.
Tato technologie se podle výrobce odlišuje od ostatních nástrojů integrovaných do prohlížečů tím, že nezajišťuje jen prevenci před identifikací skrze soubory cookie či zobrazování varovných stránek, ale zaručuje, že data, která by vedla ke sledování uživatele, neopustí zařízení.
Funkce Change Control detekuje jakékoliv pokusy o provedení změn, nahlásí je uživateli a požádá o výslovné povolení procesu, nebo ho zablokuje.
Aktualizovaný nástroj Privacy Cleaner zase s odstraněním veškerých stop po aktivitách uživatele z počítačů s OS Windows, a to včetně historie vyhledávání či seznamu posledních otevřených dokumentů.
Funkce Webcam Protection zabrání zachycení snímků z webkamery, upozorní uživatele na přístup z legitimní aplikace a poskytne možnost zablokovat veškerý přístup ke kameře.
Snadnější správu bezpečnostních řešení přináší Eset
11.9.2015 Zabezpečení Servisní verzi produktu Remote Administrator 6 určeného pro vzdálenou správu nainstalovaných bezpečnostních řešení Esetu vydal jejich výrobce.
Nástroj má řadu nových funkcí a vylepšení, přičemž jednou z hlavních novinek je možnost použití dvoufaktorové autentizace pro přístup do webové konzole.
Vedle zavedení dvoufaktorové autentizace pro přihlášení do konzole jsou nejdůležitějšími novými funkcemi Remote Administratoru nový průvodce prvotním nastavením, podpora nové verze Mail Security 6 pro Microsoft Exchange Server, nativní prohlížeč protokolů SysInspector nebo migrační nástroj pro přenos politik z minulých verzí.
Mezi vylepšeními je například i vylepšená správa hrozeb, All-in-one instalátor, který disponuje více možnostmi pro instalaci a odinstalaci nebo řada vylepšení uživatelského prostředí webové konzole. Ta je také celkově rychlejší a má kratší odezvu.
„Dvoufaktorové zabezpečení webové konzole Remote Administrator umožňuje zdarma chránit uživatelské účty až deseti administrátorů. Jde o volitelnou funkci, která významně posiluje celkovou IT bezpečnost v organizaci,“ dodává Michal Jankech, produktový manažer společnosti Esetu.
Microsoft přichystal první zásadní patche pro Edge
10.9.2015 Zabezpečení Nový prohlížeč Edge, jímž Microsoft vybavuje Windows 10, se během prvního záplatovacího úterku dočkal první várky bezpečnostních patchů. Celkem byly čtyři. Jeho předchůdce, poslední Explorer, jich potřeboval sedmnáct.
Microsoft představil Edge jako novou generaci prohlížečů pro Windows, která by měla časem zcela nahradit Internet Explorer. A je tak dobré dodat, že všechny kritické chyby, které aktuální patche záplatují, byly objeveny i v Exploreru, který už ale společnost zajistila v dřívějším opravném balíčku.
„Šlo o možnost napadení speciálně podvrženou webovou stránkou, ať už používáte Internet Explorer nebo Edge,“ shrnuje Wolfgang Kandek z bezpečností společnosti Qualys. Shodnost děr podle něj také vyjevuje, že vývojáři Microsoftu při tvorbě Edge alespoň do určité míry vycházeli z kódu Exploreru.
Že se však jejich snaha o vytvoření bezpečnějšího prohlížeče nemíjí účinkem, nabízí srovnání právě s Explorerem, který oproti čtyřem patchům pro Edge potřeboval záplat rovnou sedmnáct.
„A taky to ukazuje, jak obtížné je napsat software, který by byl zcela bezchybný a odolný vůči útokům,“dodává Kandek.
Další chyby, na něž Microsoft ve svém aktuálním oběžníku upozorňuje, se týkají mimo jiné populárních kancelářských produktů Office 2007 a 2010. V Qualys v poslední době zaznamenali sérii útoků, k jejichž spuštění stačí pouze otevření škodného Wordovského nebo Excelovského dokumentu, které následně můžou spouštět další akce, o nichž uživatel vůbec nemusí vědět.
Celkově Microsoft letos vydal zatím 105 bezpečnostních oběžníků, což je jen o jeden méně než za celý loňský rok a podle odhadů Qualysu se jejich počet na konci roku zastaví na čísle 145.
Podle Kandeka to však neznamená, že by se dnešní software stával náchylnějším k útokům. Spíš přibývá zdatných programátorů a útočníků schopných najít v programech mezeru, jimž hraje do karet i narůstající pestrost trhu, ať už se týká samotných programů nebo platforem, na kterých běží.
„Aktuální čísla ukazují, jak zásadní roli začíná bezpečnost mít,“ uzavírá Kandek.
Bezpečnější Exchange Server slibuje novinka od Esetu
4.9.2015 Zabezpečení Novou verzi řešení Mail Security pro Microsoft Exchange Server uvedl na trh Eset. Nabízí vylepšený antispam, antivirus s možností využít pro skenování cloudovou databázi hrozeb a také zcela přepracované uživatelské rozhraní.
Nová generace Mail Security pro Microsoft Exchange Server nativně podporuje Remote Administrator 6, nástroj pro vzdálenou správu bezpečnostních produktů Esetu.
Pro usnadnění práce administrátorů s podezřelými zprávami je k dispozici funkce správy lokální karantény spamu, která umožňuje kontrolovat tyto zprávy a řešit je na dálku, pomocí rozhraní v internetovém prohlížeči.
Administrátoři mohou využívat také lokální volitelnou kontrolu. Ta umožňuje vybírat, jaké databáze a poštovní schránky se mají skenovat, což šetří systémové zdroje serveru. Zaujal vás tento článek? Přehled nejzajímavějších zpráv získáte odebíráním našeho newsletteru »
Aktualizace a programové moduly je možné ukládat mimo defaultní lokaci. Protonejsou závisléna případech, kdy je nutné virtuální počítač vrátit do přechozího stavu. Výsledkem je, že se aktualizace a moduly nemusí stahovat znovu při každém vracení k předchozímu stavu systému.
Nové vlastnosti Mail Security 6 pro Microsoft Exchange Server podle výrobce:
Pokročilá kontrola paměti monitoruje chování škodlivých procesů a kontroluje je ihned po rozbalení v paměti. Proto je schopná detekovat i šifrované hrozby. Exploit blocker chrání aplikace, jako jsou např. internetové prohlížeče, čtečky PDF, poštovní klienti nebo aplikace MS Office před zneužitím jejich bezpečnostních chyb. Anti-Phishing chrání počítač před pokusy získat citlivé informace uživatele, jako jsou hesla, bankovní data nebo údaje o kreditních kartách. Cloudová databáze hrozeb LiveGrid umožňuje efektivně detekovat škodlivý kód ještě před tím, než je vydána nová aktualizace virové databáze. Lokální karanténa spamu nabízí lepší kontrolu a správu nevyžádaných zpráv pomocí samostatného webového rozhraní. Automatické výjimky vyloučí z rezidentní kontroly citlivé soubory a složky, které mohou způsobovat konflikt s antivirovým jádrem. Program automaticky detekuje role serveru a aplikace třetích stran. Nová pravidla pro nakládání se zprávami umožňují upravit práci se zprávami na základě jejich vlastností a mnoha podmínek. Pravidla se uplatňují zvlášť pro transportního agenta a zvlášť pro databázi. Nové uživatelské rozhraní a pokročilé nastavení rozdělené do jednotlivých částí. Důležité informace na jednom místě, kdy všechny protokoly důležité pro sledování aktivity serveru a odstranění problémů jsou přístupné přímo z hlavního okna na jedno kliknutí. Instalace s výběrem jednotlivých komponent umožňuje nainstalovat jen požadované části produktu.
(R)evoluce v OpenSSH 7.0 aneb velké zastarávání
17.8.2015 Zabezpečení
Minulé úterý vyšla nová major verze, v pořadí již sedmá, otevřené implementace protokolu SSH 2.0 s názvem OpenSSH. Přináší několik dlouho odkládaných změn, které proaktivně podporující bezpečnost a opravují významné bezpečnostní chyby, se kterými se poslední dobou roztrhl pytel. Které to jsou?
Konec starého protokolu SSHv1?
Jednou z nejdiskutovanějších změn, která přišla v této verzi, je kompletní zakázání protokolu SSH první verze (SSHv1) během kompilace. Tento protokol je zastaralý, nové servery jej ve výchozí konfiguraci nenabízejí, ale jenom možnost jej povolit a jeho přítomnost je bezpečnostní riziko.
Když se toto téma poprvé objevilo, mnoho uživatelů argumentovalo, že stále potřebují spravovat staré nebo vestavěné systémy vybavené pouze protokolem SSHv1. Ten je stále bezpečnější než nezabezpečený telnet.
S těmito požadavky a s novinkami od vývojářů se musí vypořádat distribuce, které chtějí držet krok, ale zároveň nechtějí rozbíjet zpětnou kompatibilitu s ostatními distribucemi (a s výše zmíněnými vestavěnými zařízeními) a nechtějí nutit uživatele hledat zbytečně náročná řešení.
Protože byla poptávka po klientovi, u kterého dává smysl podporu SSHv1 ponechat, rozhodli jsme se ve Fedoře přidat balíček openssh-clients-ssh1 poskytující alternativní klientské aplikace ( ssh1, ssh-keygen1 a scp1) sestavené s podporou SSHv1, které použití protokolu s minimem úsilí umožňují a zároveň nehrozí jejich použití nevědomky.
Povolit přihlášení roota?
Pokud se za posledních 10 let na některé emailové konferenci nebo v bugzille objevil návrh na zakázání vzdáleného přihlášení superuživatele přes SSH, objevovaly se podobné emoce jako u zakazování protokolu SSHv1. Mám pocit, že všichni cítí, že toto na produkční server prostě nepatří, protože riziko uhodnutí hesla je příliš velké a roboti útočí většinou právě na tento účet.
Ale co když stroj žádného jiného uživatele po instalaci nemá? Příkladem mohou být dnes oblíbená cloudová řešení a různé minimální instalace. Výchozí zákaz přihlášení roota je stále trochu strašákem, protože být odstřižen od vlastního serveru bez možnosti použití lokální konzole není nic příjemného.
Vývojáři opět částečně vyslechli uživatele a nová výchozí hodnota pro nastavení PermitRootLogin se mění z yes na prohibit-password, čímž efektivně brání útokům na heslo superuživatele a zároveň neznemožňuje přihlášení legitimního správce ve výchozím nastavení (pokud si tedy předem nastaví přístupový klíč). V poslední verzi bylo navíc toto nastavení vylepšeno a nyní zakazuje veškeré přihlášení heslem (zbývá tedy pouze veřejný klíč, HostBased a GSSAPI).
Zakázání historických algoritmů protokolu SSHv2
Protokol SSHv2 již nezávisí na jediném algoritmu jako tomu bylo u protokolu prvního, ale i tak zde existují algoritmy, které jsou s postupem času zastaralé a potenciálně zranitelné, nebo již déle nedoporučované.
Jedním z těchto algoritmů je výměna klíčů diffie-hellman-group1-sha1, která používá prvočísla pevné délky 1024 bitů a je tedy teoreticky napadnutelná útokem typu Logjam za pomoci výpočetní síly třeba některé z národních agentur.
Druhým, ve výchozím nastavení zakázaným algoritmem, jsou klíče ssh-dss, a certifikáty ssh-dss-cert-*. Tyto klíče jsou postaveny na algoritmu DSA, který byl vytvořen Národním institutem standardů a technologií (NIST) v USA v roce 1991 a je velmi citlivý na zdroj náhodných čísel. Je stále schvalovaný, již ne preferovaný.
Poslední zastaralá věc jsou certifikáty v00, jejichž podpora byla s této verzi odebrána na úkor nové verze v01 pro celkové zjednodušení kódu.
Interoperabilita s legacy implementacemi Výše zmíněné algoritmy nebyly z implementace vyřazeny úplně, ale nejsou nabízeny jako výchozí. V případě, že uživatel se potřebuje připojit na nějaký server podporující pouze tyto algoritmy a není schopný navázat spojení s novějšími, existuje jednoduché řešení.
To je popsáno na samostatné stránce popisující novou možnost výběru algoritmů na příkazové řádce. Použití prefixu + umožňuje přidat algoritmus do nabízeného seznamu, bez nutnosti předefinovat původní sadu. Například ssh -oKexAlgorithms=+diffie-hellman-group1-sha1 user@127.0.0.1 pro připojení za použití prvního zmíněného algoritmu výměny klíčů.
Bezpečnost
Na začátku tohoto roku bylo bezpečnostních oznámení v OpenSSH relativně poskrovnu, ale v posledních verzích se objevuje jedna za druhou. Výjimkou není ani tato, kde je jich opraveno hned několik. Některé existují již velmi dlouho a jiné vznikly jako chyba v posledních verzích.
První z nich je CVE-2015–5600, která za použití dlouhého seznamu autentizačních metod obsahujících více hodnot keyboard-interactive, umožňovala obejít omezeni maximálního počtu pokusů o autentizaci heslem, které je nastavené pomocí volby MaxAuthTries.
Další výrazný problém se objevil v přístupových právech k TTY na serveru, která byla omylem zapisovatelná pro všechny uživatele systému. To umožnilo lokálnímu útočníku zapisovat zprávy přihlášeným uživatelům, včetně escape sekvencí terminálu. Tato chyba vznikla až ve verzi 6.8 a tak mnoho distribucí není ohroženo.
Poslední problém, který existoval pouze v portable verzi, je spojený s použitím PAM (Pluggable Authentication Module). Pokud se útočníkovi podařilo kompromitovat předautentizační proces ke spuštění cizího kódu a měl validní přístupové údaje k systému, mohl se vydávat za jiné uživatele systému.
Nové funkce
V poslední verzi přibylo několik nových nastavení. Mezi nimi PubkeyAcceptedKeyTypes a HostKeyAlgorithms, které definují seznam typů klíčů a certifikátů použitelných pro autentizaci na straně klienta a akceptovatelných na straně serveru.
Dále byly rozšířeny volby Ciphers, MACs, KexAlgorithms, HostKeyAlgorithms, PubkeyAcceptedKeyTypes a HostbasedKeyTypes o možnost přidání seznamu algoritmů, místo nahrazení celého původního seznamu. Toto je využíváno u výše zmíněného zastarávání algoritmů.
Poslední změnou je již výše popisovaná nová hodnota prohibit-password pro nastavení PermitRootLogin, která je méně zavádějící než původní without-password.
Opravy chyb
Bylo identifikováno a opraveno několik problémů, které bránily použití některých typů smart karet pro autentizaci ke vzdálenému serverů. Vylepšena byla také kompatibilita s Cisco a PuTTY a zároveň došlo k několika dokumentačních změnám.
V tomto směru tedy pouze evoluce v mezích zákona. Osobně jsem doufal, že se do tohoto velkého vydání podaří dostat další opravy.
Vyzkoušejte si novinky
Nové OpenSSH bude k dispozici v následující Fedoře 23 Beta.
Pět moderních metod, jak zabezpečit podniková data (2)
16.8.2015 zabezpečení Pokud jde o zabezpečení podnikových dat, představte si šéfa IT s jednou nohou na molu a druhou na lodi. A ta loď pomalu odplouvá. Mobilní technologie, cloud a technologie big dat přesouvají podniky do neprobádaných vod a koncové body s daty se stále více dostávají mimo kontrolu oddělení IT.
4. Brány zabezpečení cloudu
Úřady ve Wyomingu v létě oznámily plány na ukončení provozu většiny svých datových center a na přesun veškerého fyzického vybavení do komerčního pronajatého datového centra.
Zaměstnanci úřadu sice budou i nadále spravovat své vlastní fyzické servery v pronajatých centrech, ale tento outsourcingový krok je součástí širšího plánu přesunout výpočetní prostředky na cloudové služby. Není pochyb o tom, že bezpečnost bude mít při ochraně dat v cloudu nejvyšší důležitost.
Podniky, které používají cloud, by měly uvážit použití bran zabezpečení cloudu. Tyto body pro vynucení bezpečnostních zásad se mohou nacházet v jejich interní infrastruktuře nebo přímo v cloudu. Nacházejí se mezi uživateli a poskytovateli cloudových služeb, aby šlo zavést podnikové zásady zabezpečení při přístupu ke cloudovým zdrojům.
„Je to skutečný závan budoucnosti, jak IT personál získá viditelnost a kontrolu v cloudových architekturách,“ prohlašuje Lindstrom.
Brány pro zabezpečení cloudu fungují podobně jako jednotná správa hrozeb (UTM) v cloudu a poskytují zabezpečení přístupu a vynucení zásad, ale monitorují také aktivitu pomocí analytických nástrojů, zajišťují funkci DLP (prevence proti únikům dat) v back-endu a implementují šifrování komunikace i strukturovaných a nestrukturovaných dat.
Zmíněné brány lze nasadit zcela v cloudu nebo jako zařízení umístěná na hranici. „Je to velmi užitečný způsob řešení problémů ztráty viditelnosti a kontroly, která obvykle s cloudem přichází, a navíc nejsou nijak zvlášť drahé,“ dodává Lindstrom.
5. Adaptivní řízení přístupu
Přestože je třeba data chránit, musí IT oddělení zároveň podporovat i podnikový provoz – povolením využívání celé řady mobilních zařízení pro přístup do podnikových systémů.
Gartner radí používat pro udržení dat v bezpečí adaptivní řízení přístupu, které je formou řízení přístupu zohledňující kontext a slouží k vyvažování důvěry vůči riziku v okamžiku přístupu pomocí kombinace zvýšení důvěry a dalších dynamických technik pro snižování rizika.
Gartner uvádí, že v tomto případě zohlednění kontextu znamená, že rozhodnutí o tom, kdo má či nemá dostat přístup, odráží aktuální okolnosti. Dynamické snižování rizik zase znamená, že přístup může být bezpečně povolený, zatímco jinak by byl odepřen. Tento typ architektury řízení přístupu umožňuje společnostem poskytnout přístup z libovolného zařízení na jakémkoli místě a dovoluje nastavit různé úrovně přístupu k celé řadě podnikových systémů v závislosti na profilech rizika uživatelů.
Gartner také doporučuje další metody a technologie zabezpečení včetně využití reportů počítačově zjištěných hrozeb od nezávislých dodavatelů a akceptování tzv. zadržení a izolace jako základní bezpečnostní strategie – tedy přístupu, při kterém se vše neznámé považuje za nedůvěryhodné.
Mezi další technologie, které Gartner doporučuje bezpečnostním profesionálům ke zvážení, patří softwarově definované zabezpečení, v němž se bezpečnostní funkce integrují do všech nových aplikací. Doporučuje také interaktivní testování zabezpečení aplikací, které kombinuje statické a dynamické testovací metody v rámci jednoho řešení.
Výběr zabezpečovacích technologií
Rozhodování o tom, zda a kdy nasadit některou ze zmíněných technologií zabezpečení, závisí na struktuře organizace a množství i typech dat, která samy považují za cenná, uvádí David Brown, ředitel pro nasazování technologických řešení ve společnosti Accuvant.
„Je nutné zohlednit způsob používání dat, kdo k nim potřebuje mít přístup a jaký je váš rozpočet, a to nejen na technologie, ale také na personál, který je bude podporovat,“ připomíná Brown. Například „systémy pro analýzu zabezpečení nabízejí zajímavá řešení, ale pro jejich využití a správu budete zároveň potřebovat několik chytrých lidí“, upozorňuje Brown.
Nakonec je to všechno o vyvažování rizik a příležitostí k růstu podnikání, uvádějí lídři zabezpečení.
„Vždy existuje přijatelná úroveň rizika, takže nalezení a dohodnutí nejlepšího kompromisu obvykle zahrnuje více účastníků – právní oddělení, vedení, personální i obchodní oddělení,“ popisuje Mannarino. Lindstrom souhlasí s tím, že výše rizika v oblasti IT sice roste, „ale je to výsledek prosperující ekonomiky“.
„Pokud použijete k řízení technologických rizik ekonomický přístup, vznikají kompromisy,“ poznamenává. „Většina lidí to zvládá úspěšně. Přijměte povahu rizika, řiďte ho a naopak nedovolte jemu, aby řídilo vás.
Pět moderních metod, jak zabezpečit podniková data (1)
15.8.2015 zabezpečení Pokud jde o zabezpečení podnikových dat, představte si šéfa IT s jednou nohou na molu a druhou na lodi. A ta loď pomalu odplouvá. Mobilní technologie, cloud a technologie big dat přesouvají podniky do neprobádaných vod a koncové body s daty se stále více dostávají mimo kontrolu oddělení IT.
Integrace dat se často podceňuje a dochází ke špatné implementaci, což vytváří zbytečné nároky na čas a zdroje. Mezitím infrastruktura sotva dokáže zvládnout dosavadní hrozby, natož ty nové. Oddělení IT jsou zcela očividně přetížená, často bez dostatečné pracovní síly či schopností, které by umožnily zvládnout rostoucí nároky na ochranu dat.
Řada narušení podnikového zabezpečení ukazuje zřetelný nárůst. V roce 2013 ohlásila společnost Verizon ve své výroční zprávě o narušení zabezpečení, že celosvětově došlo k více než 63 tisícům bezpečnostních incidentů a k 1 367 potvrzeným únikům dat.
V první polovině letošního roku bylo podle organizace Identity Theft Resource Center ohlášeno úřadům v USA přibližně 395 narušení bezpečnosti.
„Hranice podniků jsou zničené,“ tvrdí Chris Gray, viceprezident pro podnikové zabezpečení a rizika ve společnosti Accuvant, která je dodavatelem produktů a služeb pro zabezpečení IT. „Používáme outsourcing a všechno dáváme do cloudu, umožňujeme mobilitu a alternativní způsoby přístupu na úrovních, kde jsme to nikdy dříve nedělali,“ upřesňuje Gray.
Výsledkem podle něho je, že „jsme udělali díry ... a vše vypustili ven – namísto toho, abychom vše sledovali na jednom místě, nyní monitorujeme míst padesát, a to problém, kterému čelíme, ještě zhoršuje.“
Vyhlídky ale nejsou jen pochmurné a plné beznaděje. Více než 90 % z těchto narušení analyzovaných společností Verizon se vejde do pouhých devíti různých schémat zabezpečení.
Bezpečnostní experti tvrdí, že existují způsoby, jak vyvážit bezpečnostní rizika možnostmi, které nabízejí nové platformy.
Tady je pět technologií pro zabezpečení dat, které stojí v nejbližších měsících za zvážení.
1. Detekce koncových bodů a řešení odezvy
Podniky kvůli opětovnému získání kontroly hledají automatizované nástroje, které detekují, řeší a dokonce předvídají narušení zabezpečení, uvádí Mike Lloyd, technologický ředitel společnosti RedSeal Networks, která je dodavatelem prvků zabezpečení.
Potřeba automatizace je podle něj zjevná, zvláště pokud existuje nedostatek personálu či schopností nebo jestliže je počet přístupových bodů prostě příliš velký.
Detekce hrozeb koncových bodů a nástroje odezvy mohou uspokojit potřebu kontinuální ochrany před důmyslnými útoky na koncové body, jako jsou tablety, telefony a notebooky.
Tyto nástroje monitorují koncové body a sítě a ukládají data do centrální databáze. Analytické nástroje se potom použijí k neustálému prohledávání databáze a ke zjištění úloh, které mohou zlepšit stav zabezpečení a odrazit běžné útoky, dále ke včasnému zjištění probíhajících útoků (včetně hrozeb od vlastního personálu) a také k rychlé odezvě na tyto útoky, uvádí zpráva, která zazněla na nedávné konferenci o řízení zabezpečení a rizik, pořádané společností Gartner. Tyto nástroje pak mohou pomoci personálu zabezpečení IT rychle vyšetřit rozsah útoků a zastavit je.
Například zdravotní pojišťovna Cigna-HealthSpring chce být ve způsobu, jakým monitoruje zabezpečení svých mobilních zařízení, aktivní. Počet iPadů a iPhonů, které HealthSpring poskytuje zaměstnancům, se podle jejích očekávání v příštích dvou letech zdvojnásobí, protože firma rozšíří své on-line aplikace a nabídne v terénu více reportovacích funkcí, odhaduje Anthony Mannarino, tamější šéf IT, zabezpečení a dodržování předpisů.
HealthSpring používá produkt Computrace společnosti Absolute Software pro monitorování a sledování mobilních zařízení zaměstnanců. Výhody užívání tohoto softwaru zahrnují „přehled o obsahu zařízení a možnost vzdáleného nevratného vymazání“, vysvětluje Mannarino.
Nové funkce softwaru umožní společnosti HealthSpring kontrolu zařízení v reálném čase. „Můžeme pracovat s oblastmi, kde podnikáme. Pokud se zařízení dostane mimo takovou sféru, upozorní nás a my můžeme použít onen aktivní přístup – často dříve, než si uživatel uvědomí, že něco není v pořádku,“ dodává Mannarino.
2. Umístění do zkušebního prostoru Zaujal vás tento článek? Přehled nejzajímavějších zpráv získáte odebíráním našeho newsletteru »
Nějakému malwaru či hackerovi se nevyhnutelně podaří proniknout přes hranici zabezpečení. Jednou z nejjednodušších věcí, které mohou podniky udělat, aby zajistily, že jejich data zůstanou v bezpečí, když taková situace nastane, je přidat tzv. zkušební prostory (sandbox), které dokážou automaticky izolovat podezřelý malware detekovaný v síťovém zařízení, uvádí Pete Lindstrom, analytik IDC.
Jakmile je malware izolovaný a bezpečně oddělený od aktivních systémů, spustí nástroj sandboxu tuto škodlivou aplikaci a zanalyzuje její možný dopad. „Tato myšlenka monitorování výsledků činnosti a hledání škodlivých projevů po spuštění programu se stává pro úspěch skutečně klíčovou,“ prohlašuje Lindstrom.
Vyhrazené nástroje sandboxu dostupné od dodavatelů, jako je například FireEye, svou práci odvedou, ale mohou být drahé, říká Lindstrom. Někteří jiní dodavatelé však funkce sandboxu integrují do svých současných produktů. „Není to neobvyklé u dodavatelů antivirových řešení a většina dodavatelů zabezpečení sítí nabízí funkce sandboxu rovněž,“ popisuje Lindstrom.
Cigna-HealthSpring využívá sandboxovací aplikaci právě od FireEye. „Uvidí hrozbu a spustí ji v prostředí sandboxu, aby bylo jasné, co dělá – potom ji lze zastavit,“ tvrdí Mannarino.
„Pokud tento nástroj nahlásí, že se program snaží připojit k nějakému serveru v Číně, potom můžeme nastavit své filtrovací webové technologie tak, aby takové adresy URL zablokovaly.“
Pro mnoho společností je ale poměrně obtížné pochopit a zanalyzovat výsledky odhalené tímto nástrojem, dodává Lindstrom, ale naštěstí existují služby, které pomáhají výsledky pochopit. Lindstrom předpovídá, že funkce sandboxu se během příštích dvou až tří let stanou u bezpečnostních produktů standardem.
3. Analýza zabezpečení
Většina bezpečnostních týmů dostává velké množství dat z nesčetných koncových bodů a bezpečnostních produktů. „Problémem je, že nemají ukazatele použitelné pro rozhodování a potřebné reakce,“ tvrdí Lloyd.
Analýza se přitom stává základním kamenem bezpečnostních funkcí. Gartner předpovídá, že v budoucnu budou všechny efektivní platformy zabezpečení obsahovat oborově specifické vestavěné analytické nástroje jakožto základní schopnost.
Do roku 2020 pak bude mít 40 % podniků implementované datové sklady zabezpečení pro ukládání a monitorování dat a pro podporu analýz po výskytu událostí, uvádí Gartner. Postupem času tato data v kombinaci s další inteligencí vytvoří základ pro posuzování normální aktivity a všechny odchylky budou zřejmé.
Broward Health, významný poskytovatel zdravotní péče, nasazuje arzenál bezpečnostních technologií, aby chránil data a údaje o svých pacientech, ale Ronaldo Montmann, tamější viceprezident pro IT, stále nemá přehled, jaký by si přál.
„Máme sice firewally nové generace, nejlepší systémy IPS (prevence vniknutí), systémy DLP (prevence úniků dat) a řešení pro správu identit, ale vše pracuje svým způsobem odděleně,“ vysvětluje Montmann. Kromě komplexního systému chce mít také schopnost předvídat budoucí zranitelnosti.
„Snažíme se zjistit, jestli můžeme software, který jsme koupili pro finanční a klinický systém, použít pro velké analýzy. Zda ho můžeme smysluplným způsobem využít rovněž pro sledování událostí infrastruktury a k nalézání souvislostí mezi nimi, abychom je dokázali předpovědět nebo pochopit, jak spolu souvisejí.“
To vyžaduje také jeho tým tvořený zkušeným personálem, jenž chápe všechny nuance technologie, jíž podporuje nemocniční systém a který dokáže spolupracovat i aktivně udržovat síť.
Náš algoritmus určený pro protokoly sleduje události na úrovních serverů, přepínačů a pracovních stanic a shromažďuje informace, „které by obvykle člověk nedokázal zpracovat“, popisuje Montmann.
Tato data se analyzují a vyhodnocují se souvislosti mezi událostmi v síti. „Snažíme se vytvořit prostředí, ve kterém se můžeme dozvědět více o tom, co se děje v síti. Různé nezvyklé dění nakonec pochopíme a zjistíme, zda to nejsou projevy malwaru nebo aktivit hackera,“ říká Montmann a dodává, že chce analytický tým plně sestavit až během prvního čtvrtletí příštího roku.
Rodičovská kontrola pro Android? Bezplatnou nabídl Eset
14.8.2015 Zabezpečení Betaverzi produktu Parental Control pro Android, která přináší rodičům možnosti, jak chránit své děti, aniž by je museli nepřiměřeně omezovat, představil Eset. Na půl roku dává lidem její funkce zdarma.
Novinka představuje integrovaný systém pro ochranu rodiny. Umožňuje chránit děti před internetovými hrozbami nebo nevhodnými stránkami, i když používají své vlastní mobilní zařízení. Podle výrobce je k dětem přátelský: pokud se jejich používání internetu omezí, tak nenásilným způsobem, což přispívá k zachování vzájemného respektu mezi rodiči a dětmi.
Mezi hlavními funkce aplikace Parental Control patří:
- Strážce aplikací: blokuje nevhodný obsah v závislosti na věku dítěte
- Správa času: umožňuje rodičům omezit čas, který děti mohou trávit nad hrami a nad jednotlivými aplikacemi, a to i když jsou mimo domov.
- Webový strážce: blokuje internetové hrozby na základě porovnání internetových stránek s databázemi Esetu.
- Poloha dítěte: umožňuje rodičům zjistit přesné místo, kde se jejich děti nacházejí.
"Všem rodinám, které mají o aplikaci, jsme nabídli všechny její prémiové funkce na půl roku zcela zdarma, a to bez jakýchkoli závazků,“ tvrdí Branislav Orlík, Product Manager ve společnosti Eset.
Aplikaci lze stáhnout z obchodu Google Play.
Vypnout bezdrátová připojení nestačí
6.8.2015 Zabezpečení Ani vypnutí wi-fi nedokáže zabránit bezdrátovému úniku dat. Vědci našli způsob, jak na dálku přečíst data přenášená mezi procesorem a pamětí počítače. pátek 31. července 2015, 16:07 Nenápadný malware v napadeném počítači dokáže znásobit elektromagnetické vlnění, související s přenosem dat mezi procesorem a pamětí počítače do takové míry, že přenášená data je možné zachytit i na vzdálenost 30 metrů.
To v případě využití specializovaného přijímače; na menší vzdálenost stačí jakýkoli smartphone, vybavený příslušnou aplikací. Objem dat, který je možné takto přenést a zachytit, je jen velmi limitovaný. Na citlivé údaje typu jméno a heslo však podle autorů objevu stačí.
Pokud se zjištění vědců - objev učinili výzkumníci z izraelské univerzity Bena Guriona v Tel Avivu - potvrdí jako skutečná hrozba, bude to představovat další ohrožení IT bezpečnosti. Dosud měli bezpečnostní experti za to, že počítače, připojené do zabezpečené sítě a se zakázanou bezdrátovou konektivitou, není potřeba dále chránit. Nyní se však může ukázat, že je nebezpečné, aby se v blízkosti chráněných počítačů vyskytovaly nekontrolované smartphony.
Šifra, na kterou spoléháme každý den. Jak neprolomitelné je wi-fi? 1.8.2015 Zabezpečení Spoléháte na ni každý den. Šifra AES patří k nejpoužívanějším. Když se připojíte k wi-fi, "stará" se o bezpečnost vašich dat. Stejně to mají například i v NSA. Dosud byla považována za neprolomitelnou, ale s příchodem kvantových počítačů už to tak být nemusí. V dnešní době je wi-fi takřka na každém rohu a my uživatelé jsme zvyklí se všude připojovat. Ať už s notebooky nebo mobily, abychom tak "šetřili" svá datová připojení. Jedno z nejčastějších typů zabezpečení wi-fi sítí je WPA2.
Šifruje se standardem, kterému se říká AES - Advanced Encryption Standard. Původní název šifry však zněl Rijndael (vyslovuj rejndál). Tímto kódem je šifrován celý objem dat, který mezi vaším počítačem a internetem "létá vzduchem". Prolomení se věnoval ve své diplomové práci Josef Kokeš z ČVUT - viz boxík ACM SPY 2013. Podle něj, šifru zvládnou rozluštit až kvantové počítače.
V letošním roce bylo z více než 2000 přihlášených prací do hlavní části soutěže vybráno 85 prací z 16 fakult 14 univerzit a vysokých škol v České a Slovenské republice. Z těchto prací odborná porota složená z pedagogů ale i zástupců z "praxe" vybrala 9 nejlepších soutěžních projektů.
Při přihlašování k wi-fi síti jste vyzváni k zadání hesla (v případě zabezpečených sítí). V přihlašovacím procesu router řekne vašemu počítači (wi-fi modulu), jaký klíč k rozluštění dat má použít, a počítač pak veškerá data, která přijímá, tímto klíčem dešifruje. Není to jednoduchý klíč. Pro představu - šifru AES užívá k zabezpečení svých dat běžně i americká Národní bezpečnostní agentura NSA. Od roku 2002 je v USA tato šifra v rámci zabezpečení federálním standardem.
Šifra jako z filmu Všechny v současnosti standardně používané šifry, se kterými se setkáváte a jsou součástí techniky nebo programů, lze prolomit. Pro generování klíče totiž používají algoritmy. A každý algoritmus jde prolomit hrubou silou.
Proto v případě dnešních standardů se tvůrci zaměřují na výpočetní bezpečnost šifry – tedy jak snadné může být pro útočníka šifru prolomit. Neprolomitelná šifra totiž vyžaduje tři podmínky, aby klíč byl absolutně náhodný, neopakovaný a stejně dlouhý jako samotná zpráva.
Taková šifra existuje, je to Vernamova šifra, a vidět ji můžete v řadě filmů, kde špion luští přijatou zprávu s využitím kódové knihy (nezaměňovat s knižní šifrou, kde slouží jako klíč k určení stránka apod.). Problémem, jak již naznačuje kódovací kniha, je samotná distribuce klíče, který musíte nejen vytvořit, ale rovněž k uživatelům dopravit.
Jak Britové doběhli Rusy. Příběh popravených špionů Proč je důležité, aby byly dodrženy všechny tři výše uvedené podmínky? To si můžeme ukázat na příkladu britsko-amerického projektu známého jako Venona (několikrát změnil krycí jméno, odtajněn 1995), který se od roku 1943 věnoval luštění sovětských šifer. Sověti používali pro kritické zprávy právě systém jednorázových šifer, ale přesto se podařilo některé jejich zprávy částečně dešifrovat. Sovětská strana totiž použila některé kódovací stránky (ne ovšem celé knihy) opakovaně. S největší pravděpodobností si osoba/osoby pracující na sestavení kódových knih chtěly ušetřit práci se sestavováním, navíc v době, kdy si nikdo nedokázal představit, že západní spojenci mají výpočetní výkon na to, aby dokázali zachytit opakování, a jednoduše pár stran zopakovaly.
Prolomená šifra poslala špiony na popraviště Příběh manželů Rosenbergových - vzpomíná Karel Pacner Na smrt špionů rodičů vzpomíná syn Příběh špiona a komunisty Klause Fuchse v závodu o atomovou bombu. Samozřejmě se objevují i jiné teorie, že ony stránky byly použity někým, kdo je "zdědil" po svém předchůdci a domníval se, že nebyly použity apod. Každopádně prolomení neprolomitelné šifry vedlo až k odhalení atomových špionů jako byl Klaus Fuchs nebo Rosenbergovi, kdy zprávy z Venony upozornily na existenci sovětské sítě v rámci projektu Manhattan, o které do té doby neměli Američané ani tušení.
Dnes se dokážeme pracností se získáním náhodných čísel vyhnout využití techniky a kvantové fyziky, kdy například měřením času mezi radioaktivním rozpadem jader Geiger-Müllerovým počítačem dostaneme čísla, která lze považovat za absolutně náhodná. Nebo lze využít tepelný šum apod. Stále však zůstává nepraktičnost z hlediska předání klíče.
Zatím neprolomená šifra může podlehnout Proto se v praxi používají řešení založená na algoritmech, jako je právě AES. I když nesplňuje všechny definice pro nerozluštitelnou šifru, je prolomení AES dost časově náročné. Záměrně neříkáme nemožné, byť se tak na AES v předešlé dekádě pohlíželo vzhledem k počtu možných klíčů - viz boxík - jako na téměř nerozluštitelnou šifru.
Téměř nerozluštitelná šifra Počet možných klíčů šifry AES je závislý na délce samotného klíče, tedy pokud máte 64bitový klíč, je počet klíčů n64 (zde je n=2, protože počítače pracují s 0 a 1), u 256bitového klíče, který je dnes doporučován, jde o n256.
Zatím neprolomená zůstává i dnes se 128, respektive 256bitovým klíčem. Nicméně rozvoj kvantových počítačů vnesl do oblasti šifrování prvek nejistoty.
Zatímco s běžnými počítači zůstáváme z hlediska výpočetního výkonu i potřebných investic v teoretické rovině prolomení AES s 2256 klíči, v případě kvantových počítačů už tomu tak není.
Proto je stále více na pořadu dne potřeba ověření kvality a odolnosti šifry, což vzhledem k popsané velikosti klíče je standardní cestou značně náročné a zdlouhavé.
Český student šifru nerozluštil, ale skulinky objevil Student katedry počítačových systémů pražského ČVUT Josef Kokeš však přišel s nápadem, jak tuto šifru zkoumat mnohem efektivněji. V rámci své diplomové práce použil zmenšený model - šifru Baby Rijndael.
Popsal, jak útokem na zmenšený model Baby Rijndael otestoval kvalitu celé rozsáhlé šifry AES. Mimo jiné ve své práci nastínil i potenciál jejího dalšího rozvoje při použití v praxi. I když nenalezl žádnou významnou slabinu, která by vedla k prolomení šifry Rijndael (AES), analyzováním objevil několik nových a dosud nepopsaných rizik v šifře, které je nutné dále zkoumat.
Tímto výzkumem se bude zabývat i v navazujícím doktorandském studiu na ČVUT. Díky jeho přístupu bude nové testování AES výrazně rychlejší a spolehlivější.
Nikoliv šifra, ale vaše hloupé heslo je klíčem Ačkoliv by se mohlo zdát, že data běžných uživatelů internetu by lepší hackeři dokázali zcizit bez problémů, na vině rozhodně není bezdrátový přenos. Šifrování AES nám všem poskytuje takovou úroveň zabezpečení, že cesta k našim datům nevede přes prolomení šifry, ale získání údajů, na které se soustředí techniky sociálního inženýrství.
Tedy slabá hesla, neuvážené poskytování údajů a infiltrace trojanů a keyloggerů zůstávají hlavními riziky, kterým i nadále bude běžný uživatel čelit. Nejslabším článkem zabezpečení tak i nadále zůstává neopatrný uživatel.
Nové ochranné řešení pro MS Exchange má Eset
11.6.2015 Zabezpečení Betaverzi řešení Mail Security 6 představil Eset. Novinka pro ochranu e-mailové komunikace -- mailboxů i serverového prostředí -- přináší další vrstvy ochrany a také nové uživatelské rozhraní. Nové ochranné řešení pro MS Exchange má Eset
Klíčovými ochrannými technologiemi nového řešení jsou Antivirus, Antispyware a Antispam.
Tyto technologie nově doplňují další vrstvy ochrany jako Pokročilá kontrola paměti, Exploit Blocker a Anti-Phishing. Novinkou je také podpora využití cloudové databáze hrozeb LiveGrid.
Přehled inovací v Mail Security 6 pro Microsoft Exchange podle dodavatele:
Pokročilá kontrola paměti monitoruje chování škodlivých procesů a kontroluje je ihned po rozbalení v paměti. Proto je schopná detekovat i těžce šifrované hrozby. Exploit blocker chrání aplikace jako např. internetové prohlížeče, čtečky PDF, poštovní klienti nebo aplikace MS Office před zneužitím jejich bezpečnostních chyb. Anti-Phishing chrání počítač před pokusy získat citlivé informace uživatele jako jsou hesla, bankovní data nebo údaje o kreditních kartách. Technologie Anti-Phishing jednak porovnává požadované URL s databází phishingových stránek, jednak obsahuje algoritmy, které kontrolují grafické zobrazení stránek s cílem odhalit falešné stránky od pravých. Cloudová databáze hrozeb LiveGrid umožňuje efektivně detekovat škodlivý kód ještě před tím, než je vydána nová aktualizace virové databáze. Správa lokální karantény nabízí lepší kontrolu nevyžádaných zpráv pomocí samostatného webového rozhraní. Automatické výjimky - program automaticky detekuje role serveru a aplikace třetích stran, které mohou způsobovat konflikt s antivirovým jádrem. Citlivé soubory a složky jsou vyloučeny z rezidentní kontroly. Nová pravidla pro nakládání se zprávami umožňují upravit práci se zprávami na základě jejich vlastností a mnoha podmínek. Pravidla se uplatňují zvlášť pro transportního agenta a zvlášť pro databázi. Nové uživatelské rozhraní a pokročilé nastavení rozdělené do jednotlivých částí. Důležité informace na jednom místě - všechny protokoly důležité pro sledování aktivity serveru a odstranění problémů jsou přístupné přímo z hlavního okna na jedno kliknutí. Instalace s výběrem jednotlivých komponent umožňuje nainstalovat jen požadované části produktu.
Apple Tlačení Vývojáři Směrem k připojení HTTPS Od Apps
10.6.2015 Zabezpečení
Apple je povzbuzující vývojáře, kteří vytvářejí aplikace pro iOS začít stěhování své aplikace na HTTPS pouze modelem co nejdříve ve snaze zmařit odposlechu na nejistých, holého textu připojení HTTP. Tento krok je ještě jeden další znamení, že hlavní internetové a technologické společnosti jsou stále odolnější vůči velkém měřítku, pasivní dohled nad jejich uživatelů. Mnoho společností, včetně Google, Microsoft, Yahoo, a jiní byli v pohybu své webové služby HTTPS ve výchozím nastavení za posledních pár let. Toto hnutí se zrychlil, neboť zveřejnění informací o metodách agentury pro národní bezpečnost pro odposlouchávání na páteřní sítě Internet a různé služby začal v roce 2013.
V pondělí, Tony Scott, federální CIO, oznámil, že všechny federální agentury se musí přesunout své veřejné webové stránky a služby pro HTTPS pouze tím, 31.prosince 2016. Nyní, Apple je šťouchl svou obrovskou komunitu mobilních vývojářů app ve stejném směru. Worldwide Developer Conference společnosti se děje tento týden, a jako součást připravované vydání iOS 9, Apple zveřejnila některé pokyny o změnách v novém operačním systému. Součástí těchto pokynů vysvětluje zahrnutí aplikací Transport Security, protokol, který umožňuje vývojářům vynutit zabezpečené připojení k konkrétních oblastech z jejich aplikací. "App Transport Security (ATS) umožňuje aplikace přidat deklaraci do jeho Info.plist souboru, který určuje domény, se kterými potřebuje bezpečnou komunikaci. ATS zabraňuje náhodnému prozrazení, poskytuje bezpečný výchozí chování, a je snadné přijmout. Ty by měly přijmout ATS co nejdříve, bez ohledu na to, zda budete vytvářet nové aplikace nebo aktualizace stávající, "instrukce Apple říkají. Apple se nedělá využití ATS povinné pro vývojáře právě teď, ale vzhledem k tomu, jak se věci sledování trendů, které by mohly být přichází v blízké budoucnosti. Pro tuto chvíli, společnost je povzbuzující vývojářům používat ATS ve všech nových i stávajících aplikací. "Pokud vyvíjíte novou aplikaci, měli byste používat HTTPS výhradně. Pokud máte existující aplikace, měli byste používat protokol HTTPS, stejně jako si můžete hned teď, a vytvořit plán pro migraci zbytek vaší aplikace co nejdříve, "uvedla firma.
Vícefaktorová autentizace: Jak vypadá praxe?
22.5.2015 Zabezpečení Vícefaktorová autentizace, která se stále častěji objevuje v souvislosti se zabezpečeným řízením přístupu, představuje poměrně širokou oblast zahrnující fyzickou i virtuální vrstvu. S rozšířením chytrých telefonů se tento způsob ověření uživatele dostává do širšího povědomí.
Takřka každý informační systém potřebuje znát identitu uživatele, který k němu přistupuje. A také musí mít přijatelnou úroveň jistoty, že přistupující uživatel je skutečně tím, za koho se vydává.
Pryč jsou doby, kdy stačilo ověření jménem a heslem. S nástupem bankovních aplikací se uživatelé mohli seznámit s certifikáty jako autentizačními nástroji. V korporátní sféře zase existuje povědomí o přihlašování pomocí hardwarových tokenů. Tyto rozličné způsoby identifikace uživatele a jejich vhodné použití řeší vícefaktorová autentizace (MFA, Multi-Factor Authentication). Co je vícefaktorová autentizace?
Vícefaktorová autentizace je metoda ochrany přístupu k prostředku (například webu či informačnímu systému), založená na kombinaci zabezpečení ve třech oblastech (takzvaných faktory): znalost (něco, co uživatel zná nebo se mu sdělí), vlastnictví (něco, co má uživatel ve svém držení) a konečně biometrie (něco, co představuje uživatele samotného – čím uživatel sám je).
O MFA se mluví v případech, kde je třeba zajistit ověření identity přistupující k informačnímu systému více způsoby. Větší bezpečnosti se zde dosáhne diverzifikací zabezpečení – nejen co do počtu, ale i co do různých faktorů. Pokud útočník například získá přístup k něčemu, co uživatel zná (hesla uložená na počítači), není zabezpečení heslem a PIN tak bezpečné jako například heslem a hardwarovým tokenem.
Standardní situace při přihlášení pomocí vícefaktorové autentizace může vypadat takto: Uživatel zná svoje přihlašovací jméno ve specifickém tvaru (i to lze považovat za formu znalostního faktoru, byť je veřejně zjistitelné) a heslo (znalostní faktor).
Na klasických klíčích má pověšený hardwarový token (faktor v držení), který se navíc může doplnit o PIN (opět znalostní faktor).
Existují zde tedy tři informace, které musí uživatel znát, z toho dvě tajné, a jednu věc, kterou musí mít při sobě. Autentizační faktory
Tady jsou krátké ukázky autentizačních mechanismů v jednotlivých faktorech.
Faktor „znalost“
Jde v podstatě o cokoli, na co si je uživatel schopný vzpomenout. Klasickým příkladem může být heslo a PIN (ať už ke kartě nebo k mobilnímu telefonu), ale patří sem i výběr obrázků podle vlastní preference (například software Confident ImageShield), nakreslení gesta/znaku (jako třeba odemčení Androidu, viz obrázek 2) volba přihlášení do Windows 8 či stále oblíbené osobní otázky („jméno matky za svobodna“) či osobní atributy (RČ, město narození).
Patří sem ale i vygenerované jednorázové kódy, které lze použít například jako obálkovou zálohu k jinému faktoru.
* Faktor „vlastnictví“
Tento činitel představuje zjednodušeně to, co lze nosit v kapse nebo peněžence. Zahrnuje například hardwarové tokeny (RSA SecurID, Yubikey), platební karty, mobilní telefony (aplikace využívající IMEI) a SIM karty (ověření zpětným voláním a pomocí SMS OTP, třeba Eset Secure Authentication) a v zobecněné podobě i osobní doklady (občanský, řidičský průkaz, pas).
* Faktor "biometrie"
Prvek „biometrie“ zahrnuje charakteristiky svého nositele. Snadno si lze představit otisk prstu, rozšířený jak ve sféře notebooků (podpora přihlašování například ve Windows 7, 8), tak mobilní techniky (zástupcem mohou být zařízení iPhone generace 5 a 6).
Další možností je například sken očnice, který je známý zatím spíše z akčních filmů, anebo rozpoznávání obličeje, jež využívají především uživatelé OS Android (podpora od verze 4.2 Jellybean; ve variantě 5 Lollipop se tento sken vykonává už automaticky; u jiných mobilních OS lze toho dosáhnout prostřednictvím odpovídající aplikace).
Autentizace hlasem je naproti tomu stále doménou speciálních programů (například řešení od firem Nuance, Autentify, Voxeo). A konečně speciální kategorií je pak charakteristika „jsem člověk“, která se používá například v mechanismu CAPTCHA nebo obecně tam, kde je řešení sice jednoduché, ale špatně jej lze algoritmizovat (jako třeba „klikněte na obrázek psa“).
V současnosti se diskutují i další faktory, jako jsou geolokace (kde se uživatel nachází) a čas (kdy se tam nachází), které se dají využít v boji s útoky na MFA, viz níže. Trendy autentizačních tokenů
Co je nového ve slibně se rozvíjející oblasti tokenů, která tvoří velmi častou komponentu dvoufaktorové autentizace? Tady je to nejdůležitější.
Hardwarové tokeny
V korporátní sféře představují hardwarové tokeny převládající způsob realizace autentizačních tokenů. Klasickým představitelem je token RSA, který používá pro generování kódu časové hledisko. Novější variantou je pak například Yubikey, který slouží jako jednoúčelová klávesnice a ke generování přístupového kódu využívá sekvenční metodu.
Princip fungování hardwarových tokenů je:
Každý token je unikátně identifikovaný Autentizační server má každý token přiřazen ke konkrétnímu uživateli Token generuje přístupový kód podle definovaného algoritmu (na základě času či sekvenční metodou) Server kód zaslaný uživatelem porovná na své straně s kódem, který si vygeneruje stejným algoritmem Pokud se oba kódy shodují, uživatel se tímto faktorem ověří
Výhoda tohoto přístupu je zjevná: aby někdo zfalšoval přístup někoho jiného, musí kromě uživatelského jména a hesla získat i fyzický přístup k tokenu.
Nevýhody HW tokenů jsou především v nenulové pořizovací ceně a v potřebě fyzicky spravovat životní cyklus tokenu (vydání, obměna, skartace). V případě osamostatněných tokenů je též vyšší riziko man-in-the-middle útoku.
* Softwarové tokeny
Trendem, řešícím některé nevýhody svých hardwarových protějšků, jsou softwarové tokeny. Jde v podstatě o aplikaci spuštěnou na chytrém telefonu (s OS Android, iPhone, Windows Phone aj.). Použití je shodné. Program v telefonu se spáruje s autentizačním serverem a od té doby generuje klíče, kterým autentizační protějšek rozumí. Příkladem takových řešení mohou být Google Authenticator, Authy, Amazon AWS MFA apod.
Je čas vyladit bezpečnostní pravidla
21.5.2015 Zabezpečení Každé zásady, bez ohledu na to, jak dobře se vytvoří, vyžadují pravidelnou revizi. Náš manažer tuto činnost dělá po prázdninách.
Každý podzim dělám revizi zásad. Myslím si, že je dobré mít ve svém kalendáři tuto činnost pravidelně zanesenou, protože žádná pravidla, bez ohledu na to, jak dobře se vytvoří, nevydrží beze změny navěky.
Vznikají nové standardy a staré se mění, což způsobuje, že některé původní zásady už nedostačují. Nebo nějaký bezpečnostní incident, audit či událost ve firmě, o které se dříve nevědělo, odhalí, že se už neplní bezpečnostní potřeby.
Pokud by každou úpravu pravidel musela schválit naše skupina vytvořená právě pro potřeby zásad (tvoří jej zástupci personálního oddělení, právního oddělení a šéf IT), probíhala by tato činnost velmi pomalu.
Je prostě příliš těžké dostat je všechny ve stejnou dobu do jedné místnosti. Když jsem do naší firmy nastoupil, potřeboval jsem, aby tato skupina mé úvodní zásady schválila. Musel jsem je přilákat do konferenční místnosti na pizzu, abych je tam dostal všechny najednou.
Tam jsme také udělali dohodu. Smím dělat přírůstkové změny bez jejich vyjádření. Vykonávám tedy potřebné zásahy, předávám skupině nové znění a potom čekám na jejich reakce. Obvykle se ale nikdo neozve.
Vynucené změny
Letos pracuji na několika úpravách. První na řadě jsou hesla. Máme pro ně velmi přísné zásady, co se týče složitosti a frekvence změny.
Měli jsme však pro hesla i několik dalších pravidel, které ale zůstávaly téměř bez povšimnutí, protože byly pohřbené v dalších IT dokumentech. Vytáhl jsem je tedy, přepsal s ohledem na konzistenci a všechny sloučil do jednoho komplexního pravidla.
Dále jsem potřeboval vyřešit zásady, které se vztahují k našemu rozsáhlému využití cloud computingu. Velké části naší infrastruktury a aplikací se nyní hostují a převládající myšlenkou je, že jakmile přestaly být součástí naší interní infrastruktury, přestaly pro ně platit i naše pravidla pro DMZ (demilitarizovaná zóna).
DMZ však stále představuje rozhraní vůči veřejnosti a slouží i našim zákazníkům. S touto skutečností na paměti jsem upravil zásady pro DMZ, aby bylo jasné, že všechny prostředky mezi veřejným internetem a naší důvěryhodnou produkční sítí se musí chránit firewallem a dalšími systémy pro zabezpečení sítě, a to bez ohledu na skutečnost, kde se naše zdroje fyzicky nacházejí.
Když už mluvíme o firewallech, nedávno jsem udělal zběžnou kontrolu jejich pravidel pomocí nástroje FireMon -- a výsledkem bylo odhalení několika nevyužívaných zásad.
Jsem důsledným zastáncem silného zabezpečení, dokonce i v redundantní podobě, ale opatření, která neslouží žádnému skutečnému účelu, nám nepomohou. Zeptal jsme se tedy administrátora firewallů, proč nepoužívaná pravidla neodstranil.
Jeho odpovědí bylo, že nemáme žádné zásady, které by takovou operaci dovolovaly. Ale s tím mohu rychle pomoci - upravil jsem naše pravidla tak, aby správce firewallů musel zakázat každou zásadu, která se nevyužila během 30 dnů a odstranit ji po uplynutí 90 dnů.
Přijatelné používání
Nejdůležitější ze všech našich pravidel je takzvané přijatelné používání, protože jeho dodržování musí všichni zaměstnanci každý rok potvrdit. Jako každá zásada ani tato není dokonalá, takže bylo potřeba v ní udělat určité úpravy.
Například od doby, co se upravovala naposledy, začali zaměstnanci používat software pro vzdálený přístup, aby se mohli z domova nebo odjinud připojit k počítači, který si ponechali v zaměstnání.
Nyní jsem používání takového softwaru výslovně zakázal, neboť porušuje naše požadavky ohledně šifrování a dvoufaktorové autentizace při vzdáleném přístupu.
Samozřejmě, že úprava někdy nestačí. Musel jsem vytvořit i zcela nové pravidlo, a to kvůli nedávné akvizici. Předpokládáme využití cca 30 vyhrazených připojení VPN typu bod-bod. Nikdy jsme takové věci nepovolovali, ale vypadá to, že to momentálně představuje nejlepší způsob, jak našim nově získaným zahraničním pracovníkům získat přístup k našim zdrojům pro výzkum a vývoj v naší interní síti.
Převzatá firma také neměla pro taková připojení žádné zásady, standardy nebo směrnice, takže jsem vytvořil tzv. „Zásadu pro připojení partnerů,“ která pro ně specifikuje příslušná pravidla. A když tu mám zcela nové pravidlo, je čas opět objednat pizzu.
Single sign-on vs. synchronizace hesel: Výhody a nevýhody
2.3.2015 Zabezpečení Téměř všichni uživatelé v podnikových IT prostředích neustále řeší problém, jak si zapamatovat velké množství různých přihlašovacích jmen a k nim odpovídajících hesel do mnoha různých aplikací. Ve větších firmách přitom mnohdy jde o desítky přístupových údajů.
Při kombinaci různých přihlašovacích jmen, rozličných heslových politik či požadavků na nutnost měnit heslo v pravidelných intervalech je pak pro zaměstnance téměř nemožné si všechny odpovídající údaje zapamatovat.
Naštěstí existuje několik řešení, jež mohou uživatelům výše uvedené problémy pomoci překonat. Níže uvádíme dvě velmi významné – single sign-on a synchronizaci hesel. Z hlediska samotného uživatele sice nabízejí podobnou funkci, avšak každé ji řeší jinak. Single sign-on (SSO)
Single sign-on, nebo zkráceně SSO, centralizuje autentizační proces uživatele do jednoho místa nazývaného také poskytovatel identity. Poskytovatel identity dělá autentizaci uživatele a tyto údaje pak poskytuje ostatním aplikacím (nazývaným též poskytovatelé služeb), které uživatel běžně používá.
Zjednodušeně lze základní fungování SSO popsat následovně: Uživatel chce pracovat v aplikaci A, ale není autentizovaný. Aplikace ho tedy přesměruje na poskytovatele identit (SSO), kde vykoná příslušnou autentizaci. Pokud je úspěšná, je přesměrován zpět do aplikace A, s níž může pracovat.
Později chce uživatel použít aplikaci B, do které se zatím neautentizoval. Ta se poskytovatele identit dotáže, zda se u něj uživatel již dříve autentizoval. Pokud se zjistí, že ano, vrátí aplikaci B zpět potřebnou informaci s tím, že si tato aplikace převezme autentizační informace a umožní uživateli vstup.
Některá řešení SSO obsahují také tlustého klienta SSO pro koncové stanice (je jej třeba nainstalovat na všechny koncové stanice), který pak komunikuje s poskytovatelem identit i s cílovou aplikací a zajišťuje předávání autentizačních údajů. Rozšiřuje se tak okruh aplikací, které lze k SSO připojit. · Výhody
Cíl SSO je zřejmý: Uživatel se na začátku své práce autentizuje pouze jedenkrát k poskytovateli identit (SSO). Ostatní aplikace pak již uživatel může běžně používat bez nutnosti se k nim znovu zvlášť autentizovat.
U cílových aplikací dokonce nemusí uživatel v některých případech ani znát své uživatelské heslo, protože aplikace sama o sobě důvěřuje údajům dodaným poskytovatelem identit. · Nevýhody
Úzkým místem SSO je silná vazba na centrální bod – poskytovatele identit. Stane-li se poskytovatel identit nedostupným, stanou se nedostupnými i aplikace na něj napojené.
Za další „problémovou“ vlastnost lze považovat i to, že je nutné upravit každou aplikaci napojovanou na SSO, tak aby při procesu autentizace uživatele místo standardního přihlašovacího dialogu vykonala přesměrování na poskytovatele identit a dále aby dokázala přijímat a zpracovávat autentizační informace od poskytovatele identit.
Třetí nevýhodou, třebaže nejde přímo o vlastnost SSO, je nutnost pořídit SSO jako samostatný produkt. To samozřejmě zatěžuje rozpočty firem, které tak v mnoha případech nechtějí do SSO investovat a snaží se problém řešit jiným způsobem. Alternativním řešením pro mnohé organizace může být použití některého z open source produktů.
Známá SSO řešení, se kterými se ve zdejších končinách lze potkat, jsou například OpenAM, CA SiteMinder, NetIQ SecureLogin a mnoho dalších. Další SSO řešení známá spíše mimo podnikové sítě jsou OpenID, MojeID, přihlašování pomocí účtu na Googlu nebo na Facebooku.
Synchronizace hesel
Ačkoliv z pohledu uživatele nabízí synchronizace hesel podobný komfort jako SSO (uživatel si nemusí pamatovat spousty různých hesel), funguje zcela odlišně. Velmi jednoduchý scénář použití lze popsat následovně: V síti existuje centrální bod, kam se uživatel přihlásí a jednoduchým způsobem si změní heslo.
To se pak distribuuje do ostatních aplikací napojených na centrální bod. Uživatel sice musí při práci s koncovou aplikací znovu zadat autentizační údaje, ale použije jedno a totéž heslo, které si nastavil v předchozím kroku.
Synchronizaci hesel nelze koupit jako samostatný produkt, ale je vždy součástí nějakého jiného produktu jako jedna z jeho služeb. Nejčastěji jde o produkty správy identit – identity managementu (IdM). Přitom dnes už de facto jakýkoliv vyspělý produkt pro správu identit podporuje synchronizaci hesel, některé z nich dokonce i obousměrnou.
Tady jsou nejznámější: CA IdentityMinder, Oracle IdM, NetIQ IdM, IBM IdM, Microsoft Forefront Identity Manager, z open source systémů jde například o Evolveum MidPoint či ForgeRock OpenIDM. · Výhody
Hlavní výhoda synchronizace hesel oproti SSO je zřejmá – není tak silná vazba koncových aplikací na centrální bod. Uživatelé mohou s koncovými aplikacemi pracovat i v případě, že se centrální bod stane nedostupným. Problém nastává pouze v případě, že uživatel potřebuje změnit heslo a nemůže se na centrální bod připojit.
Další výhodou, naznačenou již v předchozích odstavcích, je skutečnost, že synchronizace hesel je v drtivé většině případů součástí systémů pro správu identit. Pokud tedy firma správu identit nasazuje nebo používá, může spolu s tím využívat i synchronizaci hesel jako „bonus“ navíc.
Také lze tímto způsobem vyřešit i požadavek na dodržování politiky hesel v aplikacích, které tuto funkcionalitu jinak nemají. Uživatel si změní heslo v centrálním bodě, který ověří heslo proti příslušné politice, a pokud je vše v pořádku, vykoná distribuci hesla i do dalších aplikací.
Třetí výhodou je jednodušší nasazení v IT prostředí. Většinou totiž není třeba nijak upravovat cílové aplikace, neboť se využívá jejich přirozeného API rozhraní. Menší problémy mohou nastat pouze v případě, že je nutné synchronizovat hesla z cílové aplikace do centrálního bodu IdM (typickým příkladem budiž Active Directory), ale všechny „dospělé“ produkty správy identit si i s tímto požadavkem dokážou elegantně poradit. · Nevýhody
Třebaže nejsou nevýhody na první pohled vidět, je třeba si uvědomit, že nasazení synchronizace hesel může snížit bezpečnost. Útočníkovi stačí uhodnout heslo uživatele do jedné aplikace a rázem má přístup i ke všem dalším, do kterých je heslo synchronizované. Některé firmy proto volí kompromis, kdy jsou například hesla synchronizované pouze v aplikacích, které nejsou dostupné z internetu.
Dalším problémem může být sladění politik hesel napříč aplikacemi. Obecně platí, že nejpřísnější politika se uplatňuje v aplikaci, ve které si uživatel mění heslo (tedy nejčastěji je to IdM), a v ostatních je politika hesel stejná nebo mírnější. Ovšem ne vždy lze politiky sladit tak, aby tomuto pravidlu vyhovovaly. Volba podle potřeb
Nelze jednoznačně říci, které z výše popsaných řešení je lepší a které horší, vždy záleží na konkrétní situaci a IT prostředí v konkrétní firmě. Někdy je dokonce vhodné obě řešení kombinovat.
Ať už se firma rozhodne implementovat jedno či druhé, měla by si ale uvědomit, že základním kamenem pro vaše správné rozhodnutí je důkladná analýza.
Ochrana proti hrozbám poprvé na úrovni CPU
24.2.2015 Zabezpečení Nová technologie, kterou získal Check Point akvizicí izraelské firmy Hyperwise, nabídne prevenci proti hrozbám na úrovni procesoru. Umožní tak prý zastavit útoky ještě před tím, než k nim vůbec dojde.
Hyperwise vyvinula technologii pro prevenci hrozeb na úrovni procesorů, což umožňuje eliminovat hrozby ještě v před-infekční fázi. Prevence před možným zneužitím zranitelností poskytuje vyšší úspěšnost zachycení hrozeb.
V současnosti se prevence proti hrozbám tradičně zaměřuje především na detekci a blokování malwaru, ale až poté, co je malware již aktivní, takže nejsou pokryty rané fáze útoku.
Zakladatelé Hyperwise a celý tým se začlení do provozu Check Pointu a technologie budou integrovány do stávajícího portfolia Check Point Threat Emulation. Neočekává se, že by transakce měla významný vliv na finanční výsledky. Podmínky transakce nebyly zveřejněny.
„Akvizice společnosti Hyperwise nám umožní využít pokročilé technologie a odborné znalosti. Zákazníci získají lepší kybernetickou ochranu, která identifikuje a zastaví nejširší škálu útoků hned při prvním kontaktu,“ dodává Gil Shwed, CEO a předseda představenstva společnosti Check Point Software Technologies.
USA a Velká Británie spojí síly proti kybernetickým útokům
22.1.2014 Zabezpečení Spojené státy americké a Velká Británie plánují užší spolupráci proti kybernetickým hrozbám. V rámci ní budou země mezi sebou provádět cvičné útoky, aby otestovaly své bezpečnostní technologie.
USA a Velká Británie na ochraně před kybernetickými útoky již nějaký čas spolupracují, nyní však tyto snahy zesílí. V rámci nových opatření bude přes Atlantik proudit více informací o možných kybernetických hrozbách a týmy expertů budou pracovat na co možná nejlepších způsobech zabezpečení vládních systémů před útoky hackerů. V rozhovoru pro BBC to uvedl britský premiér David Cameron.
Kybernetické útoky „jsou jednou z největších moderních hrozeb, které v současné době čelíme,“ uvedl Cameron, který je v současné době na návštěvě Washingtonu, aby celou věc blíže probral s prezidentem Barackem Obamou. Obě země v rámci nové strategie navýší počet "válečných her", v rámci kterých vzájemně testují svá zabezpečení.
„Tyto ´hry´ již nějakou dobu pořádme, nyní však jejich intenzita zesílí,“ řekl Cameron s tím, že britská tajná služba GCHQ a její americký ekvivalent NSA již nyní sdílejí celou řadu informací v oblasti kybernetického zabezpečení.
„Není to jen o ochraně společností, ale je to také o ochraně dat lidí, o ochraně peněz lidí. Tyto útoky mohou mít reálné dopady na životy milionů obyvatel,“ dodal Cameron s tím, že v zájmu lepší ochrany firem a občanů je potřeba, aby vládní agentury získaly více oprávnění. I o tom bude Cameron diskutovat s Obamou a zástupci velkých společností jako Google a Facebook.
Rozšíření spolupráce USA a Velké Británie v oblasti kybernetické bezpečnosti přichází krátce po útoku hackerů na Sony a nabourání se na účet na Twitteru americké vlády, k němuž se přihlásili stoupenci Islámského státu. Ti následně v příspěvku na Twitteru pohrozili rodinám amerických vojáků a přišli s tvrzením, že získali přístup k několika vojenským počítačům.
Po větším postihu teroristů online volají také ministři spravedlnosti členských zemí Evropské unie, kteří se sešli minulý týden v Paříži po útoku na francouzský list Charlie Hebdo. Ministři ve svém společném prohlášení uvedli, že pro zabránění teroristických útoků je nutná spolupráce s pokytovateli internetu.
Kritici však namítají, že ani užší spolupráce s poskytovateli by nemopohla zabránit útokům typu toho pařížského, jelikož francouzská tajná služba o existenci útočníků věděla, avšak ani tak nepodnikla žádné kroky.
Windows: zosobnění Check Bypass s CryptProtectMemory a CRYPTPROTECTMEMORY_SAME_LOGON vlajky
17.1.2014 Zabezpečení
Platforma: Windows 7, 8.1 aktualizace 32/64 bit Třída: Bezpečnostní Bypass / Přístup k informacím
Funkce CryptProtectMemory umožňuje aplikaci šifrování paměti pro jeden ze tří scénářů, procesu, přihlašovací relace a počítačů. Při použití volby přihlašovací relace (CRYPTPROTECTMEMORY_SAME_LOGON vlajka), šifrovací klíč je generován na základě identifikátoru přihlašovací relace, je to pro sdílení paměti mezi procesy běžící v rámci stejného přihlášení. Vzhledem k tomu, může být také použit pro odesílání dat z jednoho procesu do druhého podporuje extrakci přihlašovací session id z zosobnění tokenu.
Problém je implementace v CNG.sys se při zachycení id přihlašovací relace (pomocí SeQueryAuthenticationIdToken) tak normální uživatel může zosobnit na úrovni identifikace a dešifrování nebo šifrování dat na dané relaci přihlášení nekontroluje úroveň zosobnění tokenu. To může být problém, pokud tam je služba, která je náchylná k pojmenovaného kanálu výsadby útoku nebo ukládání šifrovaných dat v čitelné sdílené části paměti světa.
Toto chování samozřejmě může být design, ale které nebyly stranou designu je to těžko říct. Dokumentace uvádí, že uživatel musí zosobnit klienta, který jsem četl v tom smyslu, že by měl být schopen jednat jménem klienta spíše než identifikovat jako klient.
Přiložený je jednoduchý PoC, který demonstruje problém. Pro reprodukci postupujte podle pokynů.
1) Spusťte Poc_CNGLogonSessionImpersonation.exe z příkazového řádku 2) Program by měl vytisknout "Encryption neodpovídá", což signalizuje, že dvě šifrování stejného dat nebyl zápas, z čehož vyplývá, klíč byl rozdíl mezi nimi.
Očekávaný výsledek: Oba hovory by měl vrátit stejná data šifrovat, nebo druhé volání selže
Pozorovaná Výsledek: Oba hovory uspět a vrátit se různé šifrované údaje
Jak odhalit podvodné činnosti v cloudu bez invaze do soukromí uživatelů Publikováno dne 27. listopadu 2014. Zabezpečení Skupina výzkumníků našli chytrý způsob, jak k poskytovatelům cloudu odhalit podvodné činnosti, aniž by ve skutečnosti snímání do druhu činnosti uživatel provede jejich oblacích, ale s použitím fakturační údaje o ochraně osobních údajů příjemný. Skvělá věc, o oblaku je, že firmy a Uživatelé mohou používat tolik výpočetní výkon nebo skladování podle potřeby v určitém okamžiku a platit jen za to, co bylo použito, ale podvodné, nezákonné nebo nežádoucí činnosti, jako je například použití cloud infrastrukturu, aby zahájily DDoS útoky nebo cryptocurrency těžby může zničit zážitek pro ty, , kteří využívají cloud pro soukromé i firemní účely, výše uvedené nežádoucí aktivity mohou plynule nasávat příliš velkou šířku pásma a snížit životnost hardwaru problém pro poskytovatele cloudu, je následující: jak odhalit podvodné nebo nežádoucí činnost na jejich infrastruktury, aniž by provádění sítě inspekci paketů, tedy invazi soukromí platební uživatele? "A způsob, jak toho dosáhnout, by bylo využití datových agregátů, které nedávají mnoho detailů, jako je využití procesoru a počet odchozích paketů v uzavřeném intervalu, na provést první klasifikaci, "vědci vysvětlil to v dokumentu . "V případě, že se podezření na podvodné jednání, pak další postup do hloubky může být použit. Tento způsob umožňuje uživatelům, kteří provozují pravidelné pracovní zátěž, aby jejich soukromí a zároveň odhalovat podezřelé aktivity." Vzorky údajů byly odebrány z OpenStack clusteru, představovat pravidelná pracovní zátěž a ty podvodné. Při testování různých algoritmů klasifikace, vědci pokusili klasifikovat 5 typů úloh:. Pravidelnou zátěž (Hadoop vytížení CPU nebo vysoce náročné zaměstnání), vnitřní DDoS útok, cryptocurrency těžby surovin a fyzického selhání sítě všech složek OpenStack, Ceilometer - Telemetrie Služba, která poskytuje veškeré využití metriky poskytovatelům cloudu potřebu zavést vyúčtování, se - se ukázala být velmi užitečné. Při použití pět sekunda datových agregáty několika běžných metrik (CPU, disků a sítě), při různých činnostech, a porovnání různých vzorů se jim podařilo zjistit - s relativně vysokou přesností a v relativně krátkém čase - jaký typ zákazníků aktivity se zabývají bez zjištění podrobných informací o tom, co vlastně dělají. Jejich soukromí je tedy zachována, a nezákonné nebo nežádoucí činnosti mohou být provedeny, aby přestal. Tento systém má své výhody a nedostatky, ale vědci považují za dobrý první krok na podvodné detekční činnost potrubí, protože stále více systémů detekce narušení hloubkové pak mohou být použity, a bude mít méně dat ke zpracování. Také, získané údaje mohou být znovu použity vyúčtovat zákazníkovi.
Pokyny ENISA na šifrovací řešení 6.12.2014 Zabezpečení ENISA zveřejnila dvě zprávy. " algoritmy, velikost klíče a parametry "je referenční dokument poskytuje soubor pokynů k rozhodovací pravomocí, zejména specialistů navrhování a provádění kryptografických řešení pro ochranu osobních údajů. " Studie o kryptografických protokolů "poskytuje implementaci pohled, zahrnující pokyny týkající se protokolů nutné k ochraně obchodních online komunikace, které obsahují osobní údaje, algoritmy, velikost klíče a parametry Tato zpráva obsahuje řadu návrhů snadno k použití, se zaměřením na komerční on-line služby, které sbírají, ukládat a zpracovávat osobní údaje občanů EU. Poskytuje aktualizovanou zprávu o 2013 kryptografické pokyny týkající se bezpečnostních opatření nutných k ochraně osobních údajů v on-line systémech. Ve srovnání s vydání 2013, je zpráva byla rozšířena o část o hardwarových a softwarových postranních kanálů, generování náhodných čísel, a Klíčovým řízení životního cyklu, zatímco části na protokoly, pro rok 2014 se prodlužuje a je studium stand-alone na kryptografických protokolů. Zpráva vysvětluje dva aspekty kryptografických mechanismů:
Zda daný primitivní nebo program lze považovat za použití dnes, pokud je již nasazena Ať už primitivní nebo program je vhodný pro nasazení v nových nebo budoucích systémů. Dlouhodobé problémy uchovávání dat jsou analyzovány spolu s řadou obecných otázek souvisejících s nasazením kryptografických primitiv a systémů. Všechny mechanismy popisované v této zprávě jsou standardizovány do určité míry, a buď byly nasazeny, nebo jsou plánovány být nasazen, v reálných systémech. Studie o kryptografických protokolů
Druhá zpráva se zaměřuje na aktuální stav v kryptografických protokolů a podporuje další výzkum. Rychlý přehled je uveden na protokolech, které se používají v poměrně omezených aplikačních oblastech, jako jsou bezdrátové, mobilní komunikace a bankovnictví (Bluetooth, WPA / WEP, UMTS / LTE, ZigBee, EMV) a specifické prostředí se zaměřením na Cloud computing. Hlavní důraz zprávy je o pokynech, výzkumných pracovníků a organizací v oblasti, mezi něž patří:
Kryptografické a bezpečnostní protokoly musí být navržen kryptografické odborníky protokolu spíše než vytváření sítí a odborníků protokolu k dnešnímu dni. Kromě toho vědci potřebují zjednodušit analýzu a umožnit automatizované nástroje vytvořit silné výpočetní záruky. Je nutná větší pozornost automatizované ověřování, takže implementace protokolu můžete setkat s ohledem na bezpečnostní cíle, a posoudí, jak automatizované nástroje mohou zaručit správné provádění protokolu designu. Malé nevýznamné změny v protokolech může mít za následek neplatnost záruky důkazy. Budoucí protokoly by měly být navrženy za použití pevné a dobře zavedené inženýrské principy, snadnost formální bezpečnostní analýzy, a ve spojení s rozvojem formálních důkazů bezpečnosti, které jsou určeny na dešifrování jejich voliče primitiv. Budoucí protokoly by neměl být složitější, než musí být. Více práce musí být provedena na ověření API pro aplikační protokoly.
Proč byste měli chránit vaše bezdrátové připojení 6.12.2014 Zabezpečení Je to vánoční nákupní sezóna znovu, a spotřebitelé se připojí k spěch koupit zařízení a příslušenství pro blízké. Budou nabrat telefony a tablety, plus pouzdra, kryty a tašky k ochraně před poškrábáním a nárazy. Ale zatímco oni chrání svá zařízení z fyzické újmy, většina zůstane jejich telefonu Wi-Fi připojení - a jejich soukromých dat - otevřená expozice .
Pouzdra zařízení a kryty jsou velmi populární. Většina lidí nebude vlastnit telefon nebo tablet pro dlouho bez balení nějakou ochranu kolem něj. Amazon.com je "Pouzdra a kufry" stránka obsahuje neuvěřitelných 13 milionů položek. A do konce roku 2014, mobilní telefony aftermarket doplňky Předpokládá se vytvářet 51000000000dolary na celkových příjmech, s ochrannými případech nejvyšší prodejní položky na 13 miliard dolarů. Ale zatímco lidé dělají dobrou práci chránit svá zařízení z fyzické újmy, které seš opouštět méně zřejmý, ale ještě důležitější oblast dokořán. Nezajištěné, neověřené veřejné Wi-Fi hotspoty otevřené spotřebitelům na vykořisťování ze strany zlodějů dat, který lze nastavit až falešných hotspotů špehovat na datový provoz. Podle nedávného průzkumu F-Secure Dva ze tří lidí, připojení k veřejné přístupové body alespoň Wi-Fi jednou za měsíc. Ale podle Sean Sullivan, poradce bezpečnosti na F-Secure, většina nikdy dbát na ochranu jejich spojení z snoops, i když aplikace VPN, které nabízejí soukromí na bezplatné Wi-Fi připojení na internet jsou snadno dostupné. "Mnoho lidí nemají žádné výčitky svědomí veřejnou WI Fi pro připojení, zatímco ven a asi, a většina z nich je zcela bez ochrany, "říká Sullivan. "Pokud si nejste chránit připojení zařízení, co děláte při připojení k veřejnému přístupovému bodu je jako křik v přeplněné místnosti. Takže zatímco lidé tráví hodně na fyzické ochrany, zařízení, oni jsou výdaje na straně, která je opravdu důležité nulu. Jejich údaje, jejich soukromí. " Ale není nastavení falešný hotspot obtížné a příliš nákladné dělat? Vůbec ne. V rámci 250 dolarů (méně než iPad Mini) podvodník může koupit nebo slepit zařízení, které bude napodobovat legitimní Wi-Fi hotspot. Ty pak mohou špehovat přenosu dat spotřebitelů a sběru uživatelských jmen, hesel a dalších osobních údajů. Takže zatímco kožené galanterii kryt může chránit tento tablet, pokud ji zahodit, to nebude dělat nic pro své osobní údaje, pokud jste surfování otrávenou hotspot. "náklady na krytí iPad tablet 39 dolarů. U dobře pod to, že můžete získat roční hodnotě ochrany připojení, aby se ujistil vaše soukromá data zůstanou v soukromí, když se připojujete na cestách, "říká Sullivan. "Pokud se dostane váš přístroj poškrábání nebo naražený, škoda je kosmetický. A v dnešní době, pokud je prasklá obrazovka, tam jsou i opravy služby, které budou řídit vám v malém autě a opravit to pro vás. Ale pokud jsou ukradl hesla nebo jiný soukromý info, je to mnohem těžší znovu zabezpečení online účtů a opravit škody na vašem osobním pověst. "
Malwarovou ochranu má Sophos nově i pro servery
4.12.2014 Zabezpečení Cloud Server Protection, ochranu před malwarem určenou přímo pro servery, představil Sophos. Novinka rozšiřuje integrované řešení řady Cloud, ze kterého se podle výrobce stává komplexní bezpečnostní platforma pro PC, mobilní telefony, tablety i servery.
Doposud mohli administrátoři servery zabezpečit dvěma základními způsoby - použitím desktopového bezpečnostního softwaru nebo komplexními, ale cenově nákladnějšími serverovými bezpečnostními nástroji.
Pravděpodobně z tohoto důvodu vyjádřily dvě třetiny IT specialistů dotázaných portálem Spiceworks vážné, nebo dokonce velmi vážné obavy, které se týkají složitosti pochopení, nastavení a správy serverového bezpečnostního software. Nové řešení Cloud Server Protection podle výrobce zajišťuje ochranu proti malwaru, prevenci proti narušení u hostitele i webovou bezpečnost. Navíc poskytuje i přesný přehled o aktuálním stavu všech spravovaných serverů prostřednictvím webového rozhraní.
Novinka je prý také jediným bezpečnostním produktem pro servery, který umožňuje nepřetržité sledování serverového prostředí, průběžnou detekci nových aplikací a inteligentní přizpůsobování bezpečnostních politik.
„Pokud přirovnáme kompromitaci desktopu ke krádeži peněženky, je průnik do serveru srovnatelný s vyloupením banky,“ dodává Bill Lucchini, hlavní viceprezident a generální manažer divize Sophos Cloud.
New non-profit CA si klade za cíl, aby se HTTPS používat univerzální 3.12.2014 Zabezpečení Abyste se stali všudypřítomný, musí šifrování být snadno nastavit a snadno ovladatelný, a to je důvod, proč Electronic Frontier Foundation (EFF), Mozilla, Cisco, Akamai, IdenTrust, a vědci na univerzitě v Michiganu pracují na vytvoření nového certifikátu autoritu. "S uvedením naplánováno na léto 2015, v Pojďme Šifrování bude CA automaticky vydávat a spravovat bezplatných emisních povolenek pro všechny webové stránky, které je potřebuje. Přepínání webserver z HTTP na HTTPS s touto CA bude tak snadné, jako vydávání jeden příkaz, nebo klepnutím jedno tlačítko, " vysvětlil Peter Eckersley, technologických projektů ředitel pro Evropský rybářský fond. "Největší překážkou zavádění protokolu HTTPS byla složitost, byrokracii a náklady certifikátů, které HTTPS vyžaduje," podotkl s tím, že to je to, co se zastavil mnoho administrátorům z přechodu na HTTPS. Pojďme zašifrovat si klade za cíl, aby se tento proces trvat méně než půl minuty. "Pojďme Šifrovat bude zaměstnávat řadu nových technologií pro správu bezpečné automatizované ověření domén a vydávání osvědčení," říká Eckersley. "Budeme používat protokol, vyvíjíme nazývá ACME mezi webovými servery a CA, který zahrnuje podporu pro nové a silnějších forem ověření domény. Budeme také používat Internet celé datové soubory certifikátů, jako například Evropského rybářského fondu vlastní Observatory Decentralizované SSL, University of Michigan scans.io, a certifikát Transparentnost protokoly společnosti Google, aby se rozhodnutí vyšší zabezpečení o tom, kdy je certifikát bezpečné problém. " CA bude také poskytovat veřejné záznamy o všech osvědčeních bude vydávání a odvolávání. Obnovení certifikátů je automatizován. "Stejně jako podkladové internetových samotných protokolů, pojďme Šifrování je výsledkem společného úsilí ve prospěch celé komunity, které jsou mimo kontrolu jednu organizaci," to bylo vysvětleno, nicméně oficiální dozorce projektu je Internet Security Research Group, Kalifornie veřejně prospěšná společnost, která se spolu se zbytkem spoluzakladatelů projektu, budou aktivně pracovat na vytvoření potřebné architektury v době pro plánované spuštění. EFF se na chvíli teď Pracoval na pomoc uživatelům využít HTTPS. S pomocí Tor projektu The, že vytvořila HTTPS Everywhere rozšíření pro Firefox, Firefox pro Android, Chrome a Opera. přechod na HTTPS podporuje rovněž Google, protože společnost oznámila v srpnu letošního roku, že webové stránky pomocí HTTPS bude mít lepší vyhledávání Google žebříčku.
Má vaše Vulnerability Scanner Speak portugalsky? 3.12.2014 Zabezpečení Rodrigo Montoro a Joaquim Espinhara udělal zajímavý test a tak jako mnoho zajímavých testů, to je vlastně docela zřejmé, ve zpětném pohledu: Dívali se na různých zranitelností skenerů, a zkontrolovat, jak se chovají, pokud webová stránka je kódován v jiném jazyce, než anglické [ 1]. Rychlá odpověď: Jsou skoro nezdaří. Prezentace se dívá na pár open source a komerčních skenery, a hodil na Snortem jako IDS. Ukázalo se, že všechny skenery (a odfrkl) mají problémy, v nichž uznala důkazy zranitelnosti (jako chybové hlášení SQL), v případě, že jazyk se změní na nic jiného než anglicky.
Poučení?
- To není jen věřit svému Vulnerability Scanner. "Čistý účet" ze základního Vulnerability Scanner neznamená, že nemáte žádné slabiny. - sledovat své chybové hlášky, zatímco skenování probíhá. Můžete najít mnohem více důkazů o problémech, které tak či onak, a to zejména, pokud nejste velmi vstřícní o chybových hlášení. - nastavení skeneru (a v případě odfrkl: Vaše IDS) správně. Možná upravit konfiguraci serveru, aby bylo jednodušší pro skener najít problémy. - a ano ... web napsaný v Klingonů je pravděpodobně mnohem obtížnější proniknout, ale také ne, že užitečné (neplatí!)
Na podobném Poznámka: Některé weby používají různé kódy pro různé jazykové verze webu. V tomto případě je velmi důležité testovat všechny jazykové verze, které nemusí být snadné.
Otevřená Whisper Systems pomáhá WhatsApp dosáhnout end-to-end šifrování 1.12.2014 Zabezpečení Nesmírně populární Whatsapp instant messenger má potenciál stát se ještě atraktivnější volbou pro uživatele, protože firma spolupracuje s otevřenými Whisper Systems realizovat TextSecure protokolu je uvedeno jejich do svých klientů. Zdá se, že oba týmy pracují na zprovoznění sítě pro v posledních šesti měsíců. Zatím šifrování end-to-end poskytuje protokol je k dispozici pouze v posledním klientem WhatsApp Android, a to pouze pro textové zprávy, ale podpora pro šifrované zprávy pro skupinový chat nebo mediálních zpráv je brzy . "WhatsApp běží na neuvěřitelné množství mobilních platforem, tak plné nasazení bude inkrementální proces, jak přidat podporu TextSecure protokolu do každého klienta platformy WhatsApp," Tým Otevřené Whisper Systems sdílené v oznámení . "Máme způsoby, jak jít, dokud nejsou plně podporovány všechny mobilní platformy, ale rychle se pohybující směrem světě, kde všichni uživatelé WhatsApp dostanou end-to-end šifrování ve výchozím nastavení." "Budeme se také povrchové úpravy možnosti ověření klíče u klientů, protože integrace protokolu jsou dokončeny, "dodali. Také to neznamená, že OWS opouští rozvoj svého TextSecure aplikace, která byla v nedávné době audit skupina OD německé výzkumných pracovníků. "Jsme rádi, že to, co začlenit jsme se dozvěděli z této integrace do našich budoucích rozhodnutí designu, a aby tuto zkušenost mít na integrací, které děláme s jinými společnostmi a produktů v budoucnu, "oni poznamenal.
Kritické faktory při prevenci narušení dat 1.12.2014 Zabezpečení McAfee vydala novou zprávu, která hodnotí schopnosti organizací "odhalit a odvrátit cílené útoky, odhaluje horní osm nejdůležitější ukazatele útoku, a zkoumá osvědčené postupy pro aktivní reakce na incidenty. A průzkum zadala Intel bezpečnosti a provádí Evalueserve ve spojení s Zpráva naznačuje, že většina společností postrádají důvěru ve svou schopnost odhalit cílené útoky včas.
. Dokonce i společnosti, nejlépe připraveni zvládnout cílené útoky si udělali čas, aby prošetřila vysoké objemy událostí, což přispívá k pocitu naléhavosti a organizační zaměření na tvůrčích přístupů k dřívější odhalení a další účinné zmírnění Klíčová zjištění patří:
74% respondentů uvedlo, že cílené útoky jsou prvořadé pro své organizace. 58% organizací vyšetřoval 10 nebo více útoků v loňském roce. Pouze 24% společností jsou přesvědčeni, ve své schopnosti detekovat útok během několika minut, a těsně pod půl řekl, že bude trvat dny, týdny, nebo dokonce měsíce před tím, než si všiml podezřelého chování. 78% z těch, které dokáže detekovat útoky v několika minutách měl aktivní, real-time informační bezpečnosti a Event Management (SIEM) systému. Polovina dotazovaných společností uvedlo, že mají dostatečné nástroje a technologie pro vyšší reakci na incidenty, ale často rozhodující ukazatele nejsou izolovány od množství záznamů generovaných, umístění zatížení IT týmy, které zkoumají data hrozeb. "Jediné, co získat vedení ruky oproti útočníky, když se tento problém řešit čas potřebný k objevu," řekl Ryan Allphin, Senior Vice President a generální ředitel, řízení bezpečnosti na Intel Security. "Zjednodušit zběsilé práci filtrování oceán výstrah a ukazatelů se v reálném čase a zpravodajství, a můžete rychle získat hlubší pochopení významných událostí, a přijmout opatření k omezení a odrazit útoky rychlejší." S ohledem na význam určení kritických ukazatelů Zpráva odhalila top osm nejčastější útoky činnosti, které úspěšné organizace sledovat odhalit a odvrátit cílených útoků. Z nich pět odráží sledování akce přes uplynulý čas, ukazující, že je důležité kontextové korelace: 1. Vnitřní hostitelé komunikující se známými špatnými destinací nebo do cizí země, kde organizace nemají podnikat. 2. Vnitřní hostitelé komunikující na externí hostitelů pomocí nestandardní porty nebo protokol / Port neshody, jako je odeslání Shelly (SSH), spíše než HTTP na portu 80, výchozí webový port. 3. Veřejně přístupné nebo demilitarizované zóny (DMZ) hostitelé komunikující na interní hostitele. To umožňuje leapfrogging z vnějšku dovnitř a zpět, umožňující datovou průsaků vody a vzdálený přístup k prostředkům. To neutralizuje hodnotu DMZ. 4. Off-hodinová detekce malware. Záznamy, které se vyskytují mimo standardní obchodní provozních hodin (v noci nebo o víkendech), by mohl signalizovat ohrožena hostitele. 5. Síťové skenování podle interních počítačů komunikujících s více počítačů v krátkém časovém horizontu, což by mohly prozradit útočníkovi pohybující se do stran v rámci sítě. Hraniční síť obrany, jako je firewall a IPS, jsou zřídka nakonfigurován tak, aby sledování provozu na vnitřní síti (ale může být). 6. Více upozornění na události z jednoho hostitele nebo duplicitních akcí po celé více strojů ve stejné podsíti než 24 hodin, jako je například opakované selhání ověřování. 7. Poté, co byl vyčištěn, systém je znovu napaden škodlivým softwarem do pěti minut po opakované reinfekcích signalizovat přítomnost rootkitu nebo přetrvávající kompromisu. 8. Uživatelský účet se snaží přihlásit do více zdrojů v rámci z / do různých regionů-znamení, že pověření uživatele odcizených nebo že uživatel je až ke zlému. Několik minut "Všimli jsme si, pracovní stanice dělat podivné požadavky na ověření do řadiče domény ve dvě hodiny ráno. To by mohlo být normální činnost, ale může to být také příznakem něčeho nebezpečného, "řekl Lance Wright, senior manažer informační bezpečnosti a dodržování pravidel v Volusion, Commerce poskytovatel řešení přispívající ke zprávě. "Po tomto incidentu jsme se vytvořit pravidlo, které nás upozorní, pokud některý pracovní stanice má více než pět požadavků na ověření během non-pracovní dobu, které nám pomáhají identifikovat útok předčasně, před tím, než údaje je ohrožena." "v reálném čase, inteligence-aware, Technologie SIEM minimalizovat čas na zjišťování, aby se aktivně zabránit porušování základě kontextualizace ukazatelů při analýze a automatických odpovědí zaměřených na politiky, "řekl Allphin. "Díky moc, aby urychlily jejich schopnost detekovat, reagovat, a učit se z akcí, organizace může výrazně posunout jejich stav zabezpečení od toho lovil, na lovce."
Dvoufaktorovou autentizaci i pro vzdálenou plochu představil Eset
27.11.2014 Zabezpečení Inovované řešení Eset Secure Authentication (ESA) nově umožňuje zabezpečit dvoufaktorovou autentizací také přístup pomocí vzdálené plochy – MS Remote Desktop.
Podpora technologie Microsoft Remote Desktop na straně ESA znamená, že přístup k počítači pomocí vzdálené plochy je možné nyní zabezpečit pomocí dalšího ověřovacího faktoru. V praxi to znamená, že uživatel pro přístup potřebuje kromě běžného uživatelského jména a hesla také tzv. OTP (jednorázové heslo).
„Vycházíme tím vstříc četným požadavkům na bezpečný způsob ověřování identity pracovníků, kteří přistupují k firemním zdrojům pomocí MS terminálových služeb, říká Miroslav Dvořák, technický ředitel Esetu.
Řešení Eset Secure Authentication je kompatibilní se všemi verzemi Windows Server počínaje verzí 2008 R2 až po aktuálně nejnovější verzi Windows Server 10 Technical Preview. Chrání přitom jak licencované terminálové servery, tak jednotlivá nativní připojení na vzdálenou plochu.
Vedle podpory přístupu pomocí vzdálené plochy přináší nejnovější verze ESA také větší možnosti nasazení a správy. Nově může být nasazeno také v prostředí o vícero doménách (tzv. „multi-domain, multi-forest“ sítích). Umožňuje také administrátorům kategorizaci uživatelů do při instalaci vytvořených bezpečnostních skupin v rámci Active Directory a dohled nad nimi.
Výchozí hesel bankomat ještě zneužít podvodníci 23.11.2014 Zabezpečení , Opět, bankomaty byly "pirát" jednotlivců s využitím platební neschopnosti, tovární-set hesel Tentokrát heslo nebyl hádal, nebo skončil online, aby všichni věděli, protože byla vytištěna v servisní příručce bankomatu, a to - Jednotlivec, který se za pomoci komplice, podařilo hotovost 400.000 dolar za 18 měsíců byl bývalý zaměstnanec společnosti, která provozovala kiosek bankomatů se zaměřili. Tennessee bázi Khaled Abdel Fattah měl zasvěcené znalosti kódu, který, když napsal v nastavit stroje do režimu operátor, což mu i komplice Chris Folad překonfigurovat ATM nadávkoval 20 dolarů účty, když požádal o ty 1dolar dolaru. Oni by to udělat, pak požádat zařízení pro dávkování, například, 20 dolarů, a oni by dostat pryč s $ 400. Poté by se vrátí zpět změny tak, aby krádež půjde bez povšimnutí. A to trvalo 18 měsíců na to, aby se stalo - majitel jednoho z podniků, kde se jedna z těchto kiosků bankomatů zřízených poznamenal, že tam byl problém, když Stroj byl dojdou peníze. To, co nakonec vedl tajné služby dvěma podvodníky byl fakt, že jejich tváře byly zachyceny kamerami a využívali své debetní karty k výběrům. Také se držel poměrně omezený soubor bankomatů, které se nachází v Nashvillu. Podle Wired , oba muži byli obviněni z 30 počty počítačového podvodu a spiknutí. Není to poprvé, kdy ATM loupeže, jako se to stalo. Kolem 2005, servisní manuály bankomatů vyráběných Tranax a Trident skončil on-line, a obsahoval hesel, které dovolily někdo přístup k jejich režimu Operator. Pouliční podvodníci začali využívat k tomu, ale to trvalo více než 18 měsíců, širší veřejnosti vyhledávat za to. To přinutilo dodavatele ATM dotčené, aby byla povinná pro operátorům změnit výchozí heslo při instalaci přístroje. Ale bohužel, existuje mnoho bankomatů se starým systémem stále tam, a stále zranitelné.
Secure Access problémů vzdáleného souboru 23.11.2014 Zabezpečení Zatímco většina na plný úvazek souborů přístup zaměstnanců na dálku (89%), téměř tři čtvrtiny (73%), stále ještě tak prostřednictvím e-mailu, a méně než čtvrtina (22%) jsou si vědomi systému pro sdílení souborů společnost schválené na svém pracovišti, podle Soonr. Téměř tři ze čtyř zaměstnanců na plný úvazek (74%) uvádí, že je důležité, aby jejich práce, aby bylo možné snadno sdílet soubory s kolegy, partnery a zákazníky. Přesto, dva ze tří zaměstnanců na plný úvazek (67%) se stále potýkají se zajištěním souborů přes týmů a organizací jsou up-to-date, velký skok z 26% v roce 2013. Další top obavy, které mají dopad zaměstnanců patří:
Přístup k souborům kdykoli (48%) Sdílení velkých souborů (47%) Uspořádání souborů (44%) Práce na dokumentech, zatímco mobilní (41%) Zabezpečení firemních dat (33%). V vždy, na době, kdy je práce vedené ze silnice přes smartphone, nebo v off-site setkání na tabletu, která chrání citlivé interní a klienta nebo zákazníka informace je rozhodující pro úspěch v podnikání. Přesto podíl zaměstnanců na plný úvazek, kteří se cítí napadena zabezpečení podnikových dat je až o 33%, ve srovnání s 9% v roce 2013. "S plnou 59% respondentů pocit, že to je" důležité "nebo" velmi důležité, "aby budou moci stáhnout nebo upravit pracovní soubory z mobilního zařízení mimo kancelář, řešit tyto obavy je rozhodující, "řekl Ahmet Tuncay , generální ředitel společnosti Soonr. "Poskytovatelé řešení již nemůže spoléhat na jednoduché sync-and-share schopnosti-zaměstnanci potřebují snadný přístup k úplným dokumenty spolu s plnou možností úprav na základě řady podmínek, a to i v režimu offline, aby ke své práci efektivně." Výsledky studie ukazují, různé požadavky na vzdálený přístup k souboru, spolu s oborově specifických problémů s mobilními pracovníky. Přes devět významné průmysly dotázaných, 85% zaměstnanců na plný úvazek mají obchodní potřeby přístup k souborům na dálku. Konstrukce:
Pouze 65% zaměstnanců na plný úvazek v této zprávě průmyslu pracuje v centrále Více než polovina (55%), pohled kdykoli přístup k souborům a dokumentům jako důležitý Biotech / Zdravotnictví: 72% zaměstnanců má problémy udržet soubory všech přítomných aktuální Polovina (50%), dochází k problémům sdílení velkých souborů s členy týmu. Prodej: Přes význam pro jejich pracovní role, 62% z prodejních odborníků je obtížné spolupracovat s ostatními mimo jejich společnosti Téměř dvě z pěti (38%) uvádí, je schopen rychle orientovat se v procesu kupní smlouvy a upravit papírování na dálku by, aby jejich práce jednodušší Pouze 10% jsou si vědomi své firmy pomocí zmíněných služeb pro sdílení souborů. IT: 45% IT profesionálů vidět zabezpečení podnikových dat jako výzvu 58% měli potíže se stahováním velkých souborů 52% rozhodně souhlasí s tím, že jsou obavy se soukromí a bezpečnost svých souborů. Generální ředitelé: Firemní ředitelé jsou s největší pravděpodobností přednost sdílení souborů; 91% uvádí užívání nějaký druh služby Důsledky: 40% z nich vynechal důležitou lhůtu kvůli tomu, že není schopen přistupovat k souborům na dálku ze smartphonu nebo tabletu zařízení; 30% hlásí stejný kvůli tomu, že není schopen upravovat soubory na dálku 59% IT profesionálů rozhodně souhlasí s tím, že jsou zájem na zachování soukromí a bezpečnost svých souborů.
Doporučené postupy pro vládní agentury pro zajištění IT infrastruktury 23.11.2014 Zabezpečení Mnoho vládních agentur, oddělení, subdodavatelé, poskytovatelé služeb, a organizace, které provozují systémy IT jménem vlády musí zajistit ochranu své kritické infrastruktury a zajistit zabezpečení dat a spojitých systémů provoz. Tyto požadavky jsou popsány v různých mezinárodních a národních norem, předpisů a zákony stanovené orgány, na něž se vztahuje osvědčených postupů rámců, jako je například COBIT, NIST800-53, ISO / IEC 27001, ISO / IEC 15408 a ITIL. Požadují, aby vládní agentury bezpečí a ochranu důvěrnosti, integrity a dostupnosti informačních systémů a dat zpracovány, skladovány, nebo přenesená. Pobyt v souladu s těmito předpisy je otázka dobrého jména pro širokou škálu organizací, včetně datových zúčtovací, státní útvary, vojenské subdodavatelé a soukromých prodejců, pokud je jejich výměna údajů přímo s vládními systémy. , V případě nedodržení předpisů může vést k přímé a nepřímé finanční ztráty a vyřazení z provozu v některých odvětvích , aby splnila požadavky na dodržování předpisů a zajištění bezpečnosti IT infrastruktury, by odborníci vládní IT vzít v úvahu následující doporučení: Zavést kontrolu nad uživateli a jejich činnosti. Velká část požadavků na bezpečnost dat spočívá v řízení přístupu, vedení účtu, a rozdělení povinností. Ve skutečnosti, dnes to jsou některé ze základních pilířů jakékoli bezpečnostní politiky, se sídlem v reakci na dramatický nárůst bezpečnostních incidentů nebo jako součást úsilí shody. Aby se zabránilo kritické otázky, jako je interní zneužívání informačních systémů, je důležité sledovat aktivitu uživatelů, zajistit, aby oprávnění jsou udělena uživatelům na základě potřeby vědět, a zavést průběžné sledování změn provedených uživatelských účtů. Gain kompletní viditelnost a odpovědnost zprávu o auditu. V reakci na shodu s regulatorními předpisy, organizace mohou být povinny předkládat zprávy s různou mírou detailů pro libovolnou dobu, prokazující účinného provádění bezpečnostních kontrol a dodržování přijatých politik. Nicméně, protože to je velmi praktické shromažďovat, konsolidovat, a korelují data ručně na konfiguraci, nastavení zabezpečení a činnost v databázích, souborových serverů a virtuálních prostředí ručně, změnou auditu řešení bude informovat o všech změnách napříč všemi IT systémů a poskytujeme komplexní vlastních sestav. monitorovat a hodnotit své životní prostředí. Být vyhovující v mnoha ohledech znamená, být si jistý, že bezpečnostní zásady a postupy fungují správně a pomáhají při snižování rizika. S vaše IT infrastruktura neustále auditu potvrzuje, že máte kompletní přehled napříč všemi vaše IT systémy a dokazuje, že vaše IT prostředí je pod stálou kontrolou. Řídit přístup a úpravy ke sdíleným prostředkům. Pokud jde o data uložená v kritických systémů, jako jsou SQL, soubor servery a SharePoint, je nutné vědět, kdo to, co, kdy, kde a. Zvažte nasazení řešení, které vám poskytne detailní pohled, a to i před a po hodnotách, při jakémkoliv pokusu o přístup, upravit nebo odstranit citlivá data.
Největší problémy kolem připojených zařízení 21.11.2014 Zabezpečení Jen málo evropských IT oddělení nebo pracoviště, jsou připraveni na invazi nositelné technologie a dalších připojených zařízení.
Podle průzkumu 110 zemí, členů ISACA, kteří jsou podnikatelé a odborníci v oblasti IT, 43% respondentů v Evropě, na Středním východě a v Africe (EMEA) tvrdí, že jejich organizace má plány, jak využít internet věcí, nebo které očekává vytvářet plány v příštích 12 měsících. Nicméně, většina není připravena k nositelné technologie na pracovišti. Více než polovina (57%) tvrdí, že jejich politika BYOD neřeší wearables a dalších 24% dokonce ani nemají politiku BYOD v místě. To je problémem, protože přibližně 8 do 10 respondentů (81%) uvádí, BYOW (přineste si vlastní wearables) je stejně riskantní jako, nebo riskantnější než BYOD. Celkově polovina členů ISACA regionu EMEA věří, že výhody internetu věcí převáží riziko pro fyzické osoby (50%), zatímco téměř třetina věří, že rizika převáží prospěch pro podniky (31%). Navzdory rizikům, téměř třetina (30%) říká, že internet věcí dal jejich podnikání lepší přístup k informacím a čtvrtina (25%), že se zlepšila služby v jejich organizaci. Přibližně čtyři z 10 naděje na prospěch ze zlepšení služby (40%), zvýšení spokojenosti zákazníků (39%) a vyšší účinnost (38%) v důsledku připojených zařízení.
I přes výhody připojených zařízení, více než polovina (51%) respondentů se domnívá, největší výzvou, pokud jde o internet věcí se zvyšuje bezpečnostní hrozby, zatímco čtvrtina (26%) se zabývají otázkami ochrany osobních údajů. Dvě třetiny (68%) přiznat, že je velmi znepokojen tím, že klesající úroveň soukromí. Více než čtvrtina respondentů uvedlo, že největší obavy široké veřejnosti o připojených zařízení by mělo být to, že nevědí, jak shromážděné informace o zařízení budou použity (28%), nebo nevědí, kdo má přístup k informacím shromážděným (26%). "Internet věcí je zde k pobytu, a v návaznosti na dovolenou, jsme pravděpodobně vidět nárůst nositelná zařízení na pracovišti, "řekl Ramses Gallego, mezinárodní viceprezident ISACA. "Tato zařízení mohou přinést velkou hodnotu, ale může přinést i velké riziko. ISACA výzkum zjistil, že více než třetina (35%), EMEA členy ISACA věřit Big data má potenciál přidat významnou hodnotu, ale jedna pětina (21%) přiznává, že jejich organizace postrádá funkce pro analýzu a zkušeností se s tím vypořádat.
Sophos ochrání servery v cloudu Amazonu
21.11.2014 Zabezpečení Secure OS, zabezpečení serverů v prostředí služby Amazon Web Services (AWS), představila firma Sophos. Doplňuje tak její řešení UTM Next Generation Firewall, který se již prostřednictvím AWS Marketplace nabízí.
AWS představuje komplexní škálovatelnou cloudovou platformu, na které mohou zákazníci vytvářet a hostovat své aplikace prostřednictvím jednoduchého webového rozhraní nebo přes rozhraní API.
Nový Secure OS kombinuje operační systém CentOS s komplexní předinstalovanou ochranou před malwarem v jediném AMI (Amazon Machine Instance). Možnost využití zabezpečeného serveru nabízí alternativu k budování vlastní infrastruktury pro správu zabezpečení serverů v cloudovém prostředí.
Kromě Secure OS přichází Sophos nově také s možností testování svých řešení pro zabezpečení koncových bodů pomocí administračního nástroje Enterprise Console. To bude dostupné v rámci programů AWS Test Drive, jež umožňují zákazníkům vyzkoušet si produkty s využitím soukromého IT prostředí ve formě sandboxu, který obsahuje předkonfigurovaná serverová řešení.
Tipy pro bezpečné prázdnin 20.11.2014 Zabezpečení . Cyber scrooges využít všechny typy digitálních zařízení, mediálních platforem sociálních a mobilních aplikací využít nepozornosti spotřebitelů v tento sváteční a rušné období roku Chcete-li zůstat chráněni a zajistit šťastné a bezpečné prázdnin, McAfee sdílí těchto bezpečnostních tipů: Do vašeho výzkumu - zda on-line nakupování, darovat charitativním organizacím, nebo sledování své dary, udělat si vlastní průzkum, aby se ujistil společnosti, pro kterou pracujete, je legitimní.
Proveďte on-line vyhledávání firmy kupujete zboží z abyste zjistili, zda je tam nějaké zprávy o nedávných rizik Přejděte na domovskou stránku společnosti, aby se ujistil, že je skutečný obchod Místo toho, aby kliknutím na odkaz v e-mailu pro obchodní dohodu, navštivte stránky přímo. Analyzovat Apps - Před stažením novou aplikaci, zkontrolujte, abyste se ujistili, že přesně víte, co jste uvedení na telefonu. Pouze ke stažení aplikace z oficiálního App Store a nikoli třetí strana Vyzve-li app příliš mnoho oprávnění, nestahujte ji. Může být žádosti o přístup k informacím o vašem telefonu, které byste raději, aby soukromé, a jistě více informací, než je třeba Používejte antivirový software a dozvědět se více o FakeInstallers zde. Bank opatrně - Lidé utrácejí více peněz v průběhu prázdnin, než je tomu po celý rok. Počítačoví zločinci mohou vyzkoušet a používat tuto skutečnost snadněji podvod spotřebitele. Pokud vaše banka zavolá s žádostí o informace, zavěsit a zavolat zpět přes oficiální hlavní telefonní číslo. Je důležité, aby se poraďte se svým bankéřem přes oficiální čísla, takže víte, že je legitimní Při výběru peněz, být si vědom svého okolí. Zkontrolujte, zda jste na bezpečném místě, zadejte své údaje. Pokud něco vypadá špatně, nechat Zkontrolujte Bankomat uvolněné vodiče nebo strojních součástí, které mohou být manipulováno. To by mohlo naznačovat, hackeři snaží opravit stroj v jejich prospěch. Zůstaňte informováni - Holiday sezóna nebo ne, kybernetické podvody a krádeže identity se stalo velmi často po celý rok. Nyní, nákupní sezóna začala a nebezpečí je zvýšená, je důležité být neustále vědomi nových kybernetických útoků a hrozeb na trhu. Postupujte podle nejnovější zprávy příběhy pro nové narušení bezpečnosti, aby zůstali ve střehu a být na vrcholu své hry Nakupovat pouze za vánoční dárky u obchodníků víte, nebyly ohrožena Zkontrolujte výpisy z kreditní karty se často, aby se ujistil, že jste nebyly ovlivněny. Vzdělávejte své zaměstnance - Budete chtít, aby se ujistil, že vaši zaměstnanci vědí, jak se chránit, a jejich zařízeními pomocí citlivých firemních informací - po celou dobu, ale zejména v průběhu tohoto hektické cestování o dovolené a nákupní sezóny, kdy jsou více pravděpodobné, že si zařízení irelevantní, a lidé nechat jejich stráž dolů. Zajistěte, aby zařízení jsou zajištěny komplexních hesel umožnit přístup k chytré telefony, tablety nebo notebooky Podělte se o nejčastější podvody, které existují kolem svátků se svými zaměstnanci, aby věděli, co se na pozoru a jak zůstat chráněni.
Nové SDK pro Raspberry Pi chrání embedded software 19.11.2014 Zabezpečení WIBU-Systems se chystá zavést Raspberry Pi verzi svého ochranného platformy CodeMeter software s názvem Compute Module.
CodeMeter SDK pro Raspberry Pi umožní profesionálním vývojářům chránit zabudovaného softwaru na jednom palubní počítač, licence je, a zajistit systém z manipulace. SDK pro Raspberry Pi je předem nakonfigurován pro rychlý start-up a zahrnuje WIBU-Systems "ExProtector šifrovací nástroj, operační systém Linux s upravenou, bezpečné spustitelný a Propojení Format (ELF) loader, předprogramované ochrana CodeMeter hardware (CmDongle), a všechny související dokumentace. CodeMeter zašifruje a podepíše vestavěný software pro Linux s ExProtector. Bezpečný program je pak kontroluje a dešifrovat operačního systému při spuštění Raspberry Pi. Proces probíhá bez povšimnutí na uživatele a zajišťuje, že program nelze kopírovat nebo změněn.
Kerio Control vylepšuje zabezpečení Wi-Fi i protokolu https
9.11.2014 Zabezpečení Novou verzi aplikaci Control vydalo Kerio Technologies. Varianta 8.4 je určena pro menší a a střední firmy a podle výrobce řeší čtyři nejvýznamnější mezery v zabezpečení sítí: protokol https, technologii Wi-Fi, přístup pro hosty a protokol IPv6.
Nejzávažnější problém týkající se podnikových sítí řeší aplikace Control novým filtrováním HTTPS obsahu. Počítačoví zločinci totiž viry a další hrozby skrývají a distribuují do sítí prostřednictvím připojení zabezpečených protokolem SSL.
Novinka firmám umožňuje tyto hrozby na hranici podnikové sítě zcela zastavit. Stačí jen používat stávající filtry obsahu – přenosy HTTPS tak zabezpečí jediným kliknutím.
S rozmachem technologie Wi-Fi a trendu, kdy si zaměstnanci do firem nosí svá vlastní zařízení (BYOD), jsou společnosti nuceny svým zaměstnancům a hostům poskytovat zabezpečený přístup k síti. Sdílená hesla WPA ale nejsou efektivní a nechrání síť před nebezpečnými útoky. Zaujal vás tento článek? Přehled nejzajímavějších zpráv získáte odebíráním našeho newsletteru »
V aplikaci Control 8.4 je nově integrován RADIUS server. Jedná se o technologii, s jejíž pomocí mohou i ty nejmenší firmy ve svých sítích Wi-Fi snadno vynucovat používání vhodného ověřování a zásady pro vytváření silných hesel.
Produktu též zajišťuje přístup k síti hostům, aniž by se započítávali mezi licencované uživatele. Firmy si mohou zakoupit jeden přístupový bod a ponechat jej otevřený pro všechny své návštěvníky. Aplikace oddělí síťový provoz hostů od interních síťových prostředků, takže všechna důležitá aktiva a systémy firmy budou chráněny před neúmyslným přístupem hostů.
Protokol IPv6 je komplikovaný a až do této chvíle se obtížně používal. S pomocí aplikace Control 8.4 ale prý stačí jen vytvořit pravidla síťového provozu, vybrat, která se mají vztahovat na protokol IPv6.
Cena licence pro serverový software Kerio Control začíná na 5 780 Kč. Cena hardwarových zařízení Kerio Control Box začíná na 19 450 Kč.
Nový Avast prý jako první nabízí zabezpečení domácí sítě
9.11.2014 Zabezpečení Novinka podle výrobce dokáže zjistit zranitelné domácí směrovače, které bývají příčinou krádeže identity a ztráty soukromí uživatelů.
Avast uvedl na trh své nejnovější bezpečnostní řešení Avast 2015 pro platformy PC i Mac OS. Všechny dostupné varianty produktu, včetně té bezplatné, nově obsahují funkci „Zabezpečení domácí sítě”, která podle tvůrců ochrání router a celou domácí síť před zákeřnými útoky hackerů.
Další funkce a vylepšení zahrnují prevenci proti DNS útokům nebo skenování protokolu HTTPS. Mimo to nový Avast nabízí oproti předchozím variantám zjednodušené uživatelské rozhraní, nižší množství reklamních sdělení a rychlejší pravidelné aktualizace zlepšující výkon a zajišťující lepší ochranu a vyšší soukromí.
„Zabezpečení domácí sítě (Home Network Security)” dovoluje jedním kliknutím otestovat domácí síť a odhalit tak potenciální bezpečnostní hrozby dřív, než je zjistí útočníci.
Jde tak identifikovat nevhodně nastavené domácí Wi-Fi sítě, routery se slabými nebo původními hesly, zranitelné routery s přístupem k internetu, kompromitované internetové připojení a povolený, avšak nechráněný protokol IPv6.
Další novinka, „Ochrana DNS (Secure DNS)”, se zaměřuje na šifrování komunikace mezi chráněným PC a zabezpečeným DNS serverem a zabraňuje tak přesměrování na podvodné webové stránky.
Novou funkcí je i „Skenování HTTPS (HTTPS Scanning)”, což je vylepšená komponenta technologie WebShield, která kontroluje i stránky zabezpečené protokolem HTTPS.
Zajímavou funkcionalitou je i „Celkový test (Smart Scan)”, který umožňuje pomocí jednoho kliknutí zkontrolovat počítač a zjistit, zda jej neohrožují škodlivé soubory, zda je potřeba aktualizovat nainstalovaný software, jestli je domácí síť zabezpečená a také odhalit potenciální příležitosti na zvýšení výkonu analyzovaného počítače.
Produkt zahrnuje i přidanou vyrovnávací paměť s asistovanou hardwarovou virtualizací, vytvářející virtuální „testovací prostředí”, ve kterém se automaticky analyzují podezřelé objekty.
Detekce PUP (Potentially Unwanted Programs neboli potenciálně nechtěných programů) identifikuje vybrané programy, které uživatel pravděpodobně nezamýšlel instalovat a nabízí mu možnost jednoduše je odstranit s cílem zrychlit výkon PC.
Avast 2015 je dostupný ve čtyřech variantách určených pro koncové uživatele – Avast Free Antivirus, Avast Pro Antivirus, Avast Internet Security a Avast Premier – a je k dispozici ve 45 jazycích. Avast Mac Security bude obsahovat funkci „Zabezpečení domácí sítě” a „Ochranu DNS” až v prvním čtvrtletí roku 2015.
Detekce nepravidelných programů a služeb nainstalovaných v síti 6.10.2014 Zabezpečení Když podnikové sítě stává cíl, můžete auditu za dodržování bezpečnostní politiky být náročné, pokud nemáte software řídící nepravidelné používání oprávněními správce udělil, a používá k instalaci neautorizovaného softwaru nebo změnit konfiguraci instalace služby, které by mohly způsobit přerušení v síťová služba. Příklady těchto možných otázek jsou další servery DHCP (IPv4 a IPv6), Dropbox, Spotify nebo ARP skenovací zařízení.
Můžeme použít nmap zjistit všechny protokoly, které vysílá pakety všesměrového vysílání a jsou podporovány packetdecoders.lua:
Ether ARP požadavky (IPv4) CDP - Cisco Discovery Protocol EIGRP - Cisco Enhanced Interior brána Routing Protocol OSPF - Open Shortest Path First UDP DHCP Netbios SSDP HSRP Dropbox Logitech Squeezebox Discovery Multicast DNS / Bonjour / ZeroConf Spotify Následující příklad ukazuje, jak použít nmap se vysílání posluchače scénář a my můžeme vidět výsledek zařízení s Dropbox nainstalován, zařízení odesílá ARP dotaz (router v tomto případě) a zařízení odesílání požadavků protokolu DHCPv6:
nmap detekce vysílání skript
Můžete spustit tento program pravidelně sledovat běžné problémy bezpečnosti ve vaší síti, jen v případě, že váš IPS by mohlo být něco chybí;)
Symantec sjednocuje řešení Norton pod jedinou platformu
3.10.2014 Zabezpečení Dosavadních devět bezpečnostních produktů Norton se slučují do jediné služby - Norton Security. Ta nabízí vícevrstvé zabezpečení před různými hrozbami na široké paletě platforem. Navíc vyšší verze v ceně nabízí i zálohování s kapacitou 25 GB.
Novinka je dostupná například pro osobní počítače, Macy, chytré telefony a tablety s Androidem či iOS.
Řešení zahrnuje obvyklé technologie jako například Insight, SONAR či monitorování hrozeb. Navíc technologie Safe Web, Scam Insight, Download Insight and Anti-Phishing sdílí informace mezi sebou a detekují, jestli navštívené webové stránky nejsou součástí nových útoků využívajících softwarové inženýrství.
Aktualizované uživatelské rozhraní cloudového portálu usnadňuje přidávání ochrany pro nová zařízení, zobrazení stavu ochrany a také správu předplatného služby, včetně všech potřebných detailů a náhledů.
Vylepšený Identity Safe zase usnadňuje práci s hesly. Uživatelská jména a hesla si totiž může sám zapamatovat a následně je automaticky zadává.
Mobile Insight navíc prochází více než 200 různých obchodů s aplikacemi (appstore) a zajišťuje dynamickou analýzu chování aplikací. Pomáhá tak uživatele chránit před aplikacemi, které způsobují únik osobních informací nebo obsahu a které mohou měnit nastavení zařízení, zobrazovat nechtěné reklamy v oznamovací liště nebo enormně vybíjet baterii či nadměrně využívají datové přenosy.
Díky těmto informacím mají uživatelé lepší přehled, jaké osobní údaje která aplikace shromažďuje a proč mohou růst například poplatky za datové přenosy.
Zajímavá je i on-line podpora na telefonu i po internetu bez dodatečných nákladů po dobu jednoho roku. Norton Security podporuje tým více než 500 bezpečnostních expertů po celém světě.
Novinka bude k dispozici od 10.10. 2014 jako flexibilní služba, která chrání různá zařízení. Norton Security pro jednoho uživatele – jedno zařízení – bude v prodeji za 1 099Kč vč. DPH na rok, Norton Security až pro 5 zařízení bude v prodeji za 1 649Kč vč. DPH na rok a Norton Security se zálohováním až pro 10 zařízení za 1 899Kč vč. DPH ročně.
Školení pro CISSP a jiné (ISC) 2 certifikace 2.10.2014 Zabezpečení (ISC) 2 je CISSP žít on-line CBK školicí seminář poskytuje stejnou oceňovanou obsah kurzu semináře ve třídě na základě a ve prospěch s (ISC) 2 autorizovaného instruktora, ze své vlastní počítače.
Formát: Každé pondělí a středu od 18:00 do 20:30 CEST (GMT + 1) v průběhu 8 týdnů, takže máte dostatek času na zorganizování komplexní studijní plán kolem živých lekcích. Neomezený přístup k sezení: Sessions jsou dodávány živě a všechny jsou archivovány, takže můžete k nim přistupovat tolikrát, kolikrát chcete, po celou dobu tréninku a 60 dnů poté, s možností e-mailu s instruktorem s otázkami. zkouška poukaz a studijní příručky: Obdržíte zkoušku poukaz platný po dobu 12 měsíců což vám ušetří námahu zaplatit zvlášť. Součástí jsou třídních příručky a nejaktuálnější e-verze Úředního (ISC) 2 Průvodce k CISSP ČBK.
McAfee přináší nové bezpečnostní apartmá 1.10.2014 Zabezpečení McAfee vydala McAfee Antivirus Plus 2015, McAfee Internet Security 2015, McAfee Total Protection 2015, a McAfee LiveSafe služby 2015, který chrání data a identitu zákazníka napříč všemi počítači, počítači Mac, chytré telefony a tablety, které vlastní.
McAfee nedávno zmodernizoval svůj motor detekci malware pro zlepšení detekce a výkon zařízení, pomáhá chránit spotřebitele před dnešními pokročilými hrozbami. Také cross-device produktu je možnost snadno přidat další prostředky pro ochranu s pouhým jedním kliknutím. Navíc McAfee LiveSafe služby 2015 představuje novou generaci ochrany cross-zařízení pro spotřebitele, které pomohou udržet jejich zařízení, osobní údaje a identitu bezpečné . Jako první sada zabezpečení zahrnovat nejmodernější hlasové a ověřování rozpoznání obličeje, mohou uživatelé bezpečně ukládat citlivé a osobní informace, například závěti, listiny a pasů v bezpečné úložiště cloud úložiště. McAfee LiveSafe služby 2015 také zahrnuje cloud-based správce hesel, takže uživatelé mohou snadno spravovat své on-line hesel. Podle nedávné studie společnosti McAfee, zabezpečení budoucnosti digitálního Americe v roce 2025, průměrná amerických domácností vlastní tři až sedm zařízení, a to předpovídá toto číslo bude v příštím desetiletí téměř zdvojnásobí. dnes a stále více v budoucnosti, bezprecedentní množství soukromé a osobní údaje jsou a budou shromažďovány a distribuovány, zejména pokud více spotřebitelů přesunout pomocí připojeného spotřebiče a nositelné. S tím přichází zvýšené riziko pro řadu sofistikovaných útoků a podvodů. S ohledem na tyto poznatky, McAfee nadále poskytovat nové a lepší výrobky, aby splňovaly rostoucí požadavky spotřebitelů, jak tráví více času na připojených zařízeních. "S nárůstem připojených zařízení a jako spotřebitelé připojit více zařízení, bude bezpečnostní potřeby dramaticky změnit a vyvíjet, "řekl Gary Davis, šéf bezpečnosti spotřebitele evangelista u společnosti McAfee. "S ohledem na tuto skutečnost, abychom i nadále pevně odhodlána poskytovat inovace, které chrání digitální život spotřebitelů v celé zařízení, které používají všude tam, kde se rozhodnou připojit."
Eset vylepšuje svou vlajkovou loď -- třeba o anti-botnet
1.10.2014 Zabezpečení Své klíčové antimalwarové systémy pro SOHO a domácnosti inovoval Eset. Smart Security 8 například obsahuje technologii Botnet Protection, spolu s NOD32 Antivirus 8 také zahrnuje vylepšený modul Exploit Blocker, jenž chrání i před zranitelnostmi Javy.
Botnety představují podle zprávy Verizon Data Breach Investigation Report zdaleka největší jednotlivou kategorii počítačové kriminality – podíl botnetů na celkové zdokumentované počítačové kriminalitě tvoří podle uvedené zprávy 86 procent.
Technologie Botnet Protection chrání počítač, aby se stal součástí botnetu a byl zneužitý k rozesílání spamu nebo k útokům na vzdálené servery. Proto analyzuje odchozí síťovou komunikaci a hledá podezřelé příznaky. Kontroluje také, zda server, k němuž se chráněný počítač připojuje, není na seznamu pochybných serverů, spojených s aktivitami botnetů. Pokud ano, podezřelou aktivitu zablokuje.
Vylepšení technologie Exploit Blocker zase posiluje ochranu nejčastěji používaných aplikací, jako jsou čtečky PDF dokumentů, součásti kancelářského balíku Microsoft Office nebo nově také Java.
Konkrétně útoky na zranitelnosti v Javě představují podle průzkumu firmy Cisco víc než 90 procent ze všech zaznamenaných útoků na počítače. Exploit Blocker nepřetržitě sleduje procesy a v případě podezření na podezřelé chování potenciálně škodlivou aktivitu zablokuje a popis případu odešle do cloudového systému Eset Threat Sense, odkud se využívá i pro další uživatele.
Smart Security má rovněž vylepšené uživatelské rozhraní pro snadnější ochranu přístroje před ztrátou či krádeží.
Cisco představila hrozeb zaměřených na příští generace firewall 29.9.2014 Zabezpečení Cisco představila hrozby zaměřené na Next-Generation Firewall (NGFW). Cisco ASA s palebnou silou Services poskytuje kompletní kontextové povědomí a dynamické kontroly nezbytné, aby se automaticky vyhodnotit hrozby, korelují inteligenci a optimalizovat obrany k ochraně všech sítí.
Až do teď, NGFWs se zaměřili na politiky a aplikační řízení a byly schopny řešit pokročilé a zero-day útoků. Cisco ASA s palebnou silou Services změní to, s viditelnost řízený, hrozba zaměřené na platformě založený přístup: Viditelnost řízený - Přináší plnou kontextové povědomí uživatelů, mobilní zařízení, na straně klienta, aplikace, virtuální stroj-k-stroj komunikace, zranitelnosti, hrozby, URL a další důležité telemetrie. Jeho funkce pro správu podnikové třídy poskytují uživatelům řídicích panelů a drill-down zprávy o objevených hostitelů, podezřelých aplikací, hrozeb a ukazatelů kompromisu (IoCs) pro komplexní viditelnosti. Threat zaměřený - Obsahující vedoucí NGIPS pro komplexní ochranu před známými a pokročilých hrozeb , stejně jako AMP pro boj proti zero-day a přetrvávající útoky. Velké analytických údajů, kontinuální analýza a Cisco kolektivní bezpečnosti Intelligence (CSI) pracují společně, aby zjistily, blokování, sledování, analýzy a sanace funkce na ochranu proti celé spektrum útoků, známých i neznámých. platforma na bázi - Cisco ASA s palebnou silou Služby v sobě spojuje osvědčené funkce brány firewall a řízení aplikací, vedoucí schopnosti NGIPS a pokročilou detekci narušení a sanace v jednom zařízení. Integrace poskytuje organizacím lepší ochranu a zároveň snížit provozní náklady a složitost. Toto nové řešení zjednodušuje bezpečnostní architektury organizace a snižuje jeho sítě stopu s menším počtem bezpečnostních zařízení pro správu a nasazení a schopnost licencovat předplatné rozšíření funkčnosti. Cisco ASA s viditelností palebnou silou službách a průběžné analýzy detekovat pokročilé, multi-vektorové hrozbám a racionalizuje a automatizuje odpověď na známých i neznámých malware. Nabízí také komplexní, žalovatelné IoCs, že vyšetřování rychlost hrozeb a zpětně sanaci, spolu s integrovaným stanovení rozsahu reakce na incidenty a automatické aktualizace politiky detekce. Všechny tyto inovace jsou podporovány podnikové třídy stavový firewall, VPN, pokročilé shlukování a granulární aplikační vrstvě a kontroly z hlediska rizik, která vyvolávají míru NGIPS politiky detekce hrozeb pro optimalizaci účinnosti zabezpečení. integrace Open source zabezpečení s Snort, OpenAppID a ClamAV dalším zákazníkům umožňuje snadno přizpůsobit zabezpečení tak rychle, jak je to možné řešit nové nebo konkrétní hrozby a aplikací.
Apple dodává ověření ve dvou krocích pro iCloud 29.9.2014 Zabezpečení Apple oznámil, že možnost ověření ve dvou krocích pro iCloud účty nyní vztahuje i na iCloud zálohování, brání útočníky, kteří vědí, u cíle heslo z instalace u cíle zálohu na nové zařízení a z ní vyplývající, od přístupu k informací v něm obsažených.
Tento krok byl oznámen prostřednictvím e-mailu zaslaného na úterý pro všechny uživatele, kteří se již s použitím ověření ve dvou krocích chránit své Apple ID. Příjemci byli namířenou na dvoustupňovém ověření FAQ stránky pro další informace. Pokud je zapnuta funkce ověření ve dvou krocích, druhý ověření faktor - 4-místný ověřovací kód zaslán telefon uživatele - musí být zadáno při registraci do Moje Apple ID; do iCloud; nákupům iTunes, iBooks, nebo App Store od nového zařízení; a při nastupování Apple ID pomoc týkající od společnosti Apple. Tato změna byla urychlena nedávném úniku nahých fotek celebrit, krádež, která byla původně obviňován na iCloud hack. O několik dní později, Apple už uvedl, že iCloud nebyl pirát, a nyní se zdá pravděpodobné, že unikly fotografie byly ukradeny útočníky, kteří tušené nebo hrubou vynucených Apple hesla k účtu oběti, nebo mají sociální inženýrství nebo napálil oběti k prozrazení hesla. V té době, Apple doporučuje uživatelům používat silná hesla a umožnit ověření ve dvou krocích, ale bylo zjištěno, výzkumníky zabezpečení ověření ve dvou krocích nechránil iCloud. Ars Technica se kontroluje , zda změna byla provedena správně, a to má. Bohužel, konkrétní heslo lámání nářadí stále být použity pro přístup k účtům, které nebyly dodatečně chráněny pomocí ověřování ve dvou krocích, což je dobrý důvod ji zapnout -. pokud je to možné ověření ve dvou krocích je k dispozici v 59 zemích, v současné době (Podívejte se na dvoukolová Krok ověření FAQ stránku na seznamu).
FBI se nelíbí šifrování mobilních zařízení
29.9.2014 Zabezpečení Podle americké bezpečnostní agentury nová technika usnadňuje práci kyberzločinců.
Podle šéfa FBI Jamese Comeye je snadný přístup k uživatelským datům důležitý při ochraně lidských životů. Zmínil při tom hlavně hrozbu terorismu a únosů.
Comey tak reagoval na zavedení automatického šifrování dat v chytrých telefonech od Googlu a Applu. Ze strany obou společností jde podle něj pouze o marketingový tah.
FBI dokonce kontaktovala Apple i Google, aby jim vyjádřila své znepokojení nad novým přístupem.
Google o zavedení automatického šifrování informoval minulý týden. Apple tuto metodu zavedl v novém operačním systému iOS8.
Comey se svým vyjádřením přišel jen pár dní poté, co jeho dřívější spolupracovník Ronald Hosko zveřejnil sloupek v deníku The Washington Post, ve kterém rovněž přístup Googlu s Applem zkritizoval. Také on vyjádřil názor, že automatické šifrování usnadní práci zločincům.
Apple ani Google se ke Comeyeho námitkám zatím ne nevyjádřily.
RSA prý umožní identifikovat útok dřív, než přijde
25.9.2014 Zabezpečení Advanced Security Operations Center (SOC), integrovanou sadu technologií a služeb, které organizacím umožňuje identifikovat hrozby dříve, než dojde k útoku, představilo RSA. Představuje kombinaci systémů SIEM (správa bezpečnostních informací a incidentů), analýzy síťových paketů a detekci ohrožení koncových bodů.
Díky tomu podle výrobce dovoluje rychle odhalovat útoky, které často zůstávají nepovšimnuté samostatnou logickou správou SIEM a tradičními bezpečnostními nástroji zaměřenými na hranice sítí, jako je antivirový software, brány firewall a systémy ochrany před průniky do sítě.
Konkrétně jde o zapojení nástrojů Security Analytics, ECAT a Archer Security Operations Management a služeb Advanced Cyber Defense Practice.
Řešení funguje tak, že se sbírají ucelená data o stavu sítě, systémů a koncových bodů. Na jejich základě pak novinka dokáže včasně detekovat incidenty a v případě podezření okamžitě zahájit hloubkovou analýzu, která umožní pochopit typ a rozsah problému.
Více než 400 síťových a protokolových parserů provádí časovou analýzu všech protokolů a síťových relací, v nichž vyhledává klíčové indikátory hrozeb a generuje metadata, která pak bezpečnostní analytiky směrují na nejzávažnější problémy.
Sleduje a analyzuje více než 250 zdrojů událostí, aplikuje více než 275 předdefinovaných korelačních pravidel a využívá asi 100 šablon sestav. Dokáže také hledat vzájemné souvislosti mezi síťovými pakety, daty protokolu NetFlow a informacemi z koncových bodů.
Produkt lze navíc škálovat na základě aktuálních potřeb.
Jak velký ISP bojuje DDoS útoky s vlastní řešení 22.9.2014 Zabezpečení DDoS útoky jsou stále větší problém. V červenci, Arbor Networks vydala globální údaje DDoS útoku odvozené od jeho sledování infrastruktury ATLAS hrozeb, která ukazuje nárůst objemové útoků v první polovině roku 2014 s více než 100 útoků větších než 100 GB. / sec hlášeny. Bohužel, není to jen sílu bychom měli obávat. Ve skutečnosti, BT zjistila, že DDoS útoky jsou stále účinnější , což způsobuje významné narušení a někdy svrhnout organizace pro celé pracovní dny. často slyšíme o útocích proti webové stránky, z nichž většina je zmírnit jeden z mnoha DDoS služby zmírnění dispozici trhu. Co Vždycky mě zajímalo, bylo to, jak velcí kluci řešení těchto útoků. Jaké zbraně může ISP přinést na bitevní pole? technologie šité na míru Sakura internet, jeden z největších japonských poskytovatelů internetových služeb, vyvinula technologii, která příjme masivní IP toku letového provozu datové toky a provádí analytické v paměti identifikovat a zastavit DDoS útoky na jeho sítě, jak se stalo, a zároveň umožňuje legitimní provoz bude pokračovat. Postavili řešení zmírnění DDoS útok na vysokorychlostní NewSQL databáze VoltDB mít schopnost analyzovat 48.000 IP paketů za sekundu, což jim umožňuje vidět v reálném čase, které stránky jsou pod útokem, a provádět zdroj-a-destination-založené filtrování, což umožňuje čisté příchozí pakety se pohybovat, zatímco blokuje špatné. V dubnu 2014 první měsíc výroby tohoto řešení s VoltDB, Sakura detekován a zmírňuje 60 DDoS útoky, zatímco úspěšně obnovit legitimní provoz na většině vybraných lokalit - jak probíhaly útoky. Sakura se podařilo obnovit služby v 49 z 60 pokusů, které učinil, a v některých případech, za pouhých dvacet sekund. muž s plánem architekt za toto řešení je Tamihiro Yuzawa, inženýr sítě v důvěře datacenter sítí, mezi DC a inter-AS směrování provozu na Sakura internetu.
Yuzawa tým má na starosti hlavní sítě Sakura a jeho hlavním zájmem jsou ve velkém měřítku, šířku pásma-svinský příchozí DDoS útoky nevyžádané pakety, které by narušilo nejen legitimní komunikaci az hostitelského oběti, ale také způsobit vedlejší škody na sdílení ostatním zákazníkům jejich uplink s cílem útoku. Jak škodlivý je DDoS být ISP? "Pokud se nám nepodaří rychle snížit útok o velikosti 10 Gb, nebo mimo ni, důsledkem by mohlo být ošklivé trasy klapky v naší síti, což by mohlo vážně degradovat naše služby," říká Yuzawa. Ve většině případů to trvá méně než 10 sekund útok provoz na růst v průběhu gigabitů za sekundu. Před tím, než vyvinuli toto řešení, to bylo jen po jejich sledování síťový systém vyšle upozornění na problémy, dosažitelnosti, že by se podívat do nějaké další informace, aby zjistil, že byl útok DDoS již přichází. Yuzawa pamatuje, že tehdy, odběr vzorků provoz údaje již k dispozici, s několika kolektorů nahoru a běh. Ale tradiční RDBMS se snadno nasytí a dusit na obrovský příliv dat do vzorku, a byl tak schopen spouštět dotazy pro real-time analýzy. "Byli jsme si dobře vědomi, že to bude trvat skutečně rychlé zpracování backend dat, která by se dovážet a výpočetní obrovské množství dat, bez odkladu, aby bylo možné odhalit útok hned. To je důvod, proč vyskočil na mě, když uvolňování VoltDB hit zprávy, "řekl Yuzawa. Níže je screenshot, který prezentuje část dané aplikace UI (kliknutím vidět větší verzi). Chcete-li zachytit obrázek, Yuzawa použít archivovaných vzorků provozních údajů přehrát nedávné DDoS útok. Pouze cílová IP adresa (v červeném) byl maskován testovací server je. Zatímco útok pokračuje kolem 1,6 ~ 1.7Gbps, modrá čára označuje první krok (RTBH) nalétáno 15:38:15 a zelená čára označuje druhý krok (čištění), byl aktivován v 15:38:23. A jak z 15:45:27, 730 zdroj IP adresy jsou filtrovány.
Je tu hodně mluví o tom, jak Big Data mohou pomoci zmírnit DDoS útoky, ale jak to funguje přesně? Yuzawa vysvětluje, že každý směrovač nasazeny v jejich páteřní sítě je schopen paketů pro odběr vzorků, jak se objeví ve vniknutí rozhraní routeru a zapouzdření paketů ze vzorku do UDP zprávy ve standardizovaném formátu, který se pak vyváží do určeného kolektoru. Kolektor, jako databázového klienta, krmí databázi odebrány vzorky provozních údajů, jak to přijde z routerů. Existuje několik dalších klienta databáze procesy běžící po celou dobu, z nichž jedna požaduje různé typy souhrnných dotazů za jednotlivé cílové IP adresy, tak, že se může určit tok škodlivého příchozí provoz na místě. Další klient i nadále profilovat každém útoku, a to včetně původu IP adresy, a to i přímo na místě. Se neustále aktualizované informace o každém útoku, systém zmírnění chrání legitimní provoz na cílového hostitele, zatímco blackholing útoku pakety. Při vlastní rovná lepší mi Yuzawa řekl že v průběhu let Sakura hodnotil několik komerčních DDoS zmírnění spotřebiče, pár, které ukázaly, působivé schopnosti. Nicméně, aby bylo možné rychle provést skutečně efektivní protiopatření, v řádu sekund, oni potřebovali něco velmi specifického začlenit jejich návrh sítě, konfigurace a provozu, a v podstatě vytvořit své vlastní řešení, anti-DDoS. Nemáš postavil vlastní řešení, které řeší váš informační bezpečnosti problém? Napište mi e-mail.
Samsung uvolnil bezplatnou aplikaci My Knox
22.9.2014 Zabezpečení Zaměstnanci i firemní zákazníci dostanou na výběr hned z několika variant bezpečnostního řešení Knox, které bylo původně určeno výhradně pro podniky.
My Knox si mohou do svých telefonů Galaxy S5 nebo Galaxy Note 4 nainstalovat sami uživatelé bez nutnosti spolupráce s firemním oddělením IT.
Jak uvádí Samsung, pomocí aplikace mohou uživatelé jednoduše synchronizovat své emaily, kontakty a kalendář mezi desktopem a mobilními přístroji. Nástroj v mobilním zařízení vytvoří virtuální oddíl s vlastní obrazovkou, aplikacemi i widgety.
„Pokud hledáte bezplatné bezpečnostní řešení, které ochrání vaše soukromí a přitom vytvoří jednoduché bezpečné pracovní prostředí pro vaše emaily a aplikace, My Knox je to pravé pro vás,“ píše Samsung na blogu.
V jiném blogovém příspěvku zase Samsung zveřejnil detaily nových služeb Knox Premium a Knox Express určených pro správce IT k zajištění multiplatformní mobilní bezpečnosti. Služba Knox Premium, která je určena pro velké organizace, bude stát 1 dolar za jednoho uživatele. Knox Express, který je naopak určen pro střední a malé podniky, bude zcela zdarma.
Podpora cloudu pro nástroje Knox nyní firmy vyjde na 3,6 dolaru za jednoho uživatele. Jae Shin, viceprezident Knox Business Group, ale nedávno slíbil, že ceny půjdou dolů.
Samsung popsal Knox Premium jako komplexní řešení pro správu mobilních zařízení. Jeho součástí je mimo jiné v cloudu běžící Knox Enterprise Mobility Management (EMM) a samozřejmě i telefonní a online podpora. Služba kromě Androidu funguje i na dalších platformách, ovšem Samsung už nenapsal na jakých.
EMM je součástí i služby Knox Express. Správci IT dostanou k dispozici online portál s podporou zařízení se systémem Android nebo iOS.
První firewall chránící před hrozbami nultého dne
19.9.2014 Zabezpečení Hned několik technologií v sobě spojuje nejnovější firewall ASA 5500 firmy Cisco – může tak prý jako první firewall na trhu nabídnout ochranu před nedokumentovanými hrozbami.
Novinka nabízí kombinaci technologií ASA (Adaptive Security Appliance), FirePower, IPS a AMP (Advanced Malware Protection) založených na platformě SourceFire.
Díky tomu využívá kontextovou a dynamickou analýzu bezpečnostních hrozeb, což podle výrobce dovoluje ochránit sítě v době před začátkem kybernetického útoku, v jeho průběhu i po jeho skončení.
Vůbec poprvé si prý díky technologiím FirePower firewall umí poradit s hrozbami nultého dne, tedy s novými a dosud nepopsanými útoky, na které nelze předem připravit bezpečnostní politiky.
Kromě koupě produktů ASA 5500-X a 5585-X si lze nové funkce dokoupit i k existujícím firewallům ASA, a to prostřednictvím licence ke službám FirePower Services for Cisco ASA.
Vlastnosti nových firewallů podle výrobce:
Přehlednost prostředí – správci sítí i bezpečnostní odborníci získávají přehledné rozhraní, v němž mohou jednoduše získat informace o připojených zařízeních (včetně mobilních), potenciálně nebezpečných aplikacích, hrozbách i indikátorech kompromitace (IoC) Zaměření na hrozby – kombinace technologií pro ochranu před známými i pokročilými hrozbami se propojila s AMP schopnou bojovat s hrozbami nultého dne, kontinuální analýzou a s Cisco Collective Security Intelligence (CSI). Integrovaná platforma – Kromě tradiční ochrany nabízí i IPS a pokročilou detekci hrozeb v jediném zařízení. Tato integrace přináší zjednodušení firemní bezpečnostní infrastruktury při současném zvýšení bezpečnosti a snížení nákladů na vlastnictví.
https://yourfakebank.support - začíná TLD zmatek! 17.9.2014 Zabezpečení Docela hodně od té doby nové domény nejvyšší úrovně (TLD) "biz" pokračoval on-line před pár lety, a jediní, kdo nakupují domény v tomto prostoru byli podvodníci, jsme trochu věděl, co se stane, když ICANN nejnovější hloupost a peníze-grab šel žít. Vypadá to, že množství "nových" domén nejvyšší úrovně, jako "Podporu", ".club", atd nyní online. A opět se zdá, že pouze podvodníci kupují.
V současné době vyšetřuje vlnu phishingových e-mailů, které se snaží nalákat uživatele na kopii Bank of America webové stránky. Hlavní rozdíl, samozřejmě, je to, že veškeré přihlašovací údaje zadané nekončí s Bank of America, ale s některými podvodníci, kteří pak sami pomáhají k úsporám.
Phishingové e-maily, samy o sobě nejsou ničím novým. Ale zdá se, že adresy URL, jako je na obrázku v e-mailu phishing výše mají vyšší míru úspěšnosti s uživateli. Mám podezření, že je to způsobeno tím, že v daném URL "vypadá jinak", ale ve skutečnosti odpovídá propojené URL, takže starý obyčejný "moudrost" plachtění kurzoru myši na odkaz hledat odkazů na zvláštních místech .. vyhrál 't pomoct.
Ale počkejte, je toho víc! Vzhledem k tomu, podvodníci v tomto případě vlastní doménu, a samozřejmě triviálně může projít takzvanou "ověření řídicího domény" zaměstnané některými CA je, že ve skutečnosti se podařilo získat skutečnou, platný SSL certifikát!
Cituji z webu certifikační autority je:
Comodo SSL Zdarma je plně funkční digitální certifikát, uznávané a důvěru 99,9% prohlížečů. Vaši návštěvníci uvidí zlaté visací zámek a nebude vidět upozornění zabezpečení. Co dostanete:
Devadesát den bez SSL certifikátu (jiné CA Nabízíme 30 dnů maximálně.) Vydáno on-line během několika minut, bez papírování a zpoždění Nejvyšší síla 2048 bit podpisy / 256 bitové šifrování Podepsáno ze stejného kořene jako důvěryhodné našich placených certifikátů Uznána všemi hlavními prohlížeči a zařízení Nezmiňují, proč si myslí, že něco z toho je to dobrý nápad.
Přidání SSL na Phish znamená, že další "ukazatel podvod", který jsme kdysi učil našim uživatelům je také již není platný. Když uživatel klikne na odkaz v e-mailu phishing, bude prohlížeč ve skutečnosti ukazují na ikonu "visacího zámku" o "bezpečném místě". Viz obrázek níže.
Pokud jste viděli jiné nedávné bankovní phishes, které používají nové domény nejvyšší úrovně a / nebo platné SSL certifikáty, dejte nám prosím vědět prostřednictvím kontaktního formuláře, nebo pod komentáře!
91% Američanů má obavy o ochraně osobních údajů 16.9.2014 Zabezpečení Nový průzkum, provedený Harris Poll mezi 2.100 dospělých v USA a vyvinutý WP motoru, zjistil, že 91% Američanů se obávají o své soukromí online, zatímco téměř všichni (95%) Američané by si nějakou akci, pokud se cítí jejich on-line o ochraně osobních údajů byl ohrožen. Populární řešení spotřebitelé říkají, že jsou s největší pravděpodobností, aby se při on-line soukromí ohrožen patří změna hesla (79%), mazání nebo zrušením registrace z aplikace (57%), a podávání zpráv o společnosti (56%). Kromě toho Výzkum zjistil, že téměř devět z deseti Američanů (88%) si myslí, že on-line soukromí bude jednou z největších obav pro sebe v průběhu příštích 10 let, z několika důvodů. Více než polovina, že ano, protože jsme stále více závislé na Internet . umožnil zařízení (59%), proto, že sociální sítě se vystavuje více našich osobních informací (57%), a proto, že vláda příliš přístup k informacím o svých občanů (51%) i další důvody k obavám jsou:
Protože budeme ukládat většinu našich osobních údajů online / v cloudu (50%) Protože naše místa lze snadno sledovat pomocí GPS-umožnil smartphony (50%) Protože naše digitální profil je důležitější než kdy předtím pro zaměstnanost, datování, a náš soukromý život (39%) Vzhledem k tomu, více firem pomocí softwaru pro rozpoznávání obličeje rozpoznat tváře občanů (24%) On-line platformy, které Američané mají nejvíce soukromí obavy, patří: Sociální média sítě - 66% E-mail - 56% Webové prohlížeče - 52% Vyhledávače - 45% Sociální Photo Sharing plošiny - 35% Mobilní aplikace - 30% Online datování apps / datování on-line - 27% Instant Messaging aplikace - 23% Mikro-blogů - 23% Mizející foto aplikací pro sdílení - 22% Inteligentní nositelné zařízení - 18% Online hry - 17% "V dnešním světě neustále proudící informace a zesílené hlasitosti hlasu přes on-line kanálů, je to jen přirozené, že soukromí se stala kritickou znepokojení mezi Američany, a nepochybuji o tom, celému světu," řekla Heather Brunner, generální ředitel společnosti WP motoru. "Je povzbuzující vidět, že jak se on-line hrozeb v čase mění, uživatelé se vyvíjejí s tím, podniká kroky, aby se chránili před poškozením."
Mezery v zabezpečení podnikové sítě: reklamní sítě 15.9.2014 Zabezpečení " Malvertising 'je relativně nový termín pro technice k distribuci malwaru prostřednictvím reklamních sítí, které již dávno stala populární médium mezi zločinci. V uplynulých čtyřech letech stovky milionů uživatelů padli za oběť "virové" reklamy, včetně návštěvníků hlavních médií stránky, jako je například NY Times , London Stock Exchange , Spotify , USNews, TheOnion, Yahoo! a YouTube . Komplikovaná situace s reklamními sítěmi dokonce pobízel Senát Spojených států Stálé podvýboru pro vyšetřování provést důkladné šetření , která vypracovala doporučení na posílení bezpečnosti a zvyšování odpovědnosti vlastníků reklamní platforma.
Na přelomu roku 2,5 milionu Yahoo Uživatelé byli napadeni . Brzy po incidentu, společnost s názvem Fox zveřejnila podrobnou analýzu útoku. Je zvláštní, že v souladu s Fox IT, ne všichni uživatelé Yahoo! byly ovlivněny útokem - pouze pro rezidenty evropských zemích, především v Rumunsku, Velké Británii a Francii. Fox IT analytici se domnívají, že útočníci pravděpodobně používají cílené reklamní mechanismy, tedy zaplatili za "dojmy", sloužila k určitému publiku z výše uvedených zemí. Zde je ukázka toho, jak jsou útoky prováděny prostřednictvím reklamních sítí: celkový útok organizace diagram (na levé straně) a konkrétní příklad útoku proti uživatelům Yahoo! (na pravé straně).
malvertising_1
V minulosti jsme psali o cílených útoků prováděných prostřednictvím důvěryhodných webových stránek (tzv útoky zalévání děr) a sociálního inženýrství na sociálních sítích a v IM klienty . Konkrétně jsme psali, že cybercriminal musí udělat dvě věci, aby bylo možné provádět zavlažování-jamkové útok: za prvé, ohrozit důvěryhodné webové stránky, a za druhé, tajně injekci škodlivé skripty do kódu webu. Úspěšné útoky prostřednictvím sociálních sítí nebo IM klienty také určité požadavky zločinci - přinejmenším, jak vyhrát důvěru uživatelů a zvýšit šance na jejich klikání na odkazy zaslané útočníků.
Co odlišuje útoky prostřednictvím reklamních sítí od sebe je to, že v těchto útocích se útočníci nemají kompromisy webové stránky nebo získat důvěru potenciálních obětí. Jediné, co musíte udělat, je najít poskytovatele reklamy, ze které chcete koupit "dojmy", nebo se staňte poskytovatele sami (jako BadNew s). Zbývající práce, vztahující se k distribuci škodlivého kódu, bude provádět reklamní sítě -The důvěryhodné stránky sám stáhne škodlivé skripty na své stránky přes iframe.
Navíc, uživatelé nemají ani klikat na reklamy - jako součást svého pokusu zobrazit banner na webové stránce, spustí prohlížeč SWF / JS kód banneru, který automaticky přesměruje uživatele na webu hostování vstupní stránku z populární využít balíček, jako je Blackhole . Drive-by útok bude následovat: využít balíček se pokusí zvolit vhodnou exploit zaútočit na chybu v prohlížeči, nebo jeho doplňky.
Problém reklamních sítí se používá k distribuci malwaru a provádět cílené útoky (s využitím svých cílených reklamních možností) nemá vliv pouze na ty, kteří používají prohlížeče pro přístup na webové stránky. To platí i pro uživatele aplikací, které mohou zobrazovat reklamy, jako jsou IM klientů ( včetně Skype ), e-mailové klienty (Yahoo! v ceně), atd A co je nejdůležitější, problém se týká obrovské množství uživatelů mobilních app, protože tyto aplikace také připojit k reklamních sítí!
V podstatě, mobilní aplikace se liší tím, že SDK běžně používané pro vkládání reklamy do aplikací (jako AdMob, služby AdWhirl atd) nepodporují spuštění libovolného kódu poskytované poskytovateli reklamy, jako je tomu v případě webové stránky reklamy. Jinými slovy, pouze statická data přijata ze serveru dodávají reklamy, včetně obrázků, odkazů, nastavení atd však zločinci mohou také vytvářet SDK , stejně jako mediálních společností. Bývalí vývojáři nabízejí vyšší ceny za proklik, než jejich oprávněných soutěžitelů. To je důvod, proč vývojáři legitimní mobilního softwaru vložit škodlivý kód "reklamy" - v podstatě zadní vrátka - do svých aplikací. Navíc, legitimní SDK může mít zranitelnosti umožňující spuštění libovolného kódu. Dva takové případy byly zjištěny na konci loňského roku - jednou z nich je HomeBase SDK , druhý zahrnující AppLovin SDK .
malvertising_2
Zdroj: http://researchcenter.paloaltonetworks.com
Na otázku "Jak by podniková síť chráněna před útoky prováděné prostřednictvím reklamních sítí?" nemá jednoduchou odpověď, a to zejména pokud budete mít na paměti možné cílených útoků. Jak již bylo řečeno, ochrana musí zahrnovat nejen klienty (prohlížeče, IM klienty, e-mailové klienty a další aplikace, které mají dynamické reklamy vestavěný do nich), ale také mobilní zařízení, která mohou přistupovat do podnikové sítě.
Je zřejmé, že ochrana pracovní stanice vyžaduje alespoň třídní Security Suite řešení anti-malware, který musí obsahovat:
ochrana proti zneužívání zranitelnosti; pokročilé HIPS s funkcí omezení přístupu, stejně jako heuristické a behaviorální analýza (včetně analýzy provozu); nástroje pro monitorování operačního systému (System Watcher nebo Hypervisor), v případě, že systém se nakazit. Pro spolehlivou ochranu pracovních stanic, je rozumné použít technologii ovládání aplikace, sbírat statistické údaje (zásob), na použitém softwaru v síti, nastavit aktualizaci mechanismy a umožnit Výchozí režim Deny.
Bohužel, v porovnání k ochraně pracovních stanic, ochrana mobilní zařízení je stále v raných fázích vývoje. Je velmi obtížné implementovat plnohodnotnou Security Suite nebo roztok Kontrola aplikací pro mobilní zařízení, protože by k úpravě firmware, což není vždy možné. To je důvod, proč Mobile Device Management (MDM), technologie je v současné době jediným účinným nástrojem pro ochranu mobilních zařízení, které se připojují k podnikové síti. Technologie může určit, které aplikace mohou být instalovány na zařízení, a které ne.
Počítačoví zločinci používají reklamních sítí k distribuci malwaru let. Ve stejné době, reklamní trh roste rychle, odbočovat do nových platforem (velkých internetových stránek, populární aplikace, mobilní zařízení), získat nové inzerenty, partnery, zprostředkovatele a agregátory, které jsou vzájemně propojeny do velmi zamotané síti. Problém reklamní síť je ještě jeden příklad ukazující, že rychlý vývoj technologie není vždy doprovázen odpovídajícím vývojem bezpečnostních technologií.
Dejte se na komplexní hesla, tvrdí Microsoft 12.9.2014 Zabezpečení Internet je plný rad o tom, jak by se uživatelé měli jít o výběru silná hesla, a na to, co by se mělo webových administrátoři implementovat, aby se jim to, a to, co ochrana mechanismy by měly být použity k ochraně těchto účtů, ale v závislosti na skupině výzkumníků společnosti Microsoft a Carleton University v Kanadě, tam je málo k dispozici návod, který je skutečně nese jasné, pevné důkazy.
Do heslo složení politiky fungují? Má vypršení platnosti nucené heslo zlepšení bezpečnosti? Do výluky pomáhá chránit službu? Co si heslo metrů dosáhnout? To jsou jen některé z otázek, Dinei Florencio, Cormac Herley a Paul van OORSCHOT chtěl najít odpověď. "Navzdory dlouhým známých nedostatků v obou bezpečnosti a použitelnosti, hesla jsou vysoce nepravděpodobné, že zmizí," poukázali v nedávno vydala papír. Takže, vzali to na sobě průzkum stávající literaturu a pomocí "ground-up, první principy uvažování," mají zřejmě zjistil, co funguje a co ne. Podle vědců, uživatelé obvykle dají účty v různých kategoriích , většinou na základě možných následků účtu kompromis. Na jednom konci spektra jsou účty, které uživatelé považují za nedůležité a můžete vybrat slabá hesla. Na druhé straně jsou rozhodující účty chtějí chránit, jak nejlépe umí, protože obsahují informace, které nechcete ztratit, nebo odhalily, nebo kriticky vázána na jiné účty, a které často volí složitá hesla a další možnosti ochrany (jako je ověřování multi-faktor). Pro uživatele je důležité nepoužívat stejné heslo pro účty v různých kategoriích. A webové správci by se měli snažit, aby odpovídajícím způsobem určit, v jakém prací kategorií jejich místo se dostane do, a zvolte možnost ochrany heslem a skladování. "Neměli bychom se rychle vyjádřit rozhořčení na učení, že password1 a 123456 jsou společné na veřejně zveřejněných seznamů heslo z napadených webů, jedná-li se nedělej péče účty v očích uživatelů. Nemělo by to být překvapením, že hesla uložená prostého textu na fantasy fotbalové stránky, "říkají vědci. Mezi věci, které vědci objevili , že skutečnost, že heslo pevnost přístroje jsou prakticky k ničemu, a tak jsou obvyklé návrhy pro výrobu delší a složitější heslo. Poukázali na to, že heslo, které bude odolávat on-line a off-line hádání hesla útoky jsou různé, a že "pokusy o získání uživatelům zvolit hesla, která budou bránit v režimu offline hádat, například tím, že složení politiky, poradenství a pevnosti metrů, musí být z větší části ohodnotili selhání. " "náročné hesla, která vydrží v režimu offline útok je přístup obrany do hloubky nutné pouze v případě, že místo se nepodařilo jak ochránit heslo souboru a detekovat únik a reagovat přiměřeně, "poznamenal také, že. Obrana "hesla proti on-line hovado nutit je odpovědnost, která by měla spočívat především na webových stránkách" uživatelů ramena správců (uživatelů mělo požadovat, jen si vybrat velmi časté hesla), jako by břemeno je chrání proti útokům off (hešováním a solení hesel, nebo pomocí reverzibilního šifrování a udržování dešifrovací klíč v bezpečí před rukou útočníků).
Kritická Bezpečnostní kontroly přijetí a provádění 12.9.2014 Zabezpečení Nová SANS průzkum hlásí 90% organizací, které se průzkumu přijaly některé nebo všechny z kritických bezpečnostních kontrol (CSCS) a že finanční a vládní průmyslu jsou přední osvojitelé těchto kontrol. "Organizace v celé řadě průmyslových odvětví dosahují stabilní pokrok směrem k přijímání, integraci a automatizaci CSCS, "říká James Tarala, SANS analytik a autor příspěvku výsledků průzkumu. "Stále existují problémy, které inhibují přijetí všech ovládacích prvků. Otázky personální obsazení, chybějící rozpočet a sil, které omezují komunikaci mezi IT bezpečnost a operace nadále překážky osvojitele setkání." 2014 V tomto průzkumu 63% respondentů obviňoval adopci trápení na Nedostatečné personální obsazení a personální zdroje, 54% uvedlo nedostatek rozpočtu a 36% vinu problémy adopce na probíhající odpojení mezi provozními a bezpečnostními sil. To jsou hlavní problémy zjištěné při průzkumu v loňském roce, které nezmizely. Ne všichni přijali všechny ovládací prvky, ani nejsou podle pořadí ovládacích prvků v současné době uveden jako 1-20. Ale ti, kteří jsou schopni měřit zlepšení z kontroly, že jsem přijatá, 24% uvedlo jasnější viditelnost, 16% si všiml ovládacích lepší držení těla rizik a 11% zlepšila jejich schopnost detekce pokročilých útoků. "Průzkum identifikuje řadu věcí Rady o kybernetické bezpečnosti [který hostí ovládací] může udělat pro podporu komunity osvojitele, říká Tony Sager, ředitel SANS Inovačního centra a hlavní technolog pro Radu o kybernetické bezpečnosti. "Například, mohou použít další pokyny a případové studie , kterou právě pracujete. " Potřeba více použitelných případových studií úspěšných implementací bylo identifikováno 65% respondentů, zatímco 54% uvedlo, že potřebujeme lepší provozní osvědčené postupy. Vzhledem k tomu, že primární sektory jsou zastoupeny v tomto průzkumu byly finanční a vládní instituce, vytváření pokynů pro tato dvě odvětví by skvělé místo pro start sdílení nových informací o osvědčených postupech z těch, kteří pracují v přední linii napříč těmito sektory .. Sager dodává: "Kontroly nejsou o tom mít nejlepší seznam věcí, které dělat, oni jsou o členech komunity navzájem pomáhat zlepšit jejich bezpečnost! "
Obsah bezpečnostní politiky (CSP) roste. 12.9.2014 Zabezpečení Mluvili jsme zde o obsahu bezpečnostní politiku (CSP) v minulosti. CSP se snaží řešit docela obtížný problém. Pokud jde o cross-site-scripting (XSS), prohlížeč a uživatel je obvykle oběť, ani ne tak server, který je náchylný k XSS. V důsledku toho, že je mnoho smyslu pro přidání ochrany do prohlížeče, aby se zabránilo XSS. To není snadné, protože prohlížeč nemá ponětí, co Javascript (nebo jiný obsah) očekávat od určitého místa. Microsoft implementoval jednoduchý filtr v IE 8 a vyšší, odpovídající obsahu předložené uživatelem na obsah odráží zpět na místo, ale tento přístup je poměrně omezený.
CSP je pokus definovat politiku informuje prohlížeč o tom, co očekávat od obsahu webu. Zpočátku, pouze Firfox podporován CSP. Ale v poslední době, CSP se vyvinul do standardu a ostatní prohlížeče začal ji [1] provádět. Velmi zrnitý langauge definován CSP umožňuje stránky přesně určit, jaký obsah je "legální" na určitém místě.
Implementace CSP na novém místě není tak strašné těžké, a může dokonce vést k čistší stránky. Ale nejtěžší je realizovat CSP na stávajících místech (jako jsou této stránce). Stránky růst "organicky" v průběhu let, a je těžké se vrátit později a definovat politiku. Jste povinni narazit na falešných poplachů, nebo vaše politika je uvolněná do bodu, kdy se stává smysl.
Naštěstí, CSP má mechanismus aby nám pomohl. Jste schopni definovat "Report URL" a prohlížečů bude hlásit všechny chyby, které se objevily na uvedené adresy URL. Zprávy jsou poměrně snadno čitelné JSON úryvky včetně stránky, která způsobila problém, politice, kterou porušil, a dokonce i výpis z části stránky, který problém způsobil.
V poslední době se několik pěkných nástrojů se vyskytly, aby bylo snazší analyzovat tyto zprávy a stavět CSP. Například Stuart Larsen realizován "CASPR" [2], plugin pro Chrome, který byl postaven na vytvoření CSP a analyzovat zprávy. Nástroje, jako je tento, aby provádění CSP mnohem jednodušší.
Jakékoliv jiné nástroje nebo zdroje, které chcete implementovat CSP?
Aktualizace: Dostali jsme pár dalších zdrojů v přes Twitter:
Pomocí "Virtuální optickými konektory" realizovat CSP na webové Application Firewall účtu Twitter se zaměřením na CSP: http://twitter.com/SeeEssPee
Díkyimeleven za zdůraznění, že Firefox byl první prohlížeč podporuje CSP. On také poukázal na tento snímek palubě: http://www.slideshare.net/imelven/evolving-web-security-model-V11-Portland-OWASP-may-29-2014
[1] http://www.w3.org/TR/CSP/ [2] http://caspr.io
Nový Firefox nabízí ochranu MITM pomocí veřejného klíče vypichování 6.9.2014 Zabezpečení Mozilla vydala nejnovější verzi Firefoxu (V32) pro Windows, Mac, Linux a Android, a nový prohlížeč sportovní některé pozoruhodné vylepšení zabezpečení. Za prvé, nová verze je veřejný klíč připnout podpora povolena. "Public Key Volba standardních stříbro je mechanismus pro weby určit, které certifikační autority vydaly platné CERT na tomto místě, a pro uživatele agenti odmítnout připojení TLS na těchto stránkách, pokud je certifikát není vydán známý dobrý CA. veřejný klíč balíků brání man-in- -middle útoky kvůli nepoctivým certifikačních autorit, které nejsou v seznamu stránek, "společnost vysvětlil a dodal, že skutečnost, že Firefox neměl podporu pro to, povolte je důvod, proč nezjistil podvodů SSL certifikáty vytvořené po útoku DigiNotar . Pro tuto chvíli, seznam připnul stránky obsahují Twitter "a některé její subdomény a vlastní stránky Mozilly. Budoucí verze budou hodit další Twitter on-line aktiv společnosti Google, Dropbox, účty Firefox a webové stránky TOR. Za druhé, společnost odstranili některé 1024-bit kořenové certifikáty ze svého seznamu Trust (digitální certifikáty, které používají 1024-bit RSA klíče nejsou považovány trezor), a za třetí, tři kritické, dva vysoké a jeden středně slabé místo zabezpečení, které byly opraveny . Tato nejnovější verze má také další vylepšení výkonu, seznam, ve kterém můžete vyzkoušet zde .
Nejnovější verze Firefoxu přidává lepší ochranu SSL
5.9.2014 Zabezpečení Firefox 32 implementoval funkci označovanou jako připnutí klíče certifikátu (certificate key pinning).
Společnost přidala ve své poslední verzi prohlížeče Firefox nový druh ochrany, která by měla pomoci zabránit kyberzločincům zasahovat do zabezpečené komunikace s velkými poskytovateli online služeb.
Funkce, známá jako připnutí klíče certifikátu, umožňuje online službám určit, které certifikáty SSL/TLS jsou platné pro jejich služby. Tyto certifikáty se používají k ověření, že web je legitimní, a také k oboustrannému šifrování přenášených dat.
Úkolem této funkce je zabránit útokům na zabezpečenou komunikaci klienta se serverem, k jakému například došlo v roce 2011, kdy se kyberzločincům podařilo proniknout do komunikace uživatelů se službou Gmail. Nizozemská certifikační autorita (CA), Diginotar byla buď podvedena, nebo napadena a vydala platný certifikát SSL, který fungoval pro doménu Google.
To teoreticky umožnilo útočníkům vytvořit pomocí falešného certifikátu SSL webové stránky, které vypadaly jako Gmail a které se z pohledu prohlížeče jevily jako zabezpečené a pravé. Bezpečnostní experti již dlouho varují, že hrozí útoky zaměřené na certifikační autority. Připnutí certifikátu by mělo tento druh útoku zastavit, protože Firefox by věděl, že Diginotar by pro Google neměl vydávat žádné certifikáty.
„Pokud bude ve Firefoxu 32 některý z certifikátů v řetězci ověřených certifikátů odpovídat jednomu z platných (připnutých) certifikátů, Firefox zobrazí ikonu zámku jako normální,“ napsal Sid Stamm, vrchní manažer pro zabezpečení a ochranu soukromí Mozilly, na blogu společnosti. „Když se kořenový certifikát pro připnutý web neshoduje se žádnou ze známých podporovaných certifikačních autorit, Firefox odmítne připojení a ohlásí chybu připnutí,“ dodal. „Připnutí“ pro certifikáty online služeb musí být zakódovány do Firefoxu. Firefox 32, vydaný tento týden, podporuje stránky Mozilly a Twitteru. Další verze Firefoxu by měly podporovat připnutí certifikátů pro stránky služeb jako Google, Tor nebo Dropbox.
Uhýbání Browser Zero dny - Změna Orga je výchozí prohlížeč centrálně 3.9.2014 Zabezpečení V nedávném příběhu o " co je to systémový administrátor dělat? ", jsme navrhli, že protože naše prohlížeče Zdá se, že se střídají s nulovými dnů v poslední době, že správce systému by měl mít zavedeny postupy pro přípravu, když jejich firemní standardní prohlížeč má zásadní chybu zabezpečení, která ještě nemá opravu. Správci by měli být schopni "tlačit" ven změnu pro jejich uživatele komunity výchozím prohlížeči během několika minut nula den je potvrzena.
Takže - Jak přesně byste to udělat v Active Directory domény?
Za prvé, má plochu nebo v nabídce Start, která používá HTTP: // nebo https: // - obvykle zaměřena na jeden nebo více podnikových aplikací. To není neobvyklé, že také firemní webové aplikace v nabídce Start. Ujistěte se, že žádný z těchto odkazů poukázat na programy navzájem, jen URI. To dostane lidi ve zvyku děrování tuto klávesovou zkratku každé ráno (nebo nebo s jí Auto-Start pro ně), jejich spouštění z na pravou nohu - s prohlížečem, který jste zvolili pro ně. S lidé začínají svůj prohlížeč skutečným odkaz na spustitelný maří účel nastavení výchozí hodnoty.
Ukazuje se, že jako výchozí prohlížeč lze změnit aktualizací pouhých 5 klíčů registru - preferovanou aplikaci pro htm a html soubory, stejně jako preferovanou aplikaci pro FTP, HTTP a HTTPS.
============ Klíče registru pro Firefox - reg-ff.reg ==============
Můžete kopat a najít spoustu dalších klíčů registru, které bude mít vliv na prohlížeč, ale to 5 bude hřebík většinu věcí ve spěchu - což je cíl. Můžete také najít více REG klíče, které změní výchozí prohlížeč, ale to jsou klíče stanovené ovládacím panelu (v systému Windows 7 tak jako tak), takže pro mě jsou to pravděpodobně nejbezpečnější klíče - ty, že pro dnešek alespoň budou s největší pravděpodobností pracovat nejspolehlivěji pro většinu prostředí.
Takže, co je nejjednodušší způsob, jak tlačit tato nastavení ven? Existuje několik způsobů, jak jít. Za prvé, uložte na výše uvedené tři různé textové bázi REG soubory
Nejjednodušší způsob, jak v mé knize je aktualizovat spuštění každého - v Zásady skupiny, přidejte následující Konfigurace uživatele / Nastavení systému Windows / Skripty (přihlášení / odhlášení)
registru evidovat / s prohlížeč chrome.reg (nebo REG je podle toho, co váš cíl).
Trik pak je dostat lidi do odhlásit a přihlásit - doufejme, že nutí lidi, aby odhlásit každý den nastavením zabrat odhlášení (dobrá věc, aby zvážila, pokud nejste, že dnes dělá), takže pokud jste si své změny než lidé obvykle začínají, budou se vaše aktualizace.
Pokud potřebujete, aby se zasadila na to s GPO v polovině toku můžete nastavit registru klíče přímo v zásadách skupiny, v rámci GPO> Konfigurace uživatele> Předvolby> Nastavení systému Windows> Registry
Microsoft vydává "správnou cestu" nastavit výchozí prohlížeč na několika různých stránkách, ale je to obvykle zahrnuje importu nastavení ze známého správné stanice To může být problém, pokud máte více operačních systémů, nebo chcete více skriptu řízený přístup.
Existuje jistě mnoho dalších způsobů, jak tlačit nastavení s využitím Zásad skupiny (pomocí ADM / ADMX soubory například), nebo skriptování pomocí Sysinternals nebo příkazy PowerShell. Přístup Sysinternals má spoustu odvolání, protože mnoho administrátoři již Sysinternals "jít opravit" přístup již ve svém toolbelt. Powershell se líbí, protože je to nový nástroj svist-bang-lesklý, ale spousta administrátorů se stále učí tento jazyk, takže to nemusí spadat do "to udělat rychle" kbelíku tak pěkně. ADMS bude absolutně dělat svou práci dobře - neměl jsem čas na slepení a ADM nebo ADMX soubor pro toto, ale dát mu šanci v příštích několika dnech (pokud jeden z našich čtenářů mi bije na to, že je! )
Po nastavení, každý prohlížeč lze nastavit pomocí zásad skupiny pomocí ADM od dodavatele nebo open-source nebo ADMX souboru. Importovat soubor prodejce ADM (X) do GPO, a budete moci nastavit nebo omezit prohlížeče třetí strany stejně snadno, jako vy IE.
Tento článek byl určen spíše jako soubor "rychlé a špinavé" způsoby, jak tuto změnu pro velké množství vaší uživatelské komunity ve spěchu. Pokud máte čistý skript nebo soubor ADM, který dělá tuto práci ve více elegantním způsobem, než jsem popsal, prosím, sdílet pomocí našeho formuláře komentář!
Coder pokusí hanbit aplikace a majitelé stránek pomocí protokolu HTTPS 27.8.2014 Zabezpečení Jak můžeme donutit majitelům webových stránek a vývojáře softwaru začít používat HTTPS? Coder Tony Webster se domnívá, očerňování by mohla být tou správnou odpovědí.
V tomto okamžiku, on vytvořil webové stránky s názvem HTTP hanbit a začalo vysílání příklady. On byl brzy spojený ostatními. Říká, že vytvoření místa byla vyvolána OS X přeinstalaci, že obnovit jeho pravidla uživatel firewall, a které mu umožnilo vidět, kolik aplikací se používá pravidelně rozesíláme nešifrovaná data. "Každý, kdo se sítí šňupání software může zachytit provoz v otevřených bezdrátových sítí, a je-li hesla a osobní informace jsou posílány, že útočník má nyní hodně špatné informace, které by mohly být použity způsobit spoustu problémů. Je to snadné pro dodavatele softwaru na vině dodavatele hardwaru a pro ně vinu provozovatele sítí, i když ve skutečnosti je to zodpovědnost každého na zajištění bezpečnosti pro své uživatele, "řekl poznamenal . "Neměli bychom být znepokojeni lidi krást finanční informace, je to jasné, že zaměstnavatelé a vládní agentury zachytit a analyzovat síť .. dopravní Víme o těchto problémech na dlouhou dobu, a každá společnost stále používáte nešifrovaná, plaintext HTTP zaslouží nějaké vážné hanbit " "společnost záměrně pomocí protokolu HTTP není chyba, je to rozhodnutí, design systémů - a samozřejmě hrozné jeden se na to. Pokud společnost nemá implementovat protokol SSL a je to rozbité, nebo nefunguje, to by mohlo být ve skutečnosti chyba, "řekl také poukázal na to, a dodal, že v tomto případě, který je zodpovědný zveřejnění by mělo být způsob, jak jít. Webové stránky v současné době sportovní přes dvě desítky příkladů , a některé z těchto pracovních míst již částečně splnil svůj účel. iStat menu "prodejce bjango řekl, že se bude diskutovat o změnu informací o cestě a aktualizace jsou odesílány a od uživatelů a společnost za populární organizace turistická prezentace TripIt, který byl pokáral za pomocí protokolu HTTP odesílat citlivé údaje (jméno, údaje o letu, rezervace hotelu, atd), oznámila, že se "pilně se pohybovat CAL (Endar) kanály HTTPS a zároveň minimalizovat narušení pro uživatele." UPDATE: "Kalendář zdroj TripIt je byl aktualizován, takže jsme 100% HTTPS, "mluvčí společnosti informoval mě. "Jsme se dostanete k našim zákazníkům, abychom jim dali vědět o Aktualizovaný kalendář zdroje."
Mocana nabízí alternativu k OpenSSL na web serveru Apache 21.8.2014 Zabezpečení Na Black Hat USA 2014 konferenci, Mocana debutoval své podnikové třídy Northstar bezpečné řešení konektivity pro webové servery Apache, vysoce bezpečný, drop-in náhrada za zranitelnosti náchylné a široce přijaté OpenSSL zásobníku.
OpenSSL je výchozí kryptografické knihovny poskytovány pro webové servery Apache. Podle 06 2014 Netcraft Web Server Survey, Apache webové servery moci o 51 procent téměř 200 milionů aktivních webových stránek na celém světě - to aktivně správu obsahu a poskytování informací a služeb pro uživatele internetu. vyvinuta s využitím nejmodernějších programovacích postupů a nástrojů, které odborníci na bezpečnost, aby bylo dosaženo nejvyšší kvality kódu, Mocana NorthStar dostane podnik ho zabezpečení záplatování běžecký pás s kvalitním SSL / TLS alternativa k OpenSSL, který může být instalován na serveru Apache pomocí jediného příkazu během několika minut. NorthStar je Mocana je první podnikové řešení pro Secure Sockets Layer (SSL) a Transport Layer Security (TLS) protokoly. Obsahuje všechny potřebné spojovací "lepidlo", které je potřebné pro jednoduché, přímá náhrada za OpenSSL na web serveru Apache. Mocana nabízí také NanoSSL řešení pro vývojáře poskytovat zabezpečený přenos dat pro switche, routery, přístupové body a modemy, stejně jako lékařské zařízení, průmyslové senzory, inteligentních sítí zařízení, kamery a mnoho dalších embedded zařízení, které tvoří internet věcí. " Složitost je nepřítel bezpečnosti a s 457.000 řádků kódu, které je potřeba záplatování zdánlivě každý týden, OpenSSL má stále mnoho IT manažerů vzhůru v noci a čekal, reagovat na další oznámenou chybu zabezpečení. Kód pro zásobník TLS v Northstar je jen zlomek této velikosti, a je komplexně testován, "řekl James Blaisdell, CTO Mocana. "open source komunita učinila četné užitečné a oblíbené příspěvky na softwarovém průmyslu, včetně Apache server sám o sobě. Ale je zřejmé, že v případě OpenSSL, tato cesta se nepodařilo držet krok s průmyslovými a dodržování požadavků. Mocana NorthStar poskytuje rychlý a snadný způsob, jak pro organizace, k odstranění této bolesti bod s profesionálně vyvíjí, testuje a udržované implementace SSL, který je založen na naší velmi úspěšné NanoSSL produktu, který se ukázal jako v dlouhém seznamu kritických aplikací. " Řešení je nyní k dispozici pro všechny hlavní platformy Linux. Licencované zákazníci obdrží zdrojový kód a Předkompilované verze se na server perpetuálu nebo licencí předplatného a množstevních slev.
Yahoo bude nabízet end-to-end šifrování pošty do roku 2015 21.8.2014 Zabezpečení Od začátku letošního roku, Yahoo má několik dobrých zpráv pro své zákazníky: Yahoo Mail má HTTPS ve výchozím nastavení zapnuta a společnost začala šifrovat veškerý provoz pohybující se mezi datovými centry. At Black Hat v Las Vegas ve čtvrtek, Yahoo CISO Alex Stamos oznámila, že společnost bude zavádění end-to-end šifrování pro Yahoo Mail, a učiní tak pomocí upravené verze prohlížeče plugin End-to-End vytvořený firmou Google. Firma najala soukromí inženýr Yan Zhu - dříve inženýr Electronic Frontier Foundation - provést nezbytné změny a implementovat řešení od roku 2015 Dříve pracovala mimo jiné na Kamkoliv rozšíření prohlížeče Evropského rybářského fondu HTTPS. Cílem je, aby se šifrování váš e-mail tak snadné, že uživatelé budou šťastně použijte volbu, ale Stamos říká, že oni budou nicméně muset vzdělávat uživatelům trochu a určitě, aby pochopili, že zatímco obsah zašifrované zprávy jsou bezpečné, příjemce e-mailu je a bude znám. Další skvělá zpráva pro vystrašených uživatelů je, že Yahoo nemá přístup k šifrovacích klíčů, protože zprávy jsou kódovány na počítačích uživatele před odesláním. To také znamená, že orgány činné v trestním a zpravodajské agentury nemůže požadovat klíče od společnosti. Tento je povinen být dobrý prodejní místo pro Yahoo a Stamos také poukázal na to, že si žádný očekávají tuto změnu mít nepříznivý dopad na příjmy . Yahoo nebude moci zkontrolovat šifrovaných zpráv pro účely reklamních, to je pravda, ale šifrované zprávy nebude výchozí. "vstupenka do Las Vegas, aby Spojené vás e-maily - a že jsme použít k zobrazení reklam Vegas na vás - nikdy bude zašifrována, "řekl poukázal . Ostatní, více soukromých zpráv nemají moc komerční hodnotu.
Oracle představuje klenby pro šifrovací klíče, peněženka soubory 21.8.2014 Zabezpečení Šifrování je široce uznávána jako zlatý standard pro ochranu soukromí dat, ale šifrování je jen tak silný jako jeho správu klíčů. Kritické pověření soubory, například Oracle peněženky soubory, Java úložiště klíčů, Secure Shell (SSH) klíčových souborů a Secure Sockets Layer (SSL) certifikačních soubory jsou často široce distribuována mezi všechny servery a clustery serverů, které používají náchylné k chybám synchronizace a zálohování mechanismy. Jako organizace stále více šifrovat data v klidu a na síti, bezpečně řídit veškeré šifrovací klíče a pověření soubory v datovém centru se stala velkou výzvou.
Současně, organizace také musí splňovat přísné regulatorní požadavky na správu klíčů a certifikátů. Mnoho globálních předpisy a průmyslové normy vyžadují audity, které prokazují, že klíče jsou stále otáčí, řádně zničena, a přístup pouze oprávněné subjekty. Chcete-li řešit potřebu robustní správy klíčů, Oracle představil Oracle Key Vault , software zařízení navrženy tak, aby bezpečně spravovat šifrovacích klíčů a pověření soubory v podnikových datových centrech. Oracle klíčovým trezorovým, nejnovější přírůstek do bezpečnostní databáze portfolia Oracle, poskytuje bezpečné a centralizovanou správu šifrovacích klíčů a pověření souborů v datovém centru, včetně Oracle peněženky souborů, Java úložiště klíčů Kerberos keytab soubory , SSH klíče soubory a soubory SSL certifikát. Optimalizováno pro Oracle Technology zásobníku, včetně Oracle Database a Oracle Fusion Middleware Oracle Key Vault lze nasadit bez problémů ve stávajících podmínkách. Vyrobeno pro x86-64 hardware, plně integrovaný software zařízení používá Oracle . Linux a Oracle Databázové technologie pro zabezpečení, dostupnost a škálovatelnost funkce Oracle klíčovým trezorovým patří následující:
Snadná archivace a obnovy. Nové řešení archivy Oracle peněženka soubory, Java úložiště klíčů a další pověření soubory v hlavním úložišti, podporující rychlé a snadné sdílení souborů a zotavení. Centralizovaná správa. Oracle klíčovým trezorovým je prohlížeč založený management konzole nabízí správu point-and-click, zjednodušený zápis serveru a zprávy o auditu. Zjednodušené sdílení. Organizace mohou bezpečně sdílet Oracle peněženka soubory standardech založené šifrované soubory, které lze bezpečně ukládat klíče a související metadata používané komponenty Oracle stohu přes databázových clusterů nebo prostředí pro zotavení po havárii. Produkt hladce spolupracuje s Oracle Real Application Clusters, Oracle Active Data Guard a Oracle GoldenGate. Flexibilita. V Oracle Database prostředí pomocí Oracle Advanced Security s Transparentní šifrování dat (TDE), Oracle Key Vault spravuje TDE klíče přes přímé připojení k síti jako alternativa k místní Oracle peněženku. Shoda s normami. Na OASIS Key Management Interoperability Protocol (KMIP) může na základě Oracle klíčovým trezorovým spravovat klíče od KMIP kompatibilních klienty.
Microsoft odložil blokování Javy v Internet Exploreru
19.8.2014 Zabezpečení V dodatku k příspěvku na svém blogu z minulého týdne Microsoft nyní uvedl, že na operačních systémech Windows 7 a Windows 8 odsouvá blokování zastaralých javových modulů o necelý měsíc. „S ohledem na odezvu našich uživatelů jsme se rozhodli počkat... před tím, než začneme blokovat zastaralé plug-iny vytvořené v Javě,“ uvedla společnost s tím, že blokování začne od úterý 9. září. Toto datum je shodou okolností také druhé úterý v měsíci, kdy Microsoft standardně vydává od roku své měsíční bezpečnostní aktualizace.
Microsoft původně uváděl, že nová funkce – která se poprvé objevila v aktualizaci pro IE8, IE9, IE10 a IE11 pro Windows 7 a IE10 a IE11 pro Windows 8 a 8.1 tento týden – začne ihned blokovat staré verze javových prvků. Podle Microsoftu je toto blokování nezbytným bezpečnostním vylepšením, i když pravdou je, že konkurenční prohlížeče se ve vztahu k zastaralým javovým prvkům chovají stejně, či ještě přísněji, už roky. Microsoft vytvořil seznam, na nějž bude postupně vkládat další a další zakázané javové plug-iny, jakmile vyhodnotí jejich nebezpečnost.
Jakmile je nová funkce zapnuta, Internet Explorer začne zobrazovat varování, pokud se zaznamená pokus o spuštění prvku postaveného na staré verzi Javy. Jakou starou verzi Javy Microsoft definuje jakoukoli verzi kromě Java SE 8 Update 11 vydanou v červenci tohoto roku. Uživatelé si následně budou moci vybrat mezi ignorováním upozornění nebo aktualizací Javy. Správci IT mohou přizpůsobit upozornění na jednotlivých počítačích za pomoci skupinové politiky až do té míry, že mohou upozornění zcela vypnout. Zaujal vás tento článek? Přehled nejzajímavějších zpráv získáte odebíráním našeho newsletteru »
Microsoft se rozhodl celý proces odložit do 9. září poté, co obdržel celou řadu stížností jak od koncových zákazníků, tak od svých velkých klientů. Ti poukazovali na to, že šablona skupinové politiky, pomocí které mohou správci IT provést potřebná nastavení, je dostupná pouze od minulého víkendu a první příručka pro správce byla vydána až tento čtvrtek.
„Co takhle před takovou změnou uživatele dostatečně dopředu upozornit?! Nápad je to dobrý, ale dokumentace vydaná 7. srpna a implementace aktualizace 12. srpna? Kdo stojí za tímto stupidním rozhodnutím?“ ptal se na oficiálním fóru jeden ze čtenářů. Správci jiných organizací se k nové funkci vyjadřovali obecněji. „Pokud surfování po internetu vyvolá spoustu hovorů na podporu od rozzuřených uživatelů, kteří budou chtít upgradovat Javu, bude to velký problém,“ dodal další.
Microsoft novou blokovací funkci zařadil do balíku bezpečnostních aktualizací označeného jako MS14-051, takže pokud uživatelé nechtějí přijít o šestadvacet bezpečnostních aktualizací IE, které tento balík obsahuje, musejí novou funkci akceptovat.
92% značek selhání testu zabezpečení e-mailu 14.8.2014 Zabezpečení Online Důvěra Alliance (OTA), non-zisk, jejímž posláním je zvýšit on-line důvěru a posílit postavení uživatelů, oznámila výsledky své zprávě o auditu Integrity 2014 e-mail, včetně jeho e-mail Důvěra Scorecard. Z téměř 800 špičkových spotřebitelských webových stránek hodnoceny, OTA našel jen 8,3 procent spotřebitelů čelí webové stránky prošly a tak 91,7 procenta se nezdařilo. Drtivá většina firem a vládních agentur nejsou po přiměřené kroky, které pomohou zajistit, aby spotřebitelé a obchodní partneři mohou v případě e-mailů rozeznat pocházející z jejich domény jsou pravé nebo padělané. Scorecard měří přijetí tří kritických email bezpečnostních protokolů: Sender Policy Framework (SPF), DomainKeys Určená Mail (DKIM) a Domain-based Message Authentication, Reporting a shody (DMARC). "Když organizace provést zvláštní Napsat bezpečnostní protokoly, výsledky se zvýší ochranu spotřebitelů z příjmu škodlivý a podvodné e-maily, posílila pověst značky, a lepší dosažitelnosti legitimní e-maily, "řekl OTA výkonný ředitel a prezident Craig Spiezle. "Přes zřejmé výhody, většina organizací se ještě přijmout postupy komplexně, uvedení spotřebitele a jejich značky v ohrožení. " scorecard našel e-maily, údajně, aby se ze sociálních mediálních společností, že je nejdůvěryhodnější a federální agentury, že minimálně, se všemi odvětví významně nepřijetím zabezpečení e-mailu osvědčených postupů. Konkrétně se jedná o procento podniků procházejících OTA Email Důvěra Scorecard porouchal takto:
28 procent z top 50 sociálních médií společnosti 17 procent z top 100 společností, finanční služby 14 procent z top 100 Internet obchodních firem 6 procent z 50 zpráv společnosti 6 procent z top 500 internetových obchodů 4 procenta z 50 amerických vládních agentur. Využitím e-mailovou ověřování, může organizace chránit jejich značky a spotřebitele z příjmu kované e-mail. Oba DKIM a SPF jsou e-mailové ověřovací protokoly určené pro detekci falšování e-mailovou tím, že poskytuje mechanismus, který umožňuje příjem mailových serverů potvrdit pravost e-mailu. budovy na SPF a DKIM protokolů DMARC přidává politika tvrzení poskytuje příjem sítích (ISP a podnikových sítí ) směr o tom, jak zacházet zpráv, které může selhat ověřování. Stejně důležité, DMARC poskytuje mechanismus pro podávání zpráv zpět majiteli značky / domény. "více než 400 milionů uživatelů po celém světě Microsoft si uvědomuje výhody SPF, DKIM a DMARC. Jako e-mailové hrozby a kopí phishing růst, každá firma by měla email ověřování prioritou chránit své zákazníky, jejich zaměstnance a jejich značky, "řekl John Scarrow, generální ředitel bezpečnostní služby, Microsoft Corporation.
Ověření preferovaný SSL / TLS šifry s Nmap
11.8.2014 Zabezpečení
V posledním roce či dvou, tam bylo hodně mluví, pokud jde o správné použití SSL / TLS kódy na webových serverech. Vzhledem k různým incidentům více či méně známých incidentů, webové stránky dnes měli používat PFS (Perfect Forward Secrecy), což je mechanismus, který se používá, když je SSL / TLS spojení zavedený a symetrické klíče vyměnit. PFS zajišťuje, že v případě, že útočník získá soukromý klíč serveru, že nemůže dešifrovat předchozí SSL / TLS spojení na tomto serveru. Pokud PFS se nepoužívá (je-li RSA se používá pro výměnu symetrického klíče), pak může útočník snadno dešifrovat * Všechny * předchozí SSL / TLS spojení. To je špatné. Nicméně, celý proces výběru šifru není tak triviální. Ve výchozím nastavení se klient představí svůj preferovaný druh šifry použité a pokud server podporuje tuto šifru, že bude vybrán. To je, samozřejmě, není optimální v prostředí, kde chceme být jisti, že bude vždy vybrán nejbezpečnější šifru, takže správci často umožňují jejich servery, takže si vybrat preferovaný kód. To umožňuje správci povolit pouze kódy, které chce, aby používali, a navíc definovat své priority - server bude vždy snažit vybrat šifru s nejvyšší prioritou (což by mělo být "nejbezpečnější jeden"). Pouze v případě, že klient nepodporuje tuto šifru, server bude pohybovat na další a tak dále, dokud nenajde ten, který je podporován klientem (nebo, pokud se tak nestane, SSL / TLS spojení se nezdaří!) .
To je dobré, a proto jsem začal doporučovat správce webového serveru lze konfigurovat své servery tak, že PFS kódy jsou zapnuté. Nicméně, při několika příležitostech jsem si všiml, že se správci nesprávně nastavte požadované šifrovací sada pořádek na serveru. To může vést k non-PFS šifrovacích apartmá vybrané, i když server i klientská podpora PFS.
Jak již bylo zmíněno dříve, to se stane, protože klient odešle seznam podporovaných šifer a výběry server "nejsilnější one", podle jeho seznamu preferovaných. SSL Labs "( https://www.ssllabs.com/ssltest ) ukazuje, že to, když testování s referenčními prohlížečů, ale chtěl jsem, aby bylo možné zkontrolovat sám, z příkazové řádky, a to zejména, když jsem testování serverů, které nejsou dosažitelné pro SSL Labs (nebo nechci, aby viděli výsledky).
Tak jsem upravil nmap ssl-enum-ciphers.nse skript seznamu preferovaných šifry kromě jen výčet kódů. Já používám tento skript hodně do seznamu podporovaných šifry, ale já jsem byl chybí v seznamu preferovaných šifry. Pojďme se podívat na následující příklad:
Teď se věci zajímavé. Můžete vidět, že server podporuje šifry PFS (ty začínající TLS_DHE jsou šifry PFS) v původním seznamu (v zeleném). Nicméně, podívejte se na preferovaných šifry seznamu (v červené barvě). Vzhledem k tomu, TLS_RSA_WITH_AES_128_CBC_SHA je přednostní šifra server, naprosto každém prohlížeči, který dnes (Mozilla, Chrome, IE, Safari), skončí použití této šifry - Vzhledem k tomu, že všechny podporují ji. Takže, i když jsou povoleny PFS šifry, se nikdy zvyknout!
Samozřejmě, že se jedná o chybu v konfiguraci webového serveru. Pojďme opravit tak šifry PFS mají vyšší prioritu a spusťte nmap skript:
Mnohem lepší! Nyní jsou šifry PFS přednostní a většina prohlížeč bude používat. Můžeme dokonce potvrdit s SSL Labs - všechny relativně nových prohlížečích, které podporují PFS bude vybírat ty šifry.
Takže, pokud chcete použít tento skript otestovat své servery, najdete ji na https://github.com/bojanisc/nmap skriptů - Nahlaste nám prosím jakékoliv chyby mě.
Nakonec jsem jej předložila Nmap, takže doufám, že dostane přidáno do oficiální distribuce. Tam je chyba, že Daniel Miller si všiml - v případě, že server podporuje více než 64 šifry, a server se systémem Microsoft Windows, bude skript selže na seznam preferované šifry.
Důvodem pro to je, že když se klient připojí, Microsoft (součást Schannel předpokládám) bere v úvahu pouze první 64 šifry uvedené klientem. Ostatní šifry jsou ignorovány. To je důvod, proč původní ssl-enum-ciphers.nse Nmap skript rozdělí šifry na kousky 64. Nemám ponětí, proč se Microsoft udělal to (od spec říká, že klient může obsahovat tolik, kolik chce). Nicméně, je to jednoznačně problém.
A teď, jsem neviděl žádné webové servery, které podporují více než 64 šifry ve volné přírodě - dejte mi vědět, pokud zjistíte, že jeden. Kromě toho, podle tohoto článku: http://msdn.microsoft.com/en-us/library/windows/desktop/bb870930%28v=vs.85%29.aspx , seznam souprav kódu v systému Windows je omezena na 1023 . znaky Protože většina šifer názvy jsou 20 a více znaky, mohlo by to znamenat, že nemůžete opravdu více než ~ 50 šifry aktivní v počítači se systémem Windows - jsem netestovala tuto ačkoli.
65 výzvy, které cloud computing představuje pro forenzní vyšetřovatelé 24.7.2014 Zabezpečení
Národní institut pro standardy a technologie (NIST) vydal k veřejné kontrole a komentovat návrh zprávy shrnující 65 výzev, které cloud computing představuje pro forenzní vyšetřovatelé, kteří odkrýt, shromažďují, zkoumají a sledují digitální důkazy, aby pomohla řešit zločiny.
Zpráva NIST Cloud Computing Forensic Science výzvy , byla připravena na NIST Cloud Computing Forensic Science pracovní skupiny, mezinárodního orgánu mrakem a digitálních znalců z oblasti průmyslu, státní správy a akademické obce. Prostřednictvím zprávy, pracovní skupina má za cíl zahájit dialog o forenzních obavy v cloud computingu ekosystémů. "Dlouhodobým cílem tohoto úsilí," vysvětluje NIST Martin Herman, spolupředseda pracovní skupiny, "je vybudovat hlubší porozumění a shoda na, vysoce prioritní problémy, takže veřejného a soukromého sektoru může spolupracovat na efektivní řešení. " ultimate v distribuované výpočty, cloud computing je revoluční, jak se digitální data uložena, zpracována a předána. Umožňuje pohodlné, na vyžádání přístup ke sdíleným bazénem konfigurovatelných počítačových zdrojů, včetně serverů, skladování a aplikace v síti. Mezi výhody patří úspory, pohodlí a větší flexibilitu v tom, jak podniky a další spotřebitelé využívají informační technologie. vlastnosti, které činí tento nový technologie tak atraktivní také vytvářet problémy pro forenzních vyšetřovatelů, kteří musí vystopovat důkazy v neustále se měnící, elastické, na vyžádání, self-provisioning cloud computing prostředí. I když se chopí tabletu nebo přenosný počítač na místo činu, by digitální bojovníci kriminality přijít s prázdnýma rukama, pokud tato zařízení jsou spojeny s sdružených prostředků v cloudu. Technické problémy-zaměření návrhu zprávy-habaděj, ale téměř všechny se protínají s právními a organizačními otázkami. Na 65 výzev, které pracovní skupina identifikována jsou rozděleny mezi devíti kategoriích. Mezi ně patří architektura, sběr dat, analýza, normy, školení a "anti-forenzní vědy", jako jsou údaje o úkrytu a malware. Tyto technické problémy ", je třeba chápat s cílem rozvíjet technologie a standardy-založené přístupy zmírnění," návrh zprávy říká, .
App "telemetrie" 23.7.2014 Zabezpečení
Jen ISC čtenář James byl nainstalován "Foxit Reader" na svém iPhone, a odpověděl "NO" na "S cílem pomoci nám zlepšit Foxit PDF Mobile, bychom chtěli shromažďovat anonymní data o používání ..." otázky, když si všiml, jeho telefon mluvit do Číny stejně. Připojen k site byl alog.umeng.com, 211.151.151.7. Umeng je "aplikace telemetrie" a on-line reklamní společnost. Níže je, co byl poslán (některé z IDS jsou maskovány nebo byly popletl)
Zejména se mi líbí "is_pirated: Ne". Hodí se "is_snooping: Ano", která se však chybí výměny ...
HID pomůže mBank zvýšit bezpečnost jejich on-line bankovnictví
22.7.2014 Zabezpečení Polská mBank zavádí řešení na bázi multifaktorového ověřování od společnosti HID Global pro zabezpečené internetové a mobilní bankovnictví.
Společnost HID Global, jež se specializuje na oblast řešení bezpečné identifikace, dnes oznámila, že polská bankovní společnost mBank (jež je součástí německé skupiny Commerzbank), úspěšně zavedla tokeny ActivID DisplayCard. Řešení zajistí klientům korporátního bankovnictví mBank přístup k účtům na bázi multifaktorové autentizace.
Cílem mBank bylo najít bezpečné, pohodlné a inovativní řešení autentizace, které lze snadno implementovat. Tokeny ActivIDDisplayCard společnosti HID Global byly vybrány mimo jiné i díky patentovanému algoritmu HID Global, jenž dokázal spolupracovat se serverovým systémem společnosti mBank. Firma HID Global byla navíc bankou uznána jako renomovaná značka s dlouhodobým působením v oboru a s řadou úspěšných implementací v posledních deseti letech.
Tokeny ActivID DisplayCard jsou autentizační řešení ověřování ve stylu kreditní karty, a jsou vybaveny touchpadem pro bezpečné zadání PIN.
„Díky společnosti HID Global můžeme svým klientům korporátního bankovnictví nabídnout pokrokovou, pohodlnou a bezpečnější metodu multifaktorového ověřování identity při přístupu k jejich účtům na internetu a v mobilních telefonech,“ řekl Aleksander Gawroński, ředitel elektronického bankovnictví v mBank.
„Jsme velmi hrdí, že jsme se mohli účastnit projektu mBank. Řešení pro ověřování identity od společnosti HID Global se na trhu konzistentně osvědčuje jako nejspolehlivější a velmi důvěryhodné,“ shrnuje Harm Radstaak, generální ředitel HID Global pro oblast EMEA.
Obě společnosti plánují pokročilá bezpečnostní řešení rozšířit v budoucnu i na klienty retailového bankovnictví mBank.
Wi-Fi zabezpečení a falešné ac / dc poplatky ohrozit vaše data na mistrovství světa 2014 16.7.2014 Zabezpečení Když jsme na cestách máme tendenci přinést spoustu inteligentních přístrojů s námi. Je skvělé mít možnost podělit se o krásnou fotografii, aby lidé věděli, kde jste, nebo dát své nejnovější zprávy na Twitteru či Facebooku. Je to také dobrý způsob, jak najít informace o restauracích, hotelech a dopravní spojení. Ale to vše, co potřebujete připojení k Internetu.
Bohužel, roaming plány mobil údaje jsou obecně velmi drahé, takže mnozí cestující jen tak zdarma dostupné přístupové body Wi-Fi v místech, které jsou, hledám je a používat je bez obav o bezpečnost. Nicméně, to je velmi riskantní přístup, protože všechny data, odesílat a přijímat na otevřených Wi-Fi sítí by mohly být zachyceny. Pokud se tak stane všechna vaše hesla, PINy a další citlivé údaje by mohly spadnout SINTO rukou cybercriminal je. Ve skutečnosti někteří zločinci nainstalovat falešné přístupové body, speciálně konfigurované řídit veškerou komunikaci prostřednictvím počítače, který může ovládat ji, možná dokonce funguje jako stroj "man-in-the-middle", který zachytí a přečte šifrovaný provoz. K dispozici je vážné nebezpečí, že ztratí všechny vaše citlivá data, a to všechno z vašich peněz. Při cestách daleko od domova, je to katastrofa čeká se stane.
S ohledem na tuto skutečnost, podívali jsme se do Wi-Fi připojení k internetu v Sao Paulu. Jeli jsme 100 kilometrů po městě a kontrolovat více než 5000 různých přístupových bodů. Zaměřili jsme se na místa, která turisté navštíví - parky, nákupní střediska, letiště a dalších turistických atrakcí. Tak, jak bezpečné - nebo ne - jsou sítě Sao Paulo je Wi-Fi? Pojďme se podívat.
Wi-Fi studie v Sao Paulu
Studie se konala v polovině května 2014. Našli jsme více než 5000 různých přístupových bodů ve městě a některé z nich jsou zjevně nejsou zajištěny vůbec. Nejprve se pojďme podívat na detaily, takže si můžete vytvořit svůj vlastní názor o zachování pověření a citlivá data v Brazílii.
SSID
SSID je název, který Wi-Fi přístup k síti bod je přidělen, když se k němu připojit. Majitelé Některé Přístupový bod je nechat ji s výchozí konfigurací, jiní definují nový vlastní název a jen málo z nich definovat nový specifický název, a pak pokračovat se to skrýt, takže to není vysílání pro veřejnost.
fifa3_wi-fi_security_en_1
Jak můžete vidět, pouze 6% všech přístupových bodů Wi-Fi jsou skryté. Zároveň 5% dostupných bezdrátových sítí správu konfigurace SSID ve výchozím nastavení, což znamená, že útočníci mohou snadno zjistit původ sítě a najít správnou zranitelnost získat plný přístup správce k přístupovému bodu. Obecně platí, že je to špatná praxe opustit SSID ve výchozím nastavení; to nezlepší bezpečnost, ale dělá život cybercriminal je jednodušší. Nejlepší praxe bude definovat SSID a pak držet to skrytý. Bohužel jen málo zařízení kdekoliv na světě používají tento přístup.
Typy sítí Wi-Fi
Většina přístupových bodů, které jsme našli v Sao Paulu se podařilo, ale 1% sítí je ad-hoc:
fifa3_wi-fi_security_en_2
Co to znamená? Pokud jste připojeni k síti ad-hoc, vše posílat a přijímat prochází hostitele nebo počítače. To by mohlo být řízena někým, s dobrými nebo špatnými úmysly. Jinými slovy, údaje projde rukama neznámých jednotlivců, kteří mohou dělat nic - nebo může vyzvednout, a extrahovat citlivé údaje. Pokud nechcete přijít o svá data je lepší nepoužívat takové sítě.
Wi-Fi zabezpečení v Sao Paulu
fifa3_wi-fi_security_en_3
Po analýze více než 5000 různých přístupových bodů, jsme zjistili, že nejméně 53% z nich má ověřování WPA2, což je dobře. Nicméně opravdu strach pochází ze skutečnosti, že 26% ze všech sítí jsou zcela otevřený a nepoužívejte žádné šifrování. Tyto otevřené sítě obvykle nabízejí bezplatný přístup k internetu, takže jsou velmi populární mezi návštěvníky. K dispozici je velké riziko, když se připojíte k jedné z těchto sítí. Ty data jsou přenášena ve formátu prostého textu, pokud server, ke kterému se připojujete k spravuje SSL šifrování. Pokud řeknete: "Dobře, já jsem v pořádku, protože všechny webové stránky jsem se procházet mít SSL", můžete být stále v pořádku. Problém je, že ne všechny webové stránky mají plné šifrování SSL, mám na mysli některé webové stránky použít pouze pro ověřovacího procesu, kdy jsou vaše přihlašovací údaje přenášeny na server, ale všechny následující údaje pokračuje ve formátu prostého textu. Co to znamená? Řekněme, že jste přihlášení ke svému e-mailu. Server vytvoří spojení SSL a přenáší své uživatelské jméno a heslo bezpečně. Jakmile jste uvnitř vašeho e-mailu a začít psát e-mail a odeslat ji, to jde jako prostý text. Útočník na stejné Wi-Fi síti mohl zachytit a přečíst si ji tak snadno, jako si můžete na vlastní obrazovce. Takže pokud máte poslat e-mail, který obsahuje citlivé údaje - kde jste ubytováni, vaše číslo pasu atd. - všechny tyto informace jdou rovnou do cybercriminal.
To není jediné nebezpečí. Útočník s použitím stejného Wi-Fi síť by mohla zahájit "man-in-the-middle" útok. Najednou někdo pomocí sítě pro přihlášení k e-mailu, sociálních sítí, on-line bankovnictví nebo jiné webové stránky dostat popup prohlašovat certifikát SSL je zastaralý. Většina lidí automaticky přijmout navrhovaný nový certifikát, jen aby zjistil, že je to nebezpečný trik, jak svou komunikaci šifrovat a dešifrovat ji znovu před tím, než dosáhne svého zamýšleného cílového serveru. Počítačoví zločinci raději používat otevřené sítě Wi-Fi, tak prosím, zůstat ve střehu, a ne jen kliknout na jakékoliv popup zprávy. Přečtěte si varovné zprávy a pak se rozhodnout. Pokud máte pocit, něco je špatně, nebo spojení se nechová normálně, odhlaste se a hledat někde jinde, aby se on-line.
Dalším bezpečnostním problémem souvisí s WPA chráněné sítě. Můžete si myslet, že jsou chráněny, ale ve skutečnosti, WPA je slabá implementace v dnešní době a může být rozdělena do několika minut útočníky. Tyto sítě by měly být považovány za potenciálně nezabezpečené, a to je lepší, aby se zabránilo jejich použití.
Wi-Fi dodavatelů v Sao Paulo
Naše statistiky ukazují, že nejoblíbenější prodejci v Sao Paulu jsou nyní CISCO a D-Link.
fifa3_wi-fi_security_en_4
Většina prodejců spravovat zabezpečení přístupového bodu a to zejména upgradu firmwaru procesů jako uživatel závislé činnosti na vyžádání. To znamená, že i v případě, že je veřejně známá chyba zabezpečení, která umožňuje vzdáleným útočníkům získat plný přístup administrativy k zařízení, to nemůže být oprava automaticky, pokud uživatel k dispozici na webu dodavatele, stáhnout tuto opravu a pak pokračovat v procesu upgradu podle nahrávání nového firmware do svých koncových bodů pomocí ethernetového kabelu.
Většina uživatelů Wi-Fi najít to složitý proces; mnozí ani nevědí, jak zkontrolovat, zda jejich zařízení je zranitelný. Tolik přístupové body zůstávají unpatched a náchylné ke vzdáleným útočníkům. Útočníci mohou získat plný přístup, a poté změňte nastavení ISP DNS ty škodlivé. Za to, že někdo procházení od daného přístupového bodu bude mít jejich provoz směrován přes škodlivých serverů DNS, které přesměrovávají je na falešné stránky, kdykoli se pokusíte o přístup k bankovnictví či platební služby. To je děsivé a velmi ošklivé technika, neboť i tiché uživatelé zkušený bezpečnostní mohli snadno přijít o své peníze. Podvodný útok se děje na vrstvě DNS, když váš koncový bod je žádost o jméno, ale server, budete přesměrováni, je zcela škodlivý jedna.
Doporučení
Jeden z zlatých pravidel při práci na jakékoli síti Wi-Fi je vždy přistupovat prostřednictvím připojení VPN! Pokud nemáte nějaké, prosím, dostat jeden a nainstalovat jej do všech svých zařízení - chytré telefony, tablety, notebooky, atd. Někdy můžete najít Wi-Fi sítí, kde jste VPN je blokován. To je něco jako červená vlajka. Pokud je to možné, vyhněte se používání této sítě. Pokud nemáte jinou možnost, je to asi lepší použít k internetu přes Tor Browser společně s vašimi vlastními DNSCrypt nastavení přímo na vašem zařízení.
Pokud vlastníte přístupový bod, zkontrolujte, zda je váš firmware nejpozději do jednoho. Pokud ne, upgrade. Nenechávejte přístupový bod s výchozími prodejce nastavení, změnit je a také definovat nové silných hesel, takže útočníci nemohli snadno ohrozit jejich. Podívejte se na šifrování váš přístupový bod má nyní. Pokud je to WPA nebo WEP, změňte to na WPA2 s AES nastavení. Zakázat vysílání SSID a ujistěte se, že vaše heslo síť je silná.
Pamatujte si, že jen jedna chyba může vést k úniku citlivých dat. Obětovat čas, ale ne jistotu. Není-li opravdu zabezpečené sítě v místě, nebojte se o vyslání své fotografie ihned; počkejte, dokud se najít bezpečné místo k práci.
Falešná AC / DC nabíjecí body
Je to tak smutné, když je vaše baterie umírá a den, právě začala. Je to ještě větší problém, když jste daleko od domova a potřebují svůj smartphone pro přístup k map, tras a všechny druhy informací, aby vaše cesta jednodušší. Za těchto okolností lidé mají tendenci používat veškeré dostupné nabíječku, i když jen na pár minut.
fifa3_wi-fi_security_en_5
Moderní smartphony a tablety vyžadují spoustu energie. Někdy, zejména v případě, že baterie není nový, vaše zařízení vybít příliš rychle. Samozřejmě, přičemž je baterie vybitá, že není možné.
To je důvod, proč mnozí návštěvníci podívat nabíjet svá zařízení při každé příležitosti. I když je autobusová zastávka, čekárna nebo jakékoli veřejné místo. Nicméně, oni zapomenout na velmi důležitý detail: nikdo neví, zda nabíječka se zapojit do je škodlivý nebo ne.
fifa3_wi-fi_security_en_6
Co přesně je škodlivý AC / DC nabíječka? To bude stále nabíjet baterii, ale zároveň to bude tiše krást informace z vašeho smartphonu při nabíjení přes USB port. V některých případech falešné poplatky lze také nainstalovat malware schopen sledovat vaši polohu, i když opustíte oblast, ze krade vaše poznámky, kontakty, obrázky, zprávy a volání záznamů, uložených hesel a cookies, dokonce prohlížeče.
Doporučení
Nikdy nepoužívejte neznámé nabíječky, ale podívejte se na důvěryhodných místech. Používejte baterii zodpovědně a pokusit se udržet náhradní s sebou, takže jej můžete použít v případě, že primární baterie zemře. V případě zařízení s iOS jsou kryty s možností dobíjení baterie, což může být také dobrým řešením.
Zkuste optimalizovat životnost baterie tím, že vypne zbytečné procesy a vstupu do nouzového režimu letu, kdy je mobilní telefon síť není k dispozici. Můžete také vypnout zvuk, vibrovat tóny a další vlastnosti zdrojů, hlad, jako animovaných tapet apod.
New Supermicro IPMI / BMC zabezpečení 20.6.2014 Zabezpečení Nová zranitelnost byl propuštěn CARI.net týmu o realizaci Supermicro ze IPMI / BMC pro správu. Tato chyba zabezpečení se týká plaintextovém soubor k dispozici ke stažení hesla jednoduše připojit k určitému portu, 49152. Jedním z našeho týmu testovala tuto chybu zabezpečení, a funguje to jako mistrovství, tak se pojďme přidat další poleno do ohně a šířit dobré slovo. Tým CARI.net má velký writeup na zranitelnost Google níže: http://blog.cari.net/carisirt-yet-another-bmc-vulnerability-and-some-added-extras/
Hodně thanx k Zachovi na CARI.net pro heads-up.
Selhávání Nalezeno v USCIS RFID karty Production System 19.6.2014 Zabezpečení Systém, který se používá k výrobě RFID-umožnil identifikační karty-včetně trvalé bydliště ID-by Spojené státy americké občanství a imigrační služby má řadu vážných bezpečnostních problémů, podle nové zprávy z Úřadu generálního inspektora na DHS. Mezi otázkami OIG zjistil je, že téměř všechny stanice v systému chybí šest roků v hodnotě Java záplat a databázový server Oracle chybělo téměř dvě desítky záplat.
USCIS je část ministerstva pro vnitřní bezpečnost, které se zabývá přistěhovalectví do země a monitoruje stav návštěvníky s trvalým pobytem mimo jiné. Jednou z jeho funkcí je produkovat a vydávat identifikační karty uvedené s trvalým pobytem. Tyto karty obsahují RFID tagy, které je strojově čitelné dělají, a OIG nedávno provedl kontrolu infrastruktury, která zpracovává proces výroby těchto karet. Kontrolou bylo zjištěno, že systém pracuje, jak byla navržena, ale že tam bylo několik bezpečnostních nedostatků, které bylo třeba řešit.
Jedním z vážných problémů, které OIG je audit našel je, že karta? Personalizace? Systém? Technologie? Občerstvení? složka, která táhne biografické a biometrické údaje z interního systému a pak se vrátí výsledky výroby do systému poté, co karty se vyrábí, měl mnoho pracovních stanic a serverů, které byly chybějící klíčové bezpečnostní záplaty. Z 31 Windows stanice v CPSTR systému, 27 z nich chybí Java patche se datuje do roku 2008.
Z 31 Windows stanice v CPSTR systému, 27 z nich chybí Java patche se datuje do roku 2008. Na vrcholu se, že Oracle databázové servery, které jsou součástí systému chybělo 22 kritické opravy aktualizace, která vyjde na více než pět let v hodnotě záplaty od Oracle, který uvolňuje aktualizace na čtvrtletním plánu.
Jedním z problémů, které přispěly k tomuto stavu věcí je, že zatímco USCIS používá automatickou aplikaci záplatování, na oddělení je firewall architektura zabránit odborníky z určení, zda opravy byly nasazeny do CPSTR systému.
OIG Zpráva doporučuje, aby USCIS integrovat CPSTR systém do zbytku sítě, platí záplat včas a provést potřebné roční hodnocení bezpečnosti.
Nastavení šifrování e-mailů za půl hodiny 17.6.2014 Zabezpečení Jako součást globální reset Net akce , Free Software Foundation, nezisková organizace, která podporuje počítač uživatele svobodu a snaží se hájit práva všech uživatelů svobodného softwaru, vydala Email sebeobranu, krok-za-krokem průvodce, který vás může naučit i uživatelé low-tech, jak používat šifrování e-mailů.
"Dokonce i když máte co skrývat, pomocí šifrování pomáhá chránit soukromí osob, se kterými komunikujete, a dělá život obtížný pro systémy hromadné dozoru," že organizace bere na vědomí s tím, že část dohled porušuje základní lidská práva a je svoboda projevu riskantní. " Vše, co potřebujete začít, je počítač s připojením k internetu, e-mailový účet a asi půl hodiny. můžete používat svůj stávající e-mailový účet pro tento aniž by to ovlivnilo to, "říkají. "Až budete hotovi, budete moci odesílat a přijímat e-maily, které jsou kódované, aby se ujistil, že dohled agent nebo zloděj nemůže zachytit Váš e-mail a přečtěte si ji." příručka je k dispozici pro GNU / Linux, OS Uživatelé X a Windows.
Comcast začne šifrovat e-mail a ze služby Gmail účtů 17.6.2014 Zabezpečení Google odhalení nové sekce do své zprávy o transparentnosti, které, mimo jiné, ukazuje, které podporují služby šifrování v tranzitu, se rychle vést k dalšímu uvítací oznámení. Comcast mluvčí Charlie Douglas oznámil, že společnost plánuje zapnout šifrování s Google v Příštích několik týdnů. Prohlášení musel být reakce na zjevení Google, které Comcast šifruje jen velmi malou část e-mailů v tranzitu z nebo do Gmailu, nebo vůbec. rychlé vyhledávání ukazuje, že Verizon.net dělá to samé, a že méně než 50 procent e-maily odeslané z Hotmail účtů na Gmail stále nejsou šifrována. Ale zatímco Verizon je ještě k tomu vyjádřili, Microsoft se již pracuje na problému: koncem loňského roku firma oznámila, že "spolupráce s ostatními společnostmi celé odvětví, aby zajistila, že údaje se pohybují mezi službami - od jednoho poskytovatele e-mailu do druhého, Například -. je chráněno " "I když je to významné inženýrské úsilí s ohledem na velké množství služeb, které nabízíme a stovky milionů zákazníků, kde působíme, jsme odhodláni se rychle pohybuje," oni komentoval . "Ve skutečnosti, mnoho naše služby již těžit ze silné šifrování ve všech nebo části životního cyklu. Například, Office 365 a Outlook.com obsah je zákazník již šifrován, pokud cestujete mezi zákazníky a společností Microsoft, a většina Office 365 vytížení stejně jako Windows Azure skladování jsou nyní zakódována v tranzitu mezi našimi datovými centry. V ostatních oblastech jsme urychlení plánů na zajištění šifrování. " "Gmail vždy podporoval šifrování v tranzitu pomocí Transport Layer Security (TLS), a bude automaticky šifrovat vaše příchozí a odchozí e-maily, pokud je možné . Důležité je, že obě strany k výměně e-mailů je třeba podporovat šifrování pro to, aby práce; Gmail nemůže to udělat sám, "Brandon Long, Tech Lead na Gmail Dodací týmu poznamenal v úterý, a ukázal směrem k uživatelům oficiálních stránkách Obnovit Net iniciativu. Zdá se, že jejich přístup - hanbit ty, kteří jsou pozadu - pracuje.
Jaké jsou zákonné povinnosti k šifrování osobních údajů? 17.6.2014 Zabezpečení , IT Nová zpráva UK-založené advokátní kanceláře FieldFisher Detaily právní závazky pro šifrování osobních údajů vyplývajících z obou režimů dodržování průmyslu, jako je PCI DSS, vnitrostátními zákony a místními předpisy.
Poháněn vytrvalé zprávy o ohrožení, narušení bezpečnosti a ztrátě dat, zákonodárci a regulační orgány na celém světě se stále více definování nové povinnosti pro zabezpečení dat. Požadavky na šifrování byli prominentní zaměření na výsledných nových předpisů, stává povinným požadavkem pro osobní a finanční údaje. V některých případech, požadavky byly po dobu delší než šifrování zahrnovat kontrolu přístupu k datům a uznání ohrožení vzor. "Trvalé, vysoký profil příběhy o organizacích, které se nepodařilo dostatečně chránit osobní údaje z dnešních zlepšení úrovně kybernetických hrozeb jsou příčinou zákonodárce a regulátory globálně mandát přísnější, podrobnější požadavky na ochranu, "řekl Phil Lee, partner s FieldFisher a editor zprávy. "Jsme svědky jedinečné právní jev, je globální konvergence zabezpečení dat práva a regulace v problematice šifrování tak, že Nezáleží na tom, kde na světě, vaše organizace působí - regulátory všude stále častěji očekávají šifrování citlivých dat, počítačů, databází a aplikací ". Některé klíčové body ze zprávy:
V Evropě, překrývající se mandáty z Evropské unie (EU) a národních vlád po celém kontinentu za následek změny v požadavku, podle příslušnosti. Dodržování norem v tomto prostředí vyžaduje jak shora dolů a zdola nahoru recenzi světových organizací Přístupová práva a inteligentní rozpoznávání soukromých dat chráněných šifrováním začínají uchopit jako součásti PCI DSS, ISO 27001 a v důsledku judikatury rozhodnutí EU V USA, překrývající federální předpisy (HIPAA, GLBA, FCRA, SOX, FISMA), standardy NIST pro federální agentury, FTC očekávání a 47 amerických státních zákonů za následek více ovladačů pro stejný požadavek set - Šifrování osobních a finančních dat, řízení přístupu . "Zatímco šifrování je důležitým prvkem v zabezpečení informací, to by neměl být považován za všelék na všechny problémy se zabezpečením. Nutí společnosti soustředit se na šifrování dat může mít za následek těch společností, s výhledem na další důležité oblasti bezpečnosti, jako je sledování systémových logů, obvodové zabezpečení, a zajišťují pracovníci dostávají efektivní osvětové programy zaměřené na bezpečnost. Šifrování chrání data v klidu a když to je v tranzitu, ale když to má být zpracován, že musí být dešifrovat, "řekl Brian Honan , generální ředitel společnosti BH Consulting a zvláštního poradce Europolu kyberkriminalitě centra. "Šifrování citlivých dat je důležitá, ale je by bylo lepší, kdyby podniky byly povinny přijmout komplexní přístup k ochraně citlivých dat které jim byly svěřeny, a ne jen se zaměřit na jeden prvek, "dodal Honan.
Uživatelé Windows 7 nemusejí mít přístup k aktualizacím IE11
16.6.2014 Zabezpečení, Zranitelnosti Microsoft na počítače koncových uživatelů a malých firem s Windows 7 potichu přestal poskytovat aktualizace pro Internet Explorer 11 (IE11), pokud si tito nenainstalovali speciální aktualizaci vydanou v dubnu.
Nastala tak podobná situace jako u Windows 8.1, kdy Microsoft řekl svým uživatelům, že musejí na aktualizovanou verzi Windows 8.1 přejít do 10. června, jinak si již nadále nebudou moci stahovat aktualizace. Nyní se požadavek týká jen prohlížeče IE11, ne celého operačního systému. Uživatelé, kteří si nenainstalovali bezpečnostní aktualizaci pro IE vydanou osmého dubna (označenou Microsoftem jako MS14-018) na Windows 7 a spoléhají při instalaci aktualizací na Windows Update, neobdrží aktualizaci pro IE z desátého června ani jakékoli další aktualizace pro tento prohlížeč – Windows Update je jednoduše nebude zobrazovat.
„Tato aktualizace je určena pouze pro počítače s Internet Explorerem 11, které mají nainstalovánu aktualizaci 2919355 (pro Windows 8.1 nebo Windows Server 2012 R2) nebo 2929437 (pro Windows 7.1 nebo Windows Server 2008 R2 SP1),“ stojí v červnovém dokumentu k MS14-035, jenž opravuje v Internet Exploreru 59 děr. „Pro všechny další bezpečnostní i ostatní aktualizace Internet Exploreru 11 je třeba mít nainstalovánu aktualizaci 2919355 či 2929437.“
Jednoduše řečeno: Pokud si uživatelé Windows 7 nenainstalují pro IE11 aktualizaci z osmého dubna, ztrácejí právo na budoucí aktualizace. Stejné pravidlo se dotkne velkých společností po 12. srpnu. Do té doby pro jejich prohlížeče budou vydávány záplaty i bez aplikace dubnového patche. Od 12. srpna však i firmy, které využívají WSUS (Windows Server Update Services), Intune nebo System Center Configuration Manager budou od nových aktualizací pro IE11 odstřiženy, pokud nenainstalují MS14-018.
Stejně Microsoft postupoval i u již zmíněného požadavku na Windows 8.1 – velké firmy taktéž získaly lhůtu prodlouženou o tři měsíce. Společnosti, které svým zaměstnancům zakázaly přístup k IE11 za použití speciálního nástroje vydaného v říjnu minulého roku, nebudou postiženy. Stejně tak se problémům vyhnou i uživatelé IE7, IE8, IE9 a IE10. Podle amerického Computerworldu je to vůbec poprvé, co Microsoft takto selektivně přestává distribuovat opravy pro IE, zatímco i nadále zpřístupňuje aktualizace pro operační systém.
Není zatím jasné, proč k tomuto kroku společnost přistoupila. Dá se však předpokládat, že to souvisí s důležitostí dubnové aktualizace. Dobrou zprávou je, že většina uživatelů, kteří mají nastaveno Windows Update na automatické stahování a instalaci aktualizací, se nemusí ničeho obávat.
Hot, Cold Reakce na Google New Play App oprávnění 12.6.2014 Zabezpečení Modernizované společnosti Google App oprávnění pro Google Play nejsou dobře přijat Android uživatelům. Reddit závity jsou běžné s adjektivy jako je "hloupý" a "nebezpečné", především proto, že Google je snaha zjednodušit oprávnění udělená automaticky aktualizuje aplikace může ve skutečnosti vystavit uživatelům větší riziko.
Google vytvořil 13 oprávnění skupin, hlavní kategorie s počtem užších oprávnění pod ním, která by mohla být poskytnuta na aplikaci. Když uživatel udělí oprávnění v rámci skupiny, všechny ostatní možnosti v této skupině jsou poskytovány stejné tlačítko OK. Zobrazí se žádné zjevné zmínka o jakékoliv nové povolení, ale uživatel může ručně zobrazit v rozevíracím seznamu.
Zobrazí se žádné zjevné zmínka o jakékoliv nové povolení, ale uživatel může ručně zobrazit v rozevíracím seznamu. Uživatel řítí instalaci nové aplikace, například, mohl by poskytnout přístup ke kontaktům uloženým v přístroji nebo udělí mu oprávnění ke čtení a odesílání SMS zpráv, včetně drahých premium SMS zpráv.
"Když an aktualizace app, může to muset použít další funkce nebo informace řízen oprávněními," vysvětluje Google na své stránce podpory . "Máte-li zapnutá funkce Automatické aktualizace, nebudete muset přezkoumat nebo přijmout tato oprávnění, pokud jsou zahrnuty v oprávnění skupiny již přijaté k tomuto aplikace."
Google také dává uživatelům možnost, aby přezkoumala aktualizaci ručně a změnit nastavení aktualizací, ale pro většinu spotřebitelů, to je nepravděpodobné, že scénář; většina lidí prostě chtějí, aby jejich aplikace a chcete se do práce.
"Rámec povolení Android byl vždy horkým tématem, protože je to křehká rovnováha bezpečnosti a použitelnosti," řekl Jon Oberheide, CTO v DuoSecurity. "Hrubozrnný oprávnění, aby bylo snazší pochopit, ale můžete přijít o důležitých bezpečnostních relevantní informace. Jemnozrnný povolení může být matoucí průměrný uživatel, ale nabídnout silnější bezpečnostní mechanismy.
"Mohlo by se zdát, jako odstranění" změny app oprávnění "během procesu aktualizace je špatná věc z bezpečnostního POV. Ale, jestliže 99,99 procent uživatelů nevěnují pozornost na to, je to poskytuje nějakou hodnotu? "Řekl Oberheide. "Například, to může být důležité, aby uživatelé přijímat aktualizace app v účelně, který může náplast rizikových zranitelností aplikací."
Většina z těchto změn jsou však problém ochrany osobních údajů, jako je například sledování umístění, více, než je bezpečnostní problém.
"Jsme výzkumníci bezpečnostní rádi dohadují o tyhle věci, ale je to těžké váhy a žádný způsob, jak Google dokáže uspokojit každého," řekl Oberheide. "Ještě důležitější je, voskování o tom v rámci povolení na Android a jeho dopad na bezpečnost je hloupá cvičení, protože většina kritické úrovně oprávnění zranitelnosti mohou být zneužity škodlivými aplikacemi bez oprávnění vůbec."
"Většina kritické úrovně oprávnění zranitelnosti mohou být zneužity škodlivými aplikacemi bez oprávnění vůbec."
Dej mi klíče! 11.6.2014 Zabezpečení
Neznamená to však trvat hodně bezpečnostní důvtip, aby si uvědomili, že soukromé klíče používané pro věci, jako je SSH přihlášení asi neměl být uložen v webroot webového serveru. Odpovídající fyzický svět by bylo umístit váš dům klíč pod rohožkou, a nikdo nemá, že jo?
Přesto jsme svědky uptick o vyšetření na webových serverech hledal takové soubory, které opravdu neměl být přítomen.
Skenování vypadá asi 50 různých názvů souborů, které jsou obvykle spojeny s SSH klíče. Kromě toho také sondy na přítomnost běžných unixových skořápkových soubory historie:
To je s největší pravděpodobností testy k určení, jak naskenovaný server odpoví na požadavky na soubory, které neexistují, takže falešná pozitivita může být odstraněna v dalších pokusech o čtení SSH klíče. Já jsem v současné době běží honeypotty vidět, co se skenery dělat dál, pokud "HEAD" žádost vrátí se v pořádku (200). No štěstí ještě, takže pokud jste již tu trochu intel mít, prosím, podělte se prostřednictvím níže uvedených připomínek.
Wi-Fi zabezpečení a falešné ac / dc poplatky ohrozit vaše data na mistrovství světa 2014 11.6.2014 Zabezpečení
Když jsme na cestách máme tendenci přinést spoustu inteligentních přístrojů s námi. Je skvělé mít možnost podělit se o krásnou fotografii, aby lidé věděli, kde jste, nebo dát své nejnovější zprávy na Twitteru či Facebooku. Je to také dobrý způsob, jak najít informace o restauracích, hotelech a dopravní spojení. Ale to vše, co potřebujete připojení k Internetu.
Bohužel, roaming plány mobil údaje jsou obecně velmi drahé, takže mnozí cestující jen tak zdarma dostupné přístupové body Wi-Fi v místech, které jsou, hledám je a používat je bez obav o bezpečnost. Nicméně, to je velmi riskantní přístup, protože všechny data, odesílat a přijímat na otevřených Wi-Fi sítí by mohly být zachyceny. Pokud se tak stane všechna vaše hesla, PINy a další citlivé údaje by mohly spadnout SINTO rukou cybercriminal je. Ve skutečnosti někteří zločinci nainstalovat falešné přístupové body, speciálně konfigurované řídit veškerou komunikaci prostřednictvím počítače, který může ovládat ji, možná dokonce funguje jako stroj "man-in-the-middle", který zachytí a přečte šifrovaný provoz. K dispozici je vážné nebezpečí, že ztratí všechny vaše citlivá data, a to všechno z vašich peněz. Při cestách daleko od domova, je to katastrofa čeká se stane.
S ohledem na tuto skutečnost, podívali jsme se do Wi-Fi připojení k internetu v Sao Paulu. Jeli jsme 100 kilometrů po městě a kontrolovat více než 5000 různých přístupových bodů. Zaměřili jsme se na místa, která turisté navštíví - parky, nákupní střediska, letiště a dalších turistických atrakcí. Tak, jak bezpečné - nebo ne - jsou sítě Sao Paulo je Wi-Fi? Pojďme se podívat.
Wi-Fi studie v Sao Paulu
Studie se konala v polovině května 2014. Našli jsme více než 5000 různých přístupových bodů ve městě a některé z nich jsou zjevně nejsou zajištěny vůbec. Nejprve se pojďme podívat na detaily, takže si můžete vytvořit svůj vlastní názor o zachování pověření a citlivá data v Brazílii.
SSID SSID je název, který Wi-Fi přístup k síti bod je přidělen, když se k němu připojit. Majitelé Některé Přístupový bod je nechat ji s výchozí konfigurací, jiní definují nový vlastní název a jen málo z nich definovat nový specifický název, a pak pokračovat se to skrýt, takže to není vysílání pro veřejnost.
Jak můžete vidět, pouze 6% všech přístupových bodů Wi-Fi jsou skryté. Zároveň 5% dostupných bezdrátových sítí správu konfigurace SSID ve výchozím nastavení, což znamená, že útočníci mohou snadno zjistit původ sítě a najít správnou zranitelnost získat plný přístup správce k přístupovému bodu. Obecně platí, že je to špatná praxe opustit SSID ve výchozím nastavení; to nezlepší bezpečnost, ale dělá život cybercriminal je jednodušší. Nejlepší praxe bude definovat SSID a pak držet to skrytý. Bohužel jen málo zařízení kdekoliv na světě používají tento přístup.
Typy sítí Wi-Fi Většina přístupových bodů, které jsme našli v Sao Paulu se podařilo, ale 1% sítí je ad-hoc:
Co to znamená? Pokud jste připojeni k síti ad-hoc, vše posílat a přijímat prochází hostitele nebo počítače. To by mohlo být řízena někým, s dobrými nebo špatnými úmysly. Jinými slovy, údaje projde rukama neznámých jednotlivců, kteří mohou dělat nic - nebo může vyzvednout, a extrahovat citlivé údaje. Pokud nechcete přijít o svá data je lepší nepoužívat takové sítě.
Wi-Fi zabezpečení v Sao Paulu
Po analýze více než 5000 různých přístupových bodů, jsme zjistili, že nejméně 53% z nich má ověřování WPA2, což je dobře. Nicméně opravdu strach pochází ze skutečnosti, že 26% ze všech sítí jsou zcela otevřený a nepoužívejte žádné šifrování. Tyto otevřené sítě obvykle nabízejí bezplatný přístup k internetu, takže jsou velmi populární mezi návštěvníky. K dispozici je velké riziko, když se připojíte k jedné z těchto sítí. Ty data jsou přenášena ve formátu prostého textu, pokud server, ke kterému se připojujete k spravuje SSL šifrování. Pokud řeknete: "Dobře, já jsem v pořádku, protože všechny webové stránky jsem se procházet mít SSL", můžete být stále v pořádku. Problém je, že ne všechny webové stránky mají plné šifrování SSL, mám na mysli některé webové stránky použít pouze pro ověřovacího procesu, kdy jsou vaše přihlašovací údaje přenášeny na server, ale všechny následující údaje pokračuje ve formátu prostého textu. Co to znamená? Řekněme, že jste přihlášení ke svému e-mailu. Server vytvoří spojení SSL a přenáší své uživatelské jméno a heslo bezpečně. Jakmile jste uvnitř vašeho e-mailu a začít psát e-mail a odeslat ji, to jde jako prostý text. Útočník na stejné Wi-Fi síti mohl zachytit a přečíst si ji tak snadno, jako si můžete na vlastní obrazovce. Takže pokud máte poslat e-mail, který obsahuje citlivé údaje - kde jste ubytováni, vaše číslo pasu atd. - všechny tyto informace jdou rovnou do cybercriminal.
To není jediné nebezpečí. Útočník s použitím stejného Wi-Fi síť by mohla zahájit "man-in-the-middle" útok. Najednou někdo pomocí sítě pro přihlášení k e-mailu, sociálních sítí, on-line bankovnictví nebo jiné webové stránky dostat popup prohlašovat certifikát SSL je zastaralý. Většina lidí automaticky přijmout navrhovaný nový certifikát, jen aby zjistil, že je to nebezpečný trik, jak svou komunikaci šifrovat a dešifrovat ji znovu před tím, než dosáhne svého zamýšleného cílového serveru. Počítačoví zločinci raději používat otevřené sítě Wi-Fi, tak prosím, zůstat ve střehu, a ne jen kliknout na jakékoliv popup zprávy. Přečtěte si varovné zprávy a pak se rozhodnout. Pokud máte pocit, něco je špatně, nebo spojení se nechová normálně, odhlaste se a hledat někde jinde, aby se on-line.
Dalším bezpečnostním problémem souvisí s WPA chráněné sítě. Můžete si myslet, že jsou chráněny, ale ve skutečnosti, WPA je slabá implementace v dnešní době a může být rozdělena do několika minut útočníky. Tyto sítě by měly být považovány za potenciálně nezabezpečené, a to je lepší, aby se zabránilo jejich použití.
Wi-Fi dodavatelů v Sao Paulo Naše statistiky ukazují, že nejoblíbenější prodejci v Sao Paulu jsou nyní CISCO a D-Link.
Většina prodejců spravovat zabezpečení přístupového bodu a to zejména upgradu firmwaru procesů jako uživatel závislé činnosti na vyžádání. To znamená, že i v případě, že je veřejně známá chyba zabezpečení, která umožňuje vzdáleným útočníkům získat plný přístup administrativy k zařízení, to nemůže být oprava automaticky, pokud uživatel k dispozici na webu dodavatele, stáhnout tuto opravu a pak pokračovat v procesu upgradu podle nahrávání nového firmware do svých koncových bodů pomocí ethernetového kabelu.
Většina uživatelů Wi-Fi najít to složitý proces; mnozí ani nevědí, jak zkontrolovat, zda jejich zařízení je zranitelný. Tolik přístupové body zůstávají unpatched a náchylné ke vzdáleným útočníkům. Útočníci mohou získat plný přístup, a poté změňte nastavení ISP DNS ty škodlivé. Za to, že někdo procházení od daného přístupového bodu bude mít jejich provoz směrován přes škodlivých serverů DNS, které přesměrovávají je na falešné stránky, kdykoli se pokusíte o přístup k bankovnictví či platební služby. To je děsivé a velmi ošklivé technika, neboť i tiché uživatelé zkušený bezpečnostní mohli snadno přijít o své peníze. Podvodný útok se děje na vrstvě DNS, když váš koncový bod je žádost o jméno, ale server, budete přesměrováni, je zcela škodlivý jedna.
Doporučení Jeden z zlatých pravidel při práci na jakékoli síti Wi-Fi je vždy přistupovat prostřednictvím připojení VPN! Pokud nemáte nějaké, prosím, dostat jeden a nainstalovat jej do všech svých zařízení - chytré telefony, tablety, notebooky, atd. Někdy můžete najít Wi-Fi sítí, kde jste VPN je blokován. To je něco jako červená vlajka. Pokud je to možné, vyhněte se používání této sítě. Pokud nemáte jinou možnost, je to asi lepší použít k internetu přes Tor Browser společně s vašimi vlastními DNSCrypt nastavení přímo na vašem zařízení.
Pokud vlastníte přístupový bod, zkontrolujte, zda je váš firmware nejpozději do jednoho. Pokud ne, upgrade. Nenechávejte přístupový bod s výchozími prodejce nastavení, změnit je a také definovat nové silných hesel, takže útočníci nemohli snadno ohrozit jejich. Podívejte se na šifrování váš přístupový bod má nyní. Pokud je to WPA nebo WEP, změňte to na WPA2 s AES nastavení. Zakázat vysílání SSID a ujistěte se, že vaše heslo síť je silná.
Pamatujte si, že jen jedna chyba může vést k úniku citlivých dat. Obětovat čas, ale ne jistotu. Není-li opravdu zabezpečené sítě v místě, nebojte se o vyslání své fotografie ihned; počkejte, dokud se najít bezpečné místo k práci.
Falešná AC / DC nabíjecí body
Je to tak smutné, když je vaše baterie umírá a den, právě začala. Je to ještě větší problém, když jste daleko od domova a potřebují svůj smartphone pro přístup k map, tras a všechny druhy informací, aby vaše cesta jednodušší. Za těchto okolností lidé mají tendenci používat veškeré dostupné nabíječku, i když jen na pár minut.
Moderní smartphony a tablety vyžadují spoustu energie. Někdy, zejména v případě, že baterie není nový, vaše zařízení vybít příliš rychle. Samozřejmě, přičemž je baterie vybitá, že není možné.
To je důvod, proč mnozí návštěvníci podívat nabíjet svá zařízení při každé příležitosti. I když je autobusová zastávka, čekárna nebo jakékoli veřejné místo. Nicméně, oni zapomenout na velmi důležitý detail: nikdo neví, zda nabíječka se zapojit do je škodlivý nebo ne.
Co přesně je škodlivý AC / DC nabíječka? To bude stále nabíjet baterii, ale zároveň to bude tiše krást informace z vašeho smartphonu při nabíjení přes USB port. V některých případech falešné poplatky lze také nainstalovat malware schopen sledovat vaši polohu, i když opustíte oblast, ze krade vaše poznámky, kontakty, obrázky, zprávy a volání záznamů, uložených hesel a cookies, dokonce prohlížeče.
Doporučení Nikdy nepoužívejte neznámé nabíječky, ale podívejte se na důvěryhodných místech. Používejte baterii zodpovědně a pokusit se udržet náhradní s sebou, takže jej můžete použít v případě, že primární baterie zemře. V případě zařízení s iOS jsou kryty s možností dobíjení baterie, což může být také dobrým řešením.
Zkuste optimalizovat životnost baterie tím, že vypne zbytečné procesy a vstupu do nouzového režimu letu, kdy je mobilní telefon síť není k dispozici. Můžete také vypnout zvuk, vibrovat tóny a další vlastnosti zdrojů, hlad, jako animovaných tapet apod.
Google data ukazují, šifrování Trendy ve správném směru 6.6.2014 Zabezpečení V uplynulém roce došlo k obrovské množství změn a turbulencí v oblasti bezpečnosti a ochrany osobních údajů komunit, mnoho z nich v souvislosti s dozoru NSA zjevení. Jedna z věcí, které přicházejí ze všech diskusí a debat je větší důraz na význam šifrování, a to zejména šifrování e-mailů a dalších citlivých provoz a zároveň je to křížení různých sítí.
V důsledku zjištění, že NSA a další zpravodajské služby mají schopnost zachytit komunikaci v mnoha různými způsoby, například klepnutím na podmořských kabelů nebo vazby mezi datovými centry, se zabezpečení a ochrany osobních údajů obhájci bylo tlačí hlavních poskytovatelů internetových k šifrování provoz na těchto kritických odkazy a rozšířit jejich použití šifrování v jiných oblastech, stejně. Google, Yahoo a jiní reagovali tím, že začíná nebo urychlování plány k zašifrování spojení mezi datovými centry, což život mnohem těžší protivníky.
Google už byl v procesu šifrování na tyto odkazy, když odhalení NSA začala udeřit, a zrychlil tyto plány v následujících měsících. Yahoo v dubnu oznámila, že šifrované spojení mezi svými datovými centry , stejně. Co dělá tato změna tak důležitá, zejména pro e-mail, je to, že někdo může poskytovatel řešit pouze tento problém v omezené míře, bez ohledu na to, jak velký jeho sítě. Pokud uživatel Gmail se připojuje k serverům Google přes připojení HTTPS výchozí, a potom pošle e-mail prostřednictvím šifrované sítě Google, je zpráva chráněna. Do e-mailu opustí síť společnosti Google, která je. Odtud je to crapshoot.
Existuje ještě spousta velkých poskytovatelů e-mailových které nepodporují šifrování TLS. Existuje ještě spousta velkých poskytovatelů e-mailových, které nepodporují šifrování TLS plošně, což znamená, že i když Google a uživatel Gmail správně udělali vše, zpráva může ještě skončit poslal jasný, jakmile opustí serveru společnosti Google. To je optimální, pokud se snažíte, aby se zabránilo NSA nebo jiného protivníka dostat snadný přístup k e-mailů posíláte.
Ale věci jsou na vzestupu.
Ve své nové Gmail zprávy transparentnosti šifrování , propuštěn Úterý, Google zveřejnil údaje o tom, že na 1 lednu 2014, jen 33 procent e-mailů opouštějí Gmail byly zašifrovány. Na konci května, že počet se vyšplhal na 69 procent. Pro příchozí poštu, změna je téměř stejně hluboký, s šifrovaný svazek email lezení z 30 procent na Janu 1-56 procent na 25. května. To je obrovská změna v pouhých šest měsíců.
A mnoho z větších poskytovatelů e-mailových a odesílatele v USA jsou na šifrování rozjetého vlaku dnes, což je dobrá zpráva pro uživatele. Yahoo, Amazon, Twitter, Facebook a LinkedIn jsou všechny posílání více než 90 procent svého e-mailu šifrované, podle čísel Google. Na odchozí straně, AOL, Craigslist, Hotmail, MSN, Yahoo a SBC mají lepší než 90 procent jejich pošty šifrované.
Práce, Google, Yahoo a další společnosti, které nyní podporují protokol TLS a nasazování šifrování na klíčové služby dávají uživatelům lepší nástroje k ochraně sebe, dokonce i proti sofistikované, dobře umístěné protivníky. Je tu ještě určitě prostor pro zlepšení, ale data jsou trendy ve správném směru.
Google zprávy end-to-end šifrování rozšíření 6.6.2014 Zabezpečení Google vydala časnou verzi rozšíření Chrome, který poskytuje end-to-end šifrování dat opuštění prohlížeče. Prodloužení umožní uživatelům šifrovat e-maily ze svých webmail účtů.
Tento krok by Google je dalším krokem v procesu tvorby webových komunikace bezpečnější a odolný dozoru. Rozšíření End-to-End je alfa formě právě teď, ale úředníci Google v plánu, aby bylo k dispozici v Chrome Web Store, jakmile uzly jsou zpracovány. Nový nástroj je založen na OpenPGP a má být více user-friendly možnost šifrování, než jiné programy, jako PGP, což může být obtížné konfigurovat a používat.
"Zatímco end-to-end šifrování nástroje, jako PGP a GnuPG byly po dlouhou dobu, vyžadují velké množství technického know-how a ruční práce použít. Napomoci tomu, aby tento druh šifrování trochu jednodušší, jsme uvolnění kódu pro nové rozšíření Chrome, který používá OpenPGP , otevřený standard podporovaný mnoha existujících šifrovacích nástrojů, "Stephan Somogyi, produktový manažer, bezpečnost a soukromí na Google, napsal blog příspěvek .
Nová přístavba nemusí být pro každého, protože většina uživatelů Gmail a uživatelé ostatních služeb Webmail se nemusí šifrovat všechny zprávy do a ze svých účtů. Ale to může být klíčovým nástrojem pro uživatele, kteří mohou být namířena dohledu nebo útočníky.
"Jsme si vědomi toho, že tento druh šifrování, bude pravděpodobně použity pouze pro velmi citlivé zpráv." "Jsme si vědomi toho, že tento druh šifrování, bude pravděpodobně použity pouze pro velmi citlivé zprávy nebo ty, kteří potřebují větší ochranu. Ale doufáme, že rozšíření End-to-End bude to rychlejší a jednodušší pro lidi, aby si, že další vrstvu zabezpečení by to potřebují, "řekl Somogyi.
Google také vydal cache údajů o objemu šifrované e-mailu, který proudí dovnitř a ven z jeho služby Gmail. Nová zpráva obsahuje údaje o poskytovatelích šifrovat e-mailové zprávy v tranzitu přes jejich sítě. Údaje Google ukazuje, že více než 99 procent z e-mailu přicházející do Gmailu ze služeb, Amazon je šifrována a 100 procent zpráv z facebookmail.com jsou šifrována. Twitter také skóre nad 99 procent na příchozí zašifrované pošty, a Yahoo šifruje více než 95 procent. Hotmail, mezitím, ukazuje, že struhadlo než 50 procent zpráv přicházejících ze své sítě jsou šifrovány.
V celém souboru dat, 69 procent z odchozích e-mailu z Gmailu je šifrována, a 48 procent pošty příchozích do Gmailu jsou zakódovány.
Výkonné agentury projít na nové kybernetické nařízení 27.5.2014 Zabezpečení Tři Executive Branch federální agentury hrají důležitou roli při ochraně kritické infrastruktury budou moci nadále dobrovolně posoudit počítačové riziko , spíše než nutit rozvoj a provádění dalších předpisů.
Bílý dům včera zveřejnila své závěry, které se vztahují k Executive objednat 13636 , která byla podepsána v únoru prezident Obama. Agentury v rámci výkonné moci byly zaštítěny EO posoudit, zda stávající předpisy jsou dostačující k zajištění kritické infrastruktury, a identifikovat slabiny, které mají být řešeny. Cvičení byla snaha zjednodušit předpisy a sladit je s rámcem pro zlepšení kritické bezpečnostní infrastruktury , oznámila dva dny po EO 13636. rámec Cybersecurity byl chválen řadou nástrojů, finančních institucí a poskytovatelů služeb jako komplexní pokyny, které mají být použity vytvořit a udržovat zabezpečení kritické infrastruktury.
Michael Daniel, koordinátor kybernetické a zvláštní asistent prezidenta, řekl v prohlášení, že Obamova administrativa podporuje současný dobrovolný přístup ke kybernetické řízení rizik. Tři oddělení pověřena sebe-hodnocení a podat zprávu do Bílého domu byly Department of Homeland Security, Environmental Protection Agency a Ministerstva zdravotnictví a sociálních služeb. Tyto tři agentury mají dohled na všechno, od chemických zařízení, k pitné vodě, ke zdravotní výměn.
"V tomto okamžiku, ačkoli, správa zjistila, že stávající regulační požadavky, pokud doplněn silnými dobrovolných partnerství, jsou schopny zmírnit kybernetických rizik na našich kritických systémů a informací," řekl Daniel v prohlášení a dodal, že v příštích dvou letech Tyto agentury budou koordinovat s cílem zlepšit stávající právní předpisy. "Agentury s regulačním orgánem zjistili, že stávající regulační požadavky, pokud doplněn silnými dobrovolných partnerství, jsou schopny zmírnit kybernetických rizik těchto systémů."
Do určité míry, vládní ruce jsou svázané s ohledem na bezpečnost kritické infrastruktury, protože tolik pomůcky a poskytovatelé jsou v soukromém vlastnictví. Výkonná pobočka agentury byly vyzvány, aby posílit partnerství soukromého sektoru, aby se lépe ohrožení akcií a informace o zmírňování.
EPA, například, má regulační orgán nad kritickou infrastrukturu v oblasti vody a odpadní systémy, a může stanovit požadavky kybernetické pro systémy veřejné pitné vody. Průmyslové řídicí systémy a sítě, které monitorují vody a čistíren odpadních procesy, zejména, by mohlo být lákavé cíle pro sabotáže nebo terorismu. Ve své zprávě do Bílého domu, kanceláře popisuje dobrovolná opatření, která přijal a zavedl do budoucna zachovat integritu a odolnost systému vodovodní sítě.
Podobně, zdravotnictví a sociálních služeb, s dohledem na elektronických zdravotních záznamů a bezpečnosti zdravotnických zařízení, také vysvětlil ve své zprávě své partnerské programy k dispozici soukromému sektoru, stejně jako její spojenectví s Food and Drug Administration na bezpečnost zdravotnických zařízení, a je popsáno jeho plán reakce na incidenty v případě útoku na síti oddělení.
"Efektivní předpisy jsou významným nástrojem k ochraně bezpečnosti a ekonomickou životaschopnost našeho národa," řekl Daniel. "Prezident se zavázala k zjednodušení a zefektivnění předpisy a zároveň zajistit, aby přínosy ospravedlňují náklady."
Google přidává nové funkce zabezpečení, které Google Apps 27.5.2014 Zabezpečení
Zde jsou některé vítanou zprávou pro Google Apps Business, státní správy a školství zákazníky: Společnost zavedla tři nové bezpečnostní prvky na ochranu před phishingem, hacking, a státem sponzorované útoky:
Mail směrování, dodací kontroly a SMTP relay služba -Řízení toku informací do az vaší společnosti s směrování politiky, která by zaručila, že společnost zprávy jsou filtrovány, i když jsou odeslány z třetí strany nebo jiných zdrojů non-gmail. Attachment dodržování -Protect vaše podnikání tím, že blokuje nebo přesměrování zpráv na základě toho, co je připojen k e-maily, které poskytují kontrolu nad tím, co obsah je odeslána a přijata. TLS šifrování zpráv obsah , Prevent odposlechu a zprávy spoofing přes zabezpečené šifrování a dodávky.
Změny byly vyhlášeny v pátek Amit Singh, předseda Google Enterprise, který také přidanou , že od nynějška, Google nebude zobrazovat reklamy ve službě Google Apps, a zastaví získávání a použití dat v oblasti služeb Google Apps pro reklamní účely.
Polovina z bezpečnostních profesionálů, nepodaří se zabezpečit data 27.5.2014 Zabezpečení Výzkum provedený na Infosecurity Evropy 2014 ukázal, že 50% z bezpečnostních profesionálů nezajišťují data na přenosných paměťových zařízení, jako jsou USB modemy a externích pevných disků. Tento nález je přes 91% respondentů na stejném průzkumu vyjádřil své obavy o potenciální škody, které údaje ztráta by mohla přinést do jejich organizace. Tyto statistiky byly odhaleny na základě průzkumu více než 500 bezpečnostních profesionálů vedených IStorage. Přes polovina respondentů přiznává, není šifrování dat, průzkum ukázal, že 67% si byli vědomi, že maximální pokuta ve výši 500.000 libra by mohla být uložena podnikům a státních orgánů pro závažné porušení zákona o ochraně osobních údajů. Podle tohoto zákona, porušení představuje nedaří udržet data v bezpečí před nezákonným nebo neoprávněným zpracováním, náhodnou ztrátou nebo výmaz. Ostatní 33% respondentů si bylo vědomo pokut, ale věřil, že jsou daleko méně, s většinou pochopení maximální pokutu za 250000 liber. Podle nedávného národního průzkumu dat, zdroj třetí největší z narušení dat v zemi je lidé ztrácejí klíče USB, notebooky a externí pevné disky. další výzkum uvádí průměrné náklady na narušení bezpečnosti dat pro firmy ve Velké Británii se pohybuje v rozmezí od 160,000libra do 4.800.000 liber. Spolu s vydáním finančních nákladů, který je dodáván se ztrátou dat, poškození pověsti je také významným faktorem, protože může mít vážné důsledky. "V dnešním rychle se rozvíjející podnikatelské prostředí a éra velkých dat, je hluboce týká, že 50% Bezpečnostní odborníci nemají šifrování dat na cestách, "říká John Michael, CEO a zakladatel společnosti IStorage. "Ztráta dat může mít značný negativní dopad na obchodní produktivitu, pověsti a budoucích příjmů. Chcete-li zajistit důležité obchodní údaje zůstávají důvěrné, je nezbytné, aby podniky přijaly nezbytná opatření k zajištění údaje neskončí ve špatných rukou."
Hesla zůstávají problémem pro každého 27.5.2014 Zabezpečení Hesla zůstává problém i pro tech-vědomé spotřebitelů. V F-Secure průzkumu, 43% respondentů nahlásit pomocí stejné heslo pro více než jeden důležitý účtu - velký ne-ne pro správnou hygienu heslem. 58% respondentů hlasování více než 20 chráněných heslem online účty, nebo jednoduše příliš mnoho příliš sledovat. 27% má mezi 11 a 20 účtů chráněných heslem a 15% mají v rámci 10.., Ale i s tolika účty, pouze 40% použití správce hesel sledovat z nich. Povzbudivé je, že 57% respondentů hlasování změnil hesla po vyslechnutí o Heartbleed . Chudých hesla návyky, nejčastější byla pomocí názvu rodinného příslušníka. Další nejčastější špatné heslo zvyk byl pomocí názvu pet, a pak pomocí obecných hesel jako "Heslo" nebo "123456". Post-Heartbleed, je obzvláště důležité věnovat určitou pozornost hesla. Ale dostat všechny něčí hesla, aby - nastavení jedinečné, silné heslo pro každý jednotlivý účet - se může jevit jako příliš velkou práci, což je důvod, proč mnoho z nich nedělá to. Tam je spousta rad tam o tom, jak vytvářet a spravovat hesla . Jaký je průměrný člověk dělat? Sean Sullivan, bezpečnostní poradce ve společnosti F-Secure akcií jedna zásadní tip, že každý by si měl uvědomit: ". Identifikovat kritické účty na ochranu, a pak se ujistěte se, že hesla pro tyto účty jsou jedinečné a silné" doporučení Sullivan bere v úvahu skutečnost, že mnoho lidí má účtů za služby, kde je málo osobní údaje uložené. "Pokud jste vytvořili účet na nějakou webovou stránku a tam je sotva něco víc tam než uživatelské jméno a heslo, pak to asi není kritická účet," říká. "Ale váš účet Amazon s info o platebních kartách, váš bankovní účet, vaše primární e-mailových účtů, účtu Facebook se svým životním příběhem, to jsou příklady kritických ty. Pokud nemáte čas nebo chuť zabývat se všechno, alespoň postarat o ty. " Ukázkovým příkladem kritické účtu je e-mailový účet, který slouží jako kontaktní místo pro resetování hesel na jiných účtech. U těchto "master key" účty, je to dobrý nápad, pokud je k dispozici pro aktivaci dvoufaktorovou autentizaci. , ale jak se chránit ty kritické účty? Použijte Secure Password Manager, který ukládá hesla, uživatelská jména a další pověření, takže můžete k nim přistupovat pomocí jednoho hlavního hesla.
Firmy Lepší na Obsahuje narušení dat 21.5.2014 Zabezpečení Pro všechny, který se psal o tom, jak špatně organizace reagovali na narušení dat jak pozdní, věřte tomu nebo ne, jedna nová studie vyvodit, že podniky jsou stále lepší. Téměř tři čtvrtiny obětí, které utrpěly kompromis v loňském roce byli schopni obsahovat to do 10 dnů.
Stat by mohl být odrazem poněkud pozitivní trend, alespoň pokud jde o společnosti, které Trustwave hodnocených 2012-2013 pro své výroční zprávě o globální bezpečnosti , propuštěn dnes ráno.
Bezpečnostní firma se podíval na třech časových vyhodnotit střední počet dní trvalo některé organizace k zjišťování narušení poté, co došlo k narušení, jak dlouho to trvalo od detekce k úniku, a kolik dní to trvalo porušení uplynout, od vniknutí k omezení.
Od detekce pro omezení úniku medián času společnostem bylo sedm dnů, zatímco to trvalo společnosti o 87 dnů, tedy zhruba za tři měsíce, pro zjištění porušení ze vniknutí.
V celku, od vniknutí do kontejnmentu medián času společnostem trvalo přibližně 114 dní; 67 procent obětí byli schopni obsahovat porušení do 10 dnů poté, co bylo zjištěno, že Trustwave. Množství času to trvá společnostem obsahovat porušení jde dolů, Trustwave tvrdí.
V polovině kompromisů "oběť obsažených porušení ve lhůtě čtyř měsíců od počátečního vniknutí," píše se ve zprávě před přidáním další stat: 71 procent z porušení v roce 2013 byly obsaženy v šesti měsících.
trustwave1
Jeden z větších kapek, nad, je počet organizací, které trvalo šest až 12 měsíců, aby obsahoval porušení po vniknutí. Počet klesl v letošním roce na 18 procent podniků, po 25 procent z nich v roce 2012.
Jinde, oblečení stanoveno, že porušení, které byly self-identifikoval vedlo ke zkrácení doby trvání, něco, co "snížit na čase útočník mohl sifon data z napadených systémů a pomohla omezit dopad."
V těchto případech, střední doba trvalo od vniknutí do detekce byl nižší, pouze 31,5 dnů od vniknutí do detekce a jen den před detekcí na omezení, podle studie společnosti.
Jednalo se o poněkud vzácné výskyty nicméně, jak zpráva uvádí, že 71 procent času poslední oběti rok to vypadalo na nezjistil své kompromisy a místo toho použít kombinaci vymáhání práva, veřejnost, obchodních bank nebo jinou třetí stranou.
Za to, co stojí za to, Trustwave poukazuje na to, že i když se používá průměr pro oznamování porušení v minulých letech, je to zvolila medián letos v naději, že zabrání statisticky odlehlých hodnot ze zkreslování údajů.
trustwave2Dalším vrcholem studia: 45 procent z dat ukradených přes porušení je sledované v roce 2013, jíž se informace vážný non-platební karty. To zahrnuje informace jako jsou finanční pověření, interní komunikace, obchodník identifikační čísla a další osobní údaje (PII).
Všichni ve všech, by to nemělo být příliš velké překvapení. Došlo k významnému uptick v těchto bitů okrajové informací, které jsou cílené jak pozdní. Útočníci mohou brát věci, jako je adresa uživatele nebo jejich banky a využívají sociální inženýrství taktiky získat informace, které opravdu chtějí. Odtud mohou spravit společně řešit obrazovou hádanku o uživatelích a jejich zvyky.
Zatímco údaje non-platební karta byla na vzestupu v letošním roce, 45 procent postava je nárůst o 33 procent z loňského roku, některé věci se nikdy nezmění: Údaje o platebních karet stále přebíjí všechny; 35 procent z kompromitaci dat Trustwave analyzovaného přišel z e-commerce transakcí, a 19 procent z porušena dat přišla z sledovat data na kartě v kompromitaci v POS transakcí.
To znamená, že více než polovina z informačních útočníků ukradl porušení loni bylo citlivé bankovní informace, jako jsou čísla karet uživatelů, data vypršení platnosti karty, a CVV kódu. Údaje z posledně odráží porušení vysoký profil na maloobchodníky, jako je Target a Michael , kteří přišli v prosinci.
Společnost se podíval na 691 porušení napříč 24 zeměmi pro její výroční výzkumného projektu, zvýšení 53,6 procenta z počtu porušení to vypadalo v roce 2012.
Jako hodně z podniku, jak to vypadá, výzkum je nepatrný zlomek z práce popsané v objemného 100-plus stránkového dokumentu. Povrchní znalost jiných statistikách, včetně výzkumu o slabých hesel, hrozbách, využívat výstroje, spam, mobilní zranitelnosti a další jsou popsány v. PDF, který zvědavý strany můžete stáhnout zde .
Zabezpečení z nejpopulárnějších programovacích jazyků 27.4.2014 Zabezpečení Nová zpráva WhiteHat Security má hlubší pohled do bezpečí řady nejpopulárnějších programovacích jazyků včetně. Net, Java, ColdFusion, ASP a další.
"Rozhodování o tom, který programovací jazyk použít, je často založen na úvahách, jako to, co vývojový tým je nejvíce obeznámeni s, co bude generovat kód, nejrychlejší, nebo prostě to, co bude mít práci," řekl Jeremiah Grossman, zakladatel a iCEO z WhiteHat Security . "Jak bezpečné jazyk může být, je prostě nápad, který je obvykle příliš pozdě." "Jako průmyslu nám chybí dostatečné bezpečnostní údaje, které týmy se mohou spolehnout na v výběr jazyka procesu jejich projektu," pokračoval Grossman. "Tato zpráva se blíží zabezpečení aplikace není z hlediska jaká rizika existují na stránkách a aplikací poté, co byly zatlačeny do výroby, ale spíše tím, že zkoumá, jak samotní jazyky provádět v této oblasti. Přitom doufáme, že povýšit bezpečnostní aspekty a prohloubit ty rozhovory dříve v rozhodovacím procesu, což v konečném důsledku povede k více zabezpečených webových stránek a aplikací. " whitehat vědci zkoumali výsledky posouzení zranitelnosti více než 30.000 internetových stránek na míru, jak mohou příslušné programovací jazyky a rámce hrát v poli. S touto informací, zpráva přináší základní poznatky, kolem které jazyky jsou nejvíce náchylné na které třídy útoku, na tom, jak často a jak dlouho, jakož i určení, zda je či není populární moderní jazyky a rámců přinést podobné výsledky ve výrobních webových stránkách. Nové vs legacy jazyky položit základy pro výzkum, tým nejprve zkoumal množství jazyků v poli, a zjistil, nebylo překvapením, že. Net, Java a ASP jsou nejpoužívanější programovací jazyky na 28,1%, 25% a 16%, resp. Legacy programovací jazyky, které byly po desetiletí, PHP (11%), ColdFusion (6%), a Perl (3%), zaokrouhlí se na zbývající pole. Popularita a složitost. NET, Java a ASP, znamená, že potenciální útok plochy pro každý jazyk je větší; jako takový, 31% zranitelností byly pozorovány v síti, 28% byly nalezeny v Javě a 15% byly nalezeny v ASP.. Odtud vědci měli tyto klíčové pozorování:
Tam byl žádný významný rozdíl mezi jazyky při zkoumání nejvyšší průměry zranitelnosti na slotu. . Net měl v průměru 11,36 zranitelností za slot. Java Bylo zjištěno, že v průměru 11,32 a ASP přišel na 10,98. Spodní část spektra, nebo nejvíce "bezpečný", také ukázala žádný významný rozdíl mezi jazyky s nejnižšími průměrnými zranitelnosti na slotu. Perl byl pozorován jak mít 7 zranitelnosti na slotu. ColdFusion bylo zjištěno, že nejmenším počtem s průměrem 6. Z hlediska třídy zranitelnosti, výzkumný tým z těchto objevů: Cross-Site Scripting získá číslo jedna místě poté, co byl předjet úniku informací v loňském roce ve všech ale jednom jazyce. . Net má úniku informací jako číslo jedna zranitelnost, následuje Cross-Site Scripting. ColdFusion má sazbu 11% SQL injection zranitelnosti, nejvyšší pozorovat, následuje ASP s 8% a. NET 6%. Perl má pozorovaná četnost 67% Cross-site scripting zranitelnosti, více než 17% více než v jakémkoli jiném jazyce. Tam bylo méně než 2% rozdíl mezi jazyky s Cross-Site Request padělání a. Mnoho zranitelností třídy nebyly ovlivněny výběru jazyka. Sanace zůstává klíčovým faktorem
"Byli jsme trochu překvapeni, když zjistili, že jazyky, které byly po desetiletí byli skutečně schopni držet krok s více cizích jazyků, když to přišlo k sanaci některých tříd zranitelnosti," řekl Gabriel Gumbs, ředitel řešení architektury pro WhiteHat Security, který také vedl výzkumný tým na tomto projektu. "Například, Perl překonal smečku, když to přišlo k sanaci XSS zranitelnost, což bylo nejvíce převládající zranitelnost ve všech jazycích. Podobně SQL Injection měl rychlost sanační 96% v ColdFusion aplikace a každý zneužívání funkcí zranitelnosti nalezené v ColdFusion místech byla sanace. " Další zajímavé statistiky sanace:
ASP je sanace ve stejné výši jako v jiných jazycích, se zaměřením na kritické zranitelnosti. Perl remediates 85% všech Cross-site scripting zranitelnosti, nejvyšší míru mezi všemi jazyky, ale pouze 18% SQL Injection. Net a Java mají stejnou míru sanační SQL Injection na 89%. ColdFusion remediates 100% jeho zneužívání funkcí zranitelnosti, 96% jeho SQL Injection, a 87% z nedostatečné ochrany Transport Layer zranitelnosti. Průmysl oblíbené
"Často, když máme rozhovory s klienty nebo jejich vývojových týmů o tom, proč se domnívají, že praktikování bezpečného kódování je tak náročné, že nám říkají, že je to proto, že jejich aplikace jsou často tvořeny" trochou všeho ", "řekl Gumbs. "V našem výzkumu jsme však zjistili, že organizace mívají značné množství jednoho nebo dvou jazyků s velmi minimální investice do ostatních." I když tým zjistil, že žádný průmysl má dokonce zhroucení, tam jsou trendy Amongst průmyslu, pokud jde o volbu jazyka:
Finanční služby má nejvyšší počet ASP stránek podle počtu, téměř o 3-k-1. 83% z herní průmysl stránek napsaných v PHP. 49% žádostí bankovní sektor byl napsán v Javě a 42% v roce. Net. 32% výrobních míst zadlužuje Perl jako jejich jazyk výběru. Technologické odvětví napsal 35% svých stránek v PHP. "Nakonec jsme přesvědčeni, že stejně jako volba jazyka začíná na architekturu a design fázi vývoje aplikací, zabezpečení musí začít i zde," řekl Grossman. "Pochopení dopadu těchto rozhodnutí brzy pomůže řešit řízení rizika později navíc zajistí, že software je testován ve všech fázích vývoje -. Včetně revize kódu webových služeb - celá cesta přes, dokud není žádost vyřazena z provozu je důležité, . Nebudeme dosáhnout skutečně bezpečné webové, dokud to bude standardní operační postup pro všechny aplikace přes palubu. " Úplná zpráva je k dispozici zde (nutná registrace).
Technologie detekce lži, které přesně čte chování očí 25.4.2014 Zabezpečení Společnost zjistila, jak to jen otevřít okno do duše přes něčí oči, ale i přesně určit, zda je či není, že duše je lhaní.
Po celá léta, "detektor lži" a "detektor lži" bylo synonymem. To je proto, že od roku 1939 FBI byl pomocí polygrafu - nástroj, který sleduje mimovolné fyziologické reakce člověka. Jeho přesnost je odhadována na 65 až 85 procent. Žádný jiný životaschopný, osvědčené řešení pro detekci podvod se objevil připojit detektor lži, až teď. Vědci Converus strávili posledních 10 let zdokonaluje metodu neinvazivní detekce lži názvem EyeDetect, který sleduje chování očí, což je první odhalení podvodu výrobek na bázi na zkoušce oční-motoru podvodu. Validační studie ukázaly to 85 procent přesné. Zkouška trvá pouze 30 do 40 minut. "Zabýváme se mnoha citlivých informací, kde je potenciální riziko, je velmi vysoká," řekl Vilash Poovala, spoluzakladatel a CTO PayClip. developer Clip - čtečka paměťových karet, která umožňuje uživatelům v Mexiku přijímat kreditní a debetní kartou platby prostřednictvím svých smartphonů a tabletů. "Musíme se ujistit, že lidé, které zaměstnávají se dá věřit. Technologie jako EyeDetect, které mohou účinně screening potenciálních zaměstnanců na předchozí otázky se krádeže nebo podvodu, je dávno." Korupce a podvody 2600000000000dolar celosvětový problém ročně, s podniky, z nichž některé nejvíce zasaženy. Například 400 milionů dolarů bylo nedávno ukraden z Citigroup Inc 's Mexikem jednotky, Banamex. Converus zaměří jeho počáteční úsilí, které ukazují firmy Jak EyeDetect technika, pokud se používají pro pre-zaměstnání a pravidelné prověřování platných zaměstnanců může pomoci efektivněji řídit rizika a zajištění integrity na pracovišti.
Stav zabezpečení pro vzdálený přístup 25.4.2014 Zabezpečení Na konci roku 2013, HOB provedla průzkum více než 200 CIO a CTO v USA průzkum kvantifikovat trendy a výzvy IT s rozhodovací pravomocí zkušenosti při realizaci vzdáleného přístupu řešení a bylo zjištěno, že vzdálený přístup k řešení stále získává na síle, i když související bezpečnostní rizika.
Jedním z hlavních zjištění průzkumu bylo zjištěno, že zaměstnanci jsou stále více flexibilní při použití vzdáleného přístupu řešení. Není žádným překvapením, že 76 procent zaměstnanců respondenta přístup k serveru, jejich organizace, když jsou mimo kancelář. Nicméně, 58 procent zaměstnanců se pomocí vzdáleného přístupu řešení, když jsou v kanceláři, ale při práci z jiných míst v rámci pracovního prostředí na místě. Také 54 procent respondentů se domnívá, že jejich zaměstnanci používají své osobní mobilní zařízení pro přístup k podnikovým servery. Podniky musí uznat, že zaměstnanci v mobilní pracovní síly přistupujete firemní servery častěji, a proto je třeba upravit IT infrastruktury pro preferenci zaměstnanců pro flexibilitu. Průzkum také odhalil, že ačkoli většina firem se již používají pro vzdálený přístup řešení, CIO a ředitelé mají stále obavy o bezpečnost. 66 procent respondentů se obávají, že hackeři mohou získat přístup k síti v průběhu zaměstnanců vzdáleného přístupu sezení. Navíc, 56 procent jsou vysoce zabývá zaměstnanci přístup k síti prostřednictvím jejich osobních zařízení, a dalších 50 procent CTO a CIO najít chyby jejich vlastní IT Tým být mezi nejvíce znepokojujících otázek zabezpečení vzdáleného přístupu, jak tyto chyby odpojí od sítě otevřené pro průniky. Tyto výsledky naznačují, že společnosti musí formulovat jasná pravidla pro zaměstnance, přístup k firemní servery. Přes obavy o bezpečnost, vzdálený přístup řešení jsou rozmístěny mezi většinu podniků a používán zaměstnanci, stejně jako CTO a CIO. Výsledky průzkumu také ukazují, že budoucí poptávka po vzdálený přístup řešení nebude snižovat v následujících letech. Ve skutečnosti, více než 72 procent respondentů očekává na počet zaměstnanců, kteří potřebují vzdálený přístup poroste. V době zvýšené ekonomické špionáže povědomí o bezpečnostních otázkách se zvýšil, což se promítá do pozitivních účinků na investiční IT plánování. 46 procent technologických odborníků dotázaných očekávají, IT bezpečnost výdaje na zvýšení 1 - 25 procent v roce 2014 a 31 procent očekává, že se zvýší o více než 25 procent. Zajímavé je, že 20 procent respondentů se domnívá, že bezpečnost IT výdaje budou stagnovat v roce 2014, zatímco pouze 3 procenta naznačují, že se bude snižovat.
Fun with fráze! 24.4.2014 Zabezpečení
Jak systémových administrátorů a bezpečnostních lidí, všichni jsme měli dosyta našich uživatelů a zákazníků pomocí jednoduchých hesel. Většina operačních systémů v těchto dnech se prosadit určité úrovně složitosti hesla ve výchozím nastavení, s možností "posílit" požadavky na heslo pro hesla.
Převažující moudrost je dnes použití přístupových frází - prokázali pěkně naším bud na xkcd - http://xkcd.com/936/
Takže jsem stále mají velmi dlouhé propustí fráze pro účetnictví veřejných čelí. Představte si moje překvapení, když jsem se vytvořit nový účet na hlavní cloudu (jeden, který začíná s "O" a končí na "365"), a zjistil, že jsem byl omezen na 16 znaků hesla.
Netřeba dodávat, že mám případ otevřený a zjistěte, zda toto omezení může být odstraněno. Já nehledám žádný limit / pozvání do vyrovnávací paměti stavu přetečení na pole pro heslo, ale něco větší než 16 by opravdu ocenil!
Dávejte pozor, co vám Kontrolovat! 24.4.2014 Zabezpečení
Po nějaké zábavy a her na jednom místě zákazníka, zejména, zjistil jsem, že SSL služby na starších verzích HP Proiliant servery Ilo porty (iL01 a iLO2) nejsou náchylné k heartbleed.
Nicméně, jejich implementace SSL je dost křehká, že skenování je pro Heartbleed zranitelnost bude činit jejich nefunkčnost. To ovlivňuje Proliants z G1 celou cestu až k G6, stejně jako mnoho z HP Bladesystems.
Kompletní vypnutí napájení celého systému - jako v Vyšroubujte oba kabelů AC - je nutné resetovat MOP kartu a přivést ji zpět k životu. I když se to může zdát jako rychlé řešení pro jeden server, v případě, že je server spuštěn hypervisor, nebo jestli je to BladeSystem s Hypervisory běží na ostří, to může znásobit být obrovský problém. Zvlášť pokud váš klient prohlédl podsítě serveru, a účinně zděná všechny své Ilo karty před tím, než si uvědomil, že byl problém (oops)
(A ano, fakt, že jsme pracovali na to velikonočním víkendu je poněkud ironické.)
Úplné podrobnosti jsou v HP Support Document c04249852
To ukazuje, že i při skenování pro jednoduché věci (s NMAP, Nessus nebo jakékoliv jiné skenovací nástroj opravdu), že je to nejlepší skenovat několik zkušebních systémů první - nebo máte-li zkušební VLAN, která kopíruje vaše výrobní systémy, ještě lepší! To není problém, se skenery, téměř vždy problém je křehkost služby snímané předlohy. Mnohé služby jsou psány pouze se vypořádat s "správné" vstupy, což není, jak většina skenerů (nebo většina útočníků), mají tendenci pracovat.
Bezpečné skenování Všichni!
Zakladatel OpenBSD vytváří odnož knihovny OpenSSL
24.4.2014 Zabezpečení Theo de Raadt se domnívá, že po situaci kolem chyby Heartbleed je potřeba vytvořit novou variantu OpenSSL, která bude jednodušší a přehlednější. V knihovně LibreSSL by podle něj k podobným excesům již dojít nemělo.
Členové projektu OpenBSD, který se zabývá vývojem a podporou stejnojmenného unixového operačního systému, se rozhodli vytvořit novou odnož šifrovací knihovny OpenSSL, která by podle nich měla být důvěryhodnější a bezpečnější.
I když je OpenSSL vyvíjena jako open source, plné dva roky si nikdo z vývojářů, kteří na ní pracují, nevšiml kritické chyby, která nakonec vedla k velkému množství napadených webových serverů a služeb postavených kolem nich. Knihovna již samozřejmě byla opravena, autor onoho opomenutí v kódu ovšem podotýká, že v komunitě není v současnosti dostatek lidí, kteří by důkladně zkoumali zdrojový kód OpenSSL a hledali podobně přehlédnuté chyby.
To chce projekt LibreSSL změnit. Proto se komunita vývojářů zabývajících se jedním z nejbezpečnějších unixových systémů rozhodla celý kód prozkoumat, opravit a zabezpečit. A dále se starat o jeho vývoj. Jedním z iniciátorů byl i zakladatel projektu Theo de Raadt, který ostatně knihovnu OpenSSL již v minulosti kritizoval a tvrdil, že ji nevyvíjí odpovědný tým. Nová knihovna by měla doznat zásadních změn uvnitř, rozhraní API, které využívají všechny systémy a aplikace, by mělo být stoprocentně kompatibilní. Mělo by tedy jít jednoduše vyměnit jednu knihovnu za druhou.
Prvním úkolem je očištění a naformátování zdrojového kódu, aby byl čitelnější a aby se dal snáz udržovat a doplňovat. Tým také odstraňuje podporu historických operačních systémů jako VMS, OS/2, NetWare, Mac OS nebo starých verzí Windows, pro které tak jako tak už v podstatě žádné nové aplikace nevznikají.
V první fázi bude LibreSSL podporovat jediný operační systém – OpenBSD. Měla by se objevit ve verzi OpenBSD 5.6, tedy podle plánu v listopadu tohoto roku. Jakmile bude podle slov vývojářů dostatečně očištěná a přepracovaná, rozšíří podporu o další operační systémy. A pomoci jim samozřejmě budou moct i ostatní vývojáři, protože knihovna bude samozřejmě šířena jako open source.
Mobilní autentizaci Esetu mohou nově využít všechny aplikace
22.4.2014 Zabezpečení Použitelnost svého autentizačního řešení Secure Authentication rozšířil Eset prostřednictvím vývojářské sady. Ta je dovolí integrovat i do prostředí, kde se nepoužívá Active Directory od Microsoftu.
Vývojářská sada (SDK, Software Development Kit) je určená pro programovací jazyky .Net, PHP a Java a výrobce ji dodává včetně podrobných návodů pro vývoj i pro nasazení doplněných o příklady použitelného kódu.
Secure Authentication lze nasadit třemi způsoby. Nativně podporuje Outlook Web Access/App pro Microsoft Exchange 2007, 2010 a 2013, Microsoft SharePoint a Microsoft Dynamics CRM, a také a webové aplikace jako je Exchange Control Panel (2010) a Exchange Administration Centre (2013).
Díky rozhraní API je možné jej jednoduše integrovat i do existujícího autentizačního systému, využívajícího Active Directory. A konečně díky vývojářské sadě (SDK) je možné řešení řešení implementovat do libovolného vlastního systému, tedy bez potřeby použití Active Directory.
„Secure Authentication umožňuje jednoduše nasadit dvoufaktorovou autentizaci k zabezpečení přístupu k prakticky jakékoli aplikaci nebo dokonce ke konkrétním transakcím uvnitř aplikace. To je v době zvýšeného rizika zneužití přístupu k systémům a úniků dat neocenitelná výhoda,“ tvrdí Miroslav Dvořák, technický ředitel Esetu.
Přírodní Security Alliance uvolňuje specifikace pro silné standardní ověřování 14.4.2014 Zabezpečení Přírodní Security Alliance vydala nejnovější specifikace pro svého světového první silné standardní ověřování.
Norma definuje silnou metodu autentizace pro platby a přístup ke službám, na všech kanálech (např. domů, obchod, větve), aniž by byla ohrožena bezpečnost nebo soukromí. Tato metoda ověřování kombinuje místní biometrické ověření, osobní zařízení a bezdrátové technologie, a mohou být implementovány do různých tvarových faktorů, včetně čipové karty, micro-SD kartu, mobilní telefon, bezpečnostního prvku a tokenu. Nejnovější specifikace jsou výsledkem práce skupina klíčových prodejců, bank, prodejců a platební odborníků podílejících se na přírodní Security Alliance od roku 2008 a představují 180 člověkohodin let vývoje. Nově vydané základní specifikace definují architekturu a různé komponenty potřebné k tomu, aby transakce založené na bezdrátovém přijetí zařízení (WAD), který používá uživatel přijetí (např. prodejce) a bezdrátové osobní zařízení (WPD), který používá jednotlivé uživatele. předchozí verze byly úspěšně testovány na 6-ti měsíců pro spotřebitele pilot provádí ve Francii, který dal více než 900 zákazníci možnost vyzkoušet první implementaci standardu Natural zabezpečení pro bezkontaktní platby. Studie jasně ukázala, že veřejnost akceptovány a přijaty tuto biometrické metody ověřování pro bezdotykové platby -. Se 94% účastníků říkají, že byli připraveni použít tento způsob platby pro všechny nákupy v supermarketech a menších obchodů Tato norma je založena na jedinečné Kombinace bezdrátové technologie, místní biometrické ověřování a osobní zařízení:
Osobní zařízení ukládá aplikace a data používané k ověření uživatele, řešení problémů týkajících se soukromí a vyhnout se použití biometrických databází. Norma může být implementován do různých tvarových faktorů, včetně čipové karty, micro-SD kartu, mobilní telefon Secure Element a tokenu. Bezdrátová komunikační technologie (v běžných IEEE 802.15.4 a Bluetooth Low Energy plánuje) šetří uživatelům potřebu fyzicky zvládnout toto zařízení. Biometrie nahrazuje nebo doplňuje PIN, takže transakce se může uskutečnit pouze, pokud jsou přítomny oba uživatele a zařízení. Tato norma definuje architekturu a různé komponenty potřebné k tomu, aby transakce založené na bezdrátovém přijetí zařízení (WAD) používané uživatel přijetí (např. obchodní) a bezdrátové osobní zařízení (WPD), používané pro jednotlivé uživatele. Standardní Přírodní Security definuje následující základní údaje: Natural Bezpečnostní Obecný popis [CORE1 / V 2,3] nabízí úvod a obecný přehled o technologii Natural bezpečnosti. Také popisuje služby, které mohou být poskytovány pomocí technologie Natural bezpečnosti. Wireless Personal Device (WPD) [Core2 / V 2,4] Specifikace popisuje zařízení používané pro jednotlivé uživatele (např. zákazník) k provedení WPD relace. Tento dokument také popisuje Provider architekturu osobní přístup, což je jádro aplikace Natural Bezpečnostní bydlištěm v každém WPD. Bezdrátové Přijetí zařízení (WAD) [CORE3 / V 2,4] Specifikace popisuje zařízení používané pro přihlášení uživatele (např. obchodní) k provedení WPD relace. Tento dokument také popisuje transakční tok a WPD zasedání. Wireless Personal Area Network (WPAN) [CORE4 / V 3,02] Specifikace popisuje mid-range bezdrátové komunikační protokol používaný pro připojení WPD s WAD. Tento protokol založený na WPAN je definován přírodní bezpečnosti. Bezdrátové Biometrické Intelligent Reader (WBIR) Protokol [CORE5 / v2-43] specifikace poskytuje funkční popis zařízení integrující hlavní složky zemního zabezpečení, čímž se zjednoduší integraci řešení Natural bezpečnosti ve stávajících systémech. Tento dokument také popisuje zprávy protokolu, které mají být používány v "Controlling-Device", jako například POS nebo PC, pro řízení o WBIR.
Zúčastněte se průzkumu bezpečnostních praktik
14.4.2014 Zabezpečení Společnost PwC ve spolupráci se společností CXO Media pořádá již 12. ročník průzkumu bezpečnostních praktik v oboru informačních technologií. V tomto celosvětovém průzkumu máte šanci vyhrát tablet iPad mini a další ceny.
Cílem tohoto výzkumu je zjištění názoru vedoucích pracovníků a zástupců významných podniků v oboru na současné i budoucí problémy zabezpečení, se kterými se musí vyrovnat.
Každý respondent obdrží závěrečnou zprávu s výsledky průzkumu. Tento hodnotný nástroj může odborníkům v oblasti IT pomoci získat přehled o stávající bezpečnostní situaci i o budoucích hrozbách, na které je třeba se připravit. Výsledky průzkumu budou také zveřejněny online na webech PwC.com, CIO.com a CSOonline.com. Pokud chcete získat závěrečnou zprávu a být zařazeni o slosování o tablet, je třeba uvést své jméno a e-mailovou adresu.
Všechny odpovědi v rámci tohoto průzkumu jsou považovány za důvěrné, respondenti ani jejich organizace nebudou v žádných výsledcích zmíněni. Za to, že nám poskytnete své cenné informace, můžete se dočkat i zajímavé odměny – vylosovaný účastník tohoto průzkumu totiž dostane zcela nový tablet Apple iPad mini v hodnotě 7300 Kč.
Tento menší z rodiny tabletů z produkce Applu má rozlišení 1024x768 pixelů. Tablet s úhlopříčkou displeje 7,9 palců je vybaven interním úložištěm o kapacitě 16 GB. Další výherci mají šanci získat elektronickou čtečku Amazon Kindle Fire HD nebo dárkovou kartu společnosti American Express v hodnotě 300 dolarů.
Uživatelé Gmailu dostat plný, vždy-na HTTPS 6.4.2014 Zabezpečení Google učinil dobře na jeho slova a zavedl výchozí šifrování všech uživatelů Gmailu. "Od dnešního dne bude Gmail vždy použít šifrované připojení HTTPS při kontrole, nebo poslat e-mail," Nicolas Lidzborski, Gmail Security Engineering Olovo, společná minulý týden. "Dnešní změna znamená, že nikdo nemůže poslouchat na vaše zprávy, jak jdou tam a zpět mezi vámi a Gmail servery-bez ohledu na to, zda používáte veřejné Wi-Fi nebo se přihlásit ze svého počítače, telefonu nebo tabletu."
"Kromě toho, každý e-mailovou zprávu posíláte nebo přijímáte-100 procent z nich, je šifrována a pohybuje se uvnitř. To zaručuje, že vaše zprávy jsou bezpečné nejen tehdy, když se pohybují mezi vámi a servery Gmailu, ale také, jak se pohybují mezi daty společnosti Google center, něco, co jsme udělali nejvyšší prioritu po odhaleních v létě letošního roku, "řekl vysvětlil , se zmiňovat o špionáži odhalila NSA informátorů Edward Snowdena. vždy-na HTTPS znamená, že Gmail bude trochu pomalejší pro uživatele, ale ne moc. Také nová bezpečnostní opatření chrání e-maily pouze tehdy, pokud odesílatel i příjemce používají Gmail, jako většina ostatních poskytovatelů e-mailových neměl zahrnovat stejnou ochranu. Konečně, Lidzborski doporučuje uživatelům, aby zvážila další způsoby, jak udržet sebe v bezpečí, zatímco pomocí své e-maily účtu, jako je například výběr silných hesel a které umožňují ověření 2-step.
Aféra NSA mění přístup firem k citlivým datům
1.4.2014 Zabezpečení Podle průzkumu mezi velkými podniky se v tomto segmentu mění přístup ke způsobu práce s citlivými údaji.
S tím, jak se postupně objevují informace o rozsáhlé špionáži americké agentury NSA, které získal její bývalý spolupracovník Edward Snowden, mění se i postoj korporací ke komerčně citlivým údajům. Tato změna může mít podle nově zveřejněné studie velký dopad i na internet. Podle průzkumu mezi 1 000 korporací z celého světa postupně nastane odklon od cloudů k jiným, bezpečnějším způsobům nakládání s firemními daty.
S tím souvisí i tlak některých zemí na peering v jednotlivých oblastech tak, aby data v jejich rámci neputovala přes USA, jak je tomu v mnoha případech v současnosti. Snahy v tomto směru vyvíjejí například Německo s Francií v Evropské unii nebo Brazílie v Latinské Americe.
Daniel Castro z Nadace pro informační technologie a inovace, která průzkum pořádala, konstatoval, že výzkum potvrdil, že americké technologické firmy v následujících letech výrazně pocítí pokles důvěry zbytku světa k americkým technologiím. „Snowdenova odhalení způsobila postoj vedoucích pracovníků IT k pořizování nových technologií,“ uvedl Castro. „Společnosti si nyní nekonkurují jen v ceně a kvalitě, ale i v zeměpisné poloze. To může být posledním hřebíkem do rakve pro vizi o globálním internetu bez hranic,“ dodal.
Podle výzkumu téměř třetina dotázaných přesouvá své privátní data do míst, „kde podle jejich názoru budou v bezpečí“ a 16 % jich odložilo nebo zrušilo své smlouvy s poskytovateli cloudových služeb.
Americké technologické podniky již vyjádřily své znepokojení nad možnými dopady aféry kolem NSA na jejich možnosti podnikání po celém světě, například zakladatel Facebooku Mark Zuckerberg a Eric Schnidt, předseda představenstva Googlu, se setkali s prezidentem Barackem Obamou, aby mu vyjádřili své obavy o negativní komerční dopad amerického špionážního programu.
Podle Castra ale americká politika nepostihuje pouze globální korporace. „V tomto případě nejde pouze o velké hráče, ale i o začínající a střední firmy. Tato situace ve svém důsledku podkope i jejich základy,“ upozornil Castro.
Šifrování na Facebooku je stále omezené
31.3.2014 Zabezpečení Uživatelé nemají příliš možností, jak chránit svou komunikaci před kyberzločinci a vládními odposlechy.
Facebook neustále pracuje na zlepšování bezpečnostních protokolů a šifrovacích metod. Součástí jeho boje proti vnějším útokům je například i štědrý program odměn pro jedince pátrající po bezpečnostních chybách Facebooku nebo používání protokolu HTTPS, jehož zásadním nedostatkem je však fakt, že dešifrování komunikace probíhá ještě na datovém centru a nikoliv až na uživatelském počítači.
Jako nejlepší způsob ochrany uživatelské komunikace se proto jeví tzv. end-to-end šifrování, u kterého do šifrované komunikace nevidí ani samotný Facebook. Společnost má však s tímto mechanismem dlouhodobě problém.
Podle bezpečnostního ředitele Facebooku Joea Sullivana nedošlo k nasazení technologie kvůli její velké složitosti. Pro průměrného uživatele je prý velmi obtížně komunikovat pomocí end-to-end šifrování. „Pokud end-to-end šifrování používáte v emailové komunikaci, pak víte, o čem mluvím,“ řekl Sullivan, který tak naráží na potřebu ruční výměny veřejného klíče mezi odesílatelem a příjemcem – zvlášť pro každou zprávu.
Pokud uživatelé Facebooku chtějí tento typ ochrany přesto využít, mají na výběr z několika aplikací třetích stran. Facebook se prý podle Sullivana snažil přijít s vlastním řešením, ale neúspěšně. Podpora cizích aplikací je tak zatím jediné, co může v této věci udělat.
Jednou z těchto aplikací je Pidgin, kterým lze šifrovat komunikaci vedenou přes vlastní aplikaci Facebooku Messenger. Možnost, že by end-to-end šifrování zakomponoval do Messengeru přímo Facebook, Sullivan nechtěl komentovat.
Zájem uživatelů o zabezpečení vlastní komunikace přitom v poslední době výrazně vzrostl. Velkým dílem o to zasloužila NSA se svým špehovacím programem, ale i jiné organizace vedoucí hromadné útoky na uživatelské soukromí.
Důležitost šifrování minulý týden zdůraznil také Edward Snodwden, který se na dálku zúčastnil konference SXSW v americkém Austinu. Protokoly používané na Facebooku, Googlu nebo ve Skypu podle něj stále nechávají uživatelská data napospas tajným službám, protože nevyužívají end-to-end šifrování.
Rychle identifikovat a jednat v otázkách pro zabezpečení koncových bodů 8.3.2014 Zabezpečení Promisec oznámila plány na Promisec bezúhonnost, série cloudových nabídek, které pomáhají malým až středně velké podniky se zabezpečením koncových bodů a sanace. kompletní sadu nabídky umožňuje IT organizacím zajistit soulad, bránit proti rostoucímu počtu kybernetických hrozeb ovlivňují podnikání dnes a ověřit integritu koncových bodů napříč všemi nasazeny bezpečnosti a IT konečnými technologií.
Podle nedávné zprávy společnosti Gartner, "Malware je již uvnitř vaší organizace, s tím vypořádat," publikoval 12.2.2014, "bezpečnostní organizace, musí předpokládat, že jsou ohrožena, a proto investovat do schopností detektivní, které poskytují průběžné sledování pro vzory a chování svědčící o zlý úmysl. "Za tímto účelem, říká zpráva," nová třída detekce koncového bodu a odpovědi (ETDR) prodejci se začínají zaplnit mezery, které zůstávají tradiční ochrany koncových bodů platformy (EPP) Suites. [Oni] poskytnout "ukazatele kompromisů" (IOCs) vést úsilí o odhalování a vyšetřování nástroje v reálném čase, které umožňují rychlé výslechu koncových bodů a historie koncových bodů. " Promisec Integrity poskytuje nepřetržité monitorování pro pokročilou detekci hrozeb tím vydělávat na kolektivní inteligence od stávající nástroje pro zabezpečení a správu, aby poskytují jistotu, že všechny nástroje a procesy jsou funkční, agenti jsou aktuální, a software je záplatované. . To poskytuje IT organizacím možnost zlepšit jejich dopadající dobu odezvy, a tak omezit obchodní dopad Další plánované přírůstky Promisec Integrita zahrnuje:
Endpoint kontrola - průběžné sledování služba, která bude testovat a hlásit na celý koncový bod životního prostředí odhalit jeho stav zabezpečení, včetně odhalování neoprávněných žádostí, potvrzení antivirus a řešení pro správu SCCM / oprava fungují správně, a zajistit dodržování podnikových zásad IT Tamper detekce - validační službu souboru, který potvrdí, zda jsou soubory, nebo s ním manipulovala poškozen útokem, ať už jako se to děje, nebo po útoku Pro řešení krizí - služba Incident Response, která bude zametat zákazníků koncové body pro konkrétní otázky-jako je konkrétní malware útoku nebo starší verzi softwaru, který je náchylný k hack-a nabídky na místě sanace a podávání zpráv o aktuálním stavu těchto koncového bodu prostředí. "Promisec Integrity je jako tlačítko" nepanikařte ", které mohou rychle poskytnout klid mysli a postup-pro malé a středně velké podniky, které se musí dostat před nejnovějšími hrozbami ještě před jejich negativní dopad na firemní IP, operační účinnosti a, nakonec, značka důvěra a ziskovost, "řekl Dan Ross, generální ředitel, Promisec. Společnost bude odhaluje konkrétní řešení jsou k dispozici pro Promisec integritu až do konce roku 2014, začíná se schopností detekce cyber v nadcházejících týdnech.
Rychle identifikovat a jednat v otázkách pro zabezpečení koncových bodů 8.3.2014 Zabezpečení Promisec oznámila plány na Promisec bezúhonnost, série cloudových nabídek, které pomáhají malým až středně velké podniky se zabezpečením koncových bodů a sanace. kompletní sadu nabídky umožňuje IT organizacím zajistit soulad, bránit proti rostoucímu počtu kybernetických hrozeb ovlivňují podnikání dnes a ověřit integritu koncových bodů napříč všemi nasazeny bezpečnosti a IT konečnými technologií.
Podle nedávné zprávy společnosti Gartner, "Malware je již uvnitř vaší organizace, s tím vypořádat," publikoval 12.2.2014, "bezpečnostní organizace, musí předpokládat, že jsou ohrožena, a proto investovat do schopností detektivní, které poskytují průběžné sledování pro vzory a chování svědčící o zlý úmysl. "Za tímto účelem, říká zpráva," nová třída detekce koncového bodu a odpovědi (ETDR) prodejci se začínají zaplnit mezery, které zůstávají tradiční ochrany koncových bodů platformy (EPP) Suites. [Oni] poskytnout "ukazatele kompromisů" (IOCs) vést úsilí o odhalování a vyšetřování nástroje v reálném čase, které umožňují rychlé výslechu koncových bodů a historie koncových bodů. " Promisec Integrity poskytuje nepřetržité monitorování pro pokročilou detekci hrozeb tím vydělávat na kolektivní inteligence od stávající nástroje pro zabezpečení a správu, aby poskytují jistotu, že všechny nástroje a procesy jsou funkční, agenti jsou aktuální, a software je záplatované. . To poskytuje IT organizacím možnost zlepšit jejich dopadající dobu odezvy, a tak omezit obchodní dopad Další plánované přírůstky Promisec Integrita zahrnuje:
Endpoint kontrola - průběžné sledování služba, která bude testovat a hlásit na celý koncový bod životního prostředí odhalit jeho stav zabezpečení, včetně odhalování neoprávněných žádostí, potvrzení antivirus a řešení pro správu SCCM / oprava fungují správně, a zajistit dodržování podnikových zásad IT Tamper detekce - validační službu souboru, který potvrdí, zda jsou soubory, nebo s ním manipulovala poškozen útokem, ať už jako se to děje, nebo po útoku Pro řešení krizí - služba Incident Response, která bude zametat zákazníků koncové body pro konkrétní otázky-jako je konkrétní malware útoku nebo starší verzi softwaru, který je náchylný k hack-a nabídky na místě sanace a podávání zpráv o aktuálním stavu těchto koncového bodu prostředí. "Promisec Integrity je jako tlačítko" nepanikařte ", které mohou rychle poskytnout klid mysli a postup-pro malé a středně velké podniky, které se musí dostat před nejnovějšími hrozbami ještě před jejich negativní dopad na firemní IP, operační účinnosti a, nakonec, značka důvěra a ziskovost, "řekl Dan Ross, generální ředitel, Promisec. Společnost bude odhaluje konkrétní řešení jsou k dispozici pro Promisec integritu až do konce roku 2014, začíná se schopností detekce cyber v nadcházejících týdnech.
Řešení pro upevnění unesených nastavení Chrome 10.2.2014 Zabezpečení Mnoho uživatelů - ne-li všechny - zažili stažení zdarma spořič obrazovky nebo hry, aniž by při pohledu na malým písmem, a v důsledku toho, jak se jejich prohlížeč nevědomky zatížena nežádoucím nástrojů, add-on nebo homepage. Podle Linus Upson, Google VP Engineering, Problém nastavení unesených prohlížeče je ten, který trápí mnoho uživatelů Chrome. Loni v říjnu, firma přidáno tlačítko "reset nastavení prohlížeče" na svém prohlížeči, ale to je zřejmě nestačí, a že nyní začne uživatelům Windows, jejichž nastavení byly změněny, pokud by chtěli obnovit jejich nastavení prohlížeče zpět do továrního nastavení s dotazem :
Varianta přichází s varováním: krok bude také zakázat (ale ne odinstalovat) Nezáleží Rozšíření, aplikace nebo motivy jsou uživatelé sami se rozhodli použít. Naštěstí se aplikace bude automaticky znovu aktivována, když uživatelé používají se jim velmi příště a vybrané rozšíření lze jednoduše znovu aktivovat ručně. Tento nejnovější přírůstek z týmu Chrome byl zaveden, protože někdy únosci zanechat procesy zaměřené na podkopání uživatelský ovládací prvek nastavení opakovaně po krátké časové úseky byly předány. budou Tato nová funkce neřeší Tento druhý problém trvale, ale umožní uživatelům low-level dočasně odstranit takové obtíže s jediným kliknutím tlačítka. Ti, kteří hledají více trvalé řešení - tj. odinstalování nastavení tichého přesměrování programů - se doporučuje vyzkoušet Chrome Fórum nápovědy pro krok-za-krokem
Neoficiální průvodce pro Tor: Opravdu soukromé prohlížení 28.1.2013 Zabezpečení | Ochrana
Problematika ochrany soukromí na Internetu již dlouho obtížný: existuje spousta dobrých důvodů, proč byste mohli být podezíravý k cizím lidem, čtení e-mailů nebo špionáž na webových stránkách, které navštívíte.
Tam jsou stejně přesvědčivé důvody, že různé bezohlední lidé, korporace a vlády chtít udělat právě to. Celá problematika se dostala do hlavy v poslední době s odhalením, že NSA byl nezákonně špehovat americké občany a ostatními přes Facebook, Google a Skype -. Včetně, pravděpodobně budete Stručně řečeno, Tor je mocný, bezstarostný-až k -použití kus software, který vám umožní udržet vaše online soukromí život. Tato příručka vám poskytne návod krok za krokem k instalaci, konfiguraci a použití Tor, a jak jste začali brát aktivní roli při ochraně vašeho soukromí na internetu.
Vzhledem stínu, který ze stínu
4.12.2013 Zabezpečení
Podívejte se kolem vaší kanceláři. Listovat ve vašem seznamu kontaktů podnikání. Šance je, že čtyři z pěti svých kolegů porušují pravidla v oblasti IT společnosti. Tento překvapivý objev pochází z nedávné Software-as-a-Service (SaaS) průzkumu Stratecast a sponzorované společností McAfee. Průzkum vyrazil prozkoumat "stín IT," definováno jako využití zaměstnanců neschválených aplikací SaaS dělat svou práci. Výsledky jsou publikovány v oblasti výzkumu papíru Stratecast, The Hidden Truth Behind stín IT: Šest trendy ovlivňující vaši bezpečnost držení těla Ukazuje se, že pracoviště je plná non-schválených žádostí. Více než 80 procent zaměstnanců po celém světě obchází firemní politiku vybrat a používat své vlastní SaaS aplikací. A to není předmětem podnikání (LOB) zaměstnanci, který se "děje tulák. "Vaše IT zaměstnanci, údajně strážci vašich firemních digitálních aktiv a zdrojů, jsou o něco častěji než ostatní zaměstnanci (83 procent IT, proti 81 procent zaměstnanců LOB) ignorovat pravidla společnosti, pokud jde o schválené SaaS použití. Otázka přesahuje rámec jednotlivých zaměstnanců přihlášení do LinkedIn se podívat na zákazníka. V mnoha případech, celé oddělení je efektivně thumbing své nosy na firemní politiky a výběr a instalaci SaaS aplikace spustit jejich organizace. 78 procent respondentů uvedlo, jejich oddělení použít non-sankcionované SaaS aplikace, dokonce i pro citlivé pracovní zátěže, jako jsou lidské zdroje, finance, a právní. Stejně tak je použití omezeno na aplikaci nebo dva. Jednotliví zaměstnanci v průměru jen něco málo přes tři non-schválené SaaS aplikace ke své práci. Zaměstnanců v oblasti IT jsou více pravděpodobné, že bude více pachatelů: 19 procent zaměstnanců IT říkají, že používají více než šest neoprávněným aplikací, ve srovnání s pouze 4 procenta uživatelů LOB. S čísly, jako jsou tyto, je jasné, že "stín" IT je již ve stínu, se stala normou pro přijetí podnikových technologií. Příčiny lze snadno dohledat. Cloud modelu SaaS, a zejména, půjčuje sebe k zaměstnancům "škrtnutím na vlastní pěst. Sign-up portály Samoobslužné, přístup přes jakékoli připojení k internetu, zdarma nebo low-cost, kreditní karty účtovány předplatné: všechny tyto vlastnosti SaaS zmocnit jednotlivce převzít kontrolu nad jejich technologií a do značné míry činí oddělení debatovat IT. Zaměstnanci se stát se zdatným spotřebitelům technologie v jejich osobním životě, cítí stejnou jistotu o výběru aplikace v obchodní místo. Přesto nespoutané jednotlivé SaaS rozhodnutí lze představit zabezpečení a dodržování předpisů rizika, problémy s výkonem, a nedostatky na společnosti. Zaměstnanci pochopit, do určité míry: v budoucích blog vyslání, budeme se blíže podívat na vnímání a zkušenosti s rizikovými faktory spojené s SaaS využití zaměstnanců. Nicméně, zaměstnanci věří, že zvýšení produktivity, které si uvědomují, výběrem vlastních aplikací SaaS vyrovnání veškerých firemních rizik - perspektivní že je nepravděpodobné, že bude sdílen firemní pracovníky IT, zabezpečení a dodržování předpisů, které mají širší dosah a rozsah odpovědnosti. Výzvou pro podnikání je vytvořit správnou rovnováhu mezi flexibilitou a ochranou zaměstnanců podnikového majetku. Politika SaaS by měla podporovat potřebu a touhu vybrat nástroje, které budou nejlépe jim umožní dělat svou práci zaměstnanců, ale také zajistit, normy dostupnost, bezpečnost a dodržování předpisů. Chcete-li mít to všechno, budete potřebovat: Příkop diktaturu . Pryč jsou dny, kdy IT oddělení měl plnou pravomoc nad všemi používání technologií. Bring Your Own Device pohyb plodil jeho software protějšek-Bring Your Own aplikace. A to je dobrá věc: pokud vaši zaměstnanci mají svobodu nad tím, jak dělají svou práci, jsou spokojenější a více pravděpodobné, že přijít s druhem efektivní, kreativní obchodní řešení, které potřebujete, aby zůstali konkurenceschopní. Místo autoritářské vlády, stavět politiku SaaS, který dává zaměstnancům možnost vybrat si z nejlepších aplikací pro jejich potřeby. Buďte inclusive, spíše než exkluzivní . Existují tisíce běžně používaných obchodních SaaS produkty na trhu. Nenuťte své zaměstnance používat jen ty, které jste schválili. Místo toho, implementovat bezpečnostní řešení, které může poskytnout svým zaměstnancům přístup k široké škále uznaných možností SaaS, aniž by byla ohrožena vaše podniků působících v oblasti majetku. Chraňte své zaměstnance od sebe a druhých. Dát svobodu zvolit aplikace, neznamená, že zříkání se zodpovědnosti. Vyhodnotit komplexní bezpečnostní řešení, jako je McAfee ® Web Gateway, které mohou transparentně sledovat příchozí i odchozí webový provoz a zajistit ochranu proti malware, blokové nežádoucích URL, zabránit odchozí úniku citlivých dat, a vynucovat zásady přijatelného použití. Zaměstnanci se obrátit na stín IT jako způsob, jak snadno přístup k nástrojům, které si myslí, že potřebují ke své práci. Pomoci vaší společnosti, aby stín do denním světle s politikou inclusive SaaS opírající se o robustní řešení zabezpečení, které chrání uživatele a majetek společnosti. Pro více informací o tom, jak zvládnout stínu, který lze nalézt ve zprávě Stratecast, The Hidden Truth Behind stín IT: Šest trendy ovlivňující vaši bezpečnost držení těla.
UN: Mass Surveillance porušuje univerzální lidská práva 3.12.2013 Zabezpečení
Organizace spojených národů se stal rostoucí sbor lidí, organizací a aktivistů odsoudila masové dohled nad vládní občanů bez příčiny, a říká, že tyto programy jsou porušením základních lidských práv.
Sociální, humanitární a kulturní - Třetí výbor Valného shromáždění Organizace spojených národů přijalo návrh usnesení přiznalo, že svévolné sledování a shromažďování osobních údajů v rozporu s univerzální lidské právo na soukromí a projevu.
Zatímco OSN dokument nevyžaduje žádné zvláštní národy podle názvu je zřejmé, že rozlišení je přímou odpovědí do Spojených států a stále více veřejných špionážní operace Spojeného království.
Rozlišení je odvozen od a implementuje doporučení samostatné zprávě Frank LaRue, zvláštní zpravodaj OSN pro svobodu projevu, zveřejněny na začátku tohoto roku. Zpráva LaRue je uvedeno následující:
"Nepatřičné zasahování do soukromí jednotlivců mohou přímo i nepřímo omezit svobodný rozvoj a výměnu nápadů .... Porušení na jednom práva může být jak příčinou a důsledkem protiprávního jednání po druhé. "
Účelem řešení je v podstatě znovu potvrdit lidského práva na soukromí, a to navzdory skutečnosti, že nově vznikající technologie, aby vše prostupující a bezmeznou špionáže snadněji provést, než kdy předtím.
To také zdůrazňuje "důležitost plného respektování svobody vyhledávat, přijímat a rozšiřovat informace, včetně zásadní význam přístupu k informacím a demokratické účasti" a poznamenává, že je třeba k zajištění národní bezpečnosti, není důvod pro národy vysmívají mezinárodních zákonů o lidských právech.
Jillian York a Katitza Rodriguez, ředitelé pro mezinárodní svobodu projevu a mezinárodních práv, respektive na Electronic Frontier Foundation vařené rozlišení až do následujících pěti bodů :
Respektovat a chránit právo na soukromí, mimo jiné v souvislosti s digitální komunikace. Přijmout opatření k ukončení porušování těchto práv a vytvořit podmínky, aby se zabránilo takovému porušování. Chcete-li si své postupy, postupy a právní předpisy týkající se dozoru nad komunikací, jejich zachycení a shromažďování osobních údajů, včetně hmotnosti dozoru, zachycení a shromažďování ... tím, že zajistí úplné a účinné provádění všech svých povinností vyplývajících z mezinárodního práva v oblasti lidských práv. Chcete-li vytvořit mechanismy nezávislé národní dohledu, které jsou schopny zachovat transparentnost a odpovědnost státního dozoru nad komunikací. Žádá, aby Úřad vysokého komisaře OSN pro lidská práva, aby předložila zprávu Valnému shromáždění o ochraně práva na soukromí, a to i v souvislosti s domácí a exteritoriální dohledu a / nebo odposlechu digitální komunikace a shromažďování osobních údajů, včetně v masovém měřítku. "Zatímco vidíme to jako malé vítězství pro soukromí, musíme poznamenat, že rozlišení oslabena Spojených států a jejich spojenců, kteří vynechají větu, která explicitně definovanou hmotností dohled jako porušování lidských práv," napsal York a Rodriguez. "Spojené státy také pokusil (a neúspěšný) odstranit jakýkoli náznak, že protesty na ochranu soukromí uplatňovat extraterritorially. Konečné znění návrhu usnesení poznamenat, že státy mají pouze "hluboké znepokojení" s "negativními dopady" dozoru a shromažďování osobních údajů, doma i v zahraničí, když prováděné v masovém měřítku. "
Digitální advokacie skupina pokračoval volat návrh důležitý pro přeformulování již přijaté mezinárodní právní precedens, že jakýkoli stát provádějící dohled vně svých hranic zůstává vázána k dodržování práva na soukromí pro každého.
Bezpečné Dropbox dat pomocí hardwarového zabezpečení tokenu 23.11.2013 Hardware | Zabezpečení Vnitřní ID povolený Saturnus , což je aplikace, která umožňuje podnikům chránit digitální aktiva uložené a sdílené na Dropbox.
S Saturna, soubory jsou zašifrovány před tím, než opustí přístroj a nahrát do cloudu. Šifrovací klíče jsou generovány a spravovány uvnitř (USB) hardware tokenu zabezpečení zapojen do zařízení uživatele. Co odlišuje řešení Saturnus je, že bezpečnost je v řízení koncového uživatele a zakotvena jak v hardwaru a softwaru prostřednictvím soukromých a místních klíčů. Saturnus je ideální pro podniky, jak to dělá bezpečný přístup k datům snadno spravovat a provádět . USB tokeny mohou být předány zaměstnanci, stejně jako odznak pro vstup do budovy. To umožňuje file-by-souboru šifrování a sdílení, takže uživatelé mohou vybrat konkrétní data, která chcete zabezpečit. Saturnus využívá hardwarové technologie pro jiskrovou bezpečnost (HIS) bylo vyvinuto a patentováno Jiskrová-ID. HIS technologie chrání tajné klíče, používané Saturna a přidává další vrstvu ochrany. Namísto udržování klíče v pouze software, bezpečnost je zakotvena v hardwaru. Tajné klíče jsou extrahovány z hardwarových vlastností čipové karty čipu v USB tokenu, jako `elektronického otisku prstu" slouží k ukotvení cloudu data s fyzickým zařízením se. Vzhledem k tomu, že klíče nejsou přítomny, když je přístroj vypnutý, je dosaženo velmi vysoké úrovně zabezpečení. HIS technologie přichází s referenčními pověření a prověřenými ve smart karty, vládních, automobilový průmysl, sítí a telekomunikací. "S miliardy souborů každý den synchronizovat přes Dropbox, průmysl je jasně přechodu na "sync a podíl" model, který poskytuje větší flexibilitu a jednoduchost použití, ale také představuje větší bezpečnostní rizika, "řekl Pim Tuyls, generální ředitel Jiskrová-ID. "Náš oznámení bere tuto pracovní paradigma na novou úroveň tím, že zabezpečení bezproblémové část rovnice. S naším řešením, mohou uživatelé snadno "zajistit, synchronizace a sdílení" svá data a podniky si mohou být jisti, že data jsou v bezpečí. " Saturnus Promotion Bundle je k dispozici pro podniky na 59,99 EUR (bez DPH). Balíček obsahuje jeden USB tokenu a tříletou licenci softwaru Saturnus. V současné době oba Android 4.x a Windows XP / 7 zařízení jsou podporovány.
Microsoft Roll Out zašifrovaná zpráva služby Office 365 23.11.2013 Šifrování | Zabezpečení Šifrování, jakmile nástroj používaný především bezpečnostních profesionálů, aktivistů a dalších s důvodné podezření, jejich komunikace může být ohrožen, byl pohybující se stále hlouběji do hlavního proudu v posledních měsících. Nyní, Microsoft plánuje nasadit novou šifrovanou e-mailovou službu na svých služeb Office 365. místě, které bude provádět odesílání a přijímání e-mail bezpečné mnohem jednodušší.
Nová služba, známý jako Office 365 zpráv šifrování, je navržen tak, aby zjednodušení procesu pomocí šifrované e-maily, něco, co není tak jednoduché, jak většina uživatelů by si přáli. Nastavení a použití mnoha bezpečných e-mailových aplikací může být náročný a matoucí proces, zejména pro uživatele, kteří nemusí být obeznámeni s bezpečností. Microsoft novou službu, která bude k dispozici v prvním čtvrtletí roku 2014, používá systém, který je poněkud podobný ostatním bezpečných e-mailových systémů, kde uživatel obdrží e-mail s šifrované přílohy a pokyny pro jeho otevření.
"Bez ohledu na to, co je cíl-Outlook.com, Yahoo, Gmail, Exchange Server, Lotus Notes, GroupWise, Squirrel Mail, co si jen vzpomenete, můžete posílat citlivé obchodní komunikaci s dodatečnou úroveň ochrany proti neoprávněnému přístupu. Existuje mnoho obchodních situací, kdy tento typ šifrování je důležité, "řekl Microsoft Shobhit Sahay na svém blogu vysvětluje novou službu.
"Když externí příjemce obdrží šifrovanou zprávu od vaší společnosti, vidí šifrované přílohy a instrukce pro zobrazení zašifrovanou zprávu. Můžete otevřít přílohu přímo z vaší schránky, a příloha se otevře v novém okně prohlížeče. Chcete-li zobrazit zprávu, stačí postupovat podle jednoduchých pokynů pro ověřování prostřednictvím vaší Office 365 ID nebo Microsoft účet. "
Od začátku léta, kdy se úniky Edward Snowden NSA začala šifrované komunikace se staly horkým tématem v oblasti bezpečnosti a ochrany osobních údajů obce, stejně jako v širší komunitě uživatelů. Zabezpečené e-mailové služby údajně používá Snowden, Lavabit, vypněte v srpnu, stejně jako systém Silent Mail spustit Silent Circle, oba pohyby přijdou na paty vládní požadavky na SSL klíče Lavabit je.
Nová služba Microsoft není opravdu stejný druh systému, jako ty, ale to by měl pomoci podnikům zabezpečit své citlivé komunikace pomocí různých šifrovacích programů. Pokud data v klidu v datovém centru společnosti Microsoft, bude chráněn nástrojem BitLocker. Spojení mezi klientem a Office 365 serverů je chráněn SSL reklamu zprávy budou zašifrovány a podepsány pomocí S / MIME.
Systém bude využívat jednoduché webové rozhraní pro správu a správci podnikových mají schopnost nastavit Riles, které určují, které e-maily budou šifrovány.
"Rozhraní šifrování zpráv, založený na aplikaci Outlook Web App, je moderní a snadno ovladatelné. Můžete snadno najít informace a provádět rychlé úlohy, jako je odpověď, vpřed, vložit, připojit, a tak dále. Jako další ochranné opatření, když přijímač odpoví odesílateli zašifrované zprávy nebo si přeposílá zprávy, tyto e-maily jsou také šifrované, "řekl Sahay.
Podívejte se na zabezpečení účinnosti v průmyslu
22.11.2013 Zabezpečení
BitSight analyzovány security sazeb pro více než 70 Fortune 200 společností ve čtyřech odvětvích - energie, finance, Retail and Technology. Cílem bylo odhalit měřitelné rozdíly v účinnosti zabezpečení a výkon v celém odvětví, od října 2012 do září 2013.
Studie odhalila, že navzdory všem útokům ze strany zločinců a hacktivists v průběhu minulého roku, finanční sektor hrál dobře. V kontrastu, technologie, průmysl spadá daleko za sebou, což ukazuje na potřebu větší důraz na řízení rizik kybernetické v tomto sektoru. Využití velkých objemů dat na sledovaných bezpečnostních incidentů, včetně komunikace se známými velení a řízení serverů, šíření spamu a distribuci malwaru, BitSight SecurityRatings poskytnout pohled na rizika z vnějšího-in. V hodnocení v rozsahu 250 až 900, s vyšší počty rovnající se lepší účinnost zabezpečení. Faktory používané ke stanovení sazeb zahrnují klasifikaci, četnost a trvání pozorovaných bezpečnostních incidentů. "BitSight je venku, dat řízený přístup k hodnocení, existují značné rozdíly mezi odvětví," řekl Stephen Boyer, BitSight spoluzakladatel a CTO. "Při pohledu na důkazy o kompromisu, jsme se zaměřili na výsledky spíše než politik. Společnosti mohou mít velmi podobné politiky, ale jejich účinnost je stále velmi liší. Například, firmy se technologie sektoru zahrnuty do této analýzy měly významně nižší rating než společností v odvětví finančních služeb. Šíření je překvapující. " Technologie zaostává technologie společnosti jsou povinny být v souladu s předpisy odvětví, které slouží, včetně HIPAA, PCI DSS a FISMA. Díky této úvahy, je překvapivé, že opatření týkající se technologie sektor výrazně nižší než maloobchodní a finance. Vysoký profil porušení, včetně Bit9 a Adobe může uvést, proč se ceny technologie průmyslu méně efektivní. porušení Adobe údaje , které také ovlivnily Dun & Bradstreet a LexisNexis šel nepozorovaně po několik měsíců předtím, než třetí strana výzkumník odhalil incident. První zprávy naznačují, že tyto porušení došlo již v březnu 2013 ještě nebyly hlášeny, až do října 2013. Neustávající útoků a čas k nápravě jsou klíčové přispívají k nízké SecurityRatings v tomto odvětví. Finanční ceny nejvyšší Přes časté kybernetických útoků na finanční instituce, finanční sektor hodnocené nejpříznivější z hlediska bezpečnosti účinnosti. Spolu se známými taktika by počítačoví zločinci, tento sektor byl také zasažen několika politicky motivovaných útoků DDoS . Jedním z důvodů vysoké SecurityRatings je, že společnosti posuzovány byly rychleji reagovat na hrozby, než jejich vrstevníci v jiných odvětvích. Rychlejší doba odezvy vede k menšímu poškození a ztrátu. Částečně kvůli potřebě splnit bezpečnosti a ochrany soukromí předpisy a touhou zůstat z novinových titulků pro ztráty zákaznických dat, finanční instituce mají tendenci soustředit zdroje více výkonné úrovni o bezpečnosti IT a řízení rizik než ostatní odvětví. energii a maloobchodní Energie sektor, který zahrnuje nástroje a ropné a plynárenské společnosti, vysoce ceněna ve 4. čtvrtletí 2012, ale výrazně v první polovině roku 2013, kdy tváří v tvář s rozsáhlou malware a útoky botnet padl. Nebyl tam jen zvýšení počtu bezpečnostních incidentů v 1. čtvrtletí 2013, ale energetické společnosti byly pomalé reakci na tyto události. Nicméně, ve třetím čtvrtletí roku 2013, průměrná účinnost energetického průmyslu ukazuje vzestupný trend, což naznačuje, že může být stále lepší v maří kybernetických útoků. maloobchodní sektor, který vylučuje výhradně on-line prodejců, také vyrazil na vzestupný trend ve 4. čtvrtletí 2012, ale pak hit hrubý patch, v 1. čtvrtletí 2013, ukazuje, že se i nadále atraktivní cíl pro zločinci usilují o přístup k identitě a finanční informace. Maloobchodníci zahrnuty do této studie čelí zvýšení botnet, spam, phishing a malware útoky Q1 2013, a trvalo déle nápravě útoky jako zvýšená četnost jejich provádění. V SecurityRatings této skupiny zůstaly relativně plochá v posledních dvou čtvrtletích, takže velký prostor pro zlepšení.
'Pojďme udělat zabezpečení, na čem záleží "
22.11.2013 Zabezpečení
NEW YORK -Malá skupina vědců vlivných bezpečnostních a vedení dávají dohromady grass-roots hnutí podpořit další výzkum na nově vznikající plemeno připojených a potenciálně zranitelné zařízení, jako jsou například kardiostimulátory, inzulínové pumpy a další a pomoci vzdělávat uživatele o bezpečnosti a otázky ochrany soukromí se zvýší.
Toto úsilí je určen k pomoci zaměřit bezpečnostních výzkumníků na nové problémové sady předložené vzestupem tzv. internet věcí, vznikající síť non-PC zařízení. Tyto přístroje, včetně lékařských přístrojů, spotřebičů a vozidel, které z velké části pryč unexamined podle bezpečnostních výzkumníků až do nedávné doby. Někteří vědci, jako například Charlie Miller a Chris Valášek, se podíval na bezpečnostní problematiku s palubních počítačů v některých autech, a tam byl nějaký pozoruhodný výzkum o zdravotnických prostředcích, stejně. Ale ve srovnání s objemem práce, která byla provedena na ploše nebo mobilního softwaru, je to nepatrné.
Ti, kteří v bezpečnostní komunity jsou si vědomi možných problémů s těmito zařízeními, samozřejmě, ale spotřebitelé, kteří je používají jen malou představu o nebezpečích, která využitelné bezpečnostní chyba v něčem, jako je kardiostimulátor nebo počítače vozu by mohly představovat. Josh Corman, ředitel bezpečnostního zpravodajství na Akamai a Nick Percoco, ředitel KPMG, se snaží změnit tím, že prosil Bezpečnostní výzkumníci pracovat na této nové sadě problémů, spíše než zatloukat dál na problémy, které jsou již dobře známy.
"Máme před sebou jiný druh oceánu s dravci špice. Jsme stále více a více zaplétá s nejistými a neobhajitelné technologií, "řekl Corman během diskuse na konferenci OWASP AppSec USA zde. "Pojďme udělat zabezpečení, na čem záleží, není jen naše denní práce. Vnější svět je součástí sady řešení. To je jistota pro veřejné blaho. "
V některých případech, výzkum bezpečnostních problémů s zdravotnických přístrojů nebo vozidel nebo jiných takových non-PC zařízení byla zamítnuta jako senzace hackingu, protože to nemá okamžitý účinek najít chybu na iOS nebo Google Chrome. A Corman a Percoco řekl, že jsou si dobře vědomi toho, že někteří lidé v bezpečnostní komunitě bude kritizovat jejich úsilí. Ale to je vedlejší, řekli.
"To je asi dělá výzkum na věci, které věc, spíše než na věci, které upřímně nevadí," řekl Percoco. "V současné době je vše připojeno, vše, co je Internet-umožnil a význam této věci stále roste. Pokud někdo s kardiostimulátorem zemře, někdo dělá forenzní na kardiostimulátoru? Jak budeme vědět, jak společnosti, která tyto věci mají nedostatky? "
Nové hnutí, které se nazývá Jsme kavalérie, dostal jeho začátek v DEF CON letos v létě, a Corman řekl, že už přilákala různorodou skupinu badatelů, hackery, manažery a další, kteří mají zájem v pohybu projekt kupředu. Jeden cíl, řekl, je vzdělávat širokou veřejnost o závažných bezpečnostních problémů, které mohou nastat, jak více a více zařízení přicházejí on-line s minimální, pokud vůbec, testování zabezpečení.
"Mezi poločasy těchto věcí jsou dvacet, třicet, čtyřicet let. Dokonce i když jsme prostě nevěděli lépe pro poslední průmyslového řídicího systému software, který vyšel v loňském roce, je tu ještě jedna bude v tomto roce. Tato otázka se stane, můžeme se lépe rozhodovat rizikové, pokud budeme mít více informací, "řekl Corman. "Hacking je nová forma moci a je k dispozici každému. Je to jen proto, aby snadno uplatnit svou vůli jiných lidí. "
Horizontální hádání hesla útoky část I
22.11.2013 Šifrování | Zabezpečení
Je-li zabezpečení je těžká řetězce, co je nejslabším článkem? Dám vám nápovědu, mohlo by to být napsán na malé žluté lepicí poznámky přilepená na monitoru nebo schované pod vaší klávesnici! To je pravda, hesla jsou viníkem! Hrubou silou hádání hesla útoky jsou oblíbenou technikou zákeřnými útočníky všude. Zda cílem je SSH server, finanční webová aplikace, nebo aplikace, webmail, jak budete číst tuto větu útočník někde se uvádí na trh hrubou silou hádání hesla útoku. A před dokončením tohoto blogu, že útočník má pravděpodobně prasklá heslo nebo dva.
Takže jaké je řešení? Uzamčení účtu je široce považován za účinný prostředek na hrubou silou hádání hesla útoky. Po určitém počtu neúspěšných pokusů o přihlášení v určitou dobu, uživatelský účet cíl je uzamčen po určitou dobu. Například, po třech neúspěšných pokusech o přihlášení během jedné hodiny, uživatelský účet cílový může být uzamčen po dobu 15 minut. Uzamčení účtu dosáhne dva důležité cíle. Za prvé, uzamčení účtu throttles, jak rychle se útočníci mohou hádat hesla. V tomto případě útočníci mohou pouze 12 hesel za hodinu. Typický seznam slov může obsahovat tisíce možných hesel. Faktor v pravidlech substitučních (například nahrazením "@" znak pro "a" znak) a pravidla příponu (například připojením "1" na heslo) a počet požadovaných odhadů může trvat loooooooong čas na zpracování. Za druhé, uzamčení účtu výstrahy administrátorům, že útok je v současné době probíhá. Důvtipný administrátoři mohli zavést protiopatření, například provádění zvyšování pauzy mezi neúspěšných pokusů o přihlášení, nebo dokonce zablokování problematický zdrojovou IP adresu úplně.
Takže to, co je chytrý útočník dělat? Jako Olivia Newton-John jednou broukala, "tam je nic o tom mluvit, pokud je to vodorovně!" Horizontální hádání hesla útoky eliminovat oba výše uvedené vlivy a umožňuje útočníkům získat největší práskl přes kapsu. Místo toho se snaží dlouhý seznam hesel proti jednomu účtu (vertikální heslo hádat, útok), horizontální heslo hádat útok s sebou nese snaží jen pár běžných hesel proti dlouhého seznamu jména. Uzamčení účtu je téměř vždy vynuceno na uživatelské jméno, nikoli na hesla, takže omezení počtu pokusů o přihlášení na uživatelské jméno umožňuje útočníkům obejít uzamčení účtu.
Pojďme se krok do boty škodlivého útočníka a prodiskutovat horizontální hádání hesla útoku. Popadni Cheetos a Mountain Dew a pojďme to párty. První otázka je jednoduchá. Co hesla bychom měli hádat? Každý rok SplashData sestavuje seznam nejčastějších hesel zjištěných v důsledku narušení bezpečnosti. Seznam 2012 byl sestaven z narušení bezpečnosti na významných lokalit, včetně Yahoo, LinkedIn, a eHarmony ( http://www.splashdata.com/press/PR121023.htm ). Zde jsou nejhorší z nejhorších, deset nejčastější hesla ve volné přírodě:
To je náš seznam deseti cílových hesla! Kromě toho, že i stealthier můžeme rozdělit tento seznam do pěti skupin, se snaží pouze dvě z hesel každou hodinu. Tento konzervativní rozvrh nám umožní létat pod radarem a téměř jistě vyhnout uzamčení účtu. Jako ninja! No to je skvělé pro hesla, ale co uživatelským jménem? Budeme řešit tuto otázku v příštím blogu! Zůstaňte naladěni!
Horizontální hádání hesla útoky část II
22.11.2013 Šifrování | Zabezpečení
Vítejte zpět! V naší poslední splátky jsme začali plánovat naši horizontální hádání hesla útok identifikaci deset nejběžnějších hesel. Doufejme, že nikdo z těch hrozných hesla jsou načmáral na malých poznámek kdekoli v blízkosti vašeho boxu! Ale co uživatelským jménem? Co uživatelská jména bychom měli hádat? Je-li cílová aplikace využívá zavedený formát uživatelské jméno, můžete snadno předvídat společné uživatelské jméno. Zvažte například aplikaci, která konstruuje uživatelské jméno tím, že kombinuje první počáteční a příjmení uživatele. Například uživatelské jméno pro Johna Doe by "jdoe". Podle webové stránky sociálního zabezpečení, jedná se o top deset mužská jména vydané v roce 1980 ( http://www.ssa.gov/OACT/babynames/decades/names1980s.html ):
1.. Michael 2. Christopher 3. Matthew 4. Joshua 5. David 6.. James 7. Daniel 8. Robert 9. John 10. Joseph
A toto jsou první desítce ženského jména vydané v roce 1980:
1.. Jessica 2. Jennifer 3. Amanda 4. Ashley 5. Sarah 6.. Stephanie 7. Melissa 8. Nicole 9. Elizabeth 10. Vřes Proč 1980, ptáte se? Budeme se hádat, že naše střední uživatel je ve svých 30 letech. Ale mnohem důležitější je, že 1980 představoval neuvěřitelné písně jako "Come On Eileen" a "Total Eclipse Of The Heart". V každém případě, lze odvodit, že nejčastější mužské a ženské křestní jména začít s těmito písmeny:
1.. 2.. C 3.. D 4. E 5. H 6.. J 7. M 8. N 9. R 10. S
Takže deset nejčastější mužské a ženské křestní jména kondenzovat do seznamu přesně deset prvních iniciály? No není to výhodné! Ale co příjmení? Podle sčítání lidu Spojených států Bureau, to jsou nejčastější příjmení (deset http://www.census.gov/genealogy/www/data/2000surnames/index.html ): 1.. Smith 2. Johnson 3. Williams 4. Brown 5. Jones 6. Miller 7. Davis 8. Garcia 9. Rodriguez 10. Wilson
Vsadím se, že chudý Tom Hanks stále postrádá # 10. V každém případě, teď máme všechny správné ingredience vařit naši tajnou omáčku. Můžeme napsat skript pro výčet nejběžnějších 100 uživatelských jmen postupným spojením deset nejčastějších první iniciály s každou z nejčastějších příjmení deset. Například:
To je náš seznam 100 cílových uživatelských jmen! Nakonec každý z 100 cílových uživatelských jmen je možno kombinovat s každým z deseti nejčastějších hesel z naší poslední splátky: 1.. asmith / heslo 2. asmith/123456 3. asmith/12345678 4. asmith/abc123 5. asmith / qwerty . . . 996. swilson / monkey 997. swilson / letmein 998. swilson / drak 999. swilson/111111 1000. swilson / baseball
Voila! Nyní máme optimalizovaný seznam 1000 uživatelských jmen a hesel na krmení do našeho hádání hesla nástroj. Ale já vím, co si myslíš. Má to opravdu funguje? Odpověď je definitivní ano! Osobně jsem implementovány tuto techniku s vynikajícími výsledky při provádění penetračních testů pro klienty Symantec. Stačí změnit formát uživatelského jména, aby vyhovovala vašim potřebám (např. "first.last" nebo "first_last") a nechte své heslo hádat nástroj rip!
Takže to, co je morální tohoto příběhu? Posílit hesla obranu, kdykoli je to možné. Vzpomínáte si na ty tři příklady aplikací, které jsme uvedli v naší poslední splátky? SSH server, bankovní webové aplikace a aplikace webmail? Zde jsou návrhy pro každého: SSH Server - Vyhněte se hesla, kdykoli je to možné. Například, implementovat ověřování veřejného klíče SSH. Finanční webová aplikace - Dodatek hesla se dvěma ověření faktoru. Například, nasazení VeriSign VIP žetony ( https://idprotect.verisign.com/learnmoretoken.v ). Webmail aplikace - Zajistit hesla dodržovat přísné délku hesla a požadavky na složitost. Například, vyžadují hesla osm znaků a musí obsahovat pouze velká písmena, malá písmena, číslice a speciální znaky. Kromě toho, implementovat uzamčení účtu. Kromě toho, vzdělávat uživatele o nástroji správu hesel, jako jsou vynikající Bruce Schneier Password Safe ( http://passwordsafe.sourceforge.net/ ). No já doufám, že jste si užili vyšetření horizontálních útoků hádání hesla. Doufejme, že po přečtení těchto blogů, silnější hesla a bezpečnější aplikace bude na obzoru! (Omlouvám se, jsem prostě nemohl odolat.)
Skryté Lynx a MSS ochrana
21.11.2013 Zabezpečení
V úterý 17.září 2013, Symantec Security Response organizace zveřejnila podrobnou zprávu zprávu a blog o Hidden Lynx, skupina profesionálních hackerů s pokročilými schopnostmi. Důkazy naznačují, že Hidden Lynx je hacker skupina operující z Číny se vztahy k "Operace Aurora". Tato skupina byla zodpovědná za kompromis digitální bezpečnostní firmy Bit9 je podpisový certifikát kódu, který se používá k podpisu 32 kusů malware. Oni byli zapojeni do počtu operací za poslední čtyři roky.
Skupina nabízí "hackery k pronájmu" operace, která má za úkol získávat informace z širokého spektra firemních a vládních cílů. Jsou vysoce účinný tým, který může provádět více kampaní najednou, porušíte některé z nejlepších světových chráněných organizací, a může se rychle měnit taktiku k dosažení svého cíle.
Obvykle útok pomocí více přizpůsobené trojské koně určené pro specifické účely. Backdoor.Moudoor se používá pro větší kampaně a viděl značného rozšíření, zatímco Trojan.Naid je vyhrazena pro speciální operace proti cílům s vysokou přidanou hodnotou. Skupina využívá špičkové útočné techniky, které činí tento tým stojí z dalších hlavních útočných skupin. Symantec bylo sledování této skupiny od roku 2009.
HROZEB ÚDAJE:
Skrytá Lynx Skupina byla v provozu nejméně od roku 2009 a zdá se být profesionální organizace, která nabízí "hackery za úplatu" typ služby. Mají schopnost zaútočit na mnoho organizací se souběžnými běžících kampaní. Pracují efektivně a pohybovat se rychle a metodicky. Na základě těchto faktorů by Hidden Lynx skupina musí být značná organizace tvořená 50 až 100 osob. Členy této skupiny jsou odborníci na porušování systémů.
Jejich metoda pro útoky využívání a pay-to-order cílené zahrnují dvojí strategii pomocí dvou trojských koní určených pro každý účel:
· Team Moudoor distribuuje Backdoor.Moudoor, upravenou verzi "Gh0st RAT", pro velké kampaně napříč několika odvětvích. Rozložení Moudoor vyžaduje značný počet lidí, jak narušení cílů a získat informace z napadených sítí.
· Team Naid distribuuje Trojan.Naid, Trojan nalezený během Bit9 incidentu, který se zdá být vyhrazen pro více omezené útoky proti cílům s vysokou přidanou hodnotou. Tento Trojan byl hybnou silou pro speciální operace v průběhu kampaně VOHO a je pravděpodobně používán konkrétní tým vysoce kvalifikovaných útočníků v rámci skupiny. Tento Trojan byl také nalezen jako součást operace "Aurora" v roce 2009.
Skupina využívá pravidelných zero-day využije. Jsou metodicky ve svém přístupu a zobrazení skillset s dostatečným předstihem některých dalších útočných skupin také působících v této oblasti, jako je například komentář Crew (také známý jako APT1). Hidden Lynx skupina je pokročilý přetrvávající hrozba, která se láme do některé z nejlépe chráněných organizací na světě. S zero-day útoky již v rámci jejich pásu v roce 2013, jsou i nadále působit na špici cílených útoků.
MOTIVACE
Tato široká řada cílených informací naznačují, že útočníci jsou součástí profesní organizace. Jsou pravděpodobně za úkol získat velmi konkrétní informace, které by mohly být použity k získání konkurenční výhody na úrovni podnikové a národ státní úrovni.
Firemní špionáž
Sektor finančních služeb byla identifikována jako nejvíce cílené průmyslu celkově. Tam je tendence zaměřit se na specifické společnosti v tomto odvětví. Investiční banky a jiné subjekty spravující aktiva představují pro většinu organizací zaměřených v tomto odvětví.
Útoky proti vládní dodavatele
V útoků, které jsou zacíleny všechny úrovně veřejné správy od místní po vnitrostátní úrovni, tato skupina opakovaně pokoušel se proniknout do těchto sítí. Útoky na vládní dodavatele a konkrétněji obranného průmyslu naznačují, že skupina je ve snaze o důvěrných informacích a navrhuje, aby skupina pracovala pro jiné národních států.
Co je to MOHOU?
The Hidden Lynx skupiny vyspělé funkce jsou jasně prokázána ve třech hlavních kampaní. V kampani VOHO, se ukázalo, jak by mohly rozvrátit Bit9 je založený trust modelů. V kampani FINSHO se jim podařilo získat pokročilé znalosti o zero-day exploit. V provozu SCADEF se zavázaly útoky dodavatelského řetězce v jejich kampani.
DOPAD:
Přes expozice Hidden skupiny Hacker Lynx, Symantec věří, že bude pokračovat ve své činnosti. Symantec bude i nadále sledovat činnosti a poskytují ochranu proti těmto útokům. Doporučujeme zákazníkům používat nejnovější technologie Symantec a obsahují vrstvené obrany, aby co nejlépe chránit před útoky skupin jako Hidden Lynx.
SOC detekčních schopností
Pro zákazníky s služby MSS IDS / IPS Security Management, podpisy dodavatele na základě budou automaticky nasazeny, dle doporučení dodavatele. Máte-li zájem o další informace týkající se podpisových států na vaše zařízení, nebo chcete-li požádat o aktivaci konkrétního podpisu, obraťte se na support@monitoredsecurity.com .
Pro zákazníky s monitorem jen pro zařízení, IDS / IPS, Symantec MSS je připravena poskytnout bezpečnostní monitorování těchto zranitelností jednou vaše IDS / IPS prodejce uvolňuje podpisy a ty podpisy jsou povoleny na vašich monitorovaných zařízení.
KOMPONENTY A DETEKCE
· Backdoor.Moudoor - MSS detekce
[MSS URL Detection] Backdoor.Moudoor Command and Control Communications
MSS Hot detekce IP - Možnost Trojan.Hydraq provozu
MSS Hot IP Detection - Trojan.Hydraq C & C serveru
MSS Hot detekce IP - Trojan.Hydraq dat průsaků webu
MSS Hot detekce IP - Trojan.Hydraq Traffic
· Trojan.Hydraq - Detekce dodavatele
SSIM - Možná Hydraq aktivity
Symantec září / AV - Trojan.Hydraq
Snort / SourceFire - Trojan.Hydraq - Beaconing činnost
· Trojan.Hikit - MSS detekce
[MSS URL Detection] Backdoor.Hikit Command and Control Communications
· Trojan.Hikit - Detekce dodavatele
Symantec září / AV - Trojan.Ascesso
· Backdoor.Vasport - MSS detekce
[MSS URL Detection] Backdoor.Vasport Command and Control Communications
· Backdoor.Vasport - Detekce dodavatele
Symantec září / AV - Backdoor.Vasport
· Backdoor.Boda - MSS detekce
[MSS URL Detection] Možná Backdoor.Boda ("LadyBoyle") Požadavek na velení a řízení
· Backdoor.Boda - Detekce dodavatele
Snort / SourceFire - ET CURRENT_EVENTS Adobe Flash Zero Day LadyBoyle infekce kampaně
· Symantec Endpoint Protection (SEP) IPS Podpisy:
CVE-2011-3544:
Web útok: Oracle Java Rhino Script Engine CVE-2011-3544 3 detekován
Web útok: Oracle Java Rhino Script Engine CVE-2011-3544 útok blokován
CVE-2012-1875:
Web útok: MSIE Stejné ID nemovitosti CVE-2012-1875 útok blokován
CVE-2012-1889:
Web útok: MSIE MSXML CVE-2012-1889 2 útok blokován
Web útok: MSIE MSXML CVE-2012-1889 3 detekován
Web útoku: detekovat MSIE MSXML CVE-2012-1889
CVE-2012-1723:
Web útok: Java CVE-2012-1723 RCE 2 zjištěny
Web útok: Java CVE-2012-1723 RCE útok blokován
Web útok: Oracle Java SE CVE-2012-1723 Vzdálené spuštění kódu 3 útok blokován
Web útok: Oracle Java Typ Zmatek Útok CVE-2012-1723 4 detekován
CVE-2013-1493:
Web útok: Java CVE-2013-1493 RCE 2 útok blokován
Web útok: Java CVE-2013-1493 RCE útok blokován
· McAfee AV: Virové Podpisy:
CVE-2012-1723:
Java/CVE-2012-1723
Java/CVE-2012-1723! Jar
Java/CVE-2012-1723.CSU
Zmírňování a doporučení:
· Společnost Symantec doporučuje zákazníkům používat vrstvený přístup k zabezpečení jejich prostředí, s využitím nejnovějších technologií společnosti Symantec, včetně Enterprise-Wide sledování bezpečnosti od okraje k koncového bodu.
· V případě technologií není sledovaných / řízen MSS, zajistit, aby všechny podpisy jsou aktuální, včetně systémů pro zabezpečení koncových bodů.
· Zajistěte, aby všechny operační systémy a zařízení veřejné obklady mají nejnovější bezpečnostní záplaty, a antivirový software a definice až k dnešnímu dni.
· Zajistěte, aby systémy mají běžící firewall, nepotřebné porty jsou uzavřeny / zablokovány, a všechny nevyužité služby jsou zakázány.
· Ujistěte se, že váš personál je vzdělaný na sociální inženýrství a phishingové techniky.
Co můžete očekávat od MSS:
Symantec MSS bezpečnostní SOC analytiků bude i nadále pečlivě sledovat, analyzovat a ověřovat všechny události naznačující skryté Lynx činnosti:
· Možné nebo podezřelé činnosti mohou být oznámeny na nižší závažnosti
· MSS bude i nadále provádět průběžné zdokonalování detekce
· MSS bude i nadále oslovovat klienty, kteří mohou měli historické ukazatele kompromisu představena v důsledku nových údajů
Vezměte prosím na vědomí, Symantec MSS je připravena poskytnout sledování zabezpečení těchto chyb zabezpečení, jakmile vaše IDS / IPS prodejce uvolňuje podpisy a ty podpisy jsou povoleny na vašich monitorovaných zařízení. Díky a uznání pro analýzu týmu Global Intelligence Network pro všechny jejich tvrdou práci při vytváření bohatství informací o této hrozbě.
Rozhodl, že sběr dat autorizovaným NSA hromadný e-mail je uvedena 21.11.2013 Šifrování | Zabezpečení Nová várka z odtajněných dokumentů zveřejněných Obamovy administrativy zahrnují jednu rozhodnutí učiněné tehdejšího hlavního soudce zahraniční zpravodajské Surveillance soudu, se kterou povolil NSA masivně sbírat e-mailové metadata a data týkající se jiných internetových komunikací podle ustanovení Zákon Surveillance cizí inteligence z roku 1978. názor , podepsali soudce Colleen Kollar-Kotelly, je myšlenka se datují do července 2004 a je těžce redigován. Nicméně, to může být vidět, že aplikace NSA požádal o mnohem širší typu sběru než jiné pero Registrace / pasti a stopové aplikace, a že žaloba byla udělena. Jaký je rovněž zajímavé poznamenat, že část, která definuje, co metadata v tomto případ ve skutečnosti je prakticky omdlel úplně, takže jsme vlastně nemůže říct s jistotou, co NSA by považují za "metadata", a to, co by se kategorizovat jako "obsah". Jen krátkou větu, která nebyla redigovanou pořady že e-mailová adresa odesílatele a příjemce, nejsou považovány za "obsah". "surový objem navrhovaného kolekce je obrovský," napsal Kollar-Kotelly, ale odhadovaná velikost kolekce je opět redigován. "V absolutním vyjádření, navrhovaný dohled" bude mít za následek shromažďování metadat týkajících se [redigovaných] elektronických komunikací, včetně metadat pertainin komunikaci ze Spojených států, osob umístěných ve Spojených státech, které nejsou předmětem žádného vyšetřování FBI " . " Stanovisko pokračuje popsat nezbytnost a výhody takové hromadné sběr a následné analýzy jak pro NSA a FBI, a metod použitých pro analýzu meta data. soudce také poznamenal, že "neexistuje žádný rozumný očekávání Ochrana osobních údajů v rámci čtvrtého dodatku v metadatech, které mají být shromažďovány, "a zopakoval předchozí rozhodnutí, že řekl, že" člověk nemá žádný legitimní očekávání soukromí v informace, které dobrovolně otočí na třetím stranám, "protože" nese rizika ", které třetí osoba by odhalilo, že informace na vládě. V té době, rozhodnutí použije na údaje týkající se telefonních hovorů, ale soudce řekl, že stejný závěr platí do e-mailu meta data. Stručně řečeno, soudce rozhodl, že proto, že kolekce metadata, která nebyla vyzvána pro běžné účely vymáhání práva, ale i pro národní Zájem o zamezení teroristickým útokům, to by bylo dovoleno, ale že zvláštní omezení týkající se přístupu, uchovávání a šíření takových informací bude muset být nastavena tak, aby se zabránilo zneužití a porušení na Prvního dodatku práva nevinných osob. meta Program shromažďování dat byl poprvé zaveden v roce 2001, po 9/11 útoky, americký prezident George W. Bush. To trvalo tři roky a hrozby z vyšších úředníků řekl, že by odstoupil pro podávání žádat o povolení pro něj z FISC. . Program byl zastaven v roce 2011, protože "provozních zdrojů a příčin" "Na logice těchto stanovisek, téměř každý digitální stopu po sobě zanecháme lze vysávat až do vlády - kdo jsme mluvit, co čteme, kam jdeme on-line, "komentoval ACLU National Security Project právník Patrick Toomey." Stejně jako předchozí verze, tyto materiály vykazují nebezpečí vládě, která obchází veřejnou diskusi a místo důvody jeho dozoru pravomoci v tajných názory tajné soudu. "
Nekontrolované privilegovaný přístup stále velkým problémem 21.11.2013 Zabezpečení Notoricky známý porušení zasvěcených NSA způsobila 52 procent profesionálů bezpečnosti IT přehodnotit svůj přístup k uživateli a právy správce systému, přesto většina nejsou podniká kroky, podle Avecto. Jeho závěry ukazují, že organizace nadále zaostávají, pokud jde o kontrolu používání administrátorských práv v jejich IT prostředí. Vedená na konferenci McAfee FOCUS 2013 v říjnu, průzkum zahrnuje odpovědi od 348 odborníků v oblasti bezpečnosti informací rozhodovací. Zatímco většina respondentů uvedla, nedávný Edward Snowden záležitost prohloubilo obavy kolem IT administrátoři s nadměrnými oprávněními, 73 procent přiznalo, že politika řízení oprávnění v jejich organizacích zůstávají beze změny. Ačkoliv 33 procent respondentů uvádělo nepoctivé zaměstnance jako nejdůležitější bezpečnostní hrozbu pro jejich organizace, 40 procent respondentů poukázal na malware jako klíčový zranitelnosti. . To je dalším důkazem, proč musí organizace stanovit priority své politiky kolem administrátorskými právy, vzhledem k tomu, že uživatelé s nadměrnými oprávněními jsou více pravděpodobné, že zavedení škodlivého kódu prostřednictvím neautorizovaných stažení nebo systémových vylepšení Jiné pozoruhodné zjištění patří:
Pro organizace, které mají sníženou počet administrátorskými právy jejich IT prostředí, zmírňování malware byl klíčovým faktorem pro 33 procent z nich, následuje vnější shody (14 procent), vnitřní shody (11 procent) a zasvěcených ohrožení (11 procent). Více než 50 procent respondentů tvrdí, že jejich správci systému představuje středním až vysokým rizikem k síti, ale jen 20 procent si vědomi toho, kolik správci serveru v jejich organizaci, jsou v současné době běží s administrátorskými právy. 45 procent respondentů zažilo serveru výpadky kvůli konfiguraci chyby správci serverů. "Mediální pozornost kolem high-profil NSA porušení vytvořil významný zlom ve způsobu, jakým organizace přemýšlet o bezpečnosti, s IT funkce nyní stále více uvědomují, jak útoky mohou pocházet od uživatelů a systémové administrátory s nadměrnými oprávněními," uvedl Mark Austin, generální ředitel na Avecto. "Ale vědomí samo o sobě nestačí pro ochranu sítě. Uzavření rozdíly mezi těmi, kteří si uvědomují rizika, a těch, kteří jsou jim aktivně zmírnění je nezbytné, pokud organizace jsou účinně bránit proti počítačové trestné činnosti, a to zejména v dnešní pokročilé hrozeb. " Austin pokračuje, "Podniky zjišťují, že princip minimálních oprávnění, která využívá cílené zvýšení úrovně oprávnění a granty uživatelé standardní účty, spíše než ty správce, může umožnit těsnější bezpečnost kolem nadměrných práv, bez omezení zaměstnance z efektivně provádět jejich den-to-day úkoly.
90% pracovníků ve Velké Británii nemohou odolat kliknutí na webový odkaz 21.11.2013 Zabezpečení 90% dotázaných pracovníků britských kliknete na webový odkaz vložený do e-mailu, přičemž dvě třetiny (66%) přiznala, že jen velmi zřídka nejprve zkontrolujte, zda odkaz je pravá, podle Sourcefire. Nejen to vystavit jednotlivce k . vysoké riziko narušení bezpečnosti IT, je potenciálně ponechává společnostem otevřené hack útok jako cybercriminal jednotlivců gangy cílových získat přístup k podnikovým sítím a citlivých údajů studie identifikovány tři typy chování: kliknutím nutkavé Clickers: 46% dotázaných pracovníků spadají do kompulzivní Clickers kategorii. Podle výzkumu, 24-30 rok koně jsou s největší pravděpodobností klikněte na neověřených webový odkaz s 60% připouští, že vždy nebo často na tlačítko. Opatrný clickers: 44% dotázaných, kteří jsou opatrní Clickers jen občas klikněte na webový odkaz poslal k nim, a když se tak stane, 23% z nich se zkontrolovat, zda odkaz je originální. Nejvíce opatrní, jsou ty, ve věku 55 + rage (47%). Nikdy klik: . Pouze 10% dotázaných jsou ve Never Kliknutí kategoriích, kteří říkají, že by se nikdy klikněte na webový odkaz, přijatého prostřednictvím e-mailu Dominic Storey, technické ředitel EMEA Sourcefire řekl: "Je to děsivé vidět, jak snadno mohou uživatelé se podvedeni ke kliknutí, co vypadá jako nevinná webový odkaz, ale který může skutečně dát hacker plnou kontrolu nad počítačem uživatele během několika minut bez oběti vědomím, na tom. " "Pro většinu organizací je to případ, kdy budou vystaveny IT porušení bezpečnosti, ne-li. Profesionální počítačové trestné činnosti gangy jsou zběhlí v sociálním inženýrství s využitím sociálních médií k vytvoření profilu zájmů jednotlivců a kruh přátel, aby je často tím, že předstírá, že je přítel nebo člen rodiny. Vědí, často nejjednodušší způsob, jak do jakékoliv firemní sítě je přes nejslabší článek v bezpečnostním řetězci organizace - zaměstnanec, "Storey přidán. Problematika identity nikdy nebyla vhodnější, protože stále více lidí se nyní zbavují jejich real-svět identity on-line a přijímání digitálních Personas . Proto je obtížné zjistit, zda obdržel e-mail je od "skutečné" osoby nebo podvodník vydává za přítele. Studie také ukázala, že 92% dotázaných jsou spíše důvěřovat webový odkaz v e-mailu, pokud pochází z důvěryhodného zdroje, ale pouze 34% pracovníků ve Spojeném království by vždy přijmout bezpečnostní opatření, aby zajistily, že odkaz je originální. Znepokojivé je, 5% vzorku uvedlo, že nikdy zkontrolujte, zda odkaz je originální a 10% nemám ponětí, jak to ověřit. Téměř dvakrát tolik žen než mužů přiznala, že neví, jak zjistit původ internetové adrese (13% oproti 7%). Studie byla provedena nezávislými výzkumnými věcech zastává pevný názor, mezi 25 září a 2. října 2013 a do vzorku 1106 britských pracovníků.
LG údajně špehuje diváky Smart TV
21.11.2013 Zabezpečení Společnost prý využívá osobní data uživatelů své chytré televize k obchodním účelům i přesto, že k tomu od nich nedostala souhlas.
Na závadné chování firmy upozornil britský IT konzultant Jason Huntley. Ten na svém blogu popsal způsob, jakým z jeho vlastní Smart TV odcházejí data o sledovaných kanálech. Stejným způsobem prý podle Huntleyho z televize odcházejí také informace o obsahu uloženém na připojených externích zařízení.
Pokud by se tato tvrzení potvrdila, mohlo by LG ve Velké Británii čelit policejnímu vyšetřování. Prozatím se již věcí zabývá tamní úřad Komisaře pro informace. „V poslední době jsme byli informováni o možném zneužití dat ze strany přístrojů Smart TV,“ řekl mluvčí úřadu. Před tím, než padnou jakákoliv obvinění, prý bude probíhat vyšetřování zkoumající možné porušení zákona o ochraně osobních údajů.
Sám Huntley se již pokusil kontaktovat jihokorejského výrobce a žádal vysvětlení. Bylo mu prý řečeno, že použitím televize automaticky souhlasil se smluvními podmínkami společnosti a všechny další otázky by měl směřovat na koncového prodejce, od kterého zařízení koupil.
LG požádala později o oficiální vyjádření také BBC. „Soukromí uživatelů má v LG nejvyšší prioritu. Tuto záležitost bereme velmi vážně. V současné době zkoumáme pravdivost informace, že z televizí Smart odcházela data bez uživatelského souhlasu,“ napsalo LG.
„LG však nabízí několik modelů Smart TV, jejichž funkce a nástroje se trhu od trhu liší. Žádáme proto o vaši trpělivost a porozumění.“
Huntley se prý o vnitřní funkci televize začal zajímat ve chvíli, kdy se mu začaly zobrazovat reklamy přesně odpovídající pořadům, které sledovala jeho rodina. V menu přístroje pak našel možnost nazvanou „sběr informací o sledovaných pořadech“, která je výchozím nastavení zapnutá.
I po vypnutí funkce však zařízení pokračovala v posílání dat neznámo kam. K těmto datům prý sice byla připojena už i informace, že si uživatel sběr informací nepřeje, o to je to však podle Huntleyho celé ještě absurdnější.
Když pak k Smart TV Huntley připojil externí disk a díval na film uložený na tomto disku, počítal prý s tím, že se zobrazí pouze informace o sledování materiálu z externího zdroje. Místo toho však zařízení odeslalo jména všech souborů uložených na disku.
LG se slíbila k celé věci co nejdříve podrobněji vyjádřit.
Přechod od nesledují na vás nemohou sledovat 20.11.2013 Zabezpečení NEW YORK -hnutí v bezpečnosti a soukromí komunit tlačit nesledují normu jako odpověď na problém všudypřítomné on-line sledování ze strany reklamních společností a dalších subjektů má za následek hlavních dodavatelů, včetně prohlížeče DNT jako možnost pro uživatele, což je způsob vyprávění inzerentů a webové stránky své preference na sledování. Ale DNT může dobře přežil a je třeba je nahradit něčím, co je účinnější a účelnější, bezpečnostní říkají odborníci.
DNT byla koncipována jako způsob, jak uživatelům sdělit své preference na webu a reklamy sledování na stránky, které navštívíte. Hlavních prohlížečích, včetně Internet Explorer, Firefox a Chrome, mají možnost, která umožňuje uživatelům, aby DNT, která v podstatě odešle hlavičku HTTP stránky uživatelé navštěvují říkat jim, zda uživatelé souhlas k sledování. Inzerenti a majitelé webových stránek spoléhat na sledování, které jim pomohou zjistit uživatelské preference a chování a zjistit, kde uživatelé přicházejí a odcházejí, aby poté, co opustil své stránky. Federal Trade Commission tlačil DNT jako ochranu soukromí technologií a něco, co pomáhá spotřebitelům chránit proti nežádoucímu sledování jejich online aktivit.
Nicméně, někteří bezpečnostní experti začali zpochybňovat účinnost DNT a říkají, že to může být tím dává uživatelům falešný dojem, že jsou zcela v bezpečí před sledováním.
"Potřebujeme něco výraznější, že skutečně funguje, a nezasahuje do soukromí osob. Tento nesledují, co je kluk z horké nepořádek, "řekl Robert Hansen, vedoucí produktový manažer WhiteHat zabezpečení, v rozhovoru na OWASP AppSec USA konference zde ve středu. "Věříme, že se rozhodly všechny do bezpečí, místo z ní."
Jeden problém s DNT je, že on-line reklamní skupiny nepodporují, a je ponecháno na každém jednotlivém vlastník webu rozhodne, jak se vypořádat se signálem od uživatelů a zda se má ctít jej. Tam jsou také způsoby, jak kolem DNT systému a inzerenti a vlastníci webů mohou použít jiné prostředky ke sledování uživatele. Hansen řekl, že uživatelé by měli mít lepší možnosti pro prevenci než sledování dobrovolného systému, který mnoho stránek a inzerenti ignorovat.
"Chtěli bychom vidět" nemohou sledovat ", a nikoli nesledují," řekl.
Dalším problémem je, že hlavní prohlížeče implementují DNT různými způsoby, a nemají žádné pobídky skutečně blokovat reklamy, které obsahují kód, který sleduje uživatele. Microsoft, Mozilla a Google partner s inzerenty, což vytváří velké množství příjmů pro všechny z nich. Google, například, se očekává, že vydělat téměř 40 miliard dolarů on-line příjem z reklamy v roce 2013.
WhiteHat vydala svůj vlastní prohlížeč, letec , který je založen na Chromium a využívá rozšíření s názvem Odpojte který zakáže webu sledování a umožňuje vlastní vyhledávání. Rozšíření přestávky připojení k třetím stranám, které jim brání dostat data z prohlížečů uživatelů.
DNT v tomto bodě se zdá být mrtvý, Hansen řekl, a že je potřeba něco více účinné a užitečné pro spotřebitele.
"Všichni hráči vyšel vypadá dobře, protože můžete říct, že ho podporovali," řekl. "Pevně věřím, že je to jen falešný hlavu v online reklamní průmysl, aby získal čas."
Cupid Media Únik Databáze prostý text hesla 20.11.2013 Zabezpečení Hackeři údajně porušil servery v lednu patřící do Amor Media, výklenek datování služby s 30 milionů uživatelů, krádeže více než 42 milionů nešifrovaná hesla a různé jiné citlivé údaje.
Cupid Media provozuje řadu výklenku datování lokalit na základě etnického původu, náboženského vyznání, fyzický vzhled, speciální zájmy, životní styl a další.
Brian Krebs, kdo nejprve získat informace o útoku na začátku tohoto měsíce , naznačuje, že Austrálie na základě on-line Seznamovací služba sice nepodařilo odstranit informace, které patří uživatelům, kteří vypustila své účty. To Krebs řekl, je pravděpodobné, jak stránky skončil vystavovat informace o více uživatelů, než jsou v současné době registrován tam.
Amor Media kompromis, který společnosti generální ředitel Andrew Bolton potvrdil Krebs, ukazuje dvě znepokojující skutečnost: uživatelé jsou stále špatné vytváření hesel a některé společnosti se stále nedaří šifrování uživatelských dat, hesel zejména.
Podle zprávy, hack vystaven jména, e-mailové adresy a narozeniny současných a bývalých uživatelů stejně. Ukradené informace jsme nalezli na serveru, který obsahoval informace z jiných nedávných narušení dat, včetně některých z 2,9 milionu záznamů o zákaznících odcizených od Adobe, odkryt Krebs.
Krebs zkoumal heslo použité službě Cupid Media, udělat seznam top-deset číselných a nečíselný hesel. To, co zjistili, bylo to slibně:
cupidtop10nonnumberscupidtop10numbers
Going Back to the Future ve jménu lepší zabezpečení 20.11.2013 Zabezpečení NEW YORK-li Cheswick Bill měl svůj způsob, jak by budoucnost výpočetní techniky a počítačové bezpečnosti vypadat hodně podobně jako dávné minulosti, s důvěryhodnými platforem, malé programy, aplikace, které nemohou mít vliv na operační systém a odolnost proti chybám uživatele.
Cheswick , bývalý Bell Labs počítačový odborník a dlouholetý přednáší o bezpečnostních tématech, zopakoval to, co mnoho lidí v oblasti bezpečnosti říkali už léta: Aktuální způsobem, že budeme přemýšlet o tom, a nasazení softwaru a zabezpečení, nefunguje dostatečně dobře a je třeba přehodnotit. To je známý refrén pro každého, kdo se věnovat pozornost směrem k bezpečnostní komunity pozdě, ale Cheswick řekl, že řešením současného problému sada neobsahuje přidávat postupně silnější vrstvy zabezpečení do stávajících platforem. Spíše se předpokládá restart výpočetního ekosystému sám.
"Myslím, že můžeme stavět cenově dostupné výpočetní platformu, která nemůže být ohrožena chybou uživatele, které se netýkají šroubováku," Cheswick řekl v úvodním rozhovoru na OWASP AppSec USA konference zde ve středu. "Dalo by neohrozilo aplikace, nemohli jste mít vliv na OS, nemohli jste vlastní stroj. Není to o vzdělávání uživatelů. Je to špatné inženýrství spoléhat na babičku. Nemělo by být nic, že můžete udělat, aby vliv na systém. "
Ideální výpočetní platforma by měla zahrnovat důvěryhodné hardware, firmware důvěryhodné, pískovišti a důvěryhodný operační systém, Cheswick řekl. Zásobník popsal není nový koncept. Starší platformy, sahající několik desetiletí, se spoléhal na této architektury, řekl, a je prokázáno, že jsou spolehlivé a bezpečné. Problém je v tom, že stávající software a bezpečnostní ekosystémy se vyvinuly k bodu, kde se provádí něco takového by bylo nákladné, alespoň na začátku. Nicméně, Cheswick se domnívá, že by stálo za to na počáteční náklady a úsilí, aby se výhody pro co nejširší uživatelskou základnu.
Detekce průniků a kompromisy softwaru a zařízení je hlavní cíl hodně z bezpečnostního software v použití dnes, ale Cheswick tvrdí, že model, potřebuje nějaký ladění.
"Už jsme jednou ztratil zlo software na počítači," řekl.
Prevence útočníkům dostat své rukavice bez prstů na cílovém počítači na prvním místě by mělo být cílem, řekl, a ten, který Cheswick věří, může být dosaženo prostřednictvím oddělení hlavních komponent výpočetní platformy z kousků uživatel potřebuje na dotek.
"Chci systému, kde mohou být změněny OS nebo zneužita bez ohledu na aplikaci, která je spuštěna nebo uživatele akce. Mezi aplikace nemůže mít za OS nebo jiné aplikace, "řekl. "Random Web software může běžet v karanténě, a to může mít libovolné množství zla, a to nebude dělat žádné škody. A my potřebujeme všudypřítomné end-to-end pro šifrování. Chci jádro bylo uvrženo do Adamantiem před tím, než jde na stroji. Nechci nic měnit, jakmile načte. "
Některé z funkcí, které Cheswick popsané byly realizovány v různých platformách v průběhu let, naposledy v Apple iOS, který lze spustit pouze podepsaná kód a zpracovává jej jako důvěryhodné platformy. Zda tento model stává dominantní v příštích letech se teprve uvidí, ale Cheswick řekl si myslí, že je to dobrá šance, že by se mohlo stát.
"Myslím, že můžeme vyhrát. Správné software může být provedena, pokud jsme velmi opatrní, "řekl.
Google usadí uživatel Safari sledování případu, zaplatí 17.000.000 dolarů
20.11.2013 Zabezpečení
Osídlení bylo dosaženo ukončit žalobu podal o 37 amerických státech a okres Columbie proti Google, protože Internet obří bylo zjištěno obcházení Safari nastavení ochrany osobních údajů a používání cookies pro sledování procházení uživatelů s cílem poskytovat personalizované reklamy.
Google je zaplatit 17.000.000 dolar do Spojených států a okresu, a dohodla se na: Přestaňte používat kód přepsat prohlížeče cookie blokování nastavení a přestal klást cookie ve webovém prohlížeči bez souhlasu uživatelů (s výjimkou, pokud jde o nakládání s bezpečnostním, podvodu nebo technické problémy); Vyhněte se zkreslování informací poskytovaných spotřebitelům o tom, jak mohou produkty Google pro kontrolu reklam, které vidí (nebo vynechání takové informace vůbec) Po dobu pěti let samostatný článek na Google.com doménu věnovanou vysvětlení toho, co jsou cookies, jak je řídit, a jak Google využívá je Udržovat systémy nakonfigurován tak, aby pokyn prohlížeče Safari vyprší jakékoliv umístěna cookie z doubleclick.net doméně Google přes 15. února 2012 (s výjimkou odhlášení od služby DoubleClick cookie). Zajímavá část osady je, že Google nemá a nebyl povinen přiznat jakýkoli ilegální činnosti nebo porušení práva. To samé se stalo, když v loňském roce Google usadili stejné poplatky s FTC, a byl povinen zaplatit 22.500.000 dolar. V té době - jako to dělá nyní - Google tvrdí, že to neudělal schválně, a to z důvodu určitého provozu prohlížeče Safari, aby počáteční dočasné cookie z domény DoubleClick otevřel dveře, aby všechny soubory cookie z ní, včetně reklamy Google sledovací cookie, který Google řekl, že bude zablokován prohlížeče Safari. něco málo přes měsíc před, skupinová žaloba oblek zvýšil proti Google uživatelé Safari ze stejného důvodu skončila dobře pro Google jako soudce rozhodl, že žalobci hadn 't prokázali, že byly poškozeny působením nebo že Google porušil jejich práva, a zamítl žalobu.
Investice do ochrany dat nejsou optimální
20.11.2013 Zabezpečení Celkem 84 % českých firem hodlá své investice na boj s kybernetickými útoky minimálně zachovat, respektive jejich objem do budoucna ještě navýšit.
Vyplývá to z průzkumu, který uveřejnila firma EY. Vyplývá z něj, že ačkoli společnosti do ochrany před počítačovou trestnou činností i nadále investují nemalé prostředky, počet pokusů o narušení zabezpečení vzrůstá.
Globálně až třetina podniků uvádí, že počet bezpečnostních incidentů v rámci jejich organizace v průběhu uplynulých dvanácti měsíců vzrostl nejméně o 5 %.
Dvě třetiny respondentů si přitom stěžuje na nedostatek prostředků jako na hlavní překážku dosažení takové úrovně opatření, kterou firma očekává.
Z objemu výdajů plánovaných na zabezpečení v příštím rok je u českých firem 17 % určeno na inovaci opatření a na moderní technologická řešení. Zatím nejméně uchopitelná rizika jsou prý u sociálních médií.
Podle průzkuimu firmy Kaspersky Lab zase zhruba 66 % českých i světových respondentů uvedlo, že se jejich společnost stala cílem útoků viru, červů, spywaru nebo jiného typu škodlivého programu.
Spamový útok zaznamenalo 72 % dotázaných českých firem (61 % celosvětově), phishingový 23 % (na rozdíl od celosvětového průměru 36 %).
Celosvětově jsou tyto typy útoků hlavní příčinou vážného úniku citlivých dat z firmy. 22 % dotázaných přiznalo, že po nich zaznamenali únik tajných podnikových dat. V Česku to bylo přitom jen 5 %.
Globální statistika nicméně odhalila, že tím více trpěly malé a střední podniky (23 %) než velké společnosti (17 %).
Privilegované ohrožení Analytics pro detekci rozpracovaných útoky
19.11.2013 Zabezpečení | Hacking
CyberArk oznámila dostupnost zvýhodněného Threat Analytics, řešení analytika pro detekci škodlivého chování privilegovaný účet a narušit rozpracovaných útoky dříve, než dojde k poškození pro podnikání.
Privilegované účty byly identifikovány jako primární cíl ve vnitřním a vnějším útokům pokročilé. Podle Mandiant, "APT vetřelci raději využít privilegované účty, kde je to možné, jako správci domény, servis účty domény s oprávněními místního správce, účty a účty privilegovaný uživatel." CyberArk Privilegované Threat Analytics poskytuje cílené a okamžitě žalovatelné hrozba Analytics na těchto útoku . fotograf identifikaci dříve nezjistitelné škodlivého vynikající chování uživatele, která umožňuje reakce na incidenty tým reagovat a narušit rozpracovaných útoky klíčové výhody patří:
Identifikuje rozpracovaných vnějším útokům a škodlivému chování autorizovaných insiderů Detekuje řadu anomálií ve vzorci chování jednotlivých privilegovaných uživatelů v reálném čase, jako je například uživatel, který přistupuje najednou pověření v neobvyklou denní dobu. To je silný indikátor nebezpečné činnosti nebo závažných porušení zásad, jako je sdílení hesla Zlepšuje účinnost systémů SIEM a týmy Incident Response snížením falešných poplachů Zastaví in-progress útok dříve v kill řetězci, což zajišťuje méně nákladné a časově náročné sanační proces Průběžně se učí chování uživatele a upravuje posuzování rizik na základě oprávněných privilegované vzory aktivit uživatelů. "Privilegovaný uživatel profilování chování může být rozhodující zbraní v boji proti vnější i vnitřní hrozby tím, že objeví abnormální chování brzy," řekl Charles Kolodgy, viceprezident pro výzkum společnosti IDC pro bezpečnostní produkty služby. "Klíčem k vynalézavým řešením je CyberArk je analyzovat správná data - to je činnost privilegovaných uživatelských účtů - poskytuje vysokou hodnotu, žalovatelné inteligenci na kritickém útoku."
Cestovatelé vystavují svá data na veřejných sítích
19.11.2013 Ochrana | Zabezpečení
Komise si je vědoma rizik, američtí cestující nejsou přijmout nezbytná opatření k ochraně sebe na veřejnosti, Wi-Fi a vystavují svá data a osobní informace k počítačoví zločinci a hackery, podle AnchorFree.
PhoCusWright Traveler Technology Survey 2013 dotázaných 2.200 amerických cestující ve věku nad 18 odhalující nový pohled na on-line chování cestujících a jejich pochopení kybernetických rizik. Odhaduje se, že 89 procent z Wi-Fi hotspotů po celém světě nejsou bezpečné. Zvýšené využívání chytrých telefonů a tabletů pro přístup nezajištěných veřejných Wi-Fi hotspotů dramaticky zvyšuje riziko ohrožení. Cestující byli třikrát častěji používat smartphone nebo tablet než notebook pro přístup k nezabezpečené hotspot v nákupním středisku nebo turistická atrakce, dvakrát větší pravděpodobnost, že v restauraci nebo kavárně a jeden a půl krát větší pravděpodobnost na letišti. "V době chytrých telefonů, tablet a všudypřítomných hotspotů, mnoho cestovatelů si neuvědomuje, že se Nic netušící sdílení citlivých informací s ostatními na veřejné Wi-Fi připojení na internet," řekl David Gorodyansky, generální ředitel společnosti AnchorFree. "Je to znepokojující, že zatímco většina cestujících se obávají o online hacking, velmi málo know-how, nebo dost záleží, aby se ochránili. Její ohrožení - z kybernetických zlodějů malware a čichačům - jsou nebetyčné na veřejné Wi-Fi a cestující musí být na pozoru a chránit sebe ". Dále do tohoto bodu, stávkující 82 procent cestujících dotazovaných uvedlo, že se domníváte, že jejich osobní údaje nejsou bezpečný při procházení na veřejné Wi-Fi, ale téměř 84 procent cestujících neberou nezbytná opatření, aby ochránili online. První tři otázky uvedené při použití veřejné Wi-Fi je možnost někdo krást osobní informace při vykonávání bankovnictví nebo finanční stránky (51 procent), takže on-line nákupy, které vyžadují kreditní nebo debetní kartou (51 procent) a nákupy pomocí účtu, který má platební údaje uložené (45 procent). Cestující byli méně obávají pomocí e-mailu nebo textových zpráv služby na veřejné Wi-Fi (18 procent). "Spotřebitelé podceňují jejich vystavení rizikům při připojování k veřejným Wi-Fi," řekl Robert Siciliano, osobní bezpečnosti a krádeží identity expert. "Zatímco podvody s kreditními kartami je považován za cestovní nejvýznamnější riziko, by spotřebitelé měli být vědomi, že existuje mnoho úrovní pro ochranu osobních údajů online - ohrožena e-mailový účet klade další účty v ohrožení, včetně kreditních karet, a představuje pro hackery s množstvím informací, mohou použít ukrást vaši identitu. " Cyber-bezpečnostní hrozby nejsou jedinými problémy lidí čelí při cestování. Třicet sedm procent mezinárodních cestujících, což představuje 10 milionů amerických turistů ročně, se setkal zablokován cenzurovány nebo filtrované obsahu včetně sociálních sítí (40 procent), jako je Facebook, Twitter a Instagram během jejich cesty. Top webové stránky, které byly zablokovány jsou videa a hudební webové stránky, jako je Hulu a YouTube (37 procent), streaming služeb, jako je Pandora a Spotify (35 procent), e-mailem (30 procent), stejně jako zprávy místům, jako je Skype a Viber (27 procent). Aby se zabránilo nebezpečí hacking a kybernetické útoky, více než polovina cestujících (54 procent), snažte se zapojit do on-line aktivit, které zahrnují citlivé osobní údaje, zatímco jeden z pěti (22 procent), vyhnout se používání veřejné Wi-Fi vůbec, protože se domnívají, že jejich osobní údaje, je v ohrožení .
Google dokončila upgrade svých SSL certifikáty na RSA 2048 bitů 19.11.2013 Zabezpečení
Google dnes oznámila, že dokončila modernizaci všech svých SSL certifikátů pro 2048-bit RSA nebo lepší, přichází více než měsíc před plánovaným termínem.
"Dokončili jsme tento proces, který umožní, aby odvětví zahajte odebírání důvěru slabších 1024-bitovými klíči v příštím roce," Google bezpečnostní inženýr Dan Dulay řekl dnes.
Google oznámil, květen, že začal pracovat na změně všechny své klíčové délky , a že chce, aby tak učinily do konce roku 2013. To bylo o něco více než dva týdny před prvními Edward úniky Snowdena a bomba odhalení o dohledu NSA na Američany ve jménu národní bezpečnosti.
Výběrem delší délky klíčů, Google dělá praskání SSL spojení, která šifrování a bezpečné bankovní obchody, e-mailové komunikace a další on-line, že mnohem těžší.
"Hardwarový bezpečnostní modul, který obsahuje náš starý 1024 bitovou průběžné osvědčení sloužil nám dobře," řekl Dulay. "Jeho finální povinnost po všech nevyřízená osvědčení byla zrušena měla být pečlivě zničena."
Google Dulay také řekl, že jeho střední certifikační autorita, Internet Google úřad vydá 2048-bitové certifikáty pro své webové stránky a on-line služeb do budoucna.
Google má SSL ve výchozím nastavení ve službě Gmail od roku 2010 a byl šifrování hledá přihlášené uživatele standardně od října 2011. V září tohoto roku, Google zavedl SSL ve výchozím nastavení pro všechny vyhledávání.
Google byl naplánován na začátek přepnutí na 2048-bitové certifikáty v srpnu, stejně jako změnu kořenový certifikát podpisu všech svých SSL certifikátů. Je také doporučeno, že by mohly být některé konfigurace, které by mohly způsobit problém s novými certifikáty, zejména s embedded zařízení.
Zejména, Google uvedl klienti musí mít schopnost podporovat normální ověření certifikátu řetězce, včetně spolu s řádně rozsáhlou sadu kořenových certifikátů. Existuje celá řada věcí, které by mohly způsobit problémy, ověření platnosti certifikátu po změně, Google uvedl, včetně zákazníků, kteří využívají hashe, aby odpovídaly přesně certifikáty. Také se může klientům s pevně kořenových certifikátů, jako jsou pacienti s certifikáty zabudována do firmwaru, se dostanete do problémů.
Protokol SSL se postavil i pro hackery, kteří měli najít úspěch lámání SSL implementace nebo najít díry v certifikačních autorit využít. NSA, mezitím také musel dostat kreativní porazil protokol. Nejnovější Snowden odhalení mají NSA klepnutím na unecrypted optické kabely mezi datovými centry, aby se sifonem údajů o vyhledávání na webu, e-mailové zprávy a další informace.
"Odsuzování z 1024-bitový RSA je v celém odvětví úsilí, které jsme šťastní podpořit, a to zejména kvůli obavám z dohledu příliš široký vládní a jiné formy nežádoucího vniknutí," řekl Dulay.
Yahoo dává uživatelům možnost pro SSL na všech webových vlastnosti
18.11.2013 Zabezpečení
Po měsících kritiky ze strany odborníků v oblasti bezpečnosti a ochrany osobních údajů obhájce za to nasazení SSL přes své webové nabídky, Yahoo v pondělí oznámila, že bude dávat uživatelům možnost šifrování všech dat Vyměňují se společností do konce prvního čtvrtletí příštího rok.
Tato změna je dlouhá doba přichází na Yahoo, který je měsíce nebo roky stojí za Google a Microsoft nabízet tuto možnost. Yahoo nedávno oznámila , že bude dávat svým uživatelům e-mailových možnost vybrat si SSL jako výchozí pro jejich spojení, změny, které je naplánováno na válí na začátku ledna. S novým oznámením, uživatelé budou mít také možnost pomocí zabezpečeného připojení HTTPS pro ostatní Yahoo služeb, jako je vyhledávání. Google udělal SSL výchozí možnost pro Gmail v roce 2010.
Kromě šifrování provoz do az jejích webových vlastnosti, Yahoo bude také šifrování dat, která se pohybuje mezi svých datových center po celém světě. Tento krok může být viděno jako přímá reakce na nedávné odhalení, že NSA byla záchytné mezi datovými centry, které patří do obou Google a Yahoo. Google úředníků řekl, že udělali stejnou změnu.
Yahoo CEO Marissa Mayer uvedl v prohlášení :
"Dnes oznamujeme, že budeme rozšiřovat toto úsilí napříč všemi produkty Yahoo. Konkrétně to znamená, že budeme:
Šifrování veškeré informace, které se pohybuje mezi našimi datových center do konce 1. čtvrtletí 2014; Nabídka uživatelé možnost šifrovat všechny tok dat do / z Yahoo do konce 1. čtvrtletí 2014; Úzce spolupracovat s našimi mezinárodními partnery, Mail, aby Yahoo co-brandové mailové účty jsou https povolena . Jak jsme již řekli dříve, budeme i nadále vyhodnocovat, jak můžeme chránit soukromí svých uživatelů a jejich data. "
Šifrování provozu teče mezi jeho datových centrech je hlavní změnou pro Yahoo, ale mnohem důležitější krok pro spotřebitele je možnost pro ně používat zabezpečené připojení pro své zasedání s Yahoo vlastnostech webového. Tato změna bude chránit obrovské množství webového provozu a uživatelská data.
Safari, Chrome a Samsung Galaxy S4 sundán v mobilním Pwn2Own 17.11.2013 Hacking | Zabezpečení Výsledky druhého ročníku soutěže Mobile Pwn2Own končí dnes v PacSec aplikované bezpečnostní konferenci v Tokiu v Japonsku se v: úspěšné kompromisy patří Samsung Galaxy S4 v kategorii OS a Safari a Chrome v mobilním prohlížeči kategorii. Čínská Keen Team ( od Keen Cloud Tech) ukázal dvě oddělené Safari exploity, které jim umožnilo zachytit Facebook pověření iOS verze 7.0.3 a kradou fotografie na iOS verze 6.1.4. "První byla aplikace využít. Via Safari, tým byl schopný ukrást Facebook cookie, který byl pak exfiltrated a použity k ohrožení cílené Facebook účtu z jiného počítače. Aby exploitu do práce, by uživatel musí kliknout na odkaz v e-mailu, zprávy SMS, nebo webové stránky, takže někteří společenský konstrukce se nutné vyzvat uživatele, aby žalobu jejich pověření by mohla být ohrožena , " vysvětlila Heather Goudey, senior obsah zabezpečení vývojář společnosti HP (společnost, jejíž Zero Day Initiative je za soutěže). Druhý byl také exploit Safari, který využil chyb v aplikace modelu oprávnění, a také třeba interakce uživatele ( klikněte na odkaz). Výzkumníci hrabal v 27,500dolar v odměnách - to by bylo víc, kdyby se zaměřili a podařilo ohrozit pískoviště.
Japonský tým MBSD (od Mitsui směrech Bussan Secure) přišli s řadou AA využije zaměřených na různé výchozí aplikace na Samsung Galaxy S4 a podařilo se řetězce dohromady, aby se tajně nainstalovat škodlivý pro krádež dat aplikace na zařízení. Aplikace byla schopna exfiltrate data, jako jsou kontakty, záložky, historii prohlížení, SMS zpráv, a tak dále. Je také dobré vědět, že se využije k práci, cílené uživatelé ani nemají povinnost klikněte na odkaz, ale prostě musí se zlákat k návštěvě speciálně vytvořené webové stránky. "Důsledky pro tuto zneužití jsou znepokojující. I když může být zdrženlivý kliknout na odkazy (dbát běžně dána, i když poněkud směšné rada "zacvaknutí pečlivě"), je nepravděpodobné, že byste zhodnotit rizika a dbát na opatrnost se stejným způsobem na mobilních zařízeních, jako na ploše, "Goudey poukázal . "Tato zpráva zde je však jasné - mobilní platformy jsou citlivé na stejné nebo velmi podobné metody šíření škodlivého softwaru, které trápí plochu a měli byste být moudré, aby se na pozoru." cenu, že japonský tým odnesl částku 40.000 dolarů. Druhý den soutěže, dospívající bezpečnostní výzkumník, že jde o alias "PinkiePie" a který již úspěšně soutěžil v loňské Pwn2Own, podařilo kompromisů Chrome nejprve na Nexus 4 a pak na Samsung Galaxy S4. " využít využil dvou chyb - přetečení celého čísla, který ovlivňuje Chrome a další zranitelnost Chrome, která vyústila v plné sandbox útěku, "sdílené Goudey. "Důsledky této chyby zabezpečení je možnost vzdálené spuštění kódu v postiženém zařízení." Stejně jako v předchozích prokázaných útoků, uživatelé jsou nutné kliknout na nebezpečný odkaz v objednávce útoku uspět. Podle nastavených cen , PinkiePie jede domů s 50.000 dolarů v kapse. Jak jsou definovány v pravidlech, společnosti stojí za ohrožené prohlížečů, operačních systémů a zařízení obdrželi informace o vykořisťovaných zranitelnosti, a doufejme, že oprava je rychle.
Aliance věnovaná bezdrátové biometrické autentizace zahájena 17.11.2013 Zabezpečení Přírodní Security oznámila zahájení a nově zvolený správní radou na světě první otevřené Aliance věnovanou zabezpečení transakcí založených na bezdrátových a biometriky.
Přírodní Security Alliance spravuje, udržuje a zvyšuje přirozenou zabezpečení silné autentizační údaje jedinečně kombinuje bezdrátovou technologii, osobní zařízení a biometrická data. Aliance je už úspěch s počátečním založením rady, sponzory a členy na úrovni Společenství: AS 24 CELKEM (skupina), Banque Accord, BizRaiser, BNP Paribas, Carrefour Banque, CITC-EuraRFID, Intervale, Koncert International, Credit Agricole, Credit Mutuel Arkea, Dictao, Elitt, Galitt, Groupe Auchan, Groupement des Cartes Bancaires CB, ID3, Ingenico, Leroy Merlin, Mastercard, Oberthur Technologies, Paycert, PW konzultanti, Sesame dotykové, šest platebních služeb, Swiss Capital International Group, důvěra Designer, UINT , UL. Cedric Hozanne, generální ředitel Přírodovědeckého Security Alliance, komentoval zahájení, "Natural Bezpečnostní norma byla vyvinuta v reakci na metodu ověřování požadované bankami, prodejci a výrobci jsme se pracovat s. Investovali jsme spoustu času, úsilí a péči na vytvoření skutečně jedinečnou metodu ověřování, která řeší mnoho moderních otázky týkající se ochrany soukromí, pohodlí a univerzálnost, včetně vedení jako první na světě spotřebitele zkušební této technologie. " Natural Security Alliance je otevřená všem subjektům, které mají zájem na silné autentizace, jako jsou banky, kartové systémy, prodejci, výrobci, testování a certifikačních orgánů. Nově zvolený Přírodní Security Alliance předseda, Jean-Pierre Viboud poznamenal: "Aliance byla vytvořena poskytovat prostor pro spolupráci všichni profesionálové, kteří se zajímají o biometrii a nové platební systémy pro sdílení a rozvíjet nápady pro otevřený standard. Věříme, že toto sdílení informací a přístup k zadávací dokumentaci je jednou z hlavních výhod pro naše členy. Jako předseda mým úkolem je zajistit, aby Aliance i nadále roste a že jsme dosáhli, a pokračovat v práci na dosažení, naše mise. Nakonec, doufáme, že naše normy a technické specifikace budou používat všichni rozvoje a využívání biometrických systémů pro platby, logický přístup, nebo přístup k IT po celém světě. " The Natural Bezpečnostní otevřené Aliance má šest hlavních cílů:
Chcete-li získat členy ze všech oblastí platebního ekosystému (tj. banky, obchodníci, výrobci, integrátoři) Evangelizovat a vzdělávat širší platby a spotřebitelské komunity na standardní a dalších oblastech týkajících se ověřování Podporovat a povzbuzovat vývoj produktů s použitím standardního Pro povolení k výrobě produktů, které využívají standard Řídit vývoj specifikací vyplnit požadavkům trhu Chcete-li vytvořit strategii interoperability, včetně testů a certifikačních postupů pro normy. První pracovní-skupiny budou oznámeny brzy, a témata bude patřit EMV založené na face-to-face platby a výběry, online ověřování a mobilní peněženka pro face-to-face plateb.
Microsoft oznamuje důchodu z SHA-1 17.11.2013 Zabezpečení | Šifrování Spolu se standardními bezpečnostními rad zveřejněných na tento měsíc Patch Tuesday , Microsoft také vydal několik, které oznámí společnosti záměr kritizují SHA-1 algoritmus a vyhnout šifrovací RC4. "Microsoft doporučuje, aby zákazníci a CA přestat používat SHA- 1 pro kryptografických aplikací, včetně použití v SSL / TLS a kód podpisu, "vysvětlili tím, že společnost přestane uznání platnosti SHA1 bázi certifikátů Podepisování kódu po 1. lednu 2016 a to SHA-1 na bázi SSL certifikátů po 01.01.2017. Microsoft se snaží vyhnout se situaci, co se stalo, když autoři malware Flame podařilo provést kolizní útok na MD5 a kováním Microsoft digitální podpis, vydávat se za své servery. Stejně jako MD5 před tím, vědci dokázali při několika příležitostech, že algoritmus SHA-1 je citlivý na kolize, a společnost se rozhodla jednat namísto reagovat tentokrát. "USA NIST Pokyny radil, že SHA-1 nesmí být důvěryhodný minulosti ledna 2014 na vyšší úroveň zajištění komunikace přes US Federal PKI Bridge. Běžnou praxí však bylo i nadále vydávat SHA-1 na bázi certifikátů a dnes certifikáty SHA-1 připadá více než 98% vydaných po celém světě, "oni vysvětlil . "Nedávné pokroky v kryptografických útokům na SHA-1 nás vedou k zjištění, že průmysl nemůže řídit pokračující vydávání SHA-1, ale musí přechod na SHA-2 certifikáty." Společnost také vydala zásady pro kritizovat algoritmus pro certifikát orgány, které jsou členy Root Certificate Program Windows, ale mají také řekl, že odpisové lhůty bude znovu v roce 2015. řada praktických útoků proti proudu šifry RC4 je opět důvod, proč Microsoft oficiálně doporučuje , aby zákazníci důchodu a kritizovat RC4 v jejich implementacích TLS. Namísto toho se doporučuje, aby TLS1.2 s AES-GCM. také poukázal , že z nejnovější verze IE nenabízí RC4 založené šifer během prvních TLS / SSL handshake jako první možnost, je mu vyhrazeno místo jen pro situace, kdy prohlížeč nemůže jednat non-RC4 apartmá se serverem.
Podpora Windows XP končí, jaké jsou možnosti?
16.11.2013 Zranitelnosti | Zabezpečení Jak zvládnout přechod na otevřenou platformu, pokud již nechcete dále používat operační systém od Microsoftu?
8. dubna příštího roku definitivně skončí technická podpora pro operační systém Windows XP. Společně s tím skončí také distribuce jakýchkoliv aktualizací včetně bezpečnostních oprav.
Více než 12 let starý systém však stále běží na velkém počtu firemních počítačů a firmy tak nyní stojí před důležitou otázkou, kam dál.
Možností přitom moc nemají. Buď provedou přechod na novější verzi Windows, nebo si vyberou některou z volně dostupných linuxových alternativ. V obou případech přitom budou muset vyřešit problém s kompatibilitou kritických aplikací.
Jak postupovat v případě, že se rozhodnete pro open source? Dave Lane, ředitel novozélandské Open Source Society, nabízí tři možná řešení.
Wine „Tento software nelze vinit z příliš malých ambicí. Jeho autoři vytvořili prostředí, díky kterému si aplikace původně napsané pro Windows myslí, že běží ve Windows, ačkoliv ve skutečnosti jsou nainstalované a spuštěné v Linuxu,“ říká Lane.
I po 15 letech se vývojářům Wine daří reagovat na všechny změny ve Windows a replikovat je do jiného prostředí s neuvěřitelnou přesností. Není divu, že se Wine již dávno stal pevnou součástí některých linuxových distribucí.
Prostřednictvím Wine sice nelze spustit všechny aplikace pro Windows, ale většinu ano. Dokonce i v případě, že svoji aplikaci nenajdete v seznamu podporovaných programů, je velká šance, že si s ní Wine nějak poradí.
Windows Virtual Machine Pokud si Wine s vaší aplikací neporadí, nezoufejte. Další možností, jak ji přestěhovat na open source, představuje XP Virtual Machine. Vše, co potřebujete, je VirtualBox od Oraclu a instalační CD Windows XP.
Na virtuálním stroji spolehlivě spustíte všechny své aplikace. Jedinou výjimkou jsou programy, které ke své funkci potřebují specifický hardware.
Otázku zabezpečení pak vyřešíte tím, že XP umístíte do sandboxu. Navíc lze virtuální stroj nastavit tak, aby nikdy nebyl v přímém spojení s vnějším světem.
Vzdálená plocha Třetí možnost řeší již zmíněný problém s virtuálním spouštěním aplikací závislých na konkrétním hardwaru.
V praxi použití vzdáleného přístupu znamená, že na současném hardwaru poběží i nadále Windows XP, ovšem prostřednictvím síťového nastavení bude systém odříznut od okolního světa a tedy i potenciálních bezpečnostních hrozeb. Bude pouze spojen v rámci intranetu se serverem, ve kterém bude spouštět všechny programy.
Adobe špatné heslo bezpečnostní síly Facebook blokovat účty
16.11.2013 Hacking | Zabezpečení
Nedávná Guinness-world-rekord-velké porušení u Adobe se chystá způsobit mnoho problémů u uživatelů, jejichž přihlašovací údaje byla ohrožena. To by neměl být tak velký problém, pokud o ukradené informace byly dostatečně chráněny, ale ukázalo se, Adobe odvedl velmi špatnou práci při získávání údajů. Za prvé, byly všechny hesla zašifrována se stejným šifrovacím algoritmu (pravděpodobně DES nebo Triple DES), což znamená, že každý, kdo se dostane své ruce nebo postavy z dešifrovací klíč lze snadno dešifrovat všechny hesla. Pak, oni používají elektronický kód Book (ECB) metodu šifrování, která dělá všechny identické hesla vypadat stejné, když šifrována -., a všichni víme, že mnoho uživatelů používat stejné jednoduché a předvídatelné hesla třetí, databáze obsahovala (nešifrované) rady pro hesel, který dělal to triviální hádat hesla, které byly použity znovu a znovu (xkcd je vysvětlit to všechno nádherně.) nejhorší na tom je, že mnoho uživatelů si vybral stejné heslo jako ten, který používají pro své internetové bankovnictví nebo jejich Facebook účet, a často řekl , aby výslovně v "nápovědu", který šel spolu s . že Facebook již přestěhovala na ochranu svých uživatelů, kteří dělali to blokováním jejich účtů a jejich prezentaci s následující oznámení:
Ty jsou pak nuceni odpovědět na několik bezpečnostních otázek prokázat svou totožnost jako právoplatný vlastník účtu a změnit své heslo k složitějšímu a jedinečná. Čas ukáže, zda Facebook je jediná společnost, která zvažovala dopady aplikace Adobe porušení a přesunout je minimalizovat - doufejme, že tomu tak není. Mezitím alespoň jeden Adobe zákazník podal , co by se mohla stát Skupinová žaloba proti společnosti, tvrdí, že i přes slibné používají "přiměřenou správní, technické a fyzické bezpečnostní kontroly "k ochraně jejich PII a" špičkové bezpečnostní praktiky ", jejich skutečné bezpečnostní postupy jsou" nestandardní "a" pokračoval vést k porušování. " , zatímco přemýšlel o tom, zda se připojit k obleku nebo ne, mohou uživatelé aplikace Adobe zkontrolovat, zda jejich přihlašovací údaje byly ohroženy hack zadáním své e-mailové adresy v tomto místě / kontrola funkce .
Adallom představil SaaS řešení pro zabezpečení podnikové 15.11.2013 Zabezpečení Adallom oznámila kompletní bezpečnostní řešení pro aplikace SaaS, který přináší cloud-based zabezpečení, aby audity všech SaaS aktivit a poskytuje v reálném čase prostřednictvím zmírňování heuristiky aktivit uživatelů. Tento produkt je vyroben pro cloud škálovatelnost, rozšiřitelnost a integrace se stávajícími bezpečnostními nástroji, jako jsou AV, VPN a SIEM.
SaaS radikálně změnil způsob, jakým lidé pracují a pracují, umožňuje uživatelům přístup k firemním aplikacím a datům odkudkoliv, na jakémkoli zařízení. Nicméně, SaaS Přijetí také vytvořil výrazný bezpečnostní mezeru jako organizace v současné době chybí nástroje potřebné k vytvoření a prosazení jednotné bezpečnostní politiky napříč všemi aplikacemi SaaS, stejně jako získat přehled uživatelských aktivit. Jak SaaS přijetí roste, což vede nedostatek přehled a kontrolu stala ještě zřetelnější. Adallom přístup je prevence prostřednictvím inteligence, přemostění bezpečnostní SaaS mezeru umožňující společnostem zabránit moderní útoků, v souladu s vládními a průmysl předpisů, jakož i sledování a ověření nekonečné lidské interakce s aplikací SaaS. "SaaS modely jsou běžné v dnešních podnicích , ale odborníci na bezpečnost se teprve přijít na to, jak změnit a integrovat své tradiční kontrolní rámce do těchto architektur. Řešení, jako je Adallom poskytují způsob, jak překlenout tuto mezeru z minulosti do přítomnosti a budoucnosti pro většinu podniků, "řekl Pete Lindstrom, viceprezident pro výzkum v Spire bezpečnosti. "Organizace dnes potřebují přijít na to, jak" pokrytí jejich stabilizaci a přidružení ", abych tak řekl, a řešit skutečný problém odpovědnosti v dnes již všudypřítomné prostoru aplikace SaaS. Adallom poskytuje jednoduchý způsob, jak využít výhod modelu SaaS při zachování kontroly nezbytné chránit sebe a své organizace. " Adallom přetvářejí způsob, jakým podniky chránit své informace SaaS a cloud služeb sledováním veškeré aktivity uživatelů, odhalování neoprávněnému přístupu a ochranu uživatelů v reálném čase. Adallom dodává: Real-time analýza rizik: Analýza aktivity uživatele v každém cloudu na základě kontextových heuristice a detekce abnormální aktivity. Real-time zmírnění rizik: Viditelnost na vnitřní, vnější a zajištění malware hrozby SaaS aplikací, prostřednictvím jednoho , rozšiřitelné rozhraní pro definování politik, činností auditu uživatelských a prevenci útoků. Cross-service audit: . Centralizovaná audit deska aplikací SaaS používaných v organizaci, integraci přihlášení uživatele, zařízení, umístění a informace aktivity "Svoboda poskytované aplikací SaaS zavedla nová hrozba vektor pomocí nesčetných moderních útoků zaměřených na lidské interakce s aplikací SaaS. Adallom řeší tuto mezeru, prevence útoků pomáhá organizacím rozšířit viditelnost, dodržování a zabezpečení SaaS a cloud služeb, "řekl Assaf Rappaport, spoluzakladatel a generální ředitel společnosti Adallom. "S bezkonkurenční inteligence, Adallom poskytuje prostředky pro zmírnění hrozby SaaS a zvýšit zabezpečení podniku při zachování snadnost použití a pohodlí cloudových služeb. Cílem je zabezpečení bez hranic. "
HTTP / 2 židle říká protokol bude fungovat pouze s HTTPS URI
15.11.2013 Zabezpečení | Šifrování
Vedoucí pracovní skupiny navrhování další verzi protokolu HTTP řekl HTTP / 2 protokol bude pracovat pouze s šifrovaným URI.
"Myslím, že nejlepší způsob, jak můžeme dosáhnout cíle, kterým je zvýšení využití TLS na webu je podpořit jejich používání pouze pomocí HTTP/2.0 s https:// URI," napsal Mark Nottingham na konferenci W3C .
Tento krok je varovným výstřelem rostoucí dohledu ze strany vlády USA proti svým vlastním občanům a cizincům. Řada významných internetových hráčů, jako je Google a Facebook se obrátil HTTPS ve výchozím nastavení na počtu klíčových služeb, jako je Gmail. Pokud Nottingham návrh s HTTP / 2 obstát, byl by to obrovský krok kupředu směrem k plné zajištění TLS webového provozu.
"Aby bylo jasno - budeme ještě definovat způsob použití HTTP/2.0 http:// URI, protože v některých případech použití může realizátor učinit informovanou volbu používat protokol bez šifrování," řekl Nottingham. "Pokud však jde o běžný případ - procházení Open Web - budete muset použít https:// URI a pokud chcete používat nejnovější verzi protokolu HTTP."
Byly tam tři návrhy do pracovní skupiny, Nottingham, řekl:
Příležitostné šifrování http:// URI bez ověření serveru, také známý jako TLS Uvolněná; Příležitostné šifrování http:// URI s ověření serveru; HTTP / 2 použít pouze s HTTPS na síti Internet. Nottingham řekl diskuse přistál na třetí možnost, protože to představuje nejmenší počet složitost a HSTS je možnost downgrade ochranu. Také prohlížeče dodavatelé byli vokální o potřebě šifrování webového provozu, který by hodit nějaké významnou váhu za pohybu.
Vzhledem k tomu, Snowden úniky i nadále odhalovat šíři dohledu NSA na Američany za sběr metadat telefonního hovoru do odposlechu vláken vazeb mezi internetových datových center, vyzývá k posílení šifrování se hlasitěji. Cryptographer a bezpečnostní expert Bruce Schneier napsal v eseji minulý měsíc, že internet umožňuje dohled jako podniky sbírají data z návštěvníků a firem, často jasné.
Vyzval velké internetové hráče na zvýšení nákladů na dohled a nutí NSA dát brzdy na rozsáhlou sbírku ve prospěch cíleného dohledu.
"Moorův zákon učinil výpočtu levnější. Každý z nás udělali výpočtu všudypřítomné. A protože výpočetní produkuje data, a tato data se rovná dohled, jsme vytvořili svět všudypřítomné sledování, "Schneier napsal . "Nyní musíme zjistit, co s tím dělat. To je více než ovládnou NSA a pokutování korporaci pro příležitostné zneužívání dat. Musíme se rozhodnout, zda naše data sdílený společenský zdroj, část z nás, která je ve své podstatě naše právem, nebo soukromý dobré být kupoval a prodával. "
Do té doby, Nottingham řekl, že pohyby HTTP / 2 vpřed přijetí by jiné možnosti, jako je Perfect Forward Secrecy považovat.
"Věřím, že tento přístup je tak blízko ke konsensu, jak budeme mít na této sporné téma právě teď," řekl. "Jako HTTP / 2 je nasazen, budeme hodnotit přijetí protokolu a může toto rozhodnutí změnit, pokud se nalézt způsoby, jak dále zvyšovat bezpečnost."
Strach z útoků vede k velmi emocionální rozhodování 14.11.2013 Zabezpečení
Nedávná publicita o kybernetických útoků a datových narušení bezpečnosti IT zvýšil povědomí o rizicích mezi CIO, CISO a vedoucí obchodní vedení. Avšak Gartner 2013 Global Risk Management Průzkum zjistil, že strach z útoku je příčinou odborníci na bezpečnost přesunout pozornost od disciplín, jako je řízení podnikatelských rizik a na základě posouzení rizik bezpečnosti informací do technického zabezpečení. Tento posun v zaměření se řídí podle toho, co Analytici společnosti Gartner viz jako strach, nejistota a pochybnosti (FUD), což často vede k reakční a velmi emocionální rozhodování.
"Zatímco posun k posílení technických bezpečnostních kontrol není překvapivé vzhledem k humbuk kolem kybernetickými útoky a narušení bezpečnosti dat, silné riziko na bázi disciplíny, jako řízení podnikatelských rizik a na základě posouzení rizika informační bezpečnosti jsou zakořeněny v proaktivní, data-řízené rozhodování," řekl John A. Wheeler, ředitel výzkumu ve společnosti Gartner. "Tyto disciplíny jsou zaměřeny přímo na nejistotu (jak v, riziko), stejně jako metody kontroly nebo k jeho snížení. Tím jsou spojeny strach a pochybnosti následně odstraněny." řízení rizik IT programy a přístupy se liší podle odvětví a podle společnost, v závislosti na jedinečných obchodních potřeb a požadavků, které IT organizace musí podporovat. Gartner vnímá spektrum rizik v oblasti IT v oblasti řízení programu, který umožňuje jednu nebo více z těchto pěti funkcí:
Technická bezpečnost Risk-based informační bezpečnosti IT operace riziko - formální řízení rizik napříč různými disciplínami, jako je bezpečnost, soukromí, řízení kontinuity činností organizace (BCM) a dodržování Operační riziko - riziko provozu IT a navíc obchodní operační riziko, rizik dodavatelského řetězce a další Enterprise risk management - provozní, úvěrové a tržní rizika centralizované funkce s pracovníkem a board-level viditelnost. Gartner se domnívá, že organizace, které buď odklon od rizika disciplínách nebo prostě nepřijmou jim se ocitnou na milost a nemilost FUD pasti. Výsledky průzkumu ukázaly, odklon od těchto disciplín, pouze šest procent zaměřena na řízení podnikových rizik v roce 2013 ve srovnání s 12 procenty v roce 2012. Pan Wheeler řekl, že to riziko profily a držení těla v budoucnu změnit, bude nevyhnutelný posun v zaměření zpět do těchto rizik disciplínách musí nastat. Pokud ne, může organizace zjistit, že více kritické, bude vznikající rizika zůstanou neodhaleny, a společnost jako celek budou ponechány nepřipravené. Zatímco FUD může vést k negativním řízení chování, ale může také vést k pozitivním rozpočtovým dopadem na IT rizika program pro správu. V krátkodobém horizontu, může to být přínosem programu díky možnosti přidat pracovníky a zdroje do oblasti, která je obvykle cenově omezovány. Ve skutečnosti, 39 procent z letošních respondentů byly přiděleny finanční prostředky v celkové výši více než sedm procent z celkového IT rozpočtu. To ve srovnání s pouze 23 procent respondentů léčených podobnou částku v roce 2011. Nicméně, větší rozpočtové zdroje nejsou uvedeny v budoucích letech. Pokud tam je silná IT pro řízení rizik na místě podporovat budoucí potřebu podobnou úrovní rozpočtových prostředků, budou prostředky brzy vypaří. Určení IT strategie řízení rizik aktuální úrovně vyspělosti, stejně jako požadovaný stav zralosti, je skvělý první krok k vybudování silného programu. Gartner doporučuje, aby CIO, CISO a vedoucí obchodní manažeři hodnotí současnou vyspělost svého programu řízení rizik IT, a vytvořit strategický plán pro řízení rizik k zajištění průběžného financování. Na úrovni řízení, řízení rizik IT governance slábne. Ve srovnání s 2012 Gartner výsledků průzkumu o používání IT rizik výborů řízení řízení, mnoho firem se přesouvá od formálních rizik řídící struktury. Celkově v roce 2013, 53 procent účastníků průzkumu hlášeny buď pomocí neformálních rizika IT výbory pro řízení řízení nebo vůbec žádné. Ve srovnání s 39 procenty v roce 2012. "Tyto neslučitelná zjištění průzkumu se zdá k ověření zjištění, že na základě analýzy rizika, data-řízené přístupy padají na vedlejší koleji ve prospěch FUD bázi, emocím aktivit," řekl pan Wheeler. "Nebo snad ještě znepokojivější, které ukazují, že ti, kdo mají obavy jsou prostě pohřbívat své hlavy do písku, spíše než proaktivní řešení nových hrozeb." Pan Wheeler řekl, že pravidelná komunikace o vznikajících riskuje s členy představenstva a vedoucí podniku bude mít za následek lepší rozhodování, a nakonec, více žádoucí podnikatelské výsledky. Účastníci průzkumu také vyplynulo, že pokrok se zpomaluje propojit ukazatele rizik a firemní ukazatele výkonnosti. Nejen, že činnost podporuje formální mapování klíčových indikátorů rizika (vůdčími) na klíčových ukazatelů výkonnosti (KPI) pokles o sedm procent 2012 - 2013, ale také mapování zanikla pro 17 procent respondentů průzkumu v roce 2013, ve srovnání s osmi procent v roce 2012 . Opět platí, že by tento posun v činnosti velmi dobře být výsledkem FUD bázi, emocím přístupů. "Pokud se to udělá správně, může integrované rizikové a výkonnostní mapování cvičení přinést obrovské výhody pro firmy a IT organizace, které se snaží rozvíjet více efektivní řízení rizik dialog s podnikateli, "řekl pan Wheeler. "Nicméně, je-li provedeno správně, může být výkon náročné na čas a zdroje, což často vede v procesu, který nepraktický nakonec selže.
Stanford metaphone Cílem projektu je ukázat Nebezpečí Metadata Collection
14.11.2013 Špionáž | Zabezpečení
Když první NSA dohled příběh zlomil v červnu, o agentuře a jejích sbírek telefonu metadat z Verizon, většina lidí pravděpodobně nikdy neslyšeli slovo metadata předtím. Dokonce i někteří bezpečnosti a ochrany soukromí odborníci nebyli jisti, co pojem zahrnoval, a nyní skupina bezpečnostních výzkumníků na Stanfordu začali nový projekt shromažďovat anonymní data od uživatelů Android přesně vidět, kolik informací lze vyvodit z protokolů o telefonu volání a texty.
Projekt, přezdívaná metaphone se žádají dobrovolníky, kteří souhlasí s tím, shromažďování různých druhů metadat ze svých telefonů, které pak budou automaticky rozesílaných výzkumníků ze Stanfordu. Stanford Security Lab, který je spuštěn projekt, má zájem v tom, že sběr metadat činí dohledu, něco, co NSA vůdci a Kongresu řekl, není pravda.
"Telefon metadata je neodmyslitelně odhaluje. Chceme dokázat, že důsledně, pro veřejnost, do Kongresu a na soudy, "Jonathan Mayer, PhD student na Stanfordu a junior pobočka učenec na Security Lab, napsal v vysvětlení projektu.
Zájemci o účast v programu můžete stáhnout metaphone aplikace z Google Play. V rámci projektu bude metaphone shromažďovat a předávat různé informace k výzkumné pracovníky. Data budou zničena na konci studie.
"V průběhu studie, bude váš mobilní telefon přenášet přístroj se přihlásí a sociální sítě informace do výzkumníky na Stanford University. Zařízení údaje budou obsahovat záznamy o posledních hovorech a textových zpráv. Sociální sítě údaje budou zahrnovat váš profil, připojení a nedávné činnosti. Data se uloží a analyzovány na Stanford, potom odstranit na konci studie. Výzkum personál se přiměřená bezpečnostní opatření k zabezpečení dat v tranzitu, skladování, analýzy a destrukce, "tvrdí vědci.
V e-mailové rozhovoru Mayer řekl, že doufá, že studie bude poskytovat nějaké jasné odpovědi na to, co je a jak metadata invazivní kolekce to může být pro uživatele.
"Máme v úmyslu oznámit předběžné výsledky, jakmile jsme dost crowdsourced data. Telefon záznamy jsou zjevně žhavým problémem: Kongres zvažuje inteligence reformy právních předpisů, soudy slyšení sporů výzvy, a mnoho na veřejnosti nejste jisti, kdo mluví pravdu. Naším cílem je poskytnout přísné odpovědi o citlivosti telefonu metadat, "řekl Mayer.
"Je těžké odhadnout množství dat, které potřebujeme, protože kvalita, ne jen množství, dat se vrací ovlivní, jak dobře naši práci učících algoritmů. Obecnou zásadou je, však je, že více dat je lepší, a pokud chceme, aby silný tvrzení o metadatech bychom chtěli mít tolik dat jak je to možné. Nicméně, může být analýza nepřetržitý proces, a tak můžeme začít, jakmile máme několik účastníků a zdokonalit náš přístup jako další data vypovídací "
Zaměstnanci zůstávali u neautorizovaných služeb sdílení souborů
13.11.2013 Zabezpečení
Většina zaměstnanců (81%) dokumenty přístupové práce na cestách. Přesto v případě neexistence podnikové třídy alternativu pro sdílení souborů, 72% se uchylují k neoprávněné, volné sdílení souborů služeb.
Nový Workshare je založena na více než 5000 odpovědí od společností ve Velké Británii, EMEA a USA Zjištění odhalují skutečný, do jaké míry uživatelé mobilních telefonů jsou stále obchází pravidla stanovená IT a používání neschválených aplikací pro sdílení velkých souborů a spolupráci na dokumentech mimo kancelář. To vyvolává velké obavy o bezpečnost firemních dokumentů a osobních informací a upozorňuje na problémy, jimž čelí, je, pokud jde o umožnění mobility a zároveň zajistit řízení dat a snižování rizika.
K vyřešení těchto problémů je třeba správcům IT poskytovat zaměstnancům snadný-k-použití, bezpečný způsob, jak sdílet dokumenty z mobilních zařízení. Organizace musí jednat rychle, aby znovu získat kontrolu nad svými dokumenty a firemní duševního vlastnictví, jak ukázalo šetření: 72% dotázaných neobdržel povolení od jejich IT oddělení využít své spotřebitele sdílení souborů aplikace, a to z 66% v roce 2012. Více než polovina (62%) kvalifikovaných pracovníků používat své osobní zařízení pro práci. Většina (69%) z těchto pracovníků také využít bezplatných služeb pro sdílení souborů ke spolupráci a přístup ke sdíleným dokumentům, které je 3% více než v loňském roce. "Podniky již nemohou ignorovat mobility trendy. Místo toho, oni musí najít způsob, jak uspokojit své potřeby a zároveň splnit přísné bezpečnostní požadavky, "říká Anthony Foy, generální ředitel společnosti Workshare.
Microsoft varuje zákazníky od SHA-1 a RC4
13.11.2013 Kryptografie | Zabezpečení
RC4 a SHA-1 algoritmy vzali spoustu hitů v posledních letech, s novými útoky objevovat pravidelně. Mnozí odborníci na bezpečnost a kryptografie byly doporučuje, aby prodejci začnou postupné dva ven a Microsoft v úterý řekl, že je nyní doporučují pro vývojáře, které kritizují RC4 a přestat používat SHA-1 hash algoritmu.
RC4 je mezi starší apartmá proudová šifra v použití dnes, a tam byli množství praktických útoků proti ní, včetně prostého textu, obnovení útoků. Zlepšení výpočetního výkonu dělali mnoho z těchto útoků schůdnější pro útočníky, a tak Microsoft říká, vývojáři klesnout RC4 z jejich aplikací.
"Ve světle nedávného výzkumu do praktických útoků na zkreslení v RC4 proudová šifra, Microsoft doporučuje, aby zákazníci povolí TLS1.2 v jejich službách a podniknout kroky k důchodu a kritizovat RC4, jak je používán v jejich implementacích TLS. Společnost Microsoft doporučuje TLS1.2 s AES-GCM jako bezpečnější alternativa, která bude poskytovat podobný výkon, "Microsoft William Peteroy uvedl v blogu .
"Jedním z prvních kroků při hodnocení zákazníků dopad nové bezpečnostního výzkumu a chápe související rizika má co do činění s hodnocením stavu veřejných a prostředí zákazníka. Použití velikosti vzorku pět milionů stránek jsme zjistili, že 58% míst nepoužívají RC4, přičemž přibližně 43% ano. Z 43%, které využívají RC4, pouze 3,9% vyžaduje jeho použití. Proto zakázání RC4 standardně má potenciál snížit používání RC4 o více než téměř čtyřicet procent. "
Softwarová společnost je také doporučuje, aby certifikační autority a další přestat používat algoritmus SHA-1. Microsoft citoval existenci kolizních známých útoků proti SHA-1 jako hlavní důvod pro poradenství před jeho použitím. Také po lednu 2016 může Vývojáři Microsoftu již nelze používat SHA-1 v podpisu kódu nebo vývojáře certifikáty.
Microsoft a Facebook spustit Internet celé bug bounty programu
13.11.2013 Sociální sítě | Zabezpečení
Daboval Internet Bug Bounty, je sponzorována ani dva internetové giganty a je zaměřena na každého, kdo zjistí chyby v sérii otevřených source programovací jazyky, webové aplikace, software, app rámců, HTTP servery, stejně jako OpenSSL implementace, Chrome , IE, Adobe Reader a Flash pískoviště a "Internet" obecně.
Abyste se mohli zúčastnit, hackeři / zadavatelé budou muset vytvořit účet, který bude vyžadovat, aby jim zadat název (nebo pseudonym), e-mailovou adresu, uživatelské jméno a heslo, ale to neznamená, že musí zveřejnit svou identitu. Také místo () Zaznamenává data, která lze použít k identifikaci uživatele, jako IP adresy, zařízení OS, informace o prohlížeči a další, ale přístupové protokoly jsou smazány po 180 dnů. V programu Zásady ochrany osobních údajů si můžete prohlédnout zde . Na jejich konci jsou bezpečnostní a reakce týmy z firem a organizací, jejichž produkty jsou ovlivněny zakázáno ohrožující, potrestání nebo zpráva k prosazování práva na hackery, kteří se zodpovědně vykazujících chyby. Jakmile chyba je hlásil - a aby se staly nárok na cenu, že to není nutné předkládat PoC zneužitelného kódu pro něj - jednotlivé týmy odpovědí produktů budou informováni o tom automaticky a mají 30 dní na chybu opravit a 180 dnů veřejně sdělit své existence . Pokud nereagují na úvodní zprávě za 7 dnů, bude bug report zveřejní do 30 dnů po programu prvního kontaktu pokus. Minimální částka za chyby závisí na produktu, který se dotýká. Například pro "internet" je 5000 dolarů, k OpenSSL je 2500 dolarů, pro Perl je 1500 dolar, zatímco pro Nginx je 500 Kč. Maximální částky nejsou stanoveny, a může být značná - to vše závisí na závažnosti zjištěné chyby a na kvalitu podání. To bude určeno jednotlivých zásahových skupin ve spolupráci s výzkumnými pracovníky V samotné nájemného programu panelu ( převážně z Facebooku a Microsoft, ale od Google, ISEC Partners a Etsy stejně). Program je otevřen pro hackery všech věkových kategorií, ale předkladatelé mladší 13 budou muset jejich rodiče nebo zákonného zástupce pomáhají sbírat cenu. Také jsou jedinci na seznamech embarga USA nebo v zemích, v současné době na seznamu embargo USA vyloučen z podání. Bližší informace o programu lze nalézt zde , na politiku zpřístupňování informací zde a podrobnosti o tom, co každý konkrétní výrobek vyžaduje, s ohledem na kvalifikaci pro prémií lze kontrolovat z programu webu hlavní stránku . "Naše kolektivní bezpečnost je možné pouze tehdy, pokud je veřejná bezpečnost výzkum dovoleno vzkvétat", program stavy. "Někteří z nejkritičtějších chyb v Internet historii byly vyřešeny díky úsilí výzkumníků poháněných výhradně zvědavostí a altruismu. Dlužíme Tito jedinci obrovské dluhy a věříme, že je naší povinností udělat vše, co je v našich silách, aby pěstovat trezor, odměňování prostředí minulých, přítomných a budoucích výzkumných pracovníků. "
PIN telefonu lze odhalit pomocí foťáku a mikrofonu
12.11.2013 Mobil | Zabezpečení Vědci varují před nedostatečnou ochranou chytrých telefonů.
Týmu vědců z Cambridgeské univerzity se prostřednictvím nástroje nazvaného PIN Skimmer podařilo rozpoznat kód, kterým uživatelé aktivují svá zařízení.
„Zjistili jsme, že kameru, kterou lidé obvykle používají pro konferenční hovory nebo rozpoznávání obličeje, lze snadno zneužít,“ píší ve své zprávě autoři studie Ross Anderson a Laurent Simon.
Tohoto faktu využívá i program PIN Skimmer, který přes fotoaparát sleduje uživatelův obličej a pomocí mikrofonu zaznamenává zvuky při každém stisku dotykové klávesnice na displeji. Díky tomu program následně odhadne orientaci telefonu a přiřadí jednotlivé zvuky konkrétním číslicím.
„Jednoduše sledujeme, jak se váš obličej pohybuje při psaní na klávesnici. Sami jsme byli překvapeni tím, jak dobře to funguje,“ řekl Ross Anderson, který v Cambridge působí jako profesor bezpečnostních technologií.
Vědci svou technologii testovali na chytrých telefonech Google Nexus-S a Galaxy S3. Při zjišťování čtyřmístného kódu PIN byl program v 50 % případů úspěšný již po provedení pěti pokusů. U osmimístných přístupových kódů dosáhl 60% úspěšnosti po 10 pokusech.
Většina uživatelů používá kódy PIN k zamykání a odemykání svých telefonů. Stále častěji však tímto způsobem přistupují také k některých aplikacím, například do internetového bankovnictví. To vyvolává otázku, jestli by nemělo dojít k dočasnému zablokování některých funkcí telefonu při zadávání důležitých kódů.
„Například u příchozího hovoru potřebuje uživatel slyšet vyzvánění i ve chvíli, kdy odemyká svůj telefon, jinak by si mohl myslet, že volající zavěsil,“ píší vědci ve své zprávě.
Jedním z možných řešení je používání delších přístupových kódů. Tím by se však zhoršila jejich zapamatovatelnost a tedy i použitelnost. Jinou možností je náhodné rozložení čísel na klávesnici, což by ale podle vědců opět narušilo uživatelský komfort. Pak už ovšem zbývají jen otisky prstu nebo hlasová identifikace.
Vůbec nejdůležitější však podle vědců je, aby si byli vývojáři při vytváření aplikací tohoto rizika vědomi.
Kaspersky Small Office Security aktualizace
12.11.2013 Zabezpečení | Ochrana
Kaspersky Lab oznámila novou verzi aplikace Kaspersky Small Office Security, bezpečnostní řešení postavené speciálně pro podniky s méně než 25 zaměstnanci. Toto řešení obsahuje nové funkce, které pomáhají malým podnikům udržet si náskok před moderních bezpečnostních výzev.
Podle IDC odhaduje, že více než 75 milionů podniků po celém světě, které pracují s méně než 10 zaměstnanci. Tyto "velmi malé a střední podniky" bude zpracovávat miliony, ne-li miliardy, dolarů v roce 2014. Přesto tento segment již tradičně pod-sloužil IT výrobců bezpečnostních řešení, které nenabízejí produkty s těmito podniky v mysli. Kaspersky Small Office Security obsahuje nové funkce, a řadu technologických vylepšení a vylepšení, včetně: Bezpečné peníze na ochranu on-line bankovnictví - automatickou aktivací nové vrstvy ochrany, pokud jsou uživatelé provádějící finanční transakce on-line, mohou podniky nyní platit faktury, provádět nákupy a přístup k on-line finančních dat s klidnou myslí. Kaspersky Lab Oceněná Bezpečné peníze technologie automaticky aktivuje ultra-bezpečný webový prohlížeč, když uživatel navštíví finanční stránky, jako je například online k bance nebo platební služby. Bezpečné peníze prohlížeč zajišťuje žádné neautorizované programy mohou běžet a na obrazovce data jsou chráněna před keyloggery a screen-capture malware. Bezpečné peníze budou také ověřit, že webové stránky jsou uživatelé připojeni k je závazné a má platnou certifikaci porazit pokusy o phishing, a neustále monitoruje připojení, aby informace nebyly zachyceny zločinci. Vylepšená podpora mobilních zařízení - Malé a střední podniky nejsou imunní vůči Výzvy chránit mobilní pracovní síly a rychle rostoucí BYOD trendy. Kaspersky Small Office Security nyní obsahuje podporu pro tablety a smartphony Android, vybavení těchto zařízení s řadou anti-malware, prohlížení webových stránek, ochrana soukromí a ovládacích prvků. Nejdůležitější je, že tato zařízení mají nyní Kaspersky Lab nejnovější anti-krádež technologie umožňuje zaměstnancům najít chybějící mobilních zařízení, nebo vzdáleně vymazat data z odcizených mobilních telefonů. Automatické Exploit Prevention - Tato jedinečná technologie zabraňuje počítačovým zlodějům ve vznikající zranitelností ve legitimní software , obyčejně známý jako nula dní, aby zahájily útoky škodlivého softwaru. Tím aktivně sleduje chování běžně využíván software, jako je Adobe a Java, nebude automatické Exploit Prevention chránit zákazníky před neobjevených činů a zajistit zákazníkům jsou chráněny iv případě nejnovějších aktualizací svých programů zákonem dosud nebyly nainstalovány. Správce hesel - Secure hesla jsou základem pro bezpečnou práci s počítačem, a přesto až příliš často, že uživatelé přijmout výhodnější možnosti pomocí jednoduchých hesel, opětovného použití stejné heslo pro více účtů, nebo vedení seznamu svých hesel na papír vedle jejich stolu. Pomocí správce hesel, mohou zaměstnanci dostat zpátky na trať s dobrými návyky heslem, a potřebují zapamatovat jediné "hlavní heslo". Kaspersky Password Manager bude ukládat hesla v šifrované klenby, a automaticky vyplnit v správné heslo v případě potřeby. To může také vytvářet vlastní zabezpečení hesel pro nové účty, aby zaměstnanci nebudou v pokušení znovu použít existující hesla a umožňuje zaměstnancům vytvořit bezpečné přenosnou verzi své heslo trezoru na USB disk. Online zálohování - Malé a střední podniky mohou nyní automaticky uložit svá kritická data bezpečně na oblaku nebo na místním pevném disku nebo serveru. Tím, že proces zálohování jednodušší, mohou malé a střední podniky být jisti, že jejich nejdůležitější podnikatelské plány, finanční záznamy a údaje o zákaznících zůstanou přístupné v případě poruchy zařízení nebo náhodným vymazáním.
Google testuje novou funkci Chrome pro zamezení podvodů, pluginy 11.11.2013 Ochrana | Zabezpečení
Nová funkce, která byla přidána do Canary Google je nastaven uživatelům pomoci odstranit změny uskutečňované malware, který spíná na jejich domovské stránce, nebo píchne reklamy do míst jejich procházení. "Obnovit nastavení prohlížeče" tlačítka se snadno a rychle obnovit nastavení prohlížeče, aby jejich původní výchozí, a bude to skvělé pro případy, kdy se jedná malware brání uživatelům měnit nastavení. "On-line zločinci roste jejich použití škodlivého softwaru, který může tiše únosu nastavení svého prohlížeče. Zlí hoši přimět vás k instalaci a spuštění tohoto druhu softwaru svazování to s něčím, co budete chtít, stejně jako bezplatné spořiče obrazovky, videa nebo plugin-ironický má aktualizace zabezpečení, "Linus Upson, viceprezident pro inženýrství společnosti Google, vysvětlil v blogu. Tlačítko se nachází v "Advanced Settings" v nastavení prohlížeče Chrome. Pokud je tato funkce funguje tak, jak má a nemá "zlomit" Google Kanárské ostrovy - prohlížeč kanál určený pro vývojáře k testování nových funkcí - to bude brzy součástí stabilní verzi. Upson bohužel nezmiňuje, zda je výše uvedené "Obnovit prohlížeče nastavení "funkce bude také moci odinstalovat malware, který je upravený, nebo pokud tomu tak není, jak se mají na mysli, aby se zabránilo škodlivému softwaru uskutečnění změny znovu. Udělal dodat, že současná Kanárské sestavení je rovněž aktivně a automaticky blokuje škodlivý ke stažení, přidávat k těm blokovány Safe Browsing programu, který příznaky podezření webové stránky.
Nová zdravotní bezpečnost a soukromí certifikaci od (ISC) 2
11.11.2013 Zabezpečení
(ISC) 2 zahájila novou certifikaci, zdravotnický informační bezpečnost a soukromí Practitioner ( HCISPPSM ), první základním globální standard pro posouzení jak informační bezpečnosti a soukromí odbornost v odvětví zdravotnictví.
Pověření je určen k poskytování zdravotní péče by zaměstnavatelé a osoby v průmyslu s validací, že zdravotní bezpečnost a soukromí lékař má základní úroveň znalostí a zkušeností požadovaných průmyslem při řešení konkrétních bezpečnostních problémů. Stejně jako u všech svých pověřovacích listin, (ISC) 2 prováděny práce úkolem analýza (JTA) studii, která určí rozsah a obsah pověření HCISPP programu. Předmět odborníci z (ISC) 2 členství a další průmyslová svítidla z organizací v Evropě, Hongkongu, a ve Spojených státech se zúčastnili několika seminářů zkoušku rozvoje a přispívá k rozvoji společného souboru znalostí (CBK), která slouží jako základ pro pověření. HCISPP je prokázání znalosti o bezpečnosti a soukromí praktiky týkající se řádných kontrol na ochranu soukromí a zabezpečení citlivých informací pacienta zdraví, jakož i jejich závazek k výkonu povolání zdravotnického soukromí. je základním pověření, které odráží mezinárodně uznávané standardy praxe pro bezpečnost zdravotnických informací a soukromí. Pro vedoucí pracovníky odpovědné za ochranu citlivých údajů o zdravotní péči, HCISPP ukazuje aktivní závazek k zajištění organizace dělá potřebné investice do lidských zdrojů v oblasti informační bezpečnosti. K dosažení HCISPP, žadatelé musí mít nejméně dva roky zkušeností v jedné oblasti znalostí o pověření, která zahrnuje bezpečnost, dodržování a soukromí. Právní praxe může být nahrazen za dodržování a správu informací zkušenost může být substituted pro soukromí. Jeden ze dvou let zkušeností, musí být v oblasti zdravotnictví. Všichni kandidáti musí být schopen prokázat, kompetence v každé z těchto šesti ČBK oblasti, aby bylo dosaženo HCISPP:
Zdravotnictví Regulační prostředí Soukromí a bezpečnost ve zdravotnictví Informace Správa a řízení rizik Informace o hodnocení rizik Třetí strana řízení rizik.
ENISA vydává doporučení pro zabezpečení dat pomocí šifrování
11.11.2013 Zabezpečení | Šifrování
ENISA, Evropské unie "kybernetická bezpečnost" Agentura zahájila zprávu doporučující, aby všechny orgány by měly lépe podpořit kryptografických opatření na ochranu osobních údajů.
Zpráva se zabývá způsoby, jak chránit citlivé a / nebo osobní údaje, které byly získány legálně. Jasná souvislost mezi ochranou soukromí a kryptografie je podtržen, který ukazuje, jak ten může hrát roli při ochraně osobních údajů a ochrany oprávněně získané citlivé nebo důvěrné informace. Zpráva předkládá mapování požadavcích na zabezpečení osobních údajů a základních kryptografických technik. Je pozoruhodné, že opatření v oblasti bezpečnosti informací a mechanismy mohou být nasazeny na ochranu osobních údajů. Nicméně, informační bezpečnost nepokrývá všechny otázky týkající se ochrany osobních údajů a soukromí. Vskutku, osobní / citlivé dat vyžaduje různá ochranná opatření v různých fázích životního cyklu. Proto zpráva představuje zkrácenou verzi tohoto životního cyklu popisu. Zpráva také uvádí bezpečnostní opatření a úvod do základních kryptografických metod. Zpráva je doplněna souborem technických doporučení pro klíčové algoritmy, velikostí, parametrů a protokolů. . Cílovými skupinami těchto doporučení jsou systémové vývojáři a inženýři údržby v obchodních podmínkách, které se potýkají s potřebou nasadit nebo vyměnit ochranná opatření pro data Mezi prvními třemi závěry a doporučení jsou:
Kryptografického opatření jsou jen jeden kus skládačky když se odkazuje na soukromí a ochranu údajů. Nicméně, šifrovací opatření představují důležitou ochrannou vrstvu pro ochranu dat, které mohou snížit dopad porušení. Relevantní zúčastněné strany (orgány pro ochranu údajů, členské státy EU a orgány, poskytovatelé služeb) by měla doporučit, uživatelů a dalších provedení bezpečnostních opatření pro ochranu osobních údajů, stejně jako spoléhat na stav-of-the-art řešení a konfigurací pro tento účel. Specializované pracovníci jsou potřebné pro správné provádění aktualizovaných kryptografických ochranných opatření.
Google chce blokovat některá rozšíření v Chromu
9.11.2013 Zabezpečení | Ochrana Společnost chce povolit pouze rozšíření pocházející z oficiálního tržiště aplikací. Tento krok by měl přispět k větší bezpečnosti uživatelů prohlížeče od Googlu.
Google se konkrétně zaměří na rozšíření, která si uživatelé nestáhli z oficiálního distribučního místa. Tím je v tomto případě internetový obchod Chrome. Nová funkce se má v prohlížeči objevit v lednu příštího roku.
Google se k takto radikálnímu kroku rozhodl z důvodu rostoucího počtu škodlivého softwaru a velkého množství uživatelů, kteří si do svých prohlížečů instalují rozšíření stažená z neověřených zdrojů. Zákazem nevěrohodných doplňků se má zvýšit nejen bezpečnost uživatelů, ale rovněž by se mělo ulevit pracovníkům Googlu, kteří problémy způsobené škodlivými doplňky musí řešit.
„Rozšíření jsou ve své podstatě skvělým pomocníkem. Uživatelé díky nim mohou být neustále informováni o dění na sociálních sítích nebo být v kontaktu s oblíbeným sportovním týmem. Mnoho služeb nabízí své vlastní doplňky, přičemž Chrome se vždy uživatelů ptá, jestli souhlasí s jejich instalací či nikoliv,“ říká Eric Kay, šéf vývoje Chromu.
„Někteří lidé však tohoto mechanismu zneužívají a do uživatelského prohlížeče potichu instalují škodlivá rozšíření, která mění nastavení prohlížeče a výrazně narušují uživatelský komfort – mění například vzhled stránky Nová karta. Od uživatelů nám pak kvůli tomu chodí velké množství stížností.“
Všechny výše uvedené problémy mají s příchodem ledna zmizet. Rozšíření stažené odjinud než z Chrome Store se do prohlížeče nebude mít šanci dostat. Pro vývojáře doplňků zase půjde o další důvod, proč své produkty přesunout na oficiální distribuční kanál.
Uživatelů se podle Googlu změna dotkne pouze v pozitivním slova smyslu. Společnost prý i nadále bude podporovat vývoj lokálních rozšíření.
„Ochrana uživatelů je naší prioritou. Věříme, že tato změna pomůže lidem, jejichž prohlížeč byl škodlivým rozšířením nějak ovlivněn,“ dodal Kay.
Hypervisor-based, Hardwarová podpora monitorování systému 8.11.2013 Ochrana | Zabezpečení
V posledních letech se mnoho různých technik byl zaveden analyzovat škodlivé binární spustitelné soubory. Většina z těchto metod využít virtuálního počítače introspekce (VMI), proces analýzy stavu virtuálního počítače z vnější strany. Na jedné straně, mnoho přístupů založených na systému, emulátory, které umožňují přísnou kontrolu nad programu. Bohužel, tyto přístupy typicky vyvolat obrovský výkon nad hlavou. Na druhé straně, tam jsou přístupy založené na hypervisorům. Brzy implementace byly brzděny chybějící virtualizability na architektuře x86 instrukční sady: protože jednotka správy paměti (MMU), sám nebyl virtualizovat, paměť oddělení potřeboval být vykonáno v softwaru se pomoci tzv. "stínové stránka" tabulek, přístup, který znovu vyvolal výkon nad hlavou. Nicméně, procesor prodejci nedávno přidal hardwarovou podporu virtualizace MMU a moderní procesory nabízejí tzv. "dvourozměrné" paging k překonání těchto překážek výkonu. Tato prezentace z Virus Bulletinu 2013 ukazuje, jak lze tuto funkci využít procesor implementovat binární Analýza rámce. Přesněji řečeno, autoři uvádějí přístup ke sledování kódu založené na konceptu V současné době spustitelného stránek (CXP), tj. přesně určit, které stránky paměti jsou v současné době spustitelný umožnit zachycení intermodular volání funkcí a jejich odpovídající výnosy. při zadržení dojde, se vztahují VMI odvodit runtime informací, jako parametry funkcí. K prokázání praktickou proveditelnost navrženého přístupu, jsou prováděny "VMMInspector", což je framework pro binární analýzy na 64bitových strojích a Windows 7. V několika případových studií mají různé scénáře použití pro tento rámec. Mezi další aplikace, které ukazují, jak může být jádro rootkit TDSS/TDL4 být analyzovány automatizovaným způsobem.
Firmy nabízí společné odměny za hledání chyb
8.11.2013 Zranitelnosti | Zabezpečení Společnosti Microsoft a Facebook se rozhodly společně sponzorovat nový program, který bude vývojářům, expertům, ale i běžným uživatelům vyplácet odměnu za chyby nalezené ve známých programech.
Členy komise, jež bude posuzovat jednotlivé návrhy, budou lidé z Facebooku, Googlu, Microsoftu a několika dalších společností, kteří se již obdobných programů v minulosti účastnili. „Náš cíl je jednoduchý – chceme, aby internet byl lepším místem pro všechny uživatele,“ stojí v oficiálním prohlášení na hackerone.com, což je webová stránka, jež nový program hostuje. V rámci akce budou odměňovány chyby a zranitelnosti nalezené ve vývojářských jazycích Python, Ruby, PHP a Perl; vývojářských nástrojích a frameworcích Django, Ruby on Rails a Phabricator, webových serverech Apache a Nginx a sandboxu Google Chrome, Internet Exploreru, Adobe Readeru a Flash Playeru.
Odměněno bude také objevení bezpečnostní chyby, která postihuje jiný software, jenž je na trhu uživateli hojně využíván. Mezi příklady bezpečnostních rizik vývojáři na hackerone.com uvedli například útok BEAST proti SSL a DNS cache, který v roce 2008 objevil Dan Kaminsky. Odměny budou závislé na závažnosti nahlášené chyby a softwaru, který postihuje. Například odměna za zranitelnosti v Phabricatoru bude začínat na 300 dolarech a může dosáhnout až desetinásobku této částky, za zranitelnosti objevené v sandboxu internetových protokolů lze pak získat minimálně pět tisíc dolarů. Konkrétní sumu vždy přisoudí komise. Pokud by se vývojář rozhodl spolu s popisem chyby zaslat i opravu, bude odměna dvojnásobná. Nový program není adresován pouze bezpečnostním expertům, ale komukoli, kdo objeví chybu/zranitelnost v softwaru. V současné době vyplácení odměn sponzoruje pouze Microsoft a Facebook.
Podobnou iniciativu minulý měsíc spustil také Google, který se rozhodl platit za zranitelnosti nalezené ve známých open-sourcových aplikacích a softwarových knihovnách jako OpenSSL, OpenSSH, BIND, libjpeg, libpng a dalších. To je asi také důvodem, proč Google odměnu v rámci programu HackerOne nesponzoruje, i když Chris Evans, člen Google Chrome Security Teamu, je součástí komise HackerOne.
Dva obdobné programy pro své produkty v červnu tohoto roku spustil také Microsoft, platí však za to, že mu experti zašlou nové obranné techniky či metody zneužití kódu, jež umí obejít současnou ochranu. V pondělí společnost jeden z těchto programů rozšířila tak, že vyplácí peníze i nové útočné techniky. Microsoft do června také provozoval klasický program odměn, v rámci kterého platil za chyby objevené v Internet Exploreru 11. Finanční odměny za nalezení chyb zavedla také společnost Yahoo.
Krádež PIN kódy vzkaz a Nod 8.11.2013 Zabezpečení | Mobil
Security výzkumníci vyvinuli řadu různých metod ukrást nebo obejít hesel na většině běžných mobilních phone platforem, z nichž některé se spoléhají na chyby v softwaru a další, které jsou jednoduché techniky sociálního inženýrství. Nyní, pár vědců z University of Cambridge přišli s novým bočním kanálu útoku, který jim umožňuje odvodit mobilních uživatelů PIN kódy docela dobrou přesností pomocí kameru a mikrofon na mobilním telefonu.
Tato technika je zdánlivě jednoduchý koncept: Software vědců pracuje na mobilním zařízení, a když uživatel zadá její PIN kód, software záznamy úhoz zvuky přes mikrofon a používá fotoaparát, kdo ohodnotí telefonu orientaci a sledovat uživatele tvář, zatímco ona je psaní. Pomocí těchto vstupů, software vědců ukázala, že může odvodit uživatele čtyřmístný kód PIN lepší než 50 procent času po pouhých pěti pokusech na Samsung Galaxy S3.
"Tím, záznam zvuku při zadání PIN, můžeme odhalit dotykových událostí (viz kapitola 3.4). Díky nahrávání videa z přední kamery při zadání PIN, můžeme načíst rámečky, které odpovídají na dotek události. Pak jsme extrahovat změny orientace z dotykové události rámů a ukážeme, že je možné vyvodit, která část obrazu se dotkl uživatelů, "uvádějí vědci v novinách," PIN Skimmer: podsouvat PIN přes kameru a mikrofon ", kterou napsal Ross Anderson a Laurent Simon.
Aby bylo možné provést útok, by útočník musí získat jejich PIN Skimmer software do oběti zařízení. Předpokládají, ve svém článku, že oběť stáhli škodlivý aplikace z Google Play nebo jiného App Store, který nese jejich software jako užitečného zatížení. Oni zpočátku myslel, že jejich aplikace by pak muset využít zranitelnost na zařízení, aby bylo možné spustit jako root, ale brzy zjistil, že to není nutné a že aplikace může získat přístup ke kameře a mikrofonu s některými chytrých triků. Jakmile je to na telefonu, můžete PIN Skimmer spustit několika různými druhy dopravy, včetně sledování, shromažďování, učení a přihlášení režimy.
Sběr režim je místo, kde aplikace shromažďuje data, která potřebuje pomoci odvodit klíčové doteky uživatel provede při zadávání svého kódu PIN. To zahrnuje jednoduchou hru, ve které se uživatel dotkne obrazovku několikrát, aby odpovídaly různých ikon na obrazovce. Fotoaparát pořídí snímek s každým stiskem klávesy a později nahraje, že uložená data na vzdálený server, kde vačka být zpracovány v režimu offline. Tato data se přivádí na algoritmus, který učí uživatele a zlepšuje chování malwaru schopnost odhadovat uživatele PIN.
Malware má řadu stealth schopností, včetně schopnosti vyřadit LED světlo, když je fotoaparát zapnutý a manipulovat s OS skrýt počtu odeslaných paketů. PIN Skimmer má také schopnost snížit hluk zajat telefonu v prostředí kolem něj, zlepšení přesnosti klávesu mikrofonu dotykové sbírky.
Obrana proti útokům postranními kanály, jako je tento, je obtížné, ale autoři řekl, že jsou některé věci, které lze udělat pro zmírnění dopadů jejich útoku.
"OS-level zmírňování svůdné, protože se soustřeďuje na změny v jednom místě a přínos pro všechny AP-kace. V Android, tam jsou hlavně dva způsoby, jak podnítit uživatele k zadání kódu PIN. První je použít AlertDialog s možností android: password = "true" v mani-fest souboru. Možnost pokyn operačního systému se zobrazí hvězdička (znak "*") namísto číselných zadali. Na displeji se-ing na AlertDialog s touto volbou, doporučujeme OS také odepřít přístup ke sdíleným hardwarových prostředků z jiných uživatelsky nainstalovaných aplikací. Druhým způsobem vyzve k zadání PIN je přes komponentu GUI (aktivita). V tomto případě doporučujeme OS vystavit PasswordActivity, která dědí z činnosti, "říká dokument.
Další možnosti mohou zahrnovat randomizing umístění kláves na klávesnici, která by mohla být bolest pro uživatele, nebo pro vynucení delší hesel.
"Ortogonální protiopatření za účelem zmírnění útoky postranními kanály, je použít delší kolíky (nebo fráze) pro zvýšení entropie hádat, ale to má vliv památnost a použitelnost. Další další protiopatření je prosazovat maximální počet pokusů, jako je PIN pro bankovní karty. Bohužel, počet smartphone aplikace, které vyžadují PIN postupem času zvyšovat, nutí uživatele, aby znovu použít ve všech aplikacích a službách (např. bankovnictví). Proto je stále obtížnější prosadit maximální počet pokusů o PIN, "řekl autoři.
Odborníci Přidejte se k hnutí Audit TrueCrypt, možná jiný bezpečnostní software 7.11.2013 Kryptografie | Zabezpečení
Vzhledem k tomu, audit TrueCrypt chugs spolu k deterministický, čisté sestavení open-source šifrovacího softwaru a chutné licence, organizátoři přinesly významné bezpečnosti a právních expertů na palubě jako odborný a poradní tým.
Odborníci nejen poskytnout vodítko pro audit za běžné období, ale může pomoci vyvinout tento projekt do rámce pro zkoumání dalších open source nástrojů zabezpečení.
Úplný seznam svítidel Očekává se, že brzy zveřejní, spolu s novými detaily webových bydlení a pokrok na audit TrueCrypt, ale tento seznam již obsahuje zjištěné kryptografové Bruce Schneier a Jean-Philippe Aumasson, stejně jako bezpečnostní expert Moxie Marlinspike, kdo dělal rozsáhlý výzkum zabezpečených protokolů, soukromí a kryptografie, stejně jako Marcia Hofmann digitálních práv advokát a pracovník na Electronic Frontier Foundation.
"Opravdu se zdálo, že vyvolal tu něco větší, než to, co jsme očekávali," řekl Kenneth White, bezpečnostní expert, který spolu s Johns Hopkins univerzitní profesor a cryptographer Matthew Green pomohl dostat audit TrueCrypt ze země. "Míní se, že možná to, co bychom mohli udělat, je použít audit TrueCrypt jako příklad druhu, jak můžeme udělat open source vyhodnocení a použít jej k pomoci upřesnit, jak bychom mohli udělat v obecnějším způsobem pro další projekty.
"Rozhodně jsem dojem z několika lidí, kteří se podílejí že bych nerad, aby to bylo jednorázové věc. Rádi bychom, aby se tento impuls a maximalizovat pro další projekty. "
Audit TrueCrypt, k dnešnímu dni, zvýšil v blízkosti 60.000 dolary, rozmetal na kusy týmu první gól 25.000 dolarů v prvních čtyřech dnech fundraisingu. Pod záštitou větší dozoru NSA a údajné ohrožení populárních šifrovacích algoritmů špionážní agentury, audit TrueCrypt doufá, že se odpovědět na některé potenciálně problematické otázky týkající se softwaru. Zvláštního zájmu je dokumentován podivné chování podle verze systému Windows, který je sestaven z binárních souborů a není zdrojový kód, na rozdíl od Linux a Mac OS X verze. Windows verze, proto nelze srovnávat zdrojového kódu, a mnozí z nich uvažoval, zda by bylo backdoored v určitém okamžiku.
Spolu s tím, že totožnost jejích vývojářů není jasné, a zatěžující licence řídí TrueCrypt je použití , je audit byl vítán technologů i odborníků. Bílá, například řekl, že byly příspěvky na audit fondu z blízkých 1000 lidí ve 30 zemích. Lidé ze 70 zemí navštívilo aktuální webové stránky, istruecryptauditedyet.com , která vytvořila dva miliony hitů, protože to oživila. Bílá také řekl Threatpost, že audit byl udělen neziskový status státu Severní Karolíny a podal 501 (c) 3 aplikace s IRS pro neziskovou stavu.
"Máme některé docela ambiciózní představy a začneme s TrueCrypt teď," řekl White s tím, že tam byly diskuze a debata o tom, jak moc otevřít auditu jiným subjektům mimo profesionálních softwarových firem, jako je například akademiků nebo bezpečnostní společenství jako celek. "Mám podezření, že to bude nějaký druh rovnováhy, protože máme tolik různých lidí, kteří hledají na to. Někteří lidé se chystáte být splněna, pokud profesionální firma dívá na to. Je to šílené, řada lidí, kteří nabídli pomoci ani finančně, ani s jejich službami. "
Pokud jde o výběr profesionálního softwarového firmy, řekl White existuje několik možností ve hře, včetně oddělení od dešifrování systémového inženýrství jako TrueCrypt je kontrolován, aby bylo možné pokrýt všechny základy.
"Když děláte celý objem boot z Windows, je tu spousta věcí se děje, že má velmi málo co do činění s crypto, jen pokud jde o provádění," řekl White. "Myslím, že tam jsou 75.000 řádků kódu, včetně assembleru, C a C + + na třech různých platformách. Je tu strašně moc budete muset uplatnit, a tam prostě není mnoho lidí, kteří jsou kouzelníci, řekněme, proces spouštění systému Windows a OS X a Linux. To je to, co se snažíme zjistit. Mají lidé s odbornými znalostmi ve všech, ale je to pravděpodobně bude skončit mix akademiků dobrovolníků a profesionálů. "
Pokud to skončí být dlouhodobější iniciativa, další open source projekty tak populární jako TrueCrypt (28 miliony stažení) by mohly být v hledáčku podobného přezkumu.
"Matt a já jsem o tom mluvil a v některých soukromých rozhovorech, návrh byl důvod, proč ne, aby to modelový případ, jak by se dalo udělat správnou otevřenou analýzu zabezpečení," řekl White. "Samozřejmě, několik lidí už o tom mluvili předtím, než jsme vykrystalizoval nápad."
LinkedIn Chrání Intro zabezpečení jako výzkumný pracovník Goes phishingu 6.11.2013 Phishing | Zabezpečení
LinkedIn se postavil pro svou novou aplikaci pro iOS Intro tím, že poskytuje nějakou vysoké úrovně transparentnosti na to, jak to zvládá komunikaci mezi zařízeními a své sítě a vzal čas na volání počáteční kritiku aplikace nepřesné a spekulativní.
Mezitím jeden bezpečnostní výzkumník zveřejněné informace on-line o tom, jak se mu podařilo zfalšovat informace o profilu LinkedIn padá do aplikace Mail iOS a relativní snadnost, s níž to usnadňuje phishingový útok.
Úvod dorazil minulou středu a okamžitě bezpečnostní experti vyjádřili znepokojení nad Integrated Service chování, a to zejména, jak to sedí jako proxy mezi nativním klientem Mail iOS a vašeho poskytovatele e-mailu . Všechny IMAP a SMTP zprávy jsou směrovány do a ze serveru LinkedIn a Intro bar je vložen do každé zprávy. Bar je v podstatě zkratka pro odesílatele profilu LinkedIn, a obsahuje jejich profilový obrázek a rozbalovací další informace o osobě, a odkazy na jejich profilu.
Biskup Fox, bezpečnostní poradenství v San Franciscu, posílal dlouhé upozornění o Intro , ukazuje na to, že aplikace pravděpodobně porušuje firemní e-mailovou politiku, zlomí kryptografické podpisy a vytváří centrální sběrné místo pro vládní dohled.
"Většina vašich koncových uživatelů se nebude pochopit dopad těchto změn, ani nebudou vědět, jak zvrátit je, pokud chtějí, aby tak učinily," biskup Fox analytici Vinnie Liu a Carl Livitt řekl. "Ty jsou skutečně dávat svou důvěru v LinkedIn pro správu zařízení svých uživatelů bezpečnost."
Biskup Fox také tvrdil, že Intro nainstaluje nový profil zabezpečení na zařízení Apple, aby se znovu trasu e-mailových zpráv přes LinkedIn. Varují, že vložení nového profilu zabezpečení by mohla umožnit útočníkovi nainstalovat nebo odstranit aplikace, omezit funkčnost na telefonu, nebo dokonce otřete ji.
LinkedIn senior manažer pro zabezpečení informací Cory řekl Scott Úvod nemění zařízení bezpečnostní profil jako biskup Liška navrhne.
"Pracovali jsme s cílem pomoci zajistit, že dopad profilu iOS není dotěrný členu," napsal Scott ve blogpost v sobotu. "Je důležité si uvědomit, že jsme se prostě přidáváte e-mailový účet, který komunikuje s Intro. Profil také nastaví certifikát pro komunikaci s koncovým bodem Web Intro prostřednictvím webového zástupce na zařízení. "
Scott také řekl Intro je izolován na samostatném segmentu sítě, služby byly tvrzené snížení expozice na třetí strany, monitorování a sledování, a že každý řádek pověření kalení a poštovní parsování / vložení kódu byla přezkoumána Partners bezpečnostní poradenství ISEC a pen-testovaných LinkedIn interní analytici.
Kromě toho, bylo potvrzeno, že Scott SSL / TLS se používá k šifrování komunikace mezi zařízením, LinkedIn a poskytovatele e-mailu.
"Když mailem protéká služby LinkedIn Intro, jsme si jisti, nikdy jsme přetrvávají mailové obsah našich systémů v nešifrované podobě," řekl Scott. "A jakmile uživatel získat e-mailu, je šifrovaný obsah odstraněna z našich systémů."
Nic z toho se však odradit bezpečnostní výzkumník Jordan Wright, bezpečnostní inženýr v CoNetrix, od správy k informacím spoof profilu Intro vložené do zprávy e-mailového klienta.
Wright vyslán některé podrobnosti o svém blogu. Začal tím, že zastaví bezpečnostní profil odeslán na zařízení Apple, který instaluje nový e-mailový účet, který plní úlohu proxy, která je umístěna mezi IMAP LinkedIn a SMTP servery. Z profilu, on byl schopný obnovit uživatelské jméno a heslo pro přihlášení do služby LinkedIn. Pomocí této informace, byl schopen vidět obsah LinkedIn IMAP proxy server napíchne do e-mailu a nakonec skrýt existující Intro údaje ve prospěch falešných údajů se injekce do zprávy.
Předvedl neškodný příklad on-line, ale útočník mohl aplikovat odkazy na nebezpečné stránky a aplikací.
"Zatímco LinkedIn Úvod vypadá, že by bylo vhodné na povrch, bezpečnostní rizika případy použití jsou prostě příliš vysoká," řekl Wright.
Audit chce dát znepokojení nad pochybnou licencí TrueCrypt k odpočinku 6.11.2013 Kryptografie | zabezpečení
Seznam odpůrců na TrueCrypt open source licencí , je dlouhý a zahrnuje některé populární distribuce jako Debian, Fedora a potažmo Red Hat. Ve skutečnosti, tahanic o licenci TrueCrypt sahá až v roce 2006, dlouho předtím, než tam byly vážné dotazy, pokud jde o důvěryhodnost populární software šifrování disku a zda to bylo tím, backdoored tříznakovou americké zpravodajské agentury, nebo cizí moci .
Nyní, že vážná snaha je pod způsobem, jak audit integritu nejen kódu TrueCrypt, ale jeho licence , lidé chtějí, aby obavy o použití TrueCrypt k odpočinku, řešení nejen stav licence, ale také dokumentovat opakovatelný deterministický vychází z TrueCrypt od zdroje Kód pro Windows, Mac OS X a Linux.
Licence však vyžaduje právní pomoc uvést do náruče. To vyžaduje dohodnuté výklady licence, která je někteří nazývají "nebezpečné" a řekl, představuje větší riziko a závazek vůči svým uživatelům, než to stojí.
"Je to jedna z nejméně otevřených open-source licencí," řekl Kenneth White, který spolu s cryptographer Matthew Green, pomohl dostat IsTrueCryptAuditedYet? mimo zemi. "Je to jistě velmi netradičním případu norem práva Spojených států."
Projekt je v současné době nejen vyhodnocení auditu profesionální poskytovatele služeb, kteří se díváme na 1s a 0s za TrueCrypt , ale také hledá právní pomoci prokousat murkiness, že je licence. K dnešnímu dni je již zvýšil více než 50.000 dolary na financování úsilí.
Na pozadí dohledu ze strany NSA a volání podívat se blíže na kód TrueCrypt, zejména Windows binární soubory, licence byla otázka přezkoumána na 16.října na OpenSource.org fóru . Některé vyjádřil potíže s mnoha ustanoveními uvedenými v licenci, a to i poté, co byl přezkoumal a některé počáteční obavy řešit. Například, plakáty na fóru se o to, jak široký odškodnění klauzule je chránit anonymní autoři TrueCrypt. Jazyk je matoucí a vágní, takže příliš velký prostor pro interpretaci, podle některých, ve skutečnosti je to něco, co se zdá licence potvrdit s ustanovením, že státy:
"Pokud si nejste jisti, zda jste pochopili všechny části této licence, nebo pokud si nejste jisti, zda je možné v souladu se všemi podmínkami této licence, nesmíte používat, kopírovat, upravovat, vytvářet odvozená díla, ani (re ) distribuovat tento produkt, ani část (i) z toho. Měli byste se poradit s právníkem. "
Řekl White řešení těchto otázek je důležité, aby k vytvoření ověřené, nezávislé na verzi ovládacího historie úložiště kódu, který obsahuje podepsanou zdrojové a binární.
"Myslím, že musíme položit otázku, nikdo se zdá, že někdy opravdu zeptal: Proč jsou některá ustanovení o licenci? Co přesně jsou TrueCrypt vývojáři snaží udělat? Byly spáleny v minulosti? "Řekl White.
Nejistota znění je to, co vedlo Red Hat, Debian a Open Source Initiative doporučit před použitím TrueCrypt. Řekl Green licence nedokáže vysvětlit, jak může být povolení používat a za jakých podmínek.
"Je to neřekl by bylo možné použít licenci za těchto podmínek a je to fajn, že je to banda věcí, které byste nemohli dělat s ním, a to není jasné, co byste mohli udělat," řekl Green. "Zdálo se, že mají, ať už byl napsán někým, kdo neví, jak psát licencí velmi dobře, nebo to bylo napsáno ve zlém úmyslu. To nikdo neví. "
Tam jsou také legitimní otázky o tom, zda je licence vymahatelná podle stávající judikatury, řekl White, s odkazem na výše uvedené ustanovení. Nejasnost sahající půl desetiletí nebo více stále straší TrueCrypt a přispívá k současné atmosféře nedůvěry.
"Vlastně si myslím, celá tato cvičení je jen důkaz počátků mnohem větší výzva k zbrani pro bdělosti, přes open source a bezpečnostní komunity obecně," řekl White. "Buďme upřímní, když NIST doslova připomíná zveřejněn kryptografické primitivum a" důrazně doporučuje používat "to, nad důkazy záměrných snah oslabit šifrovacích standardů zpravodajskými agenty v USA, jsme vstoupili do zcela nové éry. A RSA BSAFE a DPM oznámení slouží pouze podtrhnout, že imperativ.
"Je zřejmé, že jsme se společně věnovat pozornost teď," řekl White. "Zde je doufat, náš skromný projekt bude dělat díru v obnově nějaké tolik potřebné sebevědomí."
Cisco Opravuje prázdný Heslo správce Chyba v TelePresence produktu
6.11.2013 Zranitelnost | Zabezpečení
Cisco oprava řadu chyb v několika samostatných produktů, včetně vážného remote chyby spuštění kódu ve své široké oblasti služeb Aplikace Mobilní software, který by mohl útočníkovi umožnit převzít úplnou kontrolu nad zranitelnou zařízení.
Cisco má také oprava zranitelnost ve svém TelePresence VX klinické konference asistent video systému pro prostředí zdravotní péče. Oprava zavře díru, která umožnila útočníkovi přihlášení k účtu správce pomocí prázdné heslo.
"Zranitelnost ve Wil-modul Cisco TelePresence VX klinický asistent by mohlo neověřenému vzdálenému útočníkovi dovolit přihlásit jako admin uživatele zařízení pomocí prázdné heslo, " Cisco poradní řekl.
"Tato chyba zabezpečení je způsobena chybou kódování, které resetuje heslo pro admin uživatele k prázdným heslem na každém restartu. Útočník by mohl zneužít tuto chybu zabezpečení přihlášení do administračního rozhraní jako admin uživatele s prázdným heslem. "
Mezitím WAAS Mobile zranitelnost postihuje všechny verze softwaru před 3.5.5 a společnost vydala novou verzi, která obsahuje opravu pro chybu.
"Zranitelnost je důsledkem nedostatečné ověření uživatelem dodaných dat v těle požadavku HTTP POST. Útočník by mohl zneužít tuto chybu zabezpečení tvorbě HTTP POST požadavek na nahrání obsahu, které by mělo za následek nekontrolované adresáře průchod. Exploit by mohla útočníkovi umožnit spuštění libovolného kódu WAAS Mobile serveru s právy na webovém serveru IIS, " Cisco poradní říká.
"Zranitelným patří do webového rozhraní pro správu, ale v nasazení, kde se používá více než jedna Cisco WAAS Mobile Server pak všechny servery, které jsou zranitelné, a to nejen ten, provedení Manager role a hostování webové rozhraní pro správu."
Nicméně, Cisco řekl, že chyba nemá vliv na všechny klienty spuštěné softwarové, pouze servery.
Společnost také vydala opravu zabezpečení v SIP provedení v jeho IOS software, který běží na mnoho z jeho serverů a dalších zařízení. Chyba by mohla umožnit útočníkovi způsobit denial-of-service stav na zranitelné zařízení.
"Tato chyba zabezpečení je způsobena nesprávným zpracováním speciálně vytvořených SIP zpráv. Útočník by mohl tuto chybu zabezpečení zneužít odesláním specifické platné SIP zpráv na bránu SIP. Exploit by mohla útočníkovi umožnit spuštění nevracení paměti nebo zařízení Obnovit ", poradní říká.
Prodejce Přizpůsobení vést k bezpečnostním otázkám v Android telefony
6.11.2013 Mobil | Zabezpečení
Když výrobci telefonů Android vyladit zařízení a přizpůsobit telefony se speciálním softwarem, aplikacemi a kód, to má přímý vliv na bezpečnost jednotlivých zařízení. V některých případech, mohou být provedené změny tvoří více než 60 procent chyb nalezených v zařízení.
To je podle dokumentu " Dopad Prodejce customizations Android bezpečnosti , "(. PDF), kterou nedávno zveřejnila skupina studentů počítačových věd na North Carolina State University s pomocí Android výzkumníkem a NC State profesora Xuxian Jiang.
Výzkum, který má být předložen na 20. konferenci ACM na počítači a bezpečnosti komunikací v Berlíně ještě dnes.
Ve studii výzkumníci sledovali 10 různých chytré telefony Android (HTC One X, Galaxy Nexus S3, atd.), z pěti různých výrobců, dva na jednoho dodavatele, za generace (pre-2012 2.x build a post-2012 4.x sestavení) a zkoumal bezpečnostní chyby, které pramení z každého zařízení je přizpůsobené nastavení.
Pomocí nástroje s názvem Security Evaluation rámec pro Android (SEFA), výzkumníci se podíval na tisíce řádků kódu určit, každé předplněné app původ (kdo je autorem ho), povolení použití (kolik oprávnění každá aplikace má) a jeho zranitelnosti distribuci ( mohla být ohrožena app). Nástroj SEFA, vyvinutý výzkumníky, v podstatě dívá na firmwaru telefonu, porovná jej skladem Android Android od projektu source open (AOSP) kód a pomáhá detekuje chyby v aplikacích.
Osmdesát dva procent z aplikací skenování přišel přizpůsobit prodávajícím a 86 procent těchto aplikací končily bytí to, co vědci nazývají overprivileged, což znamená, že "zbytečně požadovat další Android oprávnění, než ve skutečnosti používají."
Zatímco spousta pákových oprávnění apps uživatelů, kvintetu výzkum také hledal legitimní "reálné, žalovatelné využije" v telefonech. Mezi 65 procent a 85 procent z chyb zjištěných na LG, Samsung a HTC telefonů přišla jako přímý důsledek úprav prodejců. Skupina našel několik zlomených zabezpečení kritických oprávnění v aplikacích, které lze posílat SMS zprávy jménem uživatele bez jejich svolení a sdělovat osobní informace.
Například výzkumníci našli předinstalovanou aplikaci v telefonu Samsung Galaxy S3 s názvem Keystrong_misc . Pokud ohrožena, může to vést k řadě reflexe útoků a jít dolů "nebezpečnou cestu pro provedení továrního nastavení, čímž vymazání všech uživatelských dat na zařízení."
Chyby v LG Optimus P880, další telefon Výzkumníci analyzovali by mohlo vést k restartu zařízení a vystavit přístup k několika schránek tabulek.
Xuxian a jeho studenti tvrdí, že se pokusil kontaktovat příslušné telefonní prodejců a zatímco někteří potvrdily zranitelnost jiní ještě nemluvil s nimi "po několika měsících," podle papíru.
Screen Shot 2013-11-06 na 10.44.06 AMSnad nejvíce znepokojující trend ve studiu a něco, co se může kývat změnu ve způsobu, jakým dodavatelé předem naložit zařízení do budoucna je, že tam opravdu není velký rozdíl ve výši zranitelnosti z jedné generace telefonů další.
"Prodejce aplikace trvale vystaveny oprávnění overprivilege, bez ohledu na generace," píše jedna část papíru.
Zatímco technicky počet chyb a overprivileged apps (viz vpravo) se snížil z pre-2012 telefonů po roce 2012 telefon, vzory byly stabilní v průběhu času, což naznačuje, "potřebu zvýšeným zaměřením na bezpečnost ze strany smartphone průmyslu," říká Xuxian a společnost.
Problém je, protože Android je jako masivně populární open source platforma, Google dělá to, distribuuje jako AOSP a výrobci a dopravci jsou zdarma vyladit to, jak uznají za vhodné. To vede k zcela pestrou produkt s kompletní aplikací třetích stran a nesmyslné bloatware, že na konci se podobá roztříštěné verze původního softwaru.
HTTP 301 Přesměrování vést k problémům pro mobilní aplikace 6.11.2013 Zabezpečení | Mobil
Tisíce mobilních aplikací vyvinutých na platformě Apple iOS nemůže být nucen k zobrazení falešné, a to i škodlivý obsah, kvůli zranitelnosti, která umožňuje útočníkovi přesměrovat provoz na webu třetí strany a trvale poskytovat obsah z tohoto umístění.
Vědci z izraelské mobilní společnosti Skycure byl naplánován předloží podrobnosti o svých zjištěních dnes na zasedání v RSA Europe v Amsterdamu.
Útok, přezdívaný HTTP Request Únos (HRH) vyžaduje, aby útočník provést man-in-the-middle útok přes otevřené Wi-Fi připojení k internetu. Jakmile útočník umístí sám, může se zachytit HTTP požadavků, a přesměrovat je přes HTTP 301 přesměrování, nebo na straně serveru 301 Trvale přesunuto žádost. Tato žádost je uložena do mezipaměti mobilní aplikace a jakmile uživatel otevře zranitelnou aplikaci znovu, bude to připojit s serveru útočníka a ne zamýšlená stránkách.
"Zatímco 301 Trvale přesunuto HTTP reakce musí hodnotné využití, ale také má vážné následky na security mobilních aplikací, jak by mohla umožnit nebezpečný útočník se trvale měnit a dálkově ovládat způsob, jakým aplikační funkce, aniž by rozumným způsobem za oběť vědět o tom, "napsal Skycure CTO Yair Amit v blogpost .
HRH nepředstavuje stejné riziko na stolní prohlížečích, protože adresa URL v adresním řádku změní a může být si všiml uživatelem. Mobilní aplikace nejsou obecně zobrazení stránky, na které se připojíte, vedení tajné spojení tajemství, řekl Amit.
HTTP 301 odpovědí se používá pro trvalé přesměrování webovou stránku. Stránky, které se stěhují do nové domény použít přesměrování 301, stejně jako stránky, které lze přistupovat přes trochu jiné URL, jeden je vybrán jako kanonický určení, podle podpory Google doc , zatímco ostatní budou přesměrování na tuto adresu URL pomocí 301 odpověď.
Problémem tohoto útoku, Amit řekl, je to, že mobilní aplikace udržuje 301 odezvu v paměti a trvale spojuje tak na útočníkův web server. Tento server pak může klesnout jakéhokoli obsahu do aplikace, včetně odkazů na nebezpečné stránky.
Amit řekl, že mají důkaz o koncepci, která funguje na iOS, ale protože je to spíše obecný útok, mohlo by to fungovat na jiných mobilních operačních systémů.
"Šli jsme k testování spoustu vysokých profilových aplikací, a byli překvapeni, zjistíte, že asi polovina z nich byly náchylné k útokům lidských zdrojů ve zdravotnictví," řekl Amit. "Zaměření na předních aplikace app Novinky Obchod jsme zjistili, mnoho z nich zranitelné a snadné zneužít."
Amit dodal, že zatímco útok funguje docela dobře proti nezašifrované relace, také to může být namontována na provoz protokolu HTTPS.
"Je zajímavé si povšimnout, že láká oběť nainstalovat škodlivý profil, který obsahuje kořenové certifikační autoritě, útočník může připojilo HRH útoky na SSL provozu stejně," řekl Amit. "Kombinace škodlivý profily hrozbu Odhalili jsme společně s touto novou hrozbou HTTP požadavku únosu, vytváří znepokojující scénář: I po škodlivý profil identifikovat a odstranit ze zařízení, napadl aplikace nadále bezproblémové interakce s útočníkem serveru namísto skutečné serveru, aniž by oběti poznání. "
IOS vývojáři jsou nuceni hledat zranitelnosti v jejich aplikací, Amit a dodal, že aplikace musí připojit pomocí protokolu HTTPS, i když to není stoprocentní obrana.
Microsoft: XP Konec životnosti Důležité bezpečnostní Milestone
6.11.2013 Zabezpečení
Zapomeňte na chvíli na hrozící cryptoapocalypse kvůli stárnutí a / nebo zneužita šifrovacích standardů a algoritmů. Microsoft tento týden uhasit slovo na metly, která je Windows XP.
Poslední Microsoft Security Intelligence Report jde do obrovských bolestí podporovat uživatele, aby posunout mimo brzy-k-být nepodporovanou verzi systému Windows. Zpráva odráží činnost vybírá a sleduje jeho bezpečnostních nástrojů, od ledna do června, poukazuje na to, že XP počítače jsou šestkrát větší pravděpodobnost, že se infekce než u mladších, robustnější verzí operačního systému.
"Starší software je snazší proniknout do a časem, zločinci se naučit, jak obejít snižující závažnost rizika," řekl mluvčí společnosti Microsoft Holly Stewart. "XP se v ničem neliší. Dobrým příkladem je DEP (Data Execution Prevention), která nebyla běžně obejít když to bylo propuštěno. Užitečnost tohoto zmírnění má zhoršenou rok více než rok. "
DEP a rozvržení adresního prostoru Náhodnost (ASLR) jsou paměťová ochrany zabudované do Windows počínaje Windows Vista. Jsou určeny k odvrácení útoků buffer overflow a zmařit hackeři jsou schopni aplikovat kód do předvídatelných oblastí paměti v operačním systému. V roce 2006, tam byl jeden DEP bypass na každých 13 zranitelností, které se stalo téměř čelem vzad od roku 2012, Microsoft uvedl, se šesti bypassy se děje na každé tři CVEs. Hackeři byly nalezeny důmyslné prostředky bití DEP a ASLR, seřazovat využije pro řadu chyb obejít i tyto ochrany a ohrozit data uložená na hostitelském počítači.
"Novější software je méně atraktivní pro zločinci," řekl Stewart. "Pokročilá technologie je těžší využít, a tam byl dlouhý seznam vylepšení platformy zabezpečení. XP, nicméně, není vybavena pro tyto inovace. "
Microsoft již nebudou podporovat XP po dubnu příštího roku, což znamená, že již nebude poskytovat bezpečnostní záplaty a doporučení a upozornění zranitelnosti objevené na platformě. Avšak podle nejnovějších desktopových operačních systémů čísla o podílu na trhu, XP instalace stezka pouze pro Windows 7, XP Netmarketshare.com říká, že stále běží na 31 procentech počítačů. Windows 7 vede s 46,4 procenta.
"Z bezpečnostního hlediska je to velmi důležitý milník," řekl Stewart. "Útočníci začne mít větší výhodu obránci. Tam bylo 30 bulletinů zabezpečení pro systém Windows XP letos, což znamená, že by došlo k 30 zero-day zranitelností ve Windows XP [bez podpory]. "
Microsoft také používá novou metriku, porovnávání nakažených s tím, co volá setkání rychlost. Jak je vysvětleno ve zprávě BIS, "setkání" jsou kolikrát jeden z nástrojů firem bezpečnostních například Microsoft pro odebrání nebezpečného softwaru naráží kus malware. Dříve, Microsoft by počítat to, co nazývá Počítače vyčištěné promile, nebo CCM. Sol byl počet počítačů vyčištěných za každých 1000 krát MSRT byla zakopl o kus malware.
Pomocí nové metriky, Microsoft ukazuje, že XP SP3 systémem jsou šestkrát větší pravděpodobnost, že se nakazí, než někoho systémem Windows 8 RTM na jejich strojově 9,1 počítačích XP vyčištěných za 1000 oproti 1,6 Windows 8 strojů. Pokud jde o setkání sazby, čísla nejsou příliš překvapivě liší s 16,1 procenta XP SP3 strojů vykazujících setkání oproti 19,1 procenta počítačích se systémem Windows 7 a 12,4 procent počítačů se systémem Windows 8.
"Setkání rychlost vám dává představu o tom, jak často zákazník je vystaven malware hrozby," řekl Stewart. "Dosáhli jsme bodu zvratu, kde to může ze dne architektura nelze na ně spoléhat."
Jak Tmavě Mail plánuje vybudovat otevřený, Secure Email platformu
6.11.2013 Zabezpečení
Nový Tmavě Mail Aliance tvoří tento týden Lavabit a Silent Circle nabídne otevřenou platformu pro bezpečný e-mail, který bude používat stávající protokoly a cloud storage jako způsob, jak vyhnout se dohledu. Nový systém, který by měl být k dispozici v příštím roce, je v některých ohledech návrat k pre-internetové dnů úředníci podílející se na projektu řekl.
The Dark Mail Projekt je reakcí na současnou situaci dozoru, jeden to způsobeno jednak Lavabit a Silent Circle uzavřít své předchozí zabezpečené e-mailové nabídky. Lavabit, což je služba, která údajně NSA zrádce Edward Snowdenová používat, vypněte své služby spíše než vyhovět žádosti z FBI pro své šifrovací klíče. Vidět nápis na zdi, Silent Circle rozhodl ukončí svou vlastní Silent schránku preventivně brzy poté.
V týdnech po těchto uzávěrů v srpnu inženýři z Silent Circle začal mluvit s Lavabit zakladatel LADAR Levison a brzy přišel na myšlenku na vybudování nové, Web-based bezpečnou e-mailovou platformu, která by byla odolná vůči dohledu a zadní vrátka. Myšlenka, řekl Jon Callas, spoluzakladatel Silent Circle, zahrnuje zaslání krátké směrování zprávu zamýšleného příjemce e-mailu přes protokol jako XMPP. Toto poselství bude mít odkaz na umístění cloud úložiště, kde si uživatel může vyzvednout skutečný e-mail. Že e-mail budou šifrovány a a klíč k dešifrování bude zahrnuta do směrování zprávy.
"To oddělí směrování a adresování od skutečného obsahu e-mailu," řekl Callas. "To je to tak e-maily, které by mohly být cokoliv, od deseti znaků na několika megabajtů, které nemusí být tlačil celou cestu dolů lince a převedena ze serveru na server, a ujistěte se, že všechno je v bezpečí."
Callas, cryptographer a bývalý spoluzakladatel PGP Corp., což je další bezpečný e-mail poskytovatele, řekl, že v některých ohledech, tmavý Mail nápad spoléhá na pojmy z úsvitu věku internetu.
"To se podobá v mnoha ohledech věci, které se dějí v pre-internetové dnů. SMTP sloužil nám dobře po mnoho let, ale nebyl navržen, aby byl bezpečný vůbec, "řekl Callas. "To znamená, že je tu všechny druhy metadat, které nemohou být šifrované a tyčinky asi navždy. Tato data by měla být v protokolu někde, ne v e-mailu. Je to opravdu triviální pro lidi, aby si to vyzvednout a udělat analýzu metadat na to.
"To se děje vpřed do minulosti. Chceme se vrátit k použití věci, které byly použity na LAN a aktualizovat jej pomocí silné šifrování. Toto bude nabízet otevřený pro internet. Proč ne jen otevřít pro všechny? Všichni jsme se rozhodnout, že je to lepší pro svět mít otevřenou, non-SMTP způsob, jak dělat e-mail a ti z nás, kteří jsou v e-podnikání může nabídnout služby, co chceme na této infrastruktuře. E-mail byl původně provedena bez zajištění a vůbec jsme se vytáčí to od té doby. Proč ne začít znovu s vysokou úrovní bezpečnosti a nechat lidi vytočit dolů, pokud chtějí? "
Callas řekl, že doufá, že nová nabídka bude k dispozici někdy v roce 2014, ale hodně to závisí na výši pomoci Tmavě Mail Aliance dostane od zbytku komunity.
"Vnímáme to jako, když je to úspěšné, bude vylepšený lidé různými způsoby, protože neočekávám, že naše představy o tom, jak to udělat, je perfektní," řekl Callas. "Nemyslím si, že jsme se vyřešit každý problém existuje."
Výzkumník příspěvky Bug Podrobnosti o zdi Zuckerberg
6.11.2013 Zranitelnosti | Zabezpečení
Zpět v srpnu, Khalil Shreateh, palestinský bezpečnostní výzkumník seznam jeho stav úlohy jako "unemployee" objevil chybu na Facebooku, svět je největší sociální sítí, která mu dala možnost posílat obsah na jakémkoli jiném uživatele ose. On pak udělal to, co každý mladý podnikatelský bezpečnostní výzkumník udělá: šel rovnou na vrchol, vysvětlovat to, co on objevil se příspěvku na zdi Facebooku zakladatel a generální ředitel Mark Zuckerberg.
To je pravda, prozradil detaily z jeho chyby zneužije chybu, abyste mohl psát podrobnosti o ní na časové ose CEO Facebooku.
Aby bylo jasno, Shreateh tvrdí, že se pokusil několikrát sdělit své chybu do Bílého Facebooku Hat program, ale došlo k nedorozumění mezi nimi. Zřejmě Shreateh nebyla poskytuje dostatek technických informací. Facebook by později potvrdil existenci této chyby, vypněte Shreateh je Facebook účtu, a nakonec udělit mu žádnou odměnu za chyby, vysvětlovat to že on porušil podmínky služby s jeho demonstraci.
Překvapivé je, že incident byl malý více než nedorozumění. Facebook aktivovat Shreateh účet krátce poté, co jej deaktivovat.
Ve skutečnosti, Facebook mluvčí řekl Threatpost prostřednictvím e-mailu, který Shreateh od té doby hlášeno více chyb na jejich bílý klobouk programu po správné pokyny pro tyto a přijímání plateb nájemné v pořadí.
Zranitelnost zde není neuvěřitelně kritický, ale Facebook uživatelé by neměli mít možnost posílat obsah nebo dokonce zobrazit zdi někým jiným než svými přáteli, pokud uživatel přijímání obsahu odešla do jejich nastavení a výslovně povoleno, aby každý příspěvek na zdi.
Sheateh odhalil chybu přes bílé Facebooku Hat programu provedením útok na zdánlivě náhodném uživatele. Zpočátku se bezpečnostní tým na Facebooku reagoval na Sheateh řekl mu, že to, co zjistili, bylo to chyba, která Sheateh tvrdí, je důvod, proč on pak musel provést útok znovu publikovat příspěvek na časové ose Zuckerberg ukázat, že existovala zranitelnost.
To samozřejmě není to, co většina výzkumníků by za odpovědný zveřejnění, což je pravděpodobně důvod, proč Sheateh neobdrželi platbu nájemného, když Facebook nakonec uznal chybu.
Apple říká, že "nikdy obdržel rozkaz podle § 215" 6.11.2013 Zabezpečení | Kriminalita
V nové zprávě podrobně počet a druh žádostí o informace o uživateli se to dostali od různých vlád, Apple řekl, že nikdy neobdržela žádost o informace podle § 215 zákona USA PATROT a pravděpodobně by bojovat jeden, pokud to vůbec přišlo. Společnost také odhalila, že obdržel mezi 1000 a 2000 žádostí o uživatelských dat ze Spojených států od ledna, ale není jasné, kolik z těchto požadavků je splněna, protože omezení vládních míst USA o tom, jak firmy mohou nahlásit údaje.
Právě teď, že problém tzv. zprávy o průhlednosti společnosti jako Apple, Google a další je povoleno hlásit množství žádostí, které se dostanou v krocích po 1000. Takže Apple zpráva ukazuje, že i když se dostal 1000-2000 žádostí o uživatelských dat tak daleko v roce 2013, je číslo, které bylo v souladu s uveden jako 0-1,000. Apple, spolu s řadou dalších firem, včetně Google a Microsoft, požádala vládu v posledních měsících na dovolení zveřejnit konkrétnější počtem požadavků, včetně konkrétních čísel národní bezpečnosti dopisů.
"V době vypracování této zprávy, že americká vláda neumožňuje Apple zveřejňovat, s výjimkou v širokých rozsazích, řada bezpečnostních pokynů národních počet účtů, které jsou na objednání, nebo zda obsah, jako jsou e-maily, byly poskytnuty. Důrazně proti tomuto roubík pořádek, a Apple učinil důvod pro osvobození od těchto omezení na setkání a diskuse s Bílého domu, americký generální prokurátor, představitelé Kongresu, a soudy. Přes naše značné úsilí v této oblasti, jsme dosud nemají dohodu, která se cítí být přiměřeně řeší právo našich zákazníků vědět, jak často a za jakých okolností můžeme poskytovat údaje orgánům činným v trestním řízení, "Apple uvedli ve zprávě.
Vzhledem k tomu, informace týkající se monitorovací metody a možnosti NSA se nashromáždily v posledních několika měsících, mnoho tech společnosti být více slyšet při projednávání žádostí, které dostanete od vládních agentur a vymáhání práva. Google, Yahoo, Microsoft a Apple se ocitly bránit své postupy a snaží se ujistit uživatele, že neposkytují přímý přístup ke svým serverům nebo datové spojení pro účely vymáhání práva. Ačkoli vláda omezovaly na to, jak moc tyto společnosti mohou odhalit o objemu a druhu žádostí, které dostanou, Apple zahrnovaly jednu specifickou linii ve své zprávy o průhlednosti, která jde tak daleko, jak je přípustné právě teď.
"Apple se nikdy nedostal rozkaz podle § 215 zákona USA PATRIOT Act. Očekávali bychom, že napadnout takový příkaz, pokud sloužil na nás, "uvádí se ve zprávě.
Článek 215 je bit, který je používaný NSA sbírat obchodní záznamy, jako jsou metadata telefonního hovoru.
Zpráva dále uvádí, údaje o tom, kolik žádostí Apple se dostal z desítek dalších vlád, s nejvyšším počtem prozatím 127 z Velké Británie Apple obrátil některých údajů v 37 procentech těchto žádostí. Příští nejvyšší objem žádostí pocházela ze Španělska, který vydal 102, v 22 procentech z nich Apple předal některých uživatelských dat.
Apple Zapíná útok BEAST Safari zmírnění ve výchozím nastavení v OS X Mavericks 6.11.2013 Počítačový útok | OS | Zabezpečení
Apple umožnil funkci ve svém nedávném OS X Mavericks aktualizaci kastrované na útoky BEAST kryptografické . BEAST je dva-rok-starý útok nástroj, který zneužívá chybu zabezpečení v protokolu TLS 1.0 a SSL 3.0 a může vést k útočníkovi krást cookies, HTTPS nebo únos prohlížeče sezení.
Apple prohlížeč Safari byl osamocený protahování mezi hlavními prohlížeči povolit implicitně 1/n-1 rozdělení, které by zmírnily útoky, další přední prohlížeče obrátil ji ve výchozím nastavení od začátku roku 2012. Kód mezitím působí od předchozího OS X Lion Mountain verzi ale nebyl zapnutý, dokud OS X 10.9 Mavericks.
Rozdělení 1/1-n technika zastaví útočníkům být schopni odhadnout, které bloky inicializační vektor bude použita k zamaskování holého data před jejich jsou zakódovány. Ivan Ristic, ředitel aplikačního výzkumu na Qualys, řekl Threatpost v září, že man-in-the-middle útok by usnadnilo schopnost předvídat tyto bloky a vliv, co jsou zakódovány. Vzdělaný Útočník s dostatkem odhady pravděpodobně přistane na správném bloku Ristic řekl.
On zapsal blogpost v době, kdy BEAST útok by pomohla získat malé datové fragmenty, které by dal útočník nějaké pokyny.
"To nemusí znít velmi užitečné, ale máme mnoho velmi cenné fragmenty celé: HTTP session cookies, přihlašovací údaje (mnoho protokolů, nejen HTTP), založené na adrese URL relace známky, a tak dále," řekl Ristic. "Proto, BEAST je vážný problém."
S vydáním Mavericks však Ristic řekl, v první chvíli si nemyslel, že rozdělení 1/1-n byl ve výchozím nastavení povolena. Safari jsem TLS podporují 1,2, což Ristic označil za důležitý update, ale to samo o sobě ani zmírnit bestie útoků, protože se zaměřili na TLS 1.0 a dřívějších protokolů.
"Klient-side podpora TLS 1.2 v současné době není dostačující, protože (1) jen asi 20 procent serverů podporu této verze protokolu a (2), všechny hlavní prohlížeče jsou náchylné k útokům protokolu downgrade, které mohou být prováděny aktivní MITM útočníci, "řekl psal minulý týden.
Ristic udělal trochu lov a kopání mimo poznámkách vydání aktualizace zabezpečení pro individualisty a podíval se na některé z Apple Zdrojový kód je uvolněn jako open source a zjistil, že rozdělení 1/1-n byla skutečně zapnutý.
"Díky tomu můžeme konečně konstatovat, že bestie dostatečně zmírněny na straně klienta, a jít dál," řekl Ristic.
BEAST nástroj byl propuštěn v září 2011 výzkumníky Juliano Rizzo a thajské Duong na Ekoparty konferenci. Útočník pomocí BEAST mohl dešifrovat TLS 1.0 a SSL 3.0 relace na mouchy a do žádného šifrované relace, čímž on-line bankovnictví, nebo e-commerce transakcí v ohrožení.
BEAST ohýbá jeho svaly konkrétně proti algoritmu AES šifrování, které se postaví TLS / SSL. Jakmile man-in-the-middle pozice je založena a oběť surfuje na jejich bankovní stránek, dřevo-in a obdrží cookie by BEAST kód poté aplikovat do prohlížeče přes iFrame nebo nakládací BEAST javascript do prohlížeče. Malware pak čichá síťový provoz hledají připojení TLS a je schopen dešifrovat HTTPS cookie, v podstatě zotavuje verzi holého textu údajů a dává útočníkovi dálkový ovladač v aktuální relaci.
Rizzo a Duong řekl, že BEAST využívá zranitelnost sahá až do první inkarnaci SSL, bug, který byl do značné míry považován za non-zneužitelné.
BEAST útoky jsou ideální pro použití v cílených útoků proti konkrétním osobám, protože útočníci by musela být v man-in-the-middle pozici, BEAST nelze provést na jakémkoliv měřítku, Ristic řekl. Také byl zdrojový kód pro BEAST nikdy propuštěn Rizzo a Duong.
Kompaktní firewally pro datová centra má Fortinet
06.11.2013 Zabezpečení | Ochrana FortiGate-3700D, kompaktní síťové firewally pro datová centra, velké poskytovatele služeb, provozovatele cloudů a operátory začal nabízet Fortinet.
Novinka obsahuje čtyři 40GbE (QSFP+) porty a 28 portů 10GbE (SFP+) a umožňuje na firewallu dosáhnout propustnosti až 160 gigabitů za sekundu. Díky speciálnímu procesoru NP6 ASIC nabízí nízkou latenci i paritu mezi IPv4 a IPv6.
Podle výrobce jde o první kompaktní zařízení, jež poskytuje kapacitu přes 100 Gb/s a čtyřicet GbE portů.
FortiGate 3700D využívá Forti OS 5, síťový bezpečnostní operační systém, jenž tvoří základ všech síťových bezpečnostních platforem FortiGate.
FortiOS 5 nabízí flexibilní modely nasazení v rámci datového centra jako je třeba firewall v jádru, kde poskytuje výkonný firewall s ultrakrátkou odezvou, nebo jako firewall na periferii, který může být použitý interním či externím komunitám s různým stupněm důvěryhodnosti za použití různých profilů včetně kombinací firewall a VPN, firewall a IPS, NGFW (Next Generation Firewall), pokročilá ochrana před hrozbami apod.
Uplatnění najde FortiOS v infrastruktuře malých i velkých organizací stejně jako v celé řadě dedikovaných bezpečnostních zařízení.
SIR v15: Pět dobrých důvodů, proč opustit Windows XP za sebou 5.11.2013 Zabezpečení
Ne, není to proto, že pracuji pro MSFT a chcete upgradovat ze sobeckých důvodů. :-) Je to proto, že opravdu je čas.
Pokud potřebujete silný podpůrný argument a pět dobrých důvodů pro upgrade, nehledejte nic jiného než Microsoft Security Intelligence Report V15 byla dnes zveřejněna. Vše, co musíte udělat, je CTRL + F a to doc hledání pro systém Windows XP, co mluvím. Tady, pomůžu ti, jak roztrhl directy z SIR V15:
9.1 vyčistit počítače za 1.000 zkontrolován pro odebrání nebezpečného softwaru (MSRT) byly Windows XP SP3 32-bit, více než kterýkoliv jiný systém vyčistit. Windows XP SP3 drží první místo pro míře infekce (9,1 CCM), i když ve skutečnosti má nižší frekvenci (Encounter procent hlášení počítače) než Windows 7 SP1. Rozdíl mezi těmito dvěma metriky nad zdůrazňuje význam přechodu od starších verzí operačního systému na novější, bezpečnější ty. Počítače se systémem Windows XP v první polovině roku 2013 se setkal asi 31 procent více malwaru než celosvětový počítačů se systémem Windows 8, ale jejich výskyt infekce byl více než 5x vyšší. # 1 hrozbou rodina ovlivňuje Windows XP SP3? INF / Autorun . Ano, to autorun, používá červy, když se šíří do lokální, síťové nebo vyměnitelné jednotky. Nefunguje na moderních verzích Windows v jejich výchozí konfiguraci. Windows XP rozšířené podpory končí 08.4.2014. To znamená, že již více náplastí, lidi. Jak jsem seděl v zubní křesla dnes pro mou čištění a prohlížet moje rentgeny na stroji s Windows XP jsem si myslel o komentář od Rains Tim důvěryhodných Microsoft Computing organizace: "XP byl milovaný operační systém pro miliony a miliony lidí po celém světě, ale po 12 letech služby, že prostě nemůže zmírnit hrozby Vidíme novodobí útočníci používají. " Míra přežití pro systémy Windows XP po konci podpory? Neexistující. Nevěříte mi? Také na Tima: "V následujících dvou let po Windows XP Service Pack 2 se vydali podpory, její malware infekce bylo 66 procent vyšší, než Windows XP Service Pack 3 - poslední podporovaná verze systému Windows XP."
Je čas, přátelé. To bude těžké pro lékaře a zubní lékaře, které mají být jistý :-), ale stěhování je v pořádku. Co by řekl Patton (díky TJ )? " násilné proveden plán dnes je lepší než perfektní plán očekává příští týden. " To by mělo být váš plán pro migraci mimo systém Windows XP.
CSAM - Proč jsem viděl DNS Žádosti o IANA.ORG v mém Firewall Logs?
5.11.2013 Hacking | Zabezpečení
Jako součást Cyber-Security Awareness měsíce, jeden z našich čtenářů poslal nás výpis z jejich záznamu pro firewall. Události zájmu, kde pravidelný vzor interní hostitele dělat DNS dotazy do několika počítačů na iana.org.
Takže jinými slovy, tisíce odchozí DNS dotazy na internetových hostitelů, kteří nejsou v každém DNS nebo DHCP konfigurace uvnitř organizace. Co s tím? po chvilce hledání jsme našli odpověď v RFC6304 a RFC6305, také http://support.microsoft.com/kb/259922. Já hlavně jako název RFC6305 je - " ! jsem byl napaden PRISONER.IANA.ORG " V prostém anglicky, když nemáte reverzní DNS zóny zřízené pro vaše interní podsítí, bude každý jednotlivec stanice pokusí zaregistrovat reverzní záznam s těmito hostiteli na IANA. Je to jen část toho, jak je dále navržen DNS, není to k žádnému konkrétnímu výrobce operačního systému (takže to není "věc okna"). řešení? Konfigurace reverzní DNS zóny pro každou zónu uvnitř vaší organizace.
Zatímco reverzní DNS zóny mají velký aplikací pro penetrační testery, ale jsou také velmi * * vhodné pro mnoho "důvěryhodně" důvodů:
To vám pomůže identifikovat hostitelů z IP adres, které by mohly ukázat ve vašem firewallu a dalších protokolů (to je jeden velký) Pomáhá při definování Active Directory "webů", který bude na oplátku umožní optimalizovat dotazy Domain Controller typu. Například, vytváření webů pro každého vzdáleného umístění kanceláře v organizaci umožňují pracovním stanicím autentizovat řadičů domény ve své místní pobočce, než ožvýkají WAN pásma na ověření proti řadičů domény v ústředí.
CSAM: Microsoft Protokoly - NPS a IAS (RADIUS) 5.11.2013 Zabezpečení
Není pochyb o tom, když diskutuje Windows zaznamenává nejčastější otázky, které jsem si z mých klientů jsou téměř o ověření, a to zejména o ověřování Wireless nebo relací VPN pomocí protokolu RADIUS.
Společnost Microsoft podporuje RADIUS po celá léta jako IAS (Internet Authentication Service) a změnili název na serveru NPS (Network Policy a Access Services) v systému Windows Server 2008, spolu s přidáním lodní nových funkcí.
Kde můžete najít NPS protokoly? - Na několika místech ve skutečnosti má. Mnoho správců najdete NPS přihlásí nejjednodušší přístup v prohlížeči událostí systému Windows, kde je to rozdělené hezky.
Většina správců bude také ukládat textové protokol. Pokud jste něco jako já, pomocí grep, najít nebo findstr příkazy Jdi na způsob log přístupu.
On protokoly sami. Takové otázky jsem normálně si s OPL je "proč nemůže tento uživatel přístup k bezdrátové / VPN / cokoliv sítě?", Zvláště když ostatní uživatelé mohou. Téměř ve všech případech budou NPS služby logy říct přesně proč, ale důvod, proč není vždy prezentována tak snadno, jako by to mohlo být.
Například:
6273 Network Policy Server odepřen přístup k uživateli. Kontaktujte Network Policy Server správce pro více informací.
Při pohledu na typickou protokolu, dostanete obecný "odepřen" mesage, ale budete mít také IP adresu NAS (Network Access Server), který je obvykle brána VPN, bezdrátového ovladače nebo aplikace - NAS Často klient RADIUS stejně. Budete často také MAC adresu AP příliš, nebo pokud používáte starší bezdrátové infrastruktury bez regulátoru, bude NAS je AP.
Pokud je bezdrátový přístupový žádost, budete mít také MAC adresa volající stanice (který by byl pracovní stanice).
Tak proč přesně jste si uživatel získat přístup odepřen? V případě, že prohlížeč zprávu, přejděte na samém dně a zkontrolujte Důvod pole Kód a text s ním spojené
Opravdu častým důvodem je kód 65, a to zejména během počáteční instalace nové SSID nebo politika: "Pokus o připojení se nezdařil, protože přístup k síti oprávnění pro uživatelský účet byl odepřen Chcete-li povolit přístup k síti, umožňuje přístup k síti oprávnění pro uživatelský účet. nebo, je-li uživatelský účet určuje, že přístup je řízen prostřednictvím odpovídající zásady sítě, umožňují přístup k síti oprávnění pro tuto síť politiky. "
Nejjednodušší způsob, jak opravit tohle je přidat jeden tick-box v poloměru konfiguraci - v síti politice, ve středu první strany, zaškrtněte políčko, které říká: "Ignorovat uživatelský účet vlastnosti vytáčení" Pokud jste don 't to bude mít každá žádost o přístup se podívat na účtu oprávnění zjistit, jestli mají "Povolit přístup" povolen na základě jejich Dial-in / Nastavení sítě Přístupová oprávnění.
Samozřejmě, že jiná častým důvodem kód na chyby 6273 bude 16:
Důvod Kód: 16 Důvod: Ověření nebylo úspěšné, protože Neznámé uživatelské jméno nebo chybné heslo bylo použito.
Budete často vidět tohle, pokud děláte ověřování pomocí pracovní stanice účtu domény Machine - pokud uživatel, který je stroj není v doméně, která vybere SSID, bude tento účet samozřejmě neexistuje.
A samozřejmě, když vidíte desítky a stovky z nich, můžete být svědky ověřování útok proti bezdrátového systému. Společné ochrany proti tomuto jsou nastavení uzamčení účtů, a nikdy dávat účty, které nemají uzamčení účtu do VPN nebo bezdrátový přístupový skupin. Doména účtu "Administrator" by Klasickým příkladem - je to má přístup ke všemu, v doméně a ve výchozím nastavení je nastavení uzamčení účtů zakázáno. "Administrator" je vždy cílového účtu v obou legitimní pentests a reálných útoků, takže jste nejlepší, povolit vzdálený přístup pomocí tohoto účtu. NPS Důvod Kód 36 označuje, že účet v zprávy protokolu byl uzamčen.
Zejména během instalace nové SSID, uvidíte účty selhat ověřování když jste si jisti, že pověření účtu jsou správné - v tomto případě zkontrolovat politiku, často politika NPS bude založen na AD skupin, ale buď uživatel nebo stroj musí být ve správné skupiny (například, "Corporate Wireless"). Je to velmi časté, aby si ujít tuto členství ve skupině požadavek na jeden nebo oba z těchto účtů, když se věci první je dát dohromady, nebo při přidávání nových uživatelů nebo strojů k doméně. Například na začátku září jsme viděli mnoho škol narazit na to, jak oni přidali studentské účty.
Všechny NPS důvod kódy jsou uvedeny zde: http://technet.microsoft.com/en-us/library/dd197570.aspx
Jaké další NPS ID zpráv budete běžně vidět v protokolech?
13 RADIUS byla přijata zpráva z neplatného IP klienta RADIUS abcd adresu
Zvláště při zakládání nového bezdrátového ovladače, VPN server nebo cokoliv jiného, budete vidět. V konfiguračním NPS, toto zařízení musí být přidán jako klient NPS.
Pokud používáte NPS k ověření přístup pro správu přepínačů, směrovačů a podobně, můžete vidět, pokud jste přidali nový přepínač (nebo cokoliv), ale minul klienta NPS konfigurační krok.
6272 Server zásad sítě udělen přístup k uživateli. Doufám, že jste vidět spoustu z nich - úspěšné autentizaci zprávy. 6273 Server zásad sítě umožněn neomezený přístup k uživateli, protože hostitel se setkal s definovanou zdravotní politiky. Ten je obecně vázáno na 6272 - po ověření úspěšné, musí být zdravotní politika v rámci NPS být splněny dříve, než je udělen přístup.
6274 Server zásad sítě zahozena požadavek na uživatele. Tento text zprávy správně neodráží situaci. Zpráva 6274 je obecně znamená, že tento stav nastane, když NPS vyřadí účetní požadavky, protože RADIUS účtování žádost zprávu od klienta RADIUS neodpovídá NPS co očekává.
4400 připojení LDAP s řadičem domény pro DC0x.mydomain.com doména domény je usazen. Uvidíte tuto jednu plodinu až příležitostně - je to jen NPS "odbavení" je to s řadiči domény. Pokud je to tichý systém, můžete vidět bezprostředně následuje požadavek na ověření
4401 řadiče domény S-HOF-DC3.mscu.com pro doménu MSCU nereaguje. NPS se přepne do ostatních řadičů domény. Oops - vypadat, že je problém s jedním z řadičů domény. Budete často vidět tohle na Patch úterý, kdy servery restartovat po záplatování. 4402 není řadič domény pro doménu MNP Ten je také často vidět na Patch úterý, a to buď když NPS serveru načte a služba by mohla přijít dříve, než v síti, nebo pokud jsou všechny DC to je v procesu restartování počítače.
Pokud to přichází v jiných situacích, můžete mít vážnější problém na serveru NPS nebo v síti.
Co chyby nebo důvod kódy jste viděli ve vašem systému? Použijte prosím náš formulář komentáře, dejte nám vědět, co jste viděli ve svých protokolech NPS, jak se zpráva vám pomohl problém vyřešit (nebo ne), a to, co vaše řešení bylo.
Greenbone a OpenVAS Scanner 5.11.2013
Zabezpečení
Úvod
Tento virtuální stroj k vám přijde péče o $ dayjob frustrace a potřebu vytvářet protokoly. Tento měsíc jsme se pokrývají logu a ve své laboratoři v práci bylo potřeba spouštět některé alarmy. Tak jsem vyrazil na vybudování OpenVAS [1] [5] apartmá s cílem vyvolat několik různých detekčních systémů. Security Greenbone správce [2] za předpokladu, vynikající, i když ne "jako" intuitivní, jak se mi líbí, rozhraní pro plánování skenování a v podstatě rozesílání sítě a aplikací ošklivosti. Prep to už dlouho, co jsem naposledy nastavit Suite OpenVAS tak "na Google Batman" ... Přitom rychlé vyhledávání Našel jsem několik blogu na různých distribučních instalace [3] [4] [5], jakož i OpenVAS Docs [6]. V tomto přípravka Také jsem hledal nejhladší distribuci pro instalaci, protože to bylo jen tak sedět jako virtuální stroj v mém $ dayjob laboratoři. Po prohledání fóra nejjednodušší se zdá být Ubuntu na 12.04 LTS, ale skončil jsem na CentOS 6.4. Tam jsou některé výhrady pro instalaci na CentOS, ale jen zdálo lepší výkon. CentOS Upozornění Pokud se chystáte instalovat na CentOS, pár připomínek: K dispozici bude pravděpodobně skončí tím, že některé chyby (viz [7]) pracovat přes. Pokud se vám podaří zprovoznit a nevidí provoz odchodu ještě Greenbone říká, že vaše práce běží? "Audit2Allow [8] je váš přítel!" Je pravděpodobné, že (téměř 99.9999%) SELinux. Pro ty, kteří chtějí, aby se líný cestu ven :) soubor, který hledáte, je v / etc / selinux a config: / etc / selinux / config
Ujistěte se, že spustit sestavení po procesu instalace, viz [5], a podívat se na poznámky na openvasmd - rebuild chladnýsmiley
Obecné nainstalovat Upozornění
Synchronizace z OpenVAS může trvat velmi ...... velmi dlouhá doba. Jen buďte trpěliví, pokud budete stavět sami, může počáteční synchronizace trvat hodně času (hodiny občas). Pokud nechcete, aby se čas na instalaci sami, můžete si stáhnout níže Greenbone VM. Spuštění úlohy
Greenbone VM
souboru: http://handlers.sans.org/rporter/greenbone.7z Velikost souboru: 764 MB Typ: OVF Template OS: CentOS 6.4 (patch od 22.října 2013) SHA1: a80c8a1da92c68d38202b23f382acbc46b3fb850
Virtual Machine vHardware Nastavení RAM 2gb HD 8 GB NIC můstku
Systémový účet: root Systém Heslo: sanstraining Greenbone účet: admin Greenbone Heslo: sanstraining Všechna hesla bude sanstraining VM je nastaven pro DHCP Boot. Reference:
Real-time operační riziko a sledování dodržování 16.10.2013 Hrozby | Zabezpečení | Bezpečnost
Corvil oznámila v reálném čase pro všeobecné použití rizik a dodržování monitorovací řešení pro všechny druhy elektronických obchodních firem. Řešení sleduje a zachycuje všechny informace, které se přenáší na síťové vodiče s nulovým dopadem na plnění obchodních systémů a neměnností vyžaduje stávající software. Pomocí datové sítě drátěné, je schopen samostatně sledovat 100% všech aktivit uvnitř i ven z firmy zákazníka. To může sledovat objednávky uskutečněné a přijaté souhrnné výplní, včetně těch, které jsou neočekávané a neoprávněná. Corvil průběžně analyzuje drát dat, zjišťuje obchodních událostí a také sleduje stavu systému v reálném čase. Nadřízení jsou si vědomi hrozeb anomáliích, a chyby během několika vteřin. Corvil upozornění lze vkládat přímo do automatizovaných procesů, které mohou vymáhat limity pozic, zprávy sazeb v zabij přepínače nebo vyvažování zátěže. Typický CorvilNet nasazení může zachytit miliony obchodování souvisejících zpráv za sekundu, z odposlechů, agregační přepínače nebo i softwarové protokoly, a pak dekódovat, korelují, analyzovat a upozorňovat v reálném čase. Data mohou být uloženy pro historické analýzy a mohou být exportovány do externích systémů pomocí mnoha standardních rozhraní. Nejnovější verze CorvilNet přináší řadu nových funkcí, včetně živého aktualizaci obrazovky zobrazující přesně to, co se děje právě teď přes celý obchodní systém. Díky použití CorvilLens, plně integrovaný real-time sítě, aplikací a obchodně-specifické výhled je na jedné obrazovce. Nové oznámení na základě uživatelem definovaných událostí lze použít k omezení obchodování nebo upozornění pracovníků finančně ohrožujících událostí. Automatického zjišťování schopnosti a konfigurovatelný reporting okna snadnost integrace a probíhající operace.
CipherCloud přináší vyhledávat silné šifrování 16.10.2013 Zabezpečení
CipherCloud vydal techniky ke zlepšení vyhledávání, použitelnost a bezpečnost cloudových dat chráněných pomocí AES 256-bit šifrování.
Toto řešení také umožňuje organizacím v souladu s vládními nařízeními a odvětvovými mandátů včetně -. GLBA, PCI, HIPAA a HITECH, EU Data Protection Act, UK ICO poradenství, australský soukromí novela a US State Ochrana zákony CipherCloud poskytuje ochranu organizace strukturované a nestrukturované informace v populární cloud aplikací, včetně - salesforce.com, truhlík, Microsoft Office 365, Google Gmail, Amazon Web Services a mnoho dalších. Navíc CipherCloud pro každou aplikaci a CipherCloud pro databáze umožňují organizacím rozšířit ochranu dat na stovky třetí strany mrakem a soukromých cloudových aplikací a databází. "Shoda citlivých dat často vyžaduje použití šifrování, pokud je odeslána přes veřejné komunikační sítě, "řekl Brian Lowans, hlavní analytik společnosti Gartner. "Ve skutečnosti, mělo by to být považováno za standardní praxe pro Všechny vrstvy oblačnosti aplikací založených přístupné prostřednictvím veřejné sítě, aby se zabránilo odposlechu. CipherCloud v jižní technology využívá brány, architekturu a umožňují bezpečné lokální index a vyhledávací operace při odesílání silně zašifrovaná data do cloudu a chrání před všemi vnějšími hrozbami. Toto řešení umožňuje přirozený jazyk, divoké karty a logické domovních 256-bitové AES šifrovaných datech. Další dostupné techniky na vyhledatelnosti trhu nedostatek nebo vyžadují komplexní nasazení lokálních databází nebo se spolehnout na částečné šifrování dat.
Poslední Straně, Yahoo Zapnutí SSL ve výchozím nastavení 15.10.2013 Zabezpečení
Yahoo, jeden z posledních e-mailových protahování k provedení SSL ve výchozím nastavení, oznámil, že to bude dělat tak v lednu.
Společnost byla kritizována jako jeden z mála zbývajících společností obrovských internetových k jeho zpoždění zapnutí šifrování standardně pro jeho webových e-mailových uživatelů. To bude nyní učinit 8 lednu roku k datu, od kdy se poprvé dali uživatelům možnost používat SSL spojení pro e-mailové sezení .
Zpoždění je pozoruhodný Yahoo, což je více než tři roky za výchozí implementace Googlem SSL pro Gmail. Uživatelé Outlook.com Microsoft webmail služby měli SSL ve výchozím nastavení povolen od července 2012, zatímco Facebook dělal to výchozí letos v únoru.
Yahoo odmítl žádost o rozhovor na zpoždění, a místo toho ukázal Threatpost do online prohlášení senior viceprezident komunikačních produktů Jeffrey Bonforte.
"Naše týmy se snažíme provést nezbytné změny, aby ve výchozím nastavení připojení HTTPS na Yahoo Mail, a těšíme se na poskytování této další vrstvu zabezpečení pro všechny naše uživatele," Bonforte v prohlášení.
Yahoo rozhodnutí nabídnout SSL jako možnost letos byla zveřejněna krátce po listopadu 2012 dopis z řady zájmových skupin společně podepsali dopis generálního ředitele Marissa Mayer vyzývající ji k implementaci HTTPS implicitně volá doprava šifrování základní bezpečnostní požadavky . Skupina, ve které jsou zástupci Electronic Frontier Foundation, American odbor občanských svobod v Tibetu Action Institute, Reportéři bez hranic a mnoho dalších, jasně rozhodl nejen dát soukromí v ohrožení, ale životy.
"Bohužel, toto zpoždění dává svým uživatelům na rizika, které je znepokojující zvláště od Yahoo! Mail je široce používán v mnoha světově nejvíce politicky represivní státy. Tam byly časté zprávy o politických aktivistů a vládních kritiků jsou uvedeny kopie svých e-mailových zpráv jako důkaz během výslechů, které kladou důraz na význam poskytování základních opatření na ochranu soukromí e-mailu "v dopise.
Zpráva přichází den poté, co Washington Post informoval o novou sadu uniklých dokumentů z informátorů NSA Edward Snowdena. Nejnovější objev se týká NSA sbírku e-mailových seznamů kontaktů a seznamy kamaráda z několika instant messaging služby za účelem mapování vztahů mezi zahraničními sledování cílů a jejich on-line připojení.
Odeslat zprávu maluje snímek sběru činnosti zařízení během jediného dne, ve kterém NSA shromažďují téměř 450.000 adres Yahoo e-mail a desítky tisíc jiných služeb, jako je Hotmail, Facebook a Gmail. Post řekl, tajné dohody se zahraničními telekomunikačními společnostmi vedly k tomuto aspektu činností dozoru NSA, většina z nich se děje v zámoří, ale pravděpodobně stále pasti miliony kontaktních informací Američana.
Tajemník v Metasploit DNS únos Ne podvedeni faxem 15.10.2013 Hacking | Zabezpečení
Registrátor pro Metasploit a Rapid7 webové stránky, z nichž oba stali obětí únosu DNS útok v pátek, nebyl podvedeni podvodného změnu žádosti zaslané faxem, neboť se původně psalo.
Místo toho, zaměstnanec Register.com pravděpodobně padl za oběť na sociální inženýrství podvod, který vyústil ve ztrátu zaměstnance legitimní pověření, které byly použity, aby infiltroval registrátora a manipulovat nastavení DNS pro obě místa.
Domovské stránky pro Metasploit a Rapid7 ukázal na stránkách údajně patřící k pro-palestinského hacker kolektivní jít podle jména KDMS. Skupina unesl stránky a návštěvníci byli uvítáni s poznámkou, prohlašovat odpovědnosti za útoky a podobné DNS únosy prováděné s jinými bezpečnostními společnostmi.
Rapid7 mluvčí řekl, že Register.com aktualizováno dnes firma s tím, že původní zpráva byla neúmyslně sdělí Register.com.
"Čekáme obdržet zprávu od Register.com a my přesně nevíme, kdy budeme si to (i když samozřejmě doufáme, že na to co nejdříve)," Rapid7 uvedl v prohlášení zaslaném Threatpost . "Jakmile budeme mít informace, budeme naprosto sdílet to, co můžeme pomoci vzdělávat ostatní, aby mohli chránit před stejnými hrozbami."
Rapid7 šéf bezpečnosti a Metasploit tvůrce HD Moore řekl přes proud tweetů v pátek ráno, že DNS únos byl rychle vyřešen a varoval ostatní pracující s Register.com kontrolovat jejich příslušné DNS záznamy, protože skupina prohlašovat, že odpovědnost by měli schopnost přesměrování Je-li doména s tímto registrátora.
Útok na Register.com završen rušný týden podobných útoků proti registrátorů. KDMS prohlásil odpovědnost za útok proti Network Solutions, velký sídlem v USA registrátor domén a poskytovatel hostingu. Řada bezpečnostních agentur práce s Network Solutions utrpěl podobné DNS únosy a musel provoz přesměrován na KDMS kontrolované domény.
Podobný útok byl proveden proti LEASEWEB, ačkoli to bylo původně oznámeno, že registrátor byl ohrožen prostřednictvím zneužití chyby zabezpečení v prostředí klient WHMCS a fakturační software používaný společností. To bylo rychle vyvráceno LEASEWEB v prohlášení na svých internetových stránkách; LEASEWEB řekl, že útočníci získat doménové heslo správce a použít pověření pro přístup k registrátora.
WHMCS chyba, která byla oprava byla zneužita k útoku na čisté VPN. Útočníci byli schopni dosáhnout poskytovatele VPN uživatelské databáze a rozeslat hromadný email, který řekl, že podání bylo třeba vypnout a někteří zákazníci mohli brzy ozvete činných v trestním řízení.
"Další a důkladný audit na naší VPN systémů potvrdila, že tam není absolutně žádná porušení v síti VPN a po incidentu naše služby VPN nadále provozovat bezpečně," PureVPN spoluzakladatel Uzair Gadit napsal v e-mailu pro zákazníky. "Žádné technické údaje o používání byla ohrožena, a protože jsme neskladujte aktivitě uživatelů protokoly jsou naši uživatelé se tímto jisti, plné anonymity a bezpečnosti po celou dobu."
Experti kritizují Chrome. Snadno vyzradí některé tajné informace
14.10.2013 Zabezpečení Bezpečnostní firma IdentityFinder si vzala na paškál prohlížeč Chrome a provedla na něm hloubkovou analýzu všemožných dat, která se ukládají do lokální paměti na počítači. Experti přišli na to, že databáze s webovou cachí a historií navštívených adres obsahují hromadu zajímavých informací bez jakéhokoliv šifrování.
Analýzou počítačů zaměstnanců získali čísla sociálního pojištění (USA), čísla kreditních karet a další citlivé údaje. Podle uživatelů konkrétních počítačů však tyto citlivé informace vyplňovali jen na stránkách se zabezpečeným SSL spojením. Prohlížeč samotný ale data z šifrovaného spojení sám o sobě nijak nezabezpečuje a v systému se k nim chová stejně jako k ostatním.
Nešifrovaný Chrome.png Expertům se podařilo z lokálních databází Chromu na PC vydolovat údaje, které surfař zadával během šifrovaného SSL spojení a měly by tedy být lépe zabezpečené. Základní obhajobou Googlu, kterou použil i v létě, když si mnozí uživatelé stěžovali, že dostatečně nezabezpečuje ani uložená hesla na počítači, byl argument, že počítač samotný si musí každý zabezpečit sám. Pokud se tedy útočník dostane do systému, k datům získá přístup tak jako tak. Kdyby se mu podařilo stáhnout zabezpečené databáze, může je zkopírovat a hrubou silou dekódovat třeba na farmě grafických karet.
Přesto ale zůstává otázkou, proč jim to co nejvíce nezkomplikovat a proč alespoň základním šifrováním na straně prohlížeče nezamezit v přístupu k datům běžným útočníkům, kolegům v práci. Google se pro The Verge vyjádřil v tom smyslu, že data bezpečně šifruje na Chrome OS a Androidu, nezmínil ale, proč to samé nedělá i na ostatních platformách.
Internetové stránky "otisků prstů" uživatelé tajně shromažďování prohlížeče info 14.10.2013 Zabezpečení | Bezpečnost | Sledování Skupina evropských vědců zveřejnila výsledky svého výzkumu, kolik z nejnavštěvovanějších internetových stránek sledovat uživatele bez jejich vědomí pomocí "zařízení otisků prstů", a odpověď je 145 z 10000. "V moderní web , prohlížeč se ukázalo jako vozidlo volby, které uživatelé mají věřit, upravovat a používat pro přístup k množství informací a on-line služeb Nicméně, nedávné studie ukazují, že prohlížeč může být také použit k invisibly otisku prstu uživatele.: praxe, která může mít vážné soukromí a bezpečnostní souvislosti, "oni si všimli. Zařízení (nebo v tomto případě prohlížeč) otisků prstů se odkazuje na praxi shromažďování atributy o zařízení / prohlížeč - například přístroje velikosti obrazovky, verze nainstalovaného softwaru, a seznam nainstalovaných písem, atd. -. uživatel používá a používat to, aby zcela nebo částečně identifikovat uživatele / zařízení , ale zároveň tato praxe může být skvělé pro prevenci krádeže identity online, podvody s kreditními kartami, nebo zmírnění DDoS útoky, může být také použit k vytvoření tajně uživatelské profily. Vědci vytvořili svůj vlastní rámec pro detekci a analýzu webových fingerprinters -. FPDetective "Tím Pokud použijeme naše rámce se zaměřením na postupy font detekce, jsme byli schopni provést rozsáhlé Analýza milionů nejpopulárnějších internetových stránek na internetu, a zjistil, že přijetí otisků prstů je mnohem vyšší, než předchozí studie odhadla, "oni si všimli. zda "fingerprinters" používat JavaScript nebo pluginy udělat otisky prstů, jde o to, že můžete sledovat on-line uživatelů činnost, i když jsou cookies vypnuty a uživatelé umožnily nesledují možnost na svých webových prohlížečů (pokud existuje). Většinu času, "otisky prstů" Skryté a těžko rozpoznat uživateli. "Device otisků prstů vzbuzuje vážné obavy týkající se soukromí pro běžné uživatele," výzkumníci poukázal. "Jeho povaha státní příslušnosti je těžké odhalit (žádné cookies, můžete zkontrolovat a odstranit), a ještě těžší opt-out. Navíc otisků prstů funguje stejně dobře v" soukromém režimu "moderních prohlížečů, které cookie uvědomělí uživatelé mohou být . použitím provést soukromí citlivé operace " Oni také ukázal, že dva protiopatření, které jsou využívány k obraně proti otisků prstů - Tor Browser a Firegloves, POC rozšíření prohlížeče, který vrací hodnoty randomizované Při dotazu na určitých vlastností - mají zneužitelné slabiny, které by je mohlo učinit k ničemu. Pro více informací o jejich výzkumu, podívejte se na podrobnou zprávu .
Elektronické podpisy s dlouhodobým ověřením
14.10.2013 Zabezpečení Platnost elektronických podpisů se s časem nemění. Omezována v čase je pouze naše schopnost tuto platnost ověřit. Pokud ale použijeme vhodný formát elektronických podpisů, můžeme dobu jejich ověřitelnosti libovolně prodlužovat.
V předchozím dílu tohoto seriálu jsme si vysvětlili, proč je možnost ověřit platnost konkrétního elektronického podpisu zcela záměrně a programově omezována v čase: proč je vše nastaveno tak, aby ověření po určité době již nebylo možné. Tedy pokud včas neuděláme určitá opatření k tomu, abychom možnost ověření prodloužili. Důvodem je právě snaha vynutit si aplikaci takových opatření, která dokážou předejít možnost záměny podepsaného dokumentu nějakým kolizním dokumentem. Tedy dokumentem, který je jiný, ale má stejný otisk (hash), a tím i stejný elektronický podpis.
Jak již víme z minulého dílu, vhodným opatřením je časové razítko. Musíme jej ale přidat včas neboli ještě dříve, než skončí možnost ověření elektronického podpisu. Tím ji prodloužíme o určitou dobu (obvykle o několik málo let), ale opět ne natrvalo, resp. na libovolně dlouho. Proto ještě předtím, než takto prodloužená doba skončí, musíme přidat další časové razítko. A po čase zase další atd.
Další překážky Pokud budeme popisovaným způsobem přidávat časová razítka, vyřešíme tím ale jen část celého problému: pouze tu, která se týká nebezpečí záměny původně podepsaného dokumentu nějakým kolizním dokumentem. Dalším nepříjemným problémem je to, že po delší době již nemusí být k dispozici všechny „podklady“, které k ověření platnosti podpisu nutně potřebujeme.
Připomeňme si, že než můžeme nějaký podpis prohlásit za platný, musíme zkontrolovat integritu podepsaného dokumentu. Pak musíme zvolit tzv. posuzovaný okamžik, ke kterému budeme platnost podpisu ověřovat (viz minulý díl). To je v praxi okamžik uvedený v nejstarším kvalifikovaném časovém razítku. No a pak musíme ověřit, že certifikát, na kterém je podpis založen („podpisový“ certifikát), byl k posuzovanému okamžiku stále ještě platný a nebyl k tomuto okamžiku revokovaný neboli předčasně zneplatněný. To samé pak musíme ověřit pro všechny nadřazené certifikáty, což jsou v praxi certifikáty certifikační autority, která vydala „podpisový“ certifikát.
Problém ale nastává v případě, kdy některý z těchto certifikátů nemáme k dispozici. Bývá sice zvykem je přikládat k samotnému podpisu, ale není to podmínkou. Ovšem pro možnost ověření platnosti podpisu je dostupnost certifikátů nezbytná. Takže bez nich platnost podpisu ověřit nemůžeme.
V praxi ale bývá větší problém s nedostupností informací o revokaci příslušných certifikátů. Přitom ověření toho, že žádný z certifikátů nebyl k posuzovanému okamžiku revokován, je další nutnou podmínkou k tomu, abychom nějaký podpis mohli prohlásit za platný. Takže ani bez informací o revokaci se opravdu neobejdeme.
Vložené revokační informace Jak již víme z předchozích dílů, informace o revokaci certifikátů mohou být zpřístupňovány dvěma způsoby: skrze tzv. CRL seznamy, vydávané dávkově (tj. „jednou za čas“), nebo v reálném čase skrze protokol OCSP (Online Certificate Status Protocol) na principu dotaz/odpověď. V obou případech ale platí, že jejich dostupnost není věčná. Není garantováno, že příslušné informace budou bez problémů dostupné i po více letech. V případě první varianty (CRL seznamů) se stávají nedostupnými dokonce velmi brzy. Jakmile skončí řádná doba platnosti certifikátu, jsou informace o jeho eventuální revokaci vyřazeny z aktuálního seznamu CRL.
Naštěstí existuje poměrně jednoduché řešení problému s jejich nedostupností po delší době, a to získat revokační informace (ať již v podobě CRL seznamu či odpovědi OCSP serveru) v době, kdy jsou ještě dostupné, a „přibalit“ je k samotnému podpisu, podobně jako se k němu obvykle připojuje podpisový certifikát a další jemu nadřazené certifikáty. Dokonce to může být provedeno i později, až po vzniku podpisu. A může tak učinit kdokoli, nejenom podepsaná osoba. Například ten, kdo elektronický dokument získal, od toho, kdo jej podepsal.
Způsob, jakým se revokační informace „přibalují“ k elektronickému podpisu, je samozřejmě závislý na používaném programu, ale obvykle je vše záležitostí několika málo kliknutí. Dokonce je možné i to, aby revokační informace byly přidávány k podpisu automaticky již při jeho vzniku. Zde je ale jeden velký háček. V případě, kdy je takto přidáván aktuálně dostupný CRL seznam, je nutné si uvědomit, že ještě nemusí obsahovat informace o revokacích, ke kterým došlo těsně před vznikem podpisu. Vzhledem k tomu, jak vydávání CRL seznamů funguje a jaké lhůty klade zákon na zveřejnění informací o revokaci, je třeba počkat nejméně 24 hodin a teprve pak přidat aktuální CRL seznam (tj. seznam vydaný nejméně 24 hodin po vzniku podpisu).
Koncept LTV Přidávání („přibalování“) všeho potřebného, co je nezbytné pro pozdější ověření platnosti elektronického podpisu, je základem konceptu LTV (Long Term Validation) neboli elektronických podpisů s možností dlouhodobého ověření. Nejde skutečně o nic jiného než o přidávání všech relevantních certifikátů a revokačních informací ještě v době, kdy jsou dostupné – a jejich následné využití tehdy, kdy je platnost ověřována. Pochopitelně přitom musí být vyřešeno i to, jak certifikáty a revokační informace k podpisům „přibalovat“. Musí tedy být použity takové formáty elektronických dokumentů a podpisů, které to umožňují. Které vytvářejí jakýsi „kontejner“, do něhož lze kromě samotného podpisu (a časového razítka, resp. razítek) přidat i certifikáty a revokační informace, ať již v podobě CRL seznamů či odpovědí OCSP serverů.
Samozřejmě také musí být zajištěny celistvost a neměnnost celého podepsaného dokumentu i s příslušným „kontejnerem“, tak aby nikdo nemohl zaměnit původně podepsaný dokument jiným (kolizním) dokumentem nebo vložený certifikát jiným (kolizním) certifikátem atd. Toho docílíme opakovaným přidáváním časových razítek, viz úvod článku.
Manažer bezpečnosti: Manažeři nedodržují pravidla
14.10.2013 Zabezpečení Zásady zabezpečení fungují nejlépe, když platí stejně pro všechny ve firmě. Samozřejmě se ale vždy najdou lidé, kteří si myslí, že by měli být výjimkou.
Co řešit: Vedoucí manažeři chtějí výjimky z nastavených bezpečnostních pravidel. Akční plán: Udělat vše pro to, aby se pravidla bez rozdílu dodržovala.
Co dělat, když manažer vaší firmy trvá na přístupu, který ale porušuje podniková pravidla zabezpečení? Tento týden jsem na takový problém narazil. Náš vysoký manažer se rozhodl, že nechce být omezován stejnými bezpečnostními zásadami, jež musí dodržovat i ostatní.
Takový přístup není ničím novým – vedoucí pracovníci často mají speciální výjimky, pravděpodobně proto, že mají nějaký přímý vliv na IT rozpočet a zdroje. Ale toto je poprvé, kdy jsem podobné přání slyšel vyslovit nahlas.
Výsady manažerů se obvykle diskutují tiše, v zákulisí a na chodbách, protože pro řadové zaměstnance je demoralizující slyšet, že VIP podléhají jinému standardu než zbytek firmy. Zvláštní privilegia proto bývají malým, a často ne zcela čistým tajemstvím.
Popíši vám, co se přihodilo. Zmiňovaný manažer chtěl stáhnout program z internetu, aby ho mohl nainstalovat na svém notebooku. Naše pravidla ale lidem v této činnosti brání.
Myslím si, že je to poměrně normální situace v naprosté většině firem – vzhledem k dlouhé řadě rizik spojených s náhodnými internetovými aplikacemi, jimiž může být malware. Nebezpečím je také případné nedodržení licencí a dalších předpisů.
Systém webových filtrů, který využíváme, mu tedy stahování instalátoru softwaru zablokoval. On poté kontaktoval naši technickou podporu, jejíž personál byl vyškolen pro vyřizování žádostí o výjimky. Až potud vše probíhalo standardně. Technická podpora nabídla, že našemu váženému VIP software stáhne. Samozřejmě by se to muselo schválit, ale je to první návrh řešení – zajistit žadatelům, co potřebují, ale bez poskytnutí příslušného přístupu.
V tomto místě se však situace začala vyvíjet zcela špatným směrem. Manažer instalátor nabízený technickou podporou odmítl. Tvrdil, že on a ostatní manažeři by žádná omezení svých aktivit při práci s internetem neměli mít! Požadoval pro svůj účet úplné odblokování kategorie stahování. V rámci celého rozhovoru byl arogantní a neprofesionální (podle mého názoru, ke kterému jsem dospěl po přečtení proběhlé e-mailové korespondence) – v podstatě vyhrožoval zástupci technické podpory, který se zachoval profesionálně.
Zástupce helpdesku tedy přistoupil k další úrovni výjimek, a tou je vyplnění formuláře se žádostí o odblokování kategorie, jak bylo požadováno. Abych byl upřímný, já bych tuto žádost nechtěl schvalovat. Nedostal jsem ale šanci, protože se manažer rozzlobeně s odpovědnými pracovníky rozloučil s odvoláním na své postavení. Mohl postupovat standardně, ale namísto toho trval na své představě nepodléhat pravidlům.
V tento okamžik tedy technická podpora postoupila incident mně. Rychle jsem pročetl e-maily a byl jsem opravdu šokován chováním a vystupováním někoho, kdo by se měl chovat jako profesionál a zástupce naší společnosti. Přeposlal jsem tedy elektronickou korespondenci svému šéfovi, jímž je náš CIO, s poznámkou, že by bylo dobré si o přístupu tohoto manažera promluvit. Čekal jsem, že následující den budeme diskutovat o způsobu, jak přesvědčit dotyčného manažera, aby přestal vyhrožovat technické podpoře a vybral si k jednání někoho na své úrovni.
Mýlil jsem se. CIO okamžitě poslal odpověď dotyčnému manažerovi a požádal ho, aby si se mnou promluvil o našem „nefunkčním procesu“. Namísto toho, aby podpořil mě, šéf začal uklidňovat rozhněvaného VIP. Měl bych tím být překvapen? Asi ne. Naše bezpečnostní pravidla jsou však opravdu solidní. Byla to první věc, kterou jsem vytvořil, když jsem do naší společnosti nastoupil jako šéf informační bezpečnosti.
Ty schválil a následně podepsal i náš CIO. Dokážu pochopit, že může existovat skrytá vysoce privilegovaná třída v rámci naší společnosti, jejíž členové si myslí, že se na ně tato pravidla nevztahují. Nečekal jsem ale tak silný odpor, zejména vůči tak naprosto běžné zásadě, pro kterou navíc existuje přiměřený proces udělování výjimek.
Dobré alespoň bylo, že šéf nepřeposlal zmíněnému manažerovi ve své reakci na „nefunkční proces“ i můj komentář o „jeho přístupu k problému“. Prozíravě tuto část smazal. Myslím si tedy, že situace není tak špatná, jak by mohla být. Nebylo by ale hezké žít ve světě, kde se lidé chovají profesionálně a šéfové IT si stojí za dodržováním svých zásad zabezpečení, které platí pro každého?
Mnoho bezpečnostních problémů bankomatů 13.10.2013 Zabezpečení | Ochrana
Stejně jako oni jsou užiteční, bankomaty jsou také velmi citlivé na manipulaci a útoky jednotlivce, kteří za peníze.
eWEEK zprávy , že na konferenci bezpečnostního sektoru, které se konalo tento týden v kanadském Torontu, Trustwave senior konzultant John Hoopes poskytované vhled do útoků, které jsou často provedeny proti Point of Sale (POS) systémy a bankomaty, a věci, obránci můžete udělat, aby se zabránilo jejich . Pokud jde o bankomatech, problémy je mnoho, říká. Pokud je síťový kabel pro počítač je dosažitelný, může být snadno Bankomat odpojen a zapojen znovu, aby se restartuje a zobrazí operační systém, který běží. Více často než ne, je to Windows XP, a obvykle unpatched. Ve skutečnosti, Hoopes zjistil, že mnozí Bankomaty jsou stále vystaveni let starých chyb, které byly opravené Microsoft před staletími. Je zřejmé, že technici nainstalovali operační systém, kdy stroj byl uveden do užívání, a nebyly dotkl se jich od té doby. velký počet bankomatů je také spuštěn v režimu správce, takže útok ještě snazší vykonat. Také pokud jde o ATM software, kód je jen zřídka, pokud vůbec, popletl a potenciální útočníci mohou najít to triviální zpětné inženýrství svůj kód a vyhledejte využitelných nedostatky. Povolení fyzický přístup k napájení a síťové kabely, které se živí bankomaty náhodných jedinci by měli mít velký ne-ne. První, protože z výše uvedených možností restartu, a za druhé proto, útočníci mohou vložit zařízení mezi ATM a sítí, a vyčenichat a manipulovat s datový tok, který je často šifrována, občas není šifrován tak, jak by mělo být. Všechny tyto problémy mohou být poměrně snadno vyřešit ATM výrobců a dodavatelů, pokud mají koncentrované úsilí. Hooper poukazuje na to, že by také myslet na dobré zámky pro skříně ATM, kabelových řešení ochrany, monitorování systému a poplašných systémů, které by zjistit, kdy ATM systém restartován nebo je potenciálně zfalšován.
Infographic: Noční můra zajištění nestrukturovaných dat 13.10.2013 Zabezpečení
Tento infographic z SealPath přichází s daty a fakty ztráty dat v podnicích: Zdroje narušení dat, trendy na trhu, technologií souvisejících s ochranou dat, atd. Klikněte na obrázek níže ke stažení kompletní infographic:
Luis Angel del Valle, generální ředitel SealPath říká: "Firmy po celém světě upřednostňování datových orientovanou zabezpečení a zlepšení ochrany osobních kontrol, protože v dnešních datových řízený svět je třeba zabezpečit nejen IT obvodu, ale také informace."
Facebook dává každý uživatel zjistitelný podle jména 13.10.2013 Zabezpečení
Opět, Facebook je skoncování s funkcí, že mnoho uživatelů ani neví, že mohl použít, ale malé, soukromí vědomí menšina je rád, že mám (měl).
Téměř před rokem, spolu s likvidací Facebook uživatelské hlasování o zásadách ochrany osobních údajů, Facebook oznámil odstranění "Kdo může vypadat svůj Timeline jménem?" nastavení, a nyní tento krok je na spadnutí. Jak Facebook Chief Privacy Officer Michael Richter uvedeno v blogu, každý míval výše uvedené nastavení - který řídil, zda by mohla být ve chvíli, kdy lidé zadali své jméno do řádku hledání Facebook -. ale ne hodně lidí, kteří ji použili "nastavení byl vytvořen, když Facebook byl jednoduchý adresář profilů a bylo velmi omezené. Například nezabránilo lidem navigace na časové ose kliknutím na své jméno v příběhu v News Feed, nebo ze společného přítele časové ose. Dnes, lidé mohou také vyhledávat pomocí Facebook Graph vyhledávání (například "Lidé, kteří žijí v Seattlu,"), což je ještě důležitější kontrolovat soukromí věcí, které sdílejí, spíše než, jak se lidé dostat do časové osy, "píše. Odstranění nastavení bude oznámeno těm, kteří přesto používat pop-up na svých účtech na Facebooku. Současně, Richter upozornil, že lidé, kteří sdílejí své příspěvky veřejně na Facebooku viz též oznámení připomene jim, že tato místa lze vidět každý, včetně lidí, které nemusí vědět. Poradil uživatele k návštěvě své nastavení ochrany osobních údajů a dále je, stejně jako jednotlivé věci, které již sdílené prostřednictvím Deníku. I když si myslím, že Facebook je právo požadovat jeho uživatelé odpovědnost za věci, které příspěvek a za rozhodování o tom, kolik chtějí sdílet se svými přáteli, to není reálný předpoklad, že mnozí na sebe vezme zodpovědnost, nebo dokonce vědí, že se očekává.
Odolných proti násilnému otevření jailbreak detekce od Arxan 13.10.2013 Zabezpečení | Mobil
Arxan oznámila novou znemožňující nedovolenou manipulaci jailbreak detekce bezpečnosti a životního prostředí snímací technologie. Kromě již existujících stráží Arxan je, které jsou spuštěny na více než 200 milionů přístrojů, tyto nové funkce umožňují podnikové třídy aplikace a mobilního bezpečnostního prostředí, aby se zabránilo ztrátu příjmů, podvodům a značky kompromis. Pro mobilní podniků, zabezpečení aplikace prostředí je důležité jako zajištění aplikaci samotnou. S uživateli, kteří chtějí obejít bezpečnostní funkce a útěk z vězení telefony v rostoucích počtech, podniky čelí zvýšeným rizikům. Aplikace spuštěné na jailbroken zařízení jsou více náchylné k útokům a představují stále se rozšiřující mobilní útoku. správu mobilních zařízení (MDM) a domácí řešení sama o sobě nestačí, protože mohou být snadno obchází sofistikovaných hackerů zaměřené na aplikace obvodu. Vzhledem k tomu, agresivní mobilní cykly pro vývoj aplikací, podniky vyžadují řešení, které posílily jejich "mobilní první" obchodní strategii s ochranou před většinou současných kybernetických hrozeb. Arxan nový Jailbreak Detection Guard rozpozná, pokud je aplikace spuštěna v jailbroken prostředí, a může vyvolat customiszed reakce na ochranu kritických a vysoce hodnotných atributy app na nezabezpečené zařízení. Dále je Jailbreak Detekční schopnost dodat s "built-in" vměšovat odolnost. Arxan je mobilní aplikace bezpečnostních řešení se také prohloubil o jiném prostředí snímací schopnosti, tzv. Resource Ověření Guard. Tato služba je vložena do mobilní aplikace pro kontrolu integrity Android a iOS balíčku zdrojů. To je důležité pro mobilní klientské aplikace udržet svou celistvost proti malwaru vkládání nebo falšování hrozbami, stejně jako být "vědoma" o stavu svého prostředí. Například by mohly být nedávno publicizeda "Hlavní klíč" zranitelnost vedoucí k škodlivého kódu injekci do pravé Android aplikace, která může být detekována tímto novým typem ochranného krytu. Společně nový Jailbreak detekce a stráže zdrojů ověřování jsou zvláště důležité pro odvětví finančních služeb kde inovace v oblasti m-commerce, mobilní P2P transakcí, saldo převodů a plateb, aby bylo kritické pro ochranu vysoce rizikových transakcí. V nedávné poznámky výzkumné společnosti Gartner Avivah Litan John Girard doporučuje, aby podniky, "Použít mobilní řešení zabezpečení aplikací pro zpevnění a mobilní aplikace aby se zabránilo jejich poškození. "a" Použít mobilní řešení bezpečnostního prostředí, aby se zabránilo mobilních zařízení před poškozen. "
Nový přístup v reálném čase odezvy bezpečnostních incidentů 13.10.2013 Zabezpečení
NetCitadel oznámila novou analytics-řízený, kontext aware přístupu pro ochranu podnikových sítí před útoky stále důmyslnější bezpečnostní a apts. Vývoj a zvýšená frekvence malware a apts snížila účinnost tradičních detekci hrozeb a prosazování řešení. S téměř 200 tisíc nových vzorků malwaru objevují každý den 1, Nové detekční řešení se objevily zjistit nové útoky, vyrábí více hrozeb než události mohou být hodnoceny nebo spravovány včas. Aby toho nebylo málo, většina organizací má jen hrstku velmi vycvičené bezpečnostní analytici, kteří jsou za úkol ručně spuštěním na všechny důležité kroky vyšetřování, ověřování, priorit a obsahující zjištěné hrozby. Výsledkem je, že rozdíl mezi odhalovat a potírat je stále širší. NetCitadel vyvíjí platformu pro správu hrozeb, které řeší bezpečnostní analýzy a inteligenci potřeby dnešních týmů Incident Response. Tento analytics-řízený přístup dodává kontext dat událostí generovaných zařízeními detekce hrozeb, jako je AMD systémy a SIEM řešení pro usnadnění rychlé a inteligentní rozhodnutí. Řešení se integruje se stávajícími bezpečnostními zařízeními, jako jsou firewally a webových serverů proxy, poskytovat real-time odezvy bezpečnostních akcí. Bez správného kontextu, je téměř nemožné stanovit priority akcí a dělají dobré bezpečnostní rozhodnutí. . Bohužel, mnoho bezpečnostních týmů nuceni shromažďovat důležitá data pomocí kontextové časově náročné ruční procesy Podle společnosti Gartner "Security platformy se musí stát kontext-aware - identita, aplikace, obsah, umístění, lokace a tak dále -, aby se lépe rozhodnutí bezpečnosti informací o moderních target útoky (ATAS). " NetCitadel je řešení přináší potřebné kontext snadno použitelné rozhraní, které umožňuje security analytici rychle ověřit, které problémy jsou skutečné a které problémy mohou být bezpečně ignorována.
Zločinci Hit Jackpot ATM
12.10.2013 Hacking | Zabezpečení
Je dobře známo, že organizovaný zločin v Mexiku je vždy najít nové způsoby, jak krást peníze od lidí. Bankomaty (ATM) jsou jedním ze společných cílů v tomto úsilí, ale výzva je zde skutečně dostat peníze ven ze stroje. Tři nejběžnější způsoby, jak toho dosáhnout, jsou:
Únos: Zločinci unesou člověka tak dlouho, jak je potřeba stáhnout všechny peníze ze svého účtu. Doba je závislá na dostupných finančních prostředků na účtu, protože normálně tam je limit na povolené částky, které mají být vydávány za den. Fyzicky krádež bankomatu: Zločinci odstranit bankomat a vzít ji na místo, kde mohou jít do práce přístup k hotovosti uvnitř. V tomto scénáři, ztráta hotovosti je jen jedním z důsledků jako zločinci by měli získat přístup k softwaru běžícího na bankomatu, který by mohl být reverse-inženýrství s cílem připravit útok na všech bankomatů běží stejný software. Bankomat Odstřeďování: Zařízení jsou umístěna nad čtečkou karet, aby se krást osobní informace (PII) dat, jako je PIN čísla. Falešná překryvy numerické klávesnici lze také použít pro záznam, které stisknutí tlačítek. Zatímco výše uvedené scénáře všichni spoléhají na vnějších faktorech, uspět by zločinci jako nic víc než způsob, jak pro ně, aby si chrlí Bankomat všechny její peníze pouhým stisknutím některých tlačítek (podobně jako demo předložené pozdní Barnaby Jack na BlackHat 2010 je konference). Bohužel pro banky, zdá se, že sny padouchy "může přijít pravda. V souběžných vyšetřováních s ostatními AV firem Symantec identifikoval tento vzorek 31. srpna 2013 a detekce byla v platnosti od 4.9.2013. Zjistíme tento vzorek jako Backdoor.Ploutus .
Infekce metodika
Podle vnějších zdrojů, je malware převedena do bankomatu fyzicky vložením nové spouštěcí disketu do jednotky CD-ROM. Spouštěcí disketa přenese malware.
Účinek
Zločinci vytvořil rozhraní pro interakci s ATM softwaru na sníženou bankomatu, a proto jsou schopni stáhnout všechny dostupné peníze z nádobách v hotovosti, také známý jako kazety.
Jedna zajímavá část poznamenat, že zločinci jsou také schopni přečíst všechny informace zadané do držitelům karet prostřednictvím bankomatu klávesnice, což jim umožňuje krást citlivé informace bez použití jakéhokoliv externího zařízení.
Ačkoli žádné potvrzení o přijetí od ostatních zemí jsou postiženy touto hrozbou by banky v jiných zemích používají stejný software Bankomat být v ohrožení.
Technické vlastnosti Backdoor.Ploutus
Běží jako služba systému Windows s názvem NCRDRVPS Zločinci vytvořil rozhraní pro interakci s ATM software na sníženou bankomatu skrze třídu NCR.APTRA.AXFS Jeho jméno je binární PloutusService.exe To bylo vyvinuto s. NET technologií a zakódovány pomocí software Confuser 1,9 To vytvoří skryté okno, které lze spustit zločinci komunikovat s bankomatu Interpretuje určité kombinace kláves, které do zločinců, například příkazy, které lze přijímat buď externí klávesnici (který musí být připojen k bankomatu), nebo přímo z klávesnice Akce prováděné Backdoor.Ploutus
Vytvořit Bankomat ID : Náhodně generované číslo přiřazené ohrožena ATM, založený na aktuální den a měsíc v době infekce. Aktivace ATM ID : Nastavuje časovač pro peníze vydávají. Malware se peníze vydávají pouze v rámci prvních 24 hodin poté, co byl aktivován. Aplikujte hotovosti : peníze vydávají na základě množství požadované zločinci. Restart (služba): Obnovit obejít časový interval. Seznam příkazů uvedených výše musí být provedena v pořadí, protože musí používat non-prošlou aktivaci ATM ID vydávat hotovost.
Zdrojový kód obsahuje španělské názvy funkcí a nízkou anglickou gramatiku, která naznačuje, malware může být kódováno španělsky mluvících vývojářů.
Interakce s Backdoor.Ploutus pomocí klávesnice
Jak již bylo zmíněno, tento typ interakce nevyžaduje další klávesnice, které mají být připojeny.
Následující příkaz kódy, zadat pomocí klávesnice ATM a jejich účel jsou následující:
12340000 : Chcete-li otestovat, zda je klávesnice přijímat příkazy.
12343570 : Vytvořit Bankomat ID, který je uložen v položce DATAA v souboru config.ini.
12343571 XXXXXXXX: Má dvě akce:
Aktivace Bankomat ID generováním aktivačního kódu na základě kódovaného ATM číslo a aktuální datum. Tato hodnota je uložena v DATAC položky v souboru config.ini. Osm bajtů načítají musí být platná kódovaný ATM ID generované funkce nazývá CrypTrack (). Platný ATM aktivační kód musí být získáno, aby ATM obejít hotovosti. Generování časového úseku: Nastavuje časovač pro peníze vydávají, bude hodnota uložena v datab položky v souboru config.ini. 12343572 XX: Příkazy bankomat na peníze vydávají. Odstraněné číslice představují počet účtů k okamžitému použití.
Interakce s Backdoor.Ploutus přes GUI
Tato metoda vyžaduje použití externí klávesnice.
F8 = Pokud Trojan je okno skryto pak je zobrazí na hlavní obrazovce bankomatu, což zločinci posílat příkazy.
Po Trojan se zobrazí okno, následující klíčové příkazy vydané stisknutím příslušné klávesy na klávesnici:
F1 = Generovat Bankomat ID
F2 = Aktivovat Bankomat ID
F3 = dávkujte
F4 = Zakázat Trojan okno
F5 = KeyControlUp
F6 = KeyControlDown
F7 = KeyControlNext
F8 = KeyControlBack
Obrázek. Trojan klávesové zkratky
Aplikujte proces ohrožena
Je jasné, že zločinci mají reverzní inženýrství ATM softwaru a přišel s rozhraním k interakci s ním, a přestože nejsme ATM architekti, založené na kódu Prověřili jsme my můžeme odvodit, že Backdoor.Ploutus má následující funkce :
To bude identifikovat dávkovače zařízení v bankomatu. To pak dostane počet kazet v zásobníku a zatížení je. V tomto případě se předpokládá, že malware je maximálně čtyř kazet v zásobníku, protože ví, že se koncepce ATM modelu. Dále se vypočítá částku upustit na základě vyúčtování poskytnutých počtu, který je vynásobený hodnotou peněžních jednotek. To pak spustí vydávají hotovost operaci. Pokud se kterýkoli z kazet mají méně než 40 jednotek (účty) jsou k dispozici, pak místo dávkování požadovanou částku, bude vydávat všechny své zbylé peníze uložili k dispozici v té kazetě. Nakonec to bude opakovat krok pro všechny zbývající čtyři kazety, dokud se všechny peníze zpět z bankomatu. Bankomaty lze chrlit hotovosti na místě, blízko vás ...
Co tento objev zdůrazňuje, je zvyšující se úroveň spolupráce mezi tradičními fyzický svět zločinců s hackery a zločinci. Se stále rostoucí využití technologií ve všech aspektech bezpečnosti, tradiční zločinci si uvědomují, že k provedení úspěšné loupeže, nyní vyžadují jiný soubor dovedností, které nebyly požadovány v minulosti. Moderní zloději bankovní den, nyní je třeba kvalifikovaných IT odborníků z praxe o jejich týmu, které jim pomohou plnit jejich loupeže. Tento typ, co se děje nejen ve filmech, to se děje v reálném životě, možná u bankomatu u vás.
Lavabit Zakladatel odmítl být "Listening Post" na FBI 12.10.2013 Zabezpečení | Ochrana
Tváří v tvář neudržitelné rozhodnutí stát to, co nazval "naslouchá" pro FBI, Lavabit zakladatel Ladar Levison řekl, že etickou povinnost svým zákazníkům a Společenství vypnutí zabezpečeného e-mailovou službu používá informátorů NSA Edward Snowdena.
Levison, který tento týden podal odvolání k soudu náročné SSL klíče, které by uvolnil veškerý provoz přicházející dovnitř a ven z jeho podnikové síti, dal rozsáhlý rozhovor s rádiem CBC aktuálního programu . Řekl kanadské prokázat, že jeho společnost je osud byl zpečetěn den FBI se ukázal na jeho prahu, kteří hledají pomoc, protože kdyby se obrátil na klíče v tajemství federálních úřadů a bylo zjištěno, že Lavabit zákazníci utekli.
Levison řekl, že věří, že jsou tři věci, které by měly být v držení strach a nade vše utajení: systém hesla, šifrovací klíče a zdrojový kód.
"Byly ty náročné šifrovací klíče. Byly náročné na heslo pro mé podnikání 'identity a poté, co měl, mohli vydávat za své podnikání a zachytit vše, co přichází dovnitř a ven z mé sítě: hesla, čísla kreditních karet, uživatelská jména, obsah e-mailu, rychlých zpráv, všechny , který byl zajištěn tento soubor šifrovacích klíčů, "řekl Levison.
Levison řekl, že FBI chce sledovat všechny pohyby svých zákazníků, a to nejen Snowdenová let, jehož jméno bylo redigován ze soudních dokumentů, jako cíl FBI. Komentář si zaslouží vědomí, protože tento týden během CATO Institute programu celodenní dohled na NSA , ACLU hlavní technolog Chris Soghoian uvedenými společnostmi, jako Lavabit, bezpečné zpracování zpráv poskytovatele Silent Circle a bezpečné zálohování specialisté SpiderOak, se rozlišují podle soukromí a bezpečnostní prvky ve svých produktech .
"Spojené státy jsou lídrem v oblasti malé a střední podniky, které poskytují bezpečné komunikační služby," Soghoian řekl během panelové diskuse. "Když americká vláda nutí k Lavabit dodržovat, je to rozsudek smrti. Dodržujte, a vaše reputace je zničena. Bezpečné komunikační služby jsou v ohrožení. Měli bychom chtít tuto část ekonomiky k růstu. "
Levison zopakoval během CBC rozhovoru, který nechtěl rozvrátit důvěru jeho společnost postavit se svým uživatelům otočením po klávesách v tajnosti a jsou nuceni ze zákona mlčet o tom, i když věřil, že FBI byla nad její statutární orgán v náročných Lavabit SSL klíče.
"Měl jsem lidi mi říkají, že vláda ji popisuje jako mezera v jejich síť epidemiologického dozoru," řekl zabezpečených zpráv služeb, jako je Lavabit. Vláda dokonce popsal svou frustraci Tor anonymita sítě v Snowdenová dokumentech, zejména prezentaci NSA názvem "Tor zapáchá," propuštěn Guardian minulý týden. "Jsi jeden z mála služeb ponechány v USA nejsou aktivně sleduje," řekl Levison mu bylo řečeno. "Chtěli uzavřít tu mezeru ve své monitorovací síť. Ale kvůli tomu, jak to bylo navrženo, jediný způsob, jak uzavřít tu mezeru měl dát monitorovací zařízení v síti a požadovat své šifrovací klíče. Pár, který se zuřivostí, s níž se chtěl udržet v tajnosti, že to ještě více nepříjemné. "
Levison řekl sága začala v květnu, kdy agent FBI nechal vizitku na dveře spolu s poznámkou, žádat jej o schůzku. Levison a agent výměna e-mailů a Levison řekl, že FBI chce klást otázky o jeho služby, zjednodušení procesu podávání obsílky a dostat ho zapsal do Infragard.
Lavabit byl POP nebo IMAP e-mailových služeb nabízí bezplatnou službu spolu s placenou verzi, která také nabízí bezpečné úložiště, které je součástí šifrování e-mailových zpráv. Řekl, že FBI chce provádět dohled na nejmenovaný zákazník-Levison řekl, že nevěděl, kdo Snowdenová byl v té době a chtěl schopnost zachytit nejen své heslo, ale obsah, nahrát a poslat jej zpět na své servery.
"Když FBI poprvé oslovil mě se soudním příkazem dne 28. června, řekli mi, že jedou po obsahu, hesla a metadat," řekl CBC Levison. "Teprve když jsem si právníka jsem si uvědomil, že má právo pouze na metadata. Ve skutečnosti jsem chtěl přidat kód, který by přihlášení metadata denně a zase, že se k nim. FBI odmítl nabídku a pokračovala ve své SSL klíče. "
Levison řekl, že FBI chce shromažďovat metadata a další informace na vlastní pěst z jeho podnikové síti, a odmítl mu transparentnosti, které on žádal, aby byly sběr dat pouze na tomto jednom konkrétním zákazníkem.
"Říkali, že" Dejte nám Vaše osobní údaje a věřte nám, "řekl Levison. "A to není obhajitelné pozice pro mě."
Wired dnes oznámila na odvolání Levison je na 4. ročníku soudu USA obvodní žádostí a má také plnou 42-stránkový dokument je k dispozici na jeho internetových stránkách.
Falešná Objednat faxem na registrátora vede ke znetvoření Metasploit 12.10.2013 Kriminalita | Zabezpečení
Pro-Palestina hacker kolektivní šel ze staré školy v Takedown na Metasploit a Rapid7 webových stránek dnes.
Metasploit tvůrce a HD Moore potvrdil přes Twitter, že Metasploit.com byl hacknutý přes falešnou žádost změny DNS zaslané faxem na svého tajemníka, Register.com.
"Hacking jako by to bylo 1964," Moore tweeted před krátkou dobou.
Hacking skupina známá jako KDMS unesli DNS záznamy a nahradil příslušné dvě místa "domovské stránky, s poznámkou, prohlašovat, odpovědnost za tento útok a podobné hacky proti jiným bezpečnostních společností.
"Ty jsi jeden z našich cílů," psali. "Proto jsme tady." Skupina také zanechal politicky nabitou prohlášení týkající se osvobození Palestiny.
DNS únos Útok byl vyřešen během jedné hodiny, řekl Moore.
"Přijali jsme opatření k řešení tohoto problému, a obě lokality jsou nyní uzamčeny," Rapid7 uvedl v prohlášení. "Omlouváme se za přerušení služeb, a neočekávám žádné další důsledky pro naše uživatele a zákazníky v tomto okamžiku. Budeme všichni vyslán jako bychom se dozvědět více, ať komunita vědět, jestli je třeba jednat. "
Moore varoval v jiném souboru zpráv, Twitter, že tato skupina má schopnost změnit jakoukoli doménu zaregistrovali Register.com. On také potvrdil Metasploit a Rapid7 nastavení DNS dočasně ukázal 74 [.] 53. [.] 46. [.] 114.
Začátkem tohoto týdne, KDMS prohlásil odpovědnost za útok na podobný jinému registrátorovi Network Solutions. Skupina byla schopna změnit DNS záznamy spravované Network Solutions pro řadu bezpečnostních agentur a přesměrovat provoz na Hacker kontrolované domény.
LEASEWEB, velký poskytovatel hostingu, zveřejněny v pondělí, že zjištěné nebezpečné činnosti ve své síti a hackery se podařilo přesměrovat provoz z leaseweb.com do jiné domény v DNS záznamy byly změnilo.
"Žádné vnitřní systémy byly ohroženy," LEASEWEB napsal na jeho blogu v pondělí. "Jedním z bezpečnostních opatření máme v místě je k ukládání dat zákazníka odděleně od všech veřejně přístupných serverů, nemáme žádný náznak toho, že data zákazníků byla ohrožena v důsledku tohoto DNS únosu."
Zpočátku, to bylo věřil, že hack LEASEWEB se týkala zneužít chyby zabezpečení WHMCS, ale LEASEWEB řekl, že to není tento případ.
"Právě teď, zdá se, že únosci získali správce domény heslo a používají tyto informace pro přístup k registrátora," řekl LEASEWEB.
Tento článek byl aktualizován na 11 hod. ET s prohlášením Rapid7.
Mobile Security trendy, obavy a misperceptions 12.10.2013 Mobil | Zabezpečení
PayPal a National Cyber Security Alliance představila výsledky z nového Zogby Anketa zvýrazňuje nejnovější trendy, obavy a nepochopení, kolem mobilních zabezpečení a obchodu. národní průzkum více než 1000 dospělých Američanů podtrhuje, jak hluboce zakořeněné v každodenním životě Američana mobilní zařízení se stávají . Například dvě třetiny lidí dotazovaných v průzkumu nám řekl, že jeho smartphone není nikdy dál než jeden pokoj pryč, a jeden z deseti z nich, aby jejich telefon po ruce všude, kam jdou, s možnou výjimkou koupelny. Kromě toho průzkum zdůraznil rostoucí význam mobilních zařízení jako nástroj pro nakupování, s jedním ze čtyř respondentů hlásí, že absolvovat alespoň jednu transakci za den na svém smartphonu, zatímco jeden ze šesti říkají, že to, aby alespoň 25 procent všech svých nákupů na svém smartphonu . "Mobilní zařízení představují jedinečné bezpečnostní výhody, včetně informací o poloze a biometrické autentizace. Podle našeho průzkumu, více než polovina mobilních spotřebitelů jsou pohodlné využívání biometriky ověřit sami na mobilních zařízeních. Mnoho uživatelů si neuvědomuje, že informace o poloze mohou pomoci odhalit a zabránit podvodné transakce. Například, pokud transakce se koná v San Francisku a jeden v Dallasu o pár minut později, můžeme vyšetřovat podezřelé aktivity, "řekl Andy Steingruebl, ředitel ekosystémů zabezpečení, PayPal. Průzkum také odhalil všeobecný pocit neklidu o zabezpečení finančních informací na mobilních zařízeních, pokud ke ztrátě nebo odcizení, a dal jasně najevo, že mnozí lidé nejsou podniknout kroky nezbytné používat své mobilní zařízení bezpečně. Například téměř 70 procent Američanů věří, že ukládání informací o platbách jejich smartphone je nebezpečné. Průzkum také zjistil, že 63 procent lidí, kteří nemají jasnou představu o tom, co finanční informace jsou uloženy na jejich smartphonů a více než polovina neblokují jejich mobilní zařízení pomocí kódu PIN. NCSA a PayPal nabízí následující tipy: vždy aktivujte PIN nebo zamykací funkce pro mobilní zařízení: PIN je nejjednodušší a nejdůležitější věc, kterou můžete udělat, aby byla zajištěna bezpečnost na svém mobilním zařízení, zejména je-li ke ztrátě nebo odcizení. Automatizace aktualizace softwaru: Mnoho softwarových programů automaticky připojit a aktualizovat bránit proti známým rizikům. Zapnutí automatických aktualizací na vašem mobilním zařízení, pokud je to k dispozici na objednávku. Používejte zdravý rozum při stahování aplikací: Neznámé nebo přeskupují aplikace mohou obsahovat škodlivý software navržen tak, aby krást finanční informace z mobilního zařízení, takže vždy koupit nebo stáhnout aplikace od firem, kterým důvěřujete a zkontrolovat recenze. Při instalaci nových aplikací, recenze oprávnění a rozhodnout, zda jste ochotni poskytnutí přístupu, že žádost žádá o. Enable "Find My Device": Pokud váš telefon, dopravce nebo antivirový software podporuje "najít mé zařízení" funkce, je to dobrý Myšlenka pro jeho aktivaci. Tato funkce vám pomůže najít váš přístroj, pokud je to ke ztrátě nebo odcizení, a zajistěte jej nebo otřete ji na dálku, pokud potřebujete. Zálohování zařízení: Je důležité zálohovat zařízení na pravidelném základě. Některé operační systémy nabízejí tuto možnost jako automatické služby. Pokud budete někdy potřebovat vykonávat funkci vzdáleného vymazání výše uvedené, budete rádi, že máte aktuální zálohu, kterou lze obnovit do nového zařízení. Průzkum zjistil, že mnozí lidé jsou otevřeni novým přístupům k mobilní bezpečnosti, které by zvýšily jejich bezpečnost . Zejména existují silné náznaky, že mnozí lidé jsou ochotni využít biometrických technologií, aby se ochránili před mobilních bezpečnostních hrozbách. Průzkum zjistil, že Američané jsou ohromně pohodlné výměně hesel s novými bezpečnostními technologiemi, jako je identifikace otisků prstů (53 procent) a sítnice prověřování (45 procent).
Barracuda rozšiřuje na Windows Azure 12.10.2013 Zabezpečení
Barracuda Networks rozšířila počet svých produktů dostupných na platformě Windows Azure cloudu.
"Barracuda Web Application Firewall, Barracuda NG Firewall jsou a Barracuda Load Balancer ADC produkty navrženy tak, aby pomohl organizacím bezpečně nasadit hybridní cloud prostředí," řekl Stephen Pao, GM bezpečnost, Barracuda. "Tato rozšířená nabídka poskytuje pokročilou poskytování aplikací a rozšiřuje vzdálený přístup k síti rozšířit bezpečnostní nabídky jsou k dispozici na platformě Windows Azure cloud." "Microsoft výhled na bezpečnost jako nejvyšší prioritu, a Windows Azure zákazníci těžit z tohoto základního zaměření v našich datových centrech a naše oblačnosti nabídky, "řekl Bob Kelly, korporátní viceprezident pro obchodní rozvoj společnosti Microsoft." Jsme nadšeni, že Barracuda rozšiřuje své bezpečnostní nabídky, které běží na Windows Azure pomoci poskytovat další zabezpečení pro aplikace, našim společným zákazníkům a dat. " Barracuda Web Application Firewall, jeden z prvních firewallů webových aplikací a platforem pro poskytování aplikací dostupných na Windows Azure, získal tržní síla na zajištění aplikace hostované na Windows Azure. Nové oblačnosti edice Barracuda Web Application Firewall, Barracuda NG Firewall a Barracuda Load Balancer ADC Povolit zákazníkům rozšířit jejich nabídku přijmout cloud nasazení. Podnikoví zákazníci, kteří chtějí migrovat do cloudu nebo nasadit hybridní cloud infrastruktury by mohly těžit z aplikace zabezpečení a vzdálený přístup k Windows Azure.
Facebook Ochrana osobních Funkce nadobro pryč 11.10.2013 Zabezpečení | Ochrana
Koncem loňského roku největší sociální síť, oznámila, že začne odstraňování populární soukromí funkci, která umožní uživatelům upravit otázku, zda ostatní uživatelé mohli vyhledávat a lokalizovat jejich profily s funkcí vyhledávání na Facebooku.
V době své původní oznámení, sociální sítě obří odstraněna vlastnost - tzv. "Kdo se podívat do mé Timeline jménem?" - Pro každého, který nebyl již používáte. Včera řekl, že Facebook začne ji vyjměte všechny ostatní uživatele stejně, zcela eliminovat funkčnost během příštích několika týdnů.
Funkce žije na Facebook nastavení ochrany osobních údajů stránce nabízí uživatelům tři různé úrovně soukromí, pokud jde o způsob, jakým uživatelské profily jsou indexovány stránek vyhledávači. Uživatelé mohli vybrat, kdo směl vyhledat jejich profilů podle jména: Pouze přátelé, přátelé přátel, nebo každý (výchozí nastavení).
privacymashercroppedfadedhighres (1)
"Ať už jste s nastavením, nebo ne, nejlepší způsob, jak kontrolovat, co lidé mohou najít o vás na Facebooku, je vybrat si, kdo může vidět jednotlivé věci, které sdílejí," napsal Michael Richter, Facebook Chief Privacy Officer.
Jinými slovy, mohou uživatelé Facebooku manipulovat viditelnost každého jednotlivého příspěvku se zveřejní, když ji publikovat, ale nemohou kontrolovat, zda jejich profil je indexován vyhledávací funkce Facebooku,
"Nastavení také Facebook je vyhledávací funkce cítí zlomený občas," řekl Richter. "Například lidé nám řekli, že zjistil, že je to matoucí, když se snažili hledají někoho, kdo by znal osobně a nemohl najít ve výsledcích vyhledávání, nebo když se dva lidé byli ve skupině na Facebooku a pak nemohl najít navzájem přes hledat. "megafon x (1)
Neskutečná AmEx "Neobvyklé zjištěna aktivita" email vede k phishingu 11.10.2013 Phishing | Zabezpečení Velmi důkladné phishing kampaň je v současné době zaměřuje American Express zákazníky se snaží, aby uvěřili, že přístup ke svému účtu, bude omezen do 48 hodin, pokud nemají aktualizovat informace o účtu. "Zjistili jsme, nepravidelné aktivity na vašem American Express," říká v e-mailu. "Jako primární kontaktní osoba, musíte ověřit aktivitu účtu, než budete moci pokračovat v používání karty a po ověření, budeme odstranit jakákoli omezení, umístěné na vašem účtu." Kliknutím na přiloženém odkazu, jsou oběti přesměrováni na falešnou AMEX webové stránky, kde jsou nuceni přihlásit se svým uživatelským jménem a heslem. Poté, co jste udělal, že jsou konfrontováni s jinou zprávu vyzývat aktualizovat své osobní údaje: ". Nejedná se o volitelný krok, pokud nechcete dokončit následující formulář, budeme nuceni zamknout svůj účet" forma, kterou " potřeby ", které mají být vyplněny žádá o bucketload osobních a finančních informací, které by neměly být sdíleny s jen někdo (jméno, adresa, rodné číslo, telefonní číslo, AmEx číslo účtu, číslo kreditní karty, datum narození atd.): A pak, na finále Grand se phishingu požádat oběti zadejte svůj e-mailovou adresu a heslo k e-mailovému účtu. Sdílení těchto informací je opět definována jako "Tato volba není povinná." Nakonec se oběti přesměrováni na legitimní stránky AmEx, ale všechny potřebné informace, které phisherů unést AMEX obětí účet a dokonce vydávat je online a offline již někdo ukradl. "Počáteční e-mailu je docela hrubý pokus. Paradoxně však falešné webové stránky používané v podvod jsou poměrně sofistikované," poukazuje na to, Hoax-Slayer, a doporučuje uživatelům nikdy se přihlásit do jakékoli on-line účty klepnutím na odkaz v e-mailu. Uživatelé, kteří padli pro režim se doporučuje kontaktovat American Express co nejdříve, aby tuto záležitost, a okamžitě změnit všechna hesla, které sdílejí s phisherů.
GFI Software uvádí na trh cloud-based webovou službu ochrany
11.10.2013 Software | Zabezpečení
GFI Software oznámila přidání své webové služby k ochraně GFI Cloud , která umožňuje malým a středním manažerům IT snížení expozice z webových bezpečnostních rizik a ztráty produktivity tím, že řídí přístup k Internetu a použití na firemních počítačích - bez ohledu na to, zda jsou in-house nebo ve vzdálených lokalitách. Neřízené prohlížení internetu může vést k bezpečnostním rizikům, právní závazky, ztráty produktivity a pásma kanalizace, ale zdroje popruhy IT administrátorů často nemají čas nebo rozpočet objevovat a spravovat webové monitorovací řešení. S webovým GFI Cloud konzoly pro správu mohou správci být v provozu během několika minut. Klepněte na tlačítko a povolit přístup umožňuje IT administrátorům snadno získat kontrolu prohlížení webových stránek na všech počítačích ve správě. Web Protection nabízí vylepšené funkce zabezpečení webu, což umožňuje administrátorům mít plnou kontrolu nad bezpečností v celé jejich distribuované infrastruktury snadno chránit počítače z webových stránek tlačí malware, phishing stránky, proxy, spyware, adware, spam a botnety. Web Protection zajišťuje, že většina škodlivého kódu na internetu je blokován v okamžiku žádosti, zajistí, že se nikdy dělá to na koncový bod, ať už je to servery, klientské PC nebo notebooku. Každých pět minut počítače jsou chráněny před nejnovějšími hrozbami zabezpečení webu. Se Web Protection je filtrování URL schopnosti, mohou správci použít filtrování webového obsahu politiky, jako je například čas-založené prohlížení pravidel, ve více než 80 různých kategorií webových stránek, což umožňuje uživatelům zachovat produktivitu a chránit podniky z bezpečnostních rizik a právních závazků. Navíc Web monitorování funkčnosti pomáhá administrátorům zůstat na vrcholu využití šířky pásma pomocí real-time grafické zpráv a automatické upozornění při dosažení definované šířky pásma prahy. Pomocí těchto nástrojů, mohou správci snadno odhalit nadměrné využití šířky pásma pro jednotlivá zařízení, URL nebo kategorie webových stránek a rychlé nápravě problému, aby se zabránilo nežádoucím náklady a síťové napětí. "Malware je stále sofistikovanější ze dne na den, a zločinci se zaměřují na uživatele ze všech stran - na stránkách sociálních médií, a to prostřednictvím unpatched software, ve výsledcích vyhledávání, a seznam pokračuje, "řekl Sergio Galindo, vedoucí celosvětového produktového managementu v GFI Software. "Bezpečnostní rizika se zvyšuje každou minutu, ale SMB správci IT se potýkají se stejnými napjatých rozpočtů a tenkých zdrojů. GFI Cloud pomáhá správcům překonat tyto problémy tím, že poskytuje cenově dostupný, snadný-k-použití, multi-vrstvený přístup k zabezpečení, které lze spravovat prostřednictvím jediné, cloud-based konzole. Výsledkem je komplexní ochranu před hrozbami na cenu a úroveň jednoduchosti, že zdroje připoután správci poptávky. Naše řešení poskytuje SMB správci IT větší důvěru v jejich bezpečnost IT a obchodních strategií.
Microsoft Bounty Vítěz Najde výhra venku Comfort Zone
11.10.2013 Zranitelnosti | Zabezpečení
Dejte Jamese Forshaw dobrou logickou chybu přes paměť zabezpečení týkající se poškození kterýkoliv den v týdnu.
Australský vědec říká, že by raději pracovat s nedostatky v kódu vylézt z karantény zabezpečení aplikace, než zase fuzzer proti kusu softwaru a rozpoznat nevracení paměti. Ale motivována nedávným oznámením společnosti Microsoft, že to bylo nabízí velké peníze pro nové zmírnění by-pass technik, Pokušení bylo příliš velké pro Forshaw nechat ujít.
Odměna přišla v úterý, kdy po šesti týdnech výzkumu a laděním kód zneužití, byla Forshaw získal 100.000 dolary na as-of-přesto nejmenovaný obchvatu paměťových ochrany systému Windows . Většina peněz, spolu s podobným 9400dolar Internet Explorer odměnu vyplacenou v pondělí půjde na zabezpečení zaměstnanců Forshaw v kontextové informace Londýna financovat bezpečnostní výzkumný tým tam.
"[Microsoft] má skoro zakázala mě uvedením každý detail," řekl Forshaw. "Co mohu sdílet je, že přemostění pro řadu platforem zmírňování, které vám umožní dostat spuštění kódu bez trápí DEP a ASLR."
Zabránění spuštění dat a rozvržení adresního prostoru randomizace jsou Exploit ke zmírnění dopadů na domácí v systému Windows a další operační systémy, které mají zabránit spuštění kódu v oblastech paměti, kde to by nemělo. Četné využije, včetně nedávného Internet Explorer nulové den, byli schopni porazit nebo obcházet obě skutečnosti snižující závažnost rizika, ale to neznamená, že to není výzva pro výzkumné pracovníky a hackery podobně.
"Takže jsem napsala exploity, které jdou po těchto druhů technologií v minulosti, existují různé způsoby, jak porazit ASLR a DEP získat úniku informací nebo si dll práce, které nejsou ASLR povoleno (např. IE nula den podařilo) , "řekl Forshaw. "Ale já jsem spíš nálezce logických chyb, než poškození paměti."
Začátkem tohoto roku na Pwn2Own, Forshaw inkasoval s exploitu Java pro zabezpečení v důvěryhodné třídě v rámci Java , která mu umožnila obejít pískoviště a vzdáleně spustit kód . To byla chyba Java oprava v dubnu s vydáním Java 7u21 a výzkumník vysvětlil v blogpost krátce nato, že jeho kód mu dovolil vypnout bezpečnostní manažer v Javě a spuštění škodlivého kódu jako důvěryhodné.
Microsoft inženýr Thomas Garnier také podobný útok jako ten předložené Forshaw, ale Microsoft senior bezpečnostní stratég Katie Moussouris řekl Forshaw Vstup byl hodný plnou výplatu, poprvé od bounty byl oznámen.
"Microsoft inženýři jako Thomas se neustále hodnotí způsoby, jak zlepšit bezpečnost, ale Jamesův podání byl tak kvalitní a nastínil některé další varianty takové, že jsme chtěli udělit mu plnou odměnu 100.000 dolar," řekl Moussouris.
Forshaw řekl, že tři týdny jsme dělali výzkum vztahující se k jeho obchvatu.
"Jednou jsem přišel s něčím, co jsem cítil, byl životaschopný, jsem předložil, a dozvěděl před dvěma týdny Microsoft přijal vstup," řekl Forshaw. "Myslím, že jsem byl trochu asi o 50 procent, že to bude přijato. Bylo tam pár věcí, které nebylo zcela jasné, z pravidel, zda by splňovaly jejich bar. K dispozici je sedm kritéria splňují, a cítil jsem se s nimi setkal vůbec, ale to bylo trochu napjaté době. "
Podle společnosti Microsoft, bypass podání musí prokázat nový způsob využití vzdálené spuštění kódu v systému Windows a musí být schopen využívat aplikaci, která využívá stack a heap korupci zmírňování stejně jako code-exekučního zmírňování. Bypass musí také splňovat sedm kritérií: musí být obecně v tom, že je použitelná pro více než jeden zranitelnosti poškození paměti, exploit musí být spolehlivé a mají přiměřené požadavky, musí být použitelné pro vysoce rizikové aplikace, jako prohlížeče nebo dokumentu čtenář, ale musí být na žádosti uživatelského režimu, ale musí také zaměřit na nejnovější verzi produktu společnosti Microsoft, a to musí být román, uvedl Microsoft.
"To byl aspekt novosti Bál jsem se o," řekl Forshaw. "Nemohl jsem se s jistotou říci, nikdo nikdy používal předtím. Udělal jsem due diligence na mé technice, zda to bylo publikována nebo jinak použita v hněvu předtím. Nemohl jsem najít nic. "
Při výhře více než 100000 dolarů tento týden mohou držet účetní v kontextu s úsměvem, Forshaw také vzal spokojenost s vědomím, že je na podobné dráze jako inženýr Microsoft intimní s kódem Windows.
"Existuje poměrně chytří lidé Microsoftu aktivně při pohledu na tyto věci. Bití je je docela problém, "Forshaw a dodal, že mnohem raději tyto typy defenzivní orientovaných soutěžích. "Myslím, že je to určitě zajímavý přístup, aby se, více se zaměřit na obranný než útočné straně. Pouze Microsoft je v pozici, aby to udělal, Google by mohl být schopný také s Chrome OS. Microsoft je moudré zvolit tento přístup oproti all-out free-for-all najít chyby. "
WhatsApp šifrování chyba ukázalo, POC zveřejněny kód
10.10.2013 Zranitelnosti | Zabezpečení
Holandský výzkumník říká, že řešení pro šifrování provádí populární multiplatformní IM služby WhatsApp je vadný. Tvrdí, že společnost nemyslel to tak dobře, jak by měl, a že uživatelé by si měli uvědomit, že jejich WhatsApp zprávy by mohly být snadno dešifrovat útočníky. WhatsApp má svůj spravedlivý podíl problémů Ochrana osobních údajů a společnost zavedla zprávu Šifrování v srpnu 2012, ale nebyla specifikována, co šifrovací metoda je použita. Nyní, díky Thijs Alkemade, informatika a matematika student na univerzitě v Utrechtu a Lead Developer pro Adium, open-source IM klienta pro Mac OS X, víme, že Nejenže WhatsApp používat stejný (RC4) šifrovací klíč pro zprávy v obou směrech, ale také stejný HMAC klíč pro ověření zprávy. "Ale MAC samo o sobě nestačí k odhalení všech forem manipulace: útočník mohl klesnout specifické zprávy, které je swap, nebo dokonce přenášet je zpět odesílateli, "řekl poukazuje . TLS pulty tím, že včetně pořadové číslo ve formátu prostého textu každé zprávy a pomocí jiného klíče pro HMAC pro zprávy ze serveru na klienta a zpráv od klienta k serveru. WhatsApp nepoužívá takový čítač sekvencí, a to opakovaně klíč použitý pro RC4 pro HMAC. " Aby jí dokázal svou pravdu, on také vytvořil skript v Pythonu, který může zachytit zprávy WhatsApp a která se snaží dešifrovat příchozí zprávy hádat vłechna odchozí zprávy. Když po reprodukovat výsledky s úřední client WhatsApp, on pokračoval s výzkumem a prokázaly , že oficiální Android a Nokia S60 klienti jsou tak zranitelné. "Měli byste předpokládat, že každý, kdo je schopen odposlouchávat vaše připojení WhatsApp je schopen dešifrování zpráv, daný dost úsilí. Měli byste zvážit všechny své předchozí WhatsApp ohrožena rozhovory, "dodal s tím, že WhatsApp uživatelé nemohou dělat nic, aby se ochránili - kromě přestat používat aplikace, dokud nebude možné aktualizovat odstranit nedostatky. Zdá se, že řešení je jednoduché: Vývojáři by měli zvážit použití "řešení, která byla přezkoumána, aktualizována a stanoveny pro více než 15 let, jako TLS."
Co se můžeme naučit od ICS / SCADA incidentů zabezpečení? 10.10.2013 Zabezpečení Stále se zvyšující počet nedávných bezpečnostních incidentů proti průmyslových řídicích systémů / SCADA vyvolávají otázky o schopnosti mnoha organizací reagovat na kritické události, stejně jako o jejich analytické schopnosti. Proaktivní vzdělávací prostředí pomocí ex-post analýz incidentů je tedy klíč, podle agentury ENISA.
ICS jsou široce používány pro řízení průmyslových procesů pro výrobu, výrobu a distribuci produktů. Často obchodní, se používá zastaralé off-the-police software. Známé typy ICS patří dispečerské řízení a sběr dat (SCADA), kde se systémy SCADA jsou největší ICS podskupina. Poslední ICS / SCADA incidenty podtrhují důležitost řádné správy a řízení infrastruktury SCADA. Zejména schopnost reagovat na kritické události, stejně jako schopnost analyzovat výsledky útoku, aby se učili z těchto incidentů je rozhodující. ENISA vydala bílou knihu dávat doporučení týkající se prevence a připravenosti pro agilní a integrovaná reakce bezpečnostních kybernetických útoků a incidentů proti průmyslových řídicích systémů. Jsou identifikovány čtyři klíčové body pro proaktivní vzdělávací prostředí, které bude zase zajistí rychlou reakci na počítačové incidenty a jejich následné analýzy:
Doplnění stávající kvalifikační základnu s ex-post analýzy odborných znalostí a porozumění překrývání mezi počítačovými a fyzikálních kritických týmy incidentů; Usnadnění integrace počítačové a fyzické reakce procesy s větším pochopením, kde může být využívání digitálních důkazů se nachází a co se vhodná opatření k jeho zachování by bylo; Projektování a konfiguraci systémů takovým způsobem, který umožní uchovávání digitálních důkazů, a Zvýšení inter-organizační a mezistátní spolupráce úsilí. Výkonný ředitel agentury ENISA komentářů profesora Udo Helmbrecht: "SCADA systémy jsou často zakotveny v odvětvích, která jsou součástí národa kritické infrastruktury, jako například řízení distribuce elektrické energie a doprava, což je stále atraktivnější potenciálním cílem kybernetických útoků, od nespokojený Zasvěcenci a disidentské skupiny, do cizích států. Tyto systémy by měly být provozovány způsobem, který umožňuje sběr a analýzu digitálních důkazů identifikovat, co se stalo během narušení bezpečnosti. "
HTTPS pracuje uživatelů se zlými úmysly
10.10.2013 Zabezpečení| Hrozby
Infikované webové stránky se objeví na internetu doslova každý den. Patří mezi ně osobní blogy na WordPress, který se nakazí během hmoty, automatizované útoky, a na stránkách hlavních médií, z nichž každý uživatel se zlými úmysly napadnout ručně po několika přípravných kroků. Všechny tyto zdroje doplnit arzenál tzv. "dopravní obchodníky" - Počítačoví zločinci, kteří přesměrování návštěvníků na infikované webové stránky na on-line zdrojů, jejich malware psaní klienty. Nakonec uživatel podezření, nic, se může stát obětí drive-by útok , a pokud prohlížeč uživatele nebo prohlížeče plug-iny mají potřebné chyby, bude malware stahovaného souboru a jsou instalovány na počítače oběti.
Společnost Kaspersky Lab má systém, který automaticky detekuje a navštíví infikované webové stránky za účelem sběru nebezpečného vzorku a zaslat jej na naší virové laboratoře pro výzkum. Aby bylo zajištěno, tento systém je nejúčinnější, pokud jde o detekci on-line hrozeb, jsou infikované webové stránky studovány virových analytiků. Díky přesnému a pozornosti ze forenzní zkoušející, jsou schopni určit, jak jsou zahájeny útoky, když uživatel navštíví webovou stránku.
Jednou, že forenzní zkoušející byl já. Jsem byl přidělen webové stránky, který byl příčinou obětí počítače stáhnout škodlivý software, a použil jsem volný HTTP ladění služby Fiddler a začal zkoumat jeho obsah. Za prvé, jsem se podívat se na webové stránky v stránkách, hledá pro některou z běžných příznaků web infekce, jako <script> a <iframe> značek, které by přesměrování návštěvníků na škodlivé webové zdroje. Nenašel jsem nic tagy, a to přišlo jako žádné překvapení, protože webové stránky hackeři zřídka nechat odkazy na malware venku. Pečlivě jsem zkoumal všechny soubory JavaScriptu na webových stránkách - ale nenašel jsem tam něco, a to buď. Tam bylo několik flash videa na internetových stránkách, které jsem věděl, že může být také použit ke stažení malware. Rozešla jsem je dolů a podíval se na každé z nich. Bohužel, nebylo ani stopy škodlivého kódu tam, a to buď. Takže co přesně se tady děje? Ověřil jsem si a znovu zkontrolovat tyto prvky, ale nemohl najít nic.
Moje pozornost pak se obrátil k nenápadné řetězce v Fiddler, který ukázal, že část obsahu stránek se stáhne přes šifrovaný kanál přes HTTPS.
Bylo těžké uvěřit, že uživatelé se zlými úmysly prošel nákladnou postup získání certifikátu SSL pro webové stránky, aby se šíření škodlivých programů, protože tyto stránky jsou umístěny na černých listinách podle antivirových společností a ztrácejí svou hodnotu velmi rychle. Ale jak Sherlock Holmes říká: " Odstraňte všechny další faktory, a ten, který zůstane, musí být pravda. "
Necítila jsem se příliš sebejistě, když jsem přešel na možnost Šumař dešifrovat komunikaci přes HTTPS. Ale jak se ukázalo, co původně vypadalo jako úplně obyčejný řetězec byl ve skutečnosti skrývá přesměrování na škodlivé webové stránky.
Stránky, které slouží jako zdroj škodlivého softwaru, stejně jako webové stránky, které sloužilo jako přesměrování zprostředkovatele s SSL certifikátem, oba byli přidány do naší databáze škodlivých zdrojů přímo na místě. Všechny malware, že oni byli rozšíření již dříve zjištěn a identifikován společností Kaspersky Lab.
Ale moje zvědavost vzbudil: jsou uživatelé se zlými úmysly opravdu nákup SSL certifikáty pro bezpečný přenos škodlivého kódu, nebo se nějak přišel na to, jak se dostat přes prohlížeč ověření pomocí falešné SSL certifikáty? Překvapující, jak to bylo, certifikát byl skutečný problém.
Poměrně často vidíme, uživatelům se zlými úmysly lovení na důvěře svých obětí -, že hack účtů na sociálních sítích, aby bylo možné posílat odkazy na dotyčné osoby přátele pod záminkou dalšího roztomilé kočičí videa (ale s příponou exe, a ne každý. padne za to), a znovu loga donucovacích orgánů nasazených s vyděrači Trojan a přesvědčit uživatele k zadání jejich čísla mobilního telefonu "v boji proti botnetů". Ale co víc, uživatelé se zlými úmysly také vynaložit nemalé úsilí, aby oklamat antivirových společností a nezávislých výzkumníků. Co se může zdát jako neškodné šedé řetězce v připojení HTTPS je jen jeden příklad z těchto typů taktiky, soupeří o důvěru odborníků v těchto technologií, které byly navrženy s cílem chránit uživatele před online sabotáži.
Unisys Stealth pro mobilní řešení chrání před BYOD otázky 10.10.2013 Mobil | Zabezpečení
Unisys oznámila Stealth Unisys pro mobilní řešení, řešit bezpečnostní problémy, kterým čelí podniky, jak jsou rostoucí počty svých zaměstnanců používají spotřební elektroniky v práci.
V příštích dvou letech se stovky milionů lidí očekává se, že používáte smartphone pro práci - z nichž mnohé budou zaměstnanci vlastněných zařízení. Rychlé šíření BYOD na pracovišti má za následek alarmující nárůst kybernetické rizik. Unisys Stealth využívá pokročilé maskování dat a šifrovací techniky, které pomohou organizacím zmírnit kybernetické útoky hackerů a mimořádných událostí, které činí zařízení, dat a koncových uživatelů prakticky neviditelné síti . Toto řešení vytváří zabezpečené uživatelské komunity v rámci podniku, kde pouze autorizovaní uživatelé mohou přistupovat a zobrazit informace. "Stealth pro mobilní telefony umožňuje podnikům vydělávat na zvýšení produktivity a zlepšení služeb zákazníkům spojených s mobilitou a consumerization IT, a zároveň zvýšit jistotu, že jejich kritická data zůstane v bezpečí, "řekl Rod Sapp, viceprezident pro produkty a technologie společnosti Unisys. "Na rozdíl od jiných řešení zabezpečení, jako jsou virtuální privátní sítě, Unisys Stealth pro mobilní kryptograficky chrání data po celou cestu k aplikaci - mnohem bezpečnější přístup k prostředí BYOD." Nové řešení kombinuje Unisys Stealth technologie s bezpečnostní aplikace, balení software, který umožňuje uživatelům definovat konkrétní bezpečnostní politiky pro jednotlivé mobilní aplikace bázi. Unisys Stealth pro mobilní telefony pak přidává vrstvu identity založené zabezpečení, které umožňuje uživatelům přístup a viditelnost práva k majetku pouze v rámci datového centra, které jsou oprávněny k přístupu a vidět. Řešení je snadné implementovat a nevyžaduje nový kód nebo změny aplikace . Je to transparentní pro koncové uživatele, kteří budou mít stejná práva bez ohledu na to, které zařízení používají pro přístup k datové centrum.
Evernote 2stupňový možnost ověření je nyní k dispozici všem uživatelům 9.10.2013 Zabezpečení
Řádově čtyři měsíce po Evernote vyjel na 2-faktor autentizace v části Funkce platícím zákazníkům, společnost nakonec nabídnuta možnost se zbytkem svých poznámek, které se uživatelům Suite je. "Dvoufázové ověření, také známý jako dvoufaktorové autentizace, dodává další vrstva zabezpečení na přihlašovací proces, který vyžaduje zadání speciálního kódu z telefonu, kromě své běžné uživatelské jméno a heslo, "vysvětlila společnost v blogu . "Cílem tohoto kroku je navíc spojit něco, co znáte (heslo), s něčím, co jen budete mít přístup k (telefon)." Na rozdíl od Premium a Business uživatelé, kteří mají možnost získat 6-místný ověřovací kód buď SMS nebo smartphone aplikace, jako je Google Authenticator, ti, kteří se přihlásili na bezplatné služby pouze být schopen přijímat jej prostřednictvím aplikace. "Jako součást sestavou procesu, budete mít sadu jednorázových kódů použít v případě, že nejste schopni připojit k telefonu. Neukládejte tyto kódy Evernote, protože budete potřebovat, pokud nemáte přístup k vašemu účtu Evernote, "dodali. Také by uživatelé měli být vědomi toho, že ztráta telefonu a jednorázové kódy by mohly mít za následek stále trvale vyřazené z jejich účtu Evernote.
Co lze vyčíst z nového útoku na Adobe
8.10.2013 Incident | Hacking | Zabezpečení Adobe ve čtvrtek přiznalo, že se do jeho sítě nabourali kyberzločinci, kteří ukradli osobní informace včetně údajů z téměř tří milionů platebních karet.
Podle analytiků tento poslední útok ilustruje, jak lukrativním cílem poskytovatelé softwaru s platbami na měsíční bázi pro útočníky jsou. „I před tím, než se objevily na cloudu, byly firmy účtující si od uživatelů měsíční poplatky za své služby pro útočníky zajímavým cílem,“ říká John Pescatore ze SANS Institute. „Poskytovatelé se tímto problémem zabývají již roky a existují dva důvody, proč tomu tak je. První: mají uloženo velké množství údajů z platebních karet. Za druhé: je jasné, že na těchto kartách jsou peníze.“ Adobe v poslední době velmi silně propaguje svou službu Creative Cloud, jež funguje na modelu měsíčního či ročního předplatného. To znamená, že společnost musí ukládat údaje z platebních karet, z nichž „odsává“ po uplynutí určitého období peníze, aniž by musela posílat tradiční účet. A útočníci o tyto karty mají zájem. „Tyto ukradené karty mohou mít na černém trhu hodnotu až třicet milionů dolarů,“ říká Rajesh Ramanand ze společnosti Signifyd.
Adobe není jedinou společností, která se snaží své zákazníky přimět, aby přešli na model předplatného. Podobnou cestou se vydal například i Microsoft se svými Office 365. Adobe mělo v uplynulém měsíci 1,03 milionu předplatitelů Creative Cloud, přičemž do konce roku by to již mělo být 1,25 milionu uživatelů. Microsoft pak v září oznámil, že jeho Office 365 Home Premium využívají dva miliony lidí, což je dvakrát tolik, co v květnu.
Průnik do jeho systémů bude Adobe stát značné množství peněz, neboť společnost bude postiženým zákazníkům poskytovat bezplatnou službu ročního monitoringu jejich účtu. „To je bude stát sto dolarů na uživatele,“ říká Pescatore s tím, že náklady se tak mohou vyšplhat až na 300 milionů dolarů. Někteří experti však nesouhlasí s tím, že útoky na Adobe byly provedeny přímo kvůli krádeži čísel karet. „Produkty Adobe již dlouho čelí silným útokům. Myslím si, že kyberzločinci jednoduše hledali jakákoli data a narazili na platební karty. Útočníci většinou nevědí, na co přesně narazí,“ říká Lawrence Pingree ze společnosti Gartner.
Podle Pingreeho šli zločinci spíše po uživatelských jménech a heslech, ne po číslech karet. „V dnešní době již také není vůbec jednoduché platební karty zneužít. Banky mají propracované kontrolní systémy, které umí tyto transakce rychle rozpoznat.“
Chet Wisniewski ze společnosti Sophos pak dodal, že Adobe udělalo zásadní chybu, když nešifrovalo všechna svá data. „Jak to, že jste nezašifrovali moje datum narození?“ ptá se Wisniewski. „Proč šifrovat pouze věci týkající se platebních karet? Mé datum narození je také součástí mé identity.“ Ať už byly útoky provedeny z jakéhokoli důvodu, jasné je, že uživatelé se při zadávání čísel svých karet na internetu nebudou cítit tak bezpečně jako dříve.
Android Mobile App Pen-Test triky Část I - Instalace CA certifikáty 7.10.2013 Zdroj: Symantec
Mobil | Zabezpečení
Stejně jako penetrační testování webové aplikace, mobilní aplikace penetrační test není voodoo magie, ale cvičení v poznání, stanovení priorit a efektivitu. V letech tvrdé práce, penetrační testery zdokonalovat svou metodiku a rozvíjet účinné způsoby, jak použít své znalosti s cílem identifikovat specifické zranitelnosti v mobilních aplikacích. "Android mobilní aplikace penetrační test triky" blog série bude zkoumat některé techniky, které můžete použít při vykonávání své vlastní penetrační testy. Stejná koncepce platí pro provádění testů aplikací penetrace do Apple iOS, ale samozřejmě implementační detaily jsou odlišné.
Ve snaze získat vaše Android emulátor funkční, viz Christopher Emerson vynikající "Android POSOUZENÍ Application Security" blog série. Přečtěte si, jak nainstalovat emulátor Windows , nainstalovat Linux emulátor , konfigurace záchytnou proxy server a nainstalovat Android aplikací . Pojďme tam, kde Christopher přestali.
Doufejme, že Android aplikace komunikuje přes šifrovaná SSL připojení k síti. Pokud toto není ten případ, prosím facku vývojáři opakovaně. Pokud je to tento případ, bude konfigurace záchytnou proxy, pravděpodobně rozbít funkčnost aplikace jako záchytného úřad proxy certifikát (CA) Certifikát není důvěryhodný emulátoru. Pojďme napravit. Pro účely tohoto tutoriálu, pojďme předpokládat, že používáte říhnutí záchytnou proxy a Android 4.2 (API Level 17, obyčejně známý jako Jelly Bean), aktuální verze v době psaní. Jiné verze Android 4.0 (API úroveň 14, obyčejně známý jako Ice Cream Sandwich) a později lze konfigurovat podobným způsobem.
Prvním krokem je stáhnout říhnutí certifikát CA. Za předpokladu, že Burp je nakonfigurován jako proxy server, můžete si stáhnout certifikát procházení http://burp/cert . Certifikát se stáhne jako DER (Distinguished Encoding Rules) certifikát, který je ideální pro import do operačního systému Android. Stačí připojit. "Der" do názvu souboru při uložení certifikátu. Pokud používáte jinou záchytnou proxy, můžete si stáhnout certifikát pomocí prohlížeče. Například předpokládejme, že používáte Firefox 19.0.2, aktuální verze v době psaní. Za předpokladu, že Firefox je nakonfigurován používat záchytnou proxy, přejděte na libovolný web SSL a potom klepněte na visací zámek levé straně adresního řádku:
Klikněte na "více informací ...", vyberte "Zabezpečení", klikněte na "Zobrazit certifikát", zvolte záložku "Podrobnosti", zvýrazněte název zastavovat proxy CA (nikoli konkrétní místo), a klikněte na tlačítko "Export ...":
Udělej si svůj život tím, že uložení certifikát "Osvědčení X.509 (DER)" ve formátu. Jakmile jste si stáhli certifikát CA, můžete začít svůj AVD (Android Virtual Device):
Stačí nahradit "myEmulator" s názvem vaší AVD a upravit říhnutí port "8080" odpovídajícím způsobem. Dále si všimněte, že "emulator64-arm" je příkaz pro ARM emulátory systémem Android ve 64-bitových operačních systémech. V závislosti na vašem operačním systému a emulátoru procesoru, budete muset spustit některý z dalších emulátoru příkazy místo (tj. emulátor, emulátor-rameno, emulátor x86, emulator64-86, emulátor, mips, nebo emulator64-mips). Jakmile je váš emulátor běží můžete zkopírovat certifikát do emulátoru souborového systému s následující ADB (Android Debug Bridge) příkaz:
Nyní můžeme konečně certifikát nainstalovat. Existuje několik způsobů, jak to udělat. Nejjednodušší je procházet k souboru certifikátu se správce souborů, jako ASTRO File Manager . Zde si můžete stáhnout APK (Application Package) pro ASTRO File Manager 3, nejstabilnější verze v době psaní tohoto článku, od http://www.metago.net/downloads/ . Případně můžete získat APK by z fyzického zařízení se systémem Android . Můžete nainstalovat APK ve Vašem emulátoru pomocí následujícího ADB příkaz:
$ Adb install ASTRO_3.1.427.std.apk 3018 KB / s (2915424 bajtů 0.943s) pkg: / data/local/tmp/ASTRO_3.1.427.std.apk Úspěch
Nyní jste na vaření s plynem! Spusťte ASTRO File Manager a klikněte na "Správa souborů" a vy byste měli vidět certifikát v adresáři / mnt / sdcard adresáře:
Klikněte na certifikát a budete vyzváni k zadání názvu certifikátu. Zadejte název a vyberte možnost "OK". Poté budete vyzváni ke konfiguraci zámku obrazovky vzor, kód PIN nebo heslo, aby bylo možné úložiště přihlašovacích údajů. Vyplňte tento krok bude certifikát nainstalován. Můžete si prohlédnout certifikát nainstalován volbou "Nastavení", "Osobní / bezpečnost", "Úložiště pověření / Trusted pověření" a "Uživatel". Můžete kliknout na certifikátu Chcete-li zobrazit podrobnosti o certifikátu.
Alternativně, namísto použití ASTRO File Manager můžete nainstalovat certifikát volbou "Nastavení", "OSOBNÍ / Bezpečnost" a "Úložiště pověření / Instalace certifikátu z karty SD". Však může lišit kilometrů jako v mém prostředí emulátoru nepovažuje / mnt / sdcard adresář být SD karta v tomto kontextu. V tomto případě obdržíte chybové hlášení "žádný certifikát nalezen soubor na SD kartu." Doufejme, že budoucí verze budou emulátor opravit tuto chybu.
Váš zachycení Proxy certifikát CA je nyní důvěřuje emulátoru, takže nyní můžete pokračovat s vaší mobilní aplikace testu penetrace! No, to je vše pro tuto splátku z "Android mobilní aplikace Triky penetrační test" blog řady. V naší další splátky budeme mít plné ruce práce s BusyBox !
Android Mobile App Pen-testů triky Část II - Instalace BusyBox 7.10.2013 Zdroj: Symantec
Mobil | Zabezpečení
Vítejte zpět na "Android Mobile testovací aplikace penetrace Triky" blog série! Budeme pokračovat ve zkoumání techniky, které můžete použít při provádění vlastních zkoušek mobilní aplikace penetrace. V tomto pokračování se budeme konfigurovat BusyBox , velmi užitečný nástroj, který kombinuje malé verze mnoha běžných unixových utilit do jednoho malého spustitelného souboru . Spolehlivý ADB (Android Debug Bridge), příkaz obsahuje volbu pro spuštění shell v emulátoru Android:
Nicméně, ADB shell je poněkud omezená a neobsahuje užitečné příkazy, jako je awk, najít, nebo strace. BusyBox na záchranu! Prvním krokem je stáhnout příslušnou binárku z http://www.busybox.net/downloads/binaries/latest/ . "Busybox-armv4tl", "busybox-armv5l" a "busybox-armv6l" příkazy pracuje v ARM emulátoru Android operačním systémem Android 4.2 (API Level 17, obyčejně známý jako Jelly Bean), aktuální verze v době psaní. V závislosti na verzi Android a emulátoru procesoru, možná budete muset stáhnout jeden z ostatních BusyBox příkazy místo (tj. busybox-armv4l, busybox-i486, i586, busybox, busybox-i686 nebo busybox-x86_64). Nyní můžete spustit emulátor s "oddílu velikosti" a "no-snímek" možností:
$ Emulator64-arm-AVD myEmulator-oddíl o velikosti 512-no-snímek
Nastavení "partition velikosti" možnost do značné hodnoty, jako 512mb nám umožní provést změny v "/ system" oddílu. Včetně "-no-snapshot", možnost zabrání střetům konfigurace hardwaru zavedené "oddíl o velikosti" možnost volby. Nyní se pojďme nainstalovat busybox binární. Ve výchozím nastavení je / systémový oddíl připojen jen pro čtení, takže budete muset nasednout tento oddíl čtení / zápis pomocí následujícího příkazu:
root @ android :/ # ls / system / prodejce / system / prodejce: Žádný takový soubor nebo adresář
Takže se to zdá jako ideální místo pro skrýš na BusyBox binární. Pojďme vytvořit / System / prodejce / bin:
root @ android :/ # mkdir-p / system / prodejce / bin
Nyní se pojďme zkopírovat busybox binární do / system / dodavatele / bin:
$ Adb Push busybox-armv6l / system / prodejce / bin 3014 KB / s (1096224 bajtů 0.355s)
A konečně můžete spustit BusyBox:
root @ android :/ # busybox-armv6l BusyBox v1.20.0 (2012-08-22 21:36:24 CDT) multi-call binary. Copyright (C) 1998 - 2011 Erik Andersen, Rob Landley, Denys Vlasenko a další. . Pod licencí GPLv2 naleznete zdrojové distribuce pro úplné oznámení. Použití: busybox [funkce] [argumenty] ... nebo: busybox - list [Full] nebo: busybox - install [-s] [DIR] nebo: [ argumenty] ... BusyBox je multi-call binary, který kombinuje mnoho běžných unixových utilit do jednoho spustitelného souboru. Většina lidí vytvoří odkaz na busybox pro každou funkci, které chcete použít, a BusyBox se začnou chovat jako co to bylo použito jako. Aktuálně definované funkce: [[[, acpid, add-shell, addgroup, adduser, adjtimex, arp, arping , popel, awk, base64, basename, píp, blkid, blockdev, bootchartd, brctl, bunzip2, bzcat, bzip2, cal, kočka, CATV, chat, chattr, chgrp, ... výstup zkrácen ... unlzop, unxz, unzip , uptime, uživatelé, usleep, Uudecode, uuencode, manuálová, vi, vlock, volname, zeď, hodinky, hlídací pes, wc, wget, který, kdo, whoami, whois, xargs, xz, xzcat ano, zcat, zcip Jak jste můžete vidět, BusyBox podporuje neuvěřitelných 346 různých příkazů! Aby bylo možné spustit příkaz busybox, stačí zahrnout zvláštní příkaz a všechny další možnosti, jako parametr binární BusyBox. Vezměme si "zdarma" příkaz, který není zahrnut do výchozí ADB shell:
root @ android :/ # busybox-armv6l bez celková používat zdarma sdílené vyrovnávací paměti Mem: 516144 196400 319744 0 828 - / + nárazníky: 195572 320572 Swap: 0 0 0
Nicméně, pro snadné použití, můžete spustit busybox binární soubor "Install" za účelem vytvoření přejmenován kopíruje BusyBox pro všechny binární 346 příkazů:
root @ android :/ # busybox-armv6l - install / system / prodejce / bin
Nyní je to binární soubor pro každý příkaz BusyBox:
root @ android :/ # bez celková používat zdarma sdílené vyrovnávací paměti Mem: 516144 204996 311148 0 828 - / + nárazníky: 204168 311976 Swap: 0 0 0
Kromě toho, jelikož / prodejce / bin je uveden před / system / bin v proměnné PATH shell bude busybox příkazy přepsat výchozí ADB shell příkazy, které poskytují rozšířené funkce. Všimněte si, že ve výchozím nastavení emulátoru obnoví obraz systému mezi restartuje. Existují dva způsoby, jak tento problém vyřešit. Prvním z nich je zkopírovat busybox binárku na SD kartu, kde bude uložen mezi emulátoru restartu:
Z bezpečnostních důvodů nelze provést binární z / mnt / sdcard adresáře, takže budete muset vytvořit / System / prodejce / bin, zkopírujte binární busybox do / system / prodejce / bin, upravte BusyBox binární oprávnění, a spustit busybox binární soubor "Install" pokaždé restartovat emulátor. Případně můžete zálohovat stav systému soubor před vypnutí emulátoru. V operačních systémech Linux je stav systému uložen soubor do / tmp / android-uživatelské jméno / emulátor-EXTENSION souboru:
$ Cp / tmp / android-vince / emulátor-xfbkZA ~ /
USERNAME je uživatel, který zahájil proces emulátoru a šest změn dopis ROZŠÍŘENÍ mezi restartuje. Nyní můžete obnovit emulátoru stav systému pomocí následujícího příkazu:
$ Emulator64-arm-AVD myEmulator-oddíl o velikosti 512-no-snapshot-system ~ / emulator-xfbkZA
A je to! BusyBox je nainstalován a funkční, takže nyní můžete zvýšit své mobilní aplikace penetrační testy se značným množstvím dalších linuxových příkazů dostupných ve Vašem emulátoru. No, to je vše pro tuto splátku z "Android mobilní aplikace Triky penetrační test" blog řady. V naší další splátky dáme BusyBox do akce, aby bylo možné sledovat změny v souborovém systému mobilního spuštění aplikace!
Android Mobile App Pen-Test triky Část III - sledování změn souborového systému
7.10.2013 Zdroj: Symantec
Mobil | Zabezpečení
Vítejte zpět na "Android Mobile testovací aplikace penetrace Triky" blog série! Budeme pokračovat ve zkoumání techniky, které můžete použít při provádění vlastních zkoušek mobilní aplikace penetrace. V naší poslední splátky jsme nakonfigurován BusyBox av tomto pokračování budeme využívat BusyBox funkčnost za účelem sledování souborového systému změny v mobilním spuštění aplikace. Pojďme skočit do toho! První spuštění emulátoru s "oddílu velikosti" a "no-snímek" možností:
$ Emulator64-arm-AVD myEmulator-oddíl o velikosti 512-no-snímek
Jak již bylo uvedeno v poslední splátky, nastavení "partition velikosti" možnost na velkou hodnotu jako 512 mb nám umožní provést změny v "/ system" oddílu. Včetně "-no-snapshot", možnost zabrání střetům konfigurace hardwaru zavedené "oddíl o velikosti" možnost volby. Ve výchozím nastavení je / systémový oddíl připojen jen pro čtení, takže budete muset nasednout tento oddíl čtení / zápis spuštěním ADB (Android Debug Bridge), shell a spuštěním následujícího příkazu:
Dotykový příkaz vytvoří soubor, pokud neexistuje, nebo aktualizuje čas poslední změny, pokud soubor již existuje. Dále můžete provést nějakou akci přímo ve Vašem aplikace Android Market. V tomto případě jsem se prostě používat Android aplikace Kontakty v Chcete-li přidat nový kontakt. Nyní můžete využít BusyBox je najít příkaz pro vyhledání souborový systém pro soubory, které byly změněny. Základní používá příkaz "novější" možnost vypadá takto:
Nicméně, tento příkaz vrátí obrovské množství cizí výstupu z / proc a / sys adresáře. Tyto seznamy mohou být filtrovány s "prořezávat" možnost volby. Kromě toho, pojďme filtrovat také adresář / dev a vyleštěte výstupu pomocí příkazu grep:
Tento drsný hledá příkaz vyhledá všechny soubory, které byly změněny od dotkli jsme se časové razítko, odfiltrování / dev, / proc a / sys adresáře. Všimněte si, že ve vzácných případech může stát, náhodné podadresáře který se nazývá "dev", "proc", nebo "sys". Tyto podadresáře se zobrazí ve výstupu, ale příkaz Najít nebude sestupovat do těchto adresářů. Mějte to na paměti, pokud vidíte položku s jedním z těchto názvů. Vezměme si následující příklad:
V tomto případě by / data / proc podadresář ručně vyhledávat soubory, které byly změněny:
root @ android: # find / data / proc-novější / mnt / sdcard / časové razítko / data / proc / data / proc / sneakyFile
Nyní můžete sledovat, co vaše místní soubory Android aplikace úpravy! Dále můžete zkontrolovat ručně tyto soubory, aby bylo možné přesně určit, jaké informace je aplikace ukládání. Případně busybox je příkaz find může přímo vyvolat příkaz grep pro výkonnými funkcemi. Zvažte například aplikaci, která může být ukládání pověření pro ověření v rámci souborového systému. Můžete použít následující příkaz hledat upravené soubory pro ověřování pověřovacích listin:
A je to! Nyní můžete seznam souborů, které byly upraveny po / mnt / sdcard / časové razítko s výrazně jednodušší řízeným seznam funkcí:
root @ android :/ #
A můžete vyhledávat soubory, které byly změněny po / mnt / sdcard / časové razítko s výrazně jednodušší řízeným vyhledávací funkce, předávání požadovaný hledaný řetězec jako parametr:
Docela v pohodě, ne? No, to je vše pro tuto splátku "Android Mobile Application penetrační test triky" blog série! Brzy se vrátíme zkoumat další techniky, které můžete použít při provádění vlastních zkoušek mobilní aplikace penetrace. Na zdraví!
Shell Control Box nyní monitoruje webové aplikace 6.10.2013 Zabezpečení | Ochrana
BalaBit IT Security představila novou verzi svého Box Shell Control (SCB), monitorování činnosti přístroje.
Nejnovější verze SCB je forenzní vyšetřování jednodušší, rychlejší a nákladově efektivnější rozšiřuje seznam kontrolovatelného protokolů - SSH, RDP, ICA, VNC, Telnet - s HTTP / HTTPS. HTTP, který byl původně vytvořen pro obsah dopravu, byla stále více populární jako GUI protokol pro různé nástroje, jako jsou zařízení pro správu sítě, podnikových aplikací a SaaS / virtuální infrastruktury. Dodržování předpisů zabezpečení dat se stává hladší, tím, že rozšiřuje real-time monitorování aktivit uživatelů na okna prostředí na ovládání aplikace, které uživatelé spustit. Chcete-li chránit stávající investice do sítí zákazníků, nová verze SCB je schopen ověřovat a kontrolovat síťovým operátorům práci se sdílenými účtů - stále široce přijat -. Síťových prostředích starších SCB 3 F5 nezávislé a transparentní zařízení, které nevyžaduje žádnou změnu sítě nebo každodenní privilegovaných uživatelů pracovat, a nyní je možné integrovat se všemi běžnými systémem správu hesel. Mezi hlavní nové funkce: Lepší prevence škodlivých akcí: Real-time varování v grafických zasedání SCB 3 F5 rozšiřuje předchozí verzi schopnosti - monitorování, varování a blokování obsahu v provozu SSH - pro RDP a VNC protokolů, stejně. Nyní SCB mohou sledovat provoz těchto grafických spojení v reálném čase a odeslat e-mailové upozornění a / nebo ukončit připojení, pokud se uživatel pokusí spustit nežádoucí aplikace. Lepší audit privilegovaných webové aktivity: Přehled HTTP stránek SCB může nyní činí navštívené webové stránky, jako je webový prohlížeč. Screenshoty sledování monitorovaného akce uživatele si můžete stáhnout, ve kterém. Při přehrávání relace HTTP, může audit trail použít jako web-prohlížeče pro navigaci mezi uživatelem navštívených stránek, pro zobrazení webové stránky listováním jeho obsahu, a klikněte na odkazy, a dokonce k zobrazení formuláře s Hodnoty, které byly vyplněny uživatelem. Integrace s nástroji Správce hesel SCB 3 F5 poskytuje obecný rámec, který stanoví plugin integraci se všemi obecně přijatých systémů správu hesel. Integrace umožňuje přihlašovací údaje, které mají být zcela odděleny od pověření používaných pro přístup k serverům. S tímto vývojem, mohou společnosti zabrání zastarání jejich stávající investice pro správu hesel. Monitor přístup k síťovým starších zařízení: Nové funkce Telnet SCB 3 F5 nabízí několik nových funkcí, které spolehlivě ovládat a kontrolovat spojení Telnet, i když jsou SSL / TLS šifrováním. Například, SCB být nakonfigurován tak, aby brány ověřování od operátorů ve spojení aplikace Telnet. SCB je pověření Store může uložit přihlašovací údaje a použít je pro přihlášení do cílového zařízení, aniž by uživatel musel přístup k pověření. SCB můžete sledovat také Telnet provoz v reálném čase a můžete odeslat výstrahu nebo blokovat připojení, pokud podezřelý příkaz nebo text se zobrazí v příkazovém řádku nebo na obrazovce.
Síť Tor odolává pokusům NSA o průnik
5.10.2013 Šifrování | Zabezpečení | Ochrana Podle dokumentů agentura NSA útočila i na další programy, včetně Firefoxu, ve snaze ovládnout anonymizační řešení TOR.
Podle nové zprávy v britském Guardianu se americká agentura NSA opakovaně snažila proniknout do sítě Tor, vládou sponzorovaný nástroj pro anonymní připojování k Internetu. Ovšem s malým úspěchem. NSA vyzkoušela řadu přístupů, nejúspěšnější byly útoky na zranitelný software v počítačích uživatelů. Například díky útoku na prohlížeč Firefox byli agenti NSA schopni získat plnou kontrolu nad cílovými počítači.
Jde opět o informace pocházejících z materiálů, které poskytnul bývalý spolupracovník NSA Edward Snowden. Podle nich byla v mnoha případech agentura frustrována obtížemi s průnikem k uživatelům Toru. To je samozřejmě poměrně ironické vzhledem k faktu, že tento projekt s otevřeným zdrojovým kódem je z větší části sponzorován americkým ministerstvem obrany, pod které agentura NSA spadá.
Guardian z dokumentů cituje: „ Nikdy jsme nebyly schopni plně odhalit všechny uživatele. Pomocí ruční analýzy dokážeme odhalit totožnost jen malého zlomku uživatelů sítě Tor.“ Podle dokumentu nebyla NSA schopna odhalit totožnost konkrétního uživatele na požádání. Podle článků je síť Tor v jednom z dokumentů NSA označena za „krále bezpečné a anonymní přítomnosti v internetu“.
Tor směřuje své datové toky přes řadu směrovacích bodů ve snaze udržet komunikaci anonymní. Samotné ministerstvo obrany USA propaguje Tor jako nástroj, který pomůže aktivistům v režimech se silnou cenzurou, jakou jsou například Irán nebo Čína.
Podle textu se agentuře podařilo kompromitovat uživatele sítě Tor díky bezpečnostní díře v prohlížeči Firefox, ale stejný dokument uvádí, že k útoku využitá chyba byla Mozillou odstraněna již ve verzi Firefox 17, která byla uvolněna v listopadu 2012. Až do ledna 2013, data, ze kterého pocházejí citované dokumenty NSA, nebyl y pokusy o další útok na pozdější verze Firefox úspěšné.
Podle Rogerga Dingledine, ředitele projektu Tor, jde o dobré zprávy pro tento projekt. To, že NSA využívala zranitelnost v prohlížeči, znamená, že se dosud nepodařilo prolomit protokol Tor nebo dokončit analýzy provozu sítě Tor. „Infikování přenosných počítačů, telefonů nebo stolních počítačů je stále nejjednodušší způsob, jak identifikovat jejich uživatele.“
Síť Tor tak i přes útoky NSA úspěšně pomáhá chránit anonymitu svých uživatelů. Na jednotlivé uživatele lze útočit přes chyby v prohlížečích, ale pokud NSA zaútočí na příliš velké množství uživatelů, někdo si toho nepochybně všimne. „I když NSA hodlá sledovat všechny uživatele, budou si muset velmi pečlivě vybírat malé množství uživatelů sítě Tor.
Více než 50% nechrání svá zařízení se systémem Android 01.10.2013. Zabezpečení | Bezpečnost Více než 50 procent z Android smartphone a tablet majitelé nepoužívají žádný bezpečnostní software na ochranu svých zařízení proti internetovým hrozbám-podle společnosti Kaspersky Lab. To je i přes dobře zdokumentované představě, že Android je dlouhodobě nejoblíbenější platformou Spotřebitelé kupují a používají zločinci k odcizení od nich. Přestože vysoký počet účastníků uvedlo, že nepoužívají bezpečnostní ochranu na svých mobilních zařízeních, výsledky ukázaly, že 40 procent smartphone a 42 procent vlastníků Android tablet účast v průzkumu uvedlo, že jste nainstalovali bezpečnostní řešení na svých zařízeních a nyní používat. Tyto výsledky zdůrazňují spotřebitelů způsob myšlení v době, kdy Android je dobře zaveden jako hlavní cíl pro zločinci mezi všemi mobilními platformami. Podle výzkumu společnosti Kaspersky Lab, se 99 procent současných vzorků malwaru zaměřených na mobilní zařízení byl vyvinut pro platformu Android. Tato hrozba je také roste: v roce 2012 společnosti Kaspersky Lab zjištěn škodlivý 35000 vzorků, přičemž hned v prvním pololetí roku 2013 výše zjištěna byla více než 47.000. Tam je také riziko prostředků, které jsou ztracené nebo odcizené. Pro mnoho lidí, chytré telefony a tablety jsou hlavním místem skladování fotografií a videa, korespondence s přáteli a rodinou, hesla a další cenné informace. Je až příliš snadné pro zařízení na špatném místě, nebo odcizení od osoby a mají všechny ty osobní údaje dostanou do nesprávných rukou.
Běžné datové chyby porušení manipulaci 01.10.2013. Zabezpečení Údaje o porušení je problém, který může ovlivnit nějakou organizaci a National Cyber Security Awareness Month je příhodný čas, aby organizace začít připravovat na mimořádné události nebo rozšířit své současné plán odezvy.
"I když tam byl velký pokrok mezi podniky a institucemi v prevenci narušení údajů, může dojít k porušení stále a to je důležité provést správné kroky po nehodě," řekl Michael Bruemmer, viceprezident společnosti Experian. "Být řádně připravena nekončí s odpovědí plán. Organizace potřebují cvičit plán a ujistěte se, že bude mít za následek bezproblémové vyřízení, které zmírní negativní důsledky narušení dat." Tyto možné výsledky mohou zahrnovat ztrátu zákazníků, regulační pokuty a třídy akce soudních řízení. Studie ukazují, že většina organizací měla nebo očekávat, že narušení dat, která má za následek ztrátu zákazníků a obchodních partnerů, a více než 65 procent firem má, nebo si myslí, že budou trpět vážné finanční následky v důsledku nehody. Mezi Společnosti, které porušení, průměrné náklady hlášeny incidentů byla 9.400.000 dolarů za posledních 24 měsíců. . Tyto náklady jsou jen zlomek průměrné maximální finanční expozice 163.000.000 dolarů, že společnosti dotazované (porušení nebo ne) věří, že by mohl utrpět v důsledku kybernetické incidenty Podle Bruemmer, tři z nejčastějších chyb patří: Bez zapojení s externím poradcem - Získávat externí advokát je vysoce doporučeno. Ani jeden federální zákon či předpis upravuje bezpečnost ve všech typech citlivých osobních informací. V důsledku toho určit, které federální zákony, předpisy a pokyny jsou použitelné, závisí částečně na účetní jednotky nebo sektoru, které shromažďují informace a typ informací shromážděných a regulovány. Pokud interní zdroje jsou dobře se všemi platnými zákony a právním předpisům, je nejlepší, aby se zapojily právního poradce se zkušenostmi v oblasti narušení dat pomoci procházet tomto náročném prostředí. Žádné externí agentury zajistit - Všechny externí partneři by měli být na místě před narušení dat, takže mohou být vyzvány, okamžitě dojde k porušení. Proces výběru správného partnera, může nějakou dobu trvat, protože tam jsou různé úrovně služeb a různých řešení, aby zvážila. Navíc je důležité přemýšlet o důvěryhodnosti a bezpečnostních norem dodavatele před zarovnání značku firmy s ním. Nemít Soudní znalec nebo rozlišení agentuře identifikovat zpozdí narušení dat response procesu. bez jediného rozhodovatele - Zatímco tam je několik stran v rámci organizace, které by měly být o reakci na porušení ochrany dat týmu, každý tým potřebuje vůdce. Určete, kdo bude řidič odezvy plánu a primární kontakt na všech externích partnerů. Také nastínit strukturu interního výkaznictví s cílem zajistit vedení a všichni na reakce týmu je aktuální a na trati při narušení dat.
BrowserCheck dostane automatizovat každodenní skenování a Mac podporu 01.10.2013. Zabezpečení Qualys vydal novou verzi Qualys BrowserCheck , bezplatná služba, která pomáhá lidem udržet své prohlížeče a plug-iny up-to-date na ochranu proti škodlivému obsahu na internetu a škodlivý software.
Nejnovější verze nyní obsahuje rozšířenou podporu pro Mac a umožňuje uživatelům automaticky spustit každodenní skenování, které detekují, které prohlížeče, plug-iny, nastavení systému, bezpečnostní software, chybějící záplaty a aplikace jsou na každém počítači a zda je novější verze byly vydány v odpovídající dodavatelé. . Záznamy jsou generovány automaticky, kdykoliv prohlížeče nebo jejich plug-inů je nutné aktualizovat, což umožňuje uživatelům opravit a aktualizovat chybějící patche, které by mohly vystavit je na kybernetických hrozeb Qualys BrowserCheck nyní zahrnuje: rozšířený Mac podporu. BrowserCheck nyní nabízí hluboké skenování na Mac OS X 10.6 0,8 a novější podporuje hlavních prohlížečích (Safari, Chrome a Firefox), a kontroly na nejčastější plug-inů. Denní automatické skenování. Uživatelé si mohou nastavit BrowserCheck skenovat počítače denně. To určuje, které prohlížeče a pluginy jsou nainstalovány na každém počítači, který bezpečnostních opatření (jako jsou firewally, antivirové a šifrování disku) se povolí, a zda se některé aktualizace zabezpečení chybí nebo je nutné, aby odkazy na aktualizace. Schopnost vložit do BrowserCheck Vlastní . adresy URL . Použití BrowserCheck Business Edition, mohou IT administrátoři vložit BrowserCheck funkčnost v rámci jejich organizace 'domény webové stránky průběžně sledovat, jaké prohlížeče a plug-iny jsou nainstalovány na každém počítači Philippe Courtot, předseda představenstva a generální ředitel Qualys řekl: "Prohlížeče jsou dnes nejvíce důležitý kus technologie, které budeme spoléhat na v našich day-to-day činnosti, a tak pomáhá uživatelům udržet jejich prohlížeče a plug-iny up-to-date poskytuje obranu proti šíření útoků, těžit z nás. "
NSA vytváří profily amerických občanů tím, že sbírá metadata, veřejné a obchodní údaje 30. září 2013. Špionáž | Zabezpečení V roce 2010 byly NSA analytici pokyn ignorovat předchozí omezení, když to přišlo k analýze telefonát a e-mailové protokoly náležející do Američanů, kteří měli spojení na zahraniční cíle a používat jakékoliv další informace, údaje, které by mohly sbírají o osobě z veřejných, obchodních a jiných zdroje vytvořit podrobný obraz o jejich životě a jejich napojení na osobu zájmu NYT zprávy . změna byla zaznamenána ve zprávě 2011 unikly informátorů NSA Edward Snowdena, který také ve výčtu omezení, která se zůstat na svém místě a nové, které byly přidány. Například analytici provádět sledování amerických kontaktů pouze tehdy, pokud byli schopni citovat cizí zpravodajskou základ (terorismus, špionáž zahraničních politiků, šíření zbraní atd.), pro takovou sondou. Oni byli také nuceni dodržovat zřízení "minimalizace pravidla", tedy nesměli sdílet data shromážděná z ní vyplývající s dalšími federálními agenturami výjimkou případu, kdy uvedla, že trestný čin byl nebo měl být spáchán nebo při jejich vstupu bylo nutné smysl informací, které byly shromážděny a analyzovány . Tyto nové pokyny týká jen telefon a e-mailovou metadata. Pokud věřili, že informace, které posbíral upozornil na něco stinné děje, NSA ještě jako zpravodajské soud dát svolení k odposlouchávání amerického občana zájmu. Přesto by to rošt Američanům nejvíce o tomto posledním zjevení je, že Rozhodnutí nechat analytiků pokračovat ve své práci, i když byl hovor nebo email "řetězení" proces vedoucí k americkým občanem vyrobeny v tajnosti - ". bez přezkoumání národní zpravodajské soudu nebo veřejná rozprava" Politika změna byla odůvodněna 1979 rozsudek Nejvyššího soudu, který řekl, Američané mohli mít očekávání soukromí čísla o tom, co oni nazývají. "Na základě tohoto rozhodnutí, ministerstvo spravedlnosti a Pentagon rozhodl, že je přípustné, vytvoření kontaktních řetězce pomocí Američanů" "metadata", který zahrnuje časování, umístění a další podrobnosti hovorů a e-mailů, ale ne jejich obsah, "řekl NYT novinářům. "Agentura není povinna usilovat o warranty na analýzy z cizího soudu Intelligence Surveillance." nová politika byla schválena ministr obrany Robert M. Gates a generální prokurátor Michael B. Mukasey v roce 2008, ale to bylo jen po pilotním projektu úspěšně provedeny tento "sociální sítě", grafů, že tato politika byla nakonec provedena. unikly dokumenty neuvádějí - a NSA odmítla sdělit - jaké telefonní a e-mailové databáze se používají Graf tyto sociální kontakty. Avšak dokumenty, sdílet jméno jednoho z hlavních nástrojů, který agreguje shromažďoval informace a umožňuje analytikům práci s ním. Jmenuje Mainway a podle zprávy se krmí denně s obrovskými řádků dat pocházejících ze zdrojů, jako jsou " Agentura je optické kabely, firemní partnery a zahraniční počítačové sítě, které byly hacknutý. " "NSA analytici mohou využívat tyto informace k rozvoji portrét jednotlivce, jeden, který je možná více kompletní a prediktivní chování, než by bylo možné získat tím, že poslouchá na telefonní hovory nebo čtení e-mailů, říkají odborníci. telefon a e-mail protokoly, například umožňují analytikům identifikovat přátele lidí a spolupracovníky, zjistit, kde byli v určité době, získají klíč k náboženské nebo politické orientace a vyberte citlivé informace, jako běžné volání k psychiatrovi kanceláře, pozdní noční zprávy na mimomanželský partner nebo výměny s kolegy plotr, "reportéři poukázat na problém. Není známo, kolik životů Američanů a akce byly tajně přezkoumány s pomoc této politiky.
4. Cybersecurity Framework Workshop: Dobré i špatné zprávy 30.9.2013 Zabezpečení
Měl jsem možnost navštívit řadu průmyslových událostí tohoto roku a je vidět vývoj kybernetické bezpečnosti v oblasti průmyslu. Jedním z nich byl čtvrtý národní institut standardů a technologie je (NIST) Cybersecurity Framework Workshop (CFW). Kaspersky byl v účasti na předchozích akcích, ale hlavní rozdíl s tímhle, bylo to, že teď jsme měli sponzory.
4. seminář byl další kolo získat zpětnou vazbu na nejnovější verzi kybernetické rámci zveřejněné na 28 srpnu 2013 . Moje takeaways z této dílny jsou (dobře, ne příliš daleko od předchozího 3. workshopu):
Cybersecurity Framework není o "jak", je to o tom "co" CFW je více marketingový tlak na začátečníky a opakovací pro profesionály Tam je obrovská poptávka po průmyslových lidé rozhodují o tom, jak. Whitelisting a výchozí Deny jsou nutné Celkově lze říci, výsledný rámec není dostatečně specifický pro některý z vládou stanovených 17 odvětví kritické infrastruktury , k pochopení praktické kroky provádění kybernetické strategie, nebo alespoň pochopit praktickou sadu nástrojů (aka bezpečnostní kontroly).
Pro ty, kteří nejsou obeznámeni, rámec se skládá z pěti funkcí, kategorií pro každou z těchto funkcí, podkategorií pro každou kategorii, a zvlášť, bezpečnostní profily a splatnosti zkušebny.
Funkce popsat obecně, jaké jsou vaše kybernetické bezpečnosti by se měl skládat z: zjišťování, prevenci, odhalovat je, reagovat a zpět. Většina lidí souhlasí s tím o těchto funkcích, zatímco někteří argumentují, že zlepšení / Aktualizace by měla být výslovně přidány v oblasti bezpečnosti. Na rozdíl od mnoha jiných rámců, bezpečnost je stále více zastaralý, protože i když můžete být bezpečné dnes, v průběhu 12 měsíců, které již nemůže být situace, protože z nových metod útoku.
Kategorií uvedených v tomto rámci jsou komplexní stejně. Ale, bohužel, na podkategorie (najdete úplný seznam v samotném dokumentu , viz str. 14) je mix mezi abstraktní kategorie, která pomáhá vidět doménu a potenciálních cílů, ale ponechává výběr metod pro čtenáře a technické zabezpečení ovládací prvky, které mnoho sektorů najít nepoužitelná nebo jsou neúplné. Takže je to překvapivé, že pro druhý seminář v řadě vidíme stejný příběh: když některý z pracovní skupiny začne mluvit o podkategorií pracovní stánky. Většina účastníků se nepodařilo prozkoumat celý seznam, kromě zástupci různých odvětví jsou nespokojeni s tím, jak jsou stanoveny podkategorie vůbec - pro své vlastní důvody.
Celkově lze říci, že podkategorie rozhodnuto lze považovat za docela selhání. Například pouze kontrola týkající se průmyslových řídicích systémů jednoduše říká, "PR.PT-5: Správa riziko pro specializované systémy, včetně provozních technologií (např. ICS, SCADA, DCS a PLC) v souladu s analýzou rizik". Je to velmi zvláštní a užitečné pro lidi, OT, jestli víte, co tím myslím.
Zdá se, že je to dost těžké mít "Bezpečnostní kontroly", podepsaná v univerzálním způsobem pro různá odvětví - včetně IT a průmyslové systémy a to ani nebere v úvahu menší sektory. Například, obvykle finanční sektory jsou věřil postarat dat docela dobře, ale příklad financí byl docela ilustrativní - všechna data jsou veřejná, takže utajení není velkým problémem, ale transakce a integritu dat akcií v držení lidí ' , je nutností. To je podobné situaci, pro průmyslové kontrolní systémy.
Můj dojem je, že NIST se rozhodl opustit práci na definování přesného souboru podkategorií a ovládacích prvků do jednotlivých odvětví kritické infrastruktury.
Tato metoda však není dobré pro určité odvětví, v závislosti na průmyslovém síti, protože tam jsou 9 odvětví, ve kterých převažují průmyslové systémy, ale regulační orgány a průmyslové svazy jsou různé - DOE, tečka. Takže není jasné, zda každý sektor má co do činění s "instance" rámce na jejich vlastní, a zda by toto mělo být devět krát opakovat s rozdílnými výsledky, protože sdílejí mnoho rysů, vzhledem k jejich závislosti na průmyslových řídicích systémů.
Také NIST opustit detaily implementace Rámcové každého odvětví. Jednou z otázek, které nebyly zodpovězeny je v dílně, bylo: "Jak implementovat bezpečnost v tomto rámci, nebo alespoň, co se začnete?"
Jednou z možností je odstranit podkategorie z rámce, aby byl v souladu, a snažit se představit univerzální bezpečnostních kontrol, ale dělat Kategorie stanovení cíle rámcové.
Rámec zahrnuje také další rozměr - profil (co vaše organizace musí mezi různými kategoriemi a ovládacích prvků - jaké jsou vaše bezpečnostní priority na základě obchodních specifik) a úrovní (jak zralý jste v kybernetické bezpečnosti). I když se zdá, že je zdravý rozum, všech rámců v různých oblastech v podstatě sdílejí stejný přístup k "flexibility" a "splatnosti". V praxi však v CFW je to spíše zmatek, protože není jasné, jak měřit to, co máte, a Tier zase co to tier stojí.
Takže to, co je ta dobrá zpráva?
NIST přijal Kaspersky Lab Whitelist ( Default Deny ) přístup k zabezpečení kritické infrastruktury - a to "PR.PT-3: Zavést a udržovat technologii, která vynucuje politiky zaměstnávat popřít, umožňují-všechny-by-výjimka politiku umožnit provedení oprávněné programy na organizační systémy (aka whitelisting aplikací a síťový provoz) ". Věříme, že tato naprosto dává smysl, a my jsme rádi, že víme, že náš hlas byl slyšet, a naše vize sdíleny. Hlavním cílem a hlavní dopad Cyber Security Framework je marketing - tlačí všech kritických infrastruktur, včetně mnoho z těch, kteří ještě nemají žádné počítačové bezpečnostní programy, začít dělat něco, a poskytuje větší rozpočtu CISO těch, kteří mají jasnou vizi, již. Mnoho lidí navrhl uvedení rámec, v marketingu brožuře, aby bylo jasné. Třetí pozitivní, protože v důsledku tohoto workshopu, je to, že jakmile tlačil liší, může Framework lidem z různých firem. Pomáhá společnostem lépe porozumět sobě v kybernetické oblasti je důležité, protože většina kritické infrastruktury jsou vzájemně propojeny a outsourcing navzájem, což může způsobit vážné dominový efekt na potenciální nehody kybernetické bezpečnosti. Úsilí Cybersecurity marketing může být užitečné v mnoha zemích kvůli kybernetické bezpečnosti kritických infrastruktur. Za čtvrté, pro jednotlivá odvětví práce na zadání bezpečnostní kontroly a mapování rámec stávajících sektoru a průmyslových standardů bude provedeno, i když tato osoba nebo skupina nebyla identifikována. Cyberframework by se mohlo stát křížový odkaz mezi různými sektoru standardů a rámců, které budou také pomáhat budovat lepší porozumění mezi subjekty na technické úrovni. Zatímco Cybersecurity rámec může sloužit jako první krok v prosazování bezpečnosti rozhodující infrastruktury, jediný způsob, jak skutečně zvýšit ochranu je, aby se ujistil, že jde s krokem dva (kde mám začít?) A třetí krok (jaké jsou nejlepší postupy k následování ?) pro každé z odvětví kritické infrastruktury. Z těchto odvětvích existuje 10 průmyslových centrické ty, které jsou méně zkušení v oblasti IT bezpečnosti a celkově mají odlišnou povahu k jejich procesů (vysoká dostupnost, místo vysoké důvěrnost).
Takže, stále zůstává otázka, jak můžeme učinit průmyslové bezpečnosti praktičtější pro aktuální hrozeb?
Kaspersky Lab je aktivně vyhledává možné varianty s našimi průmyslovými partnery.
Na motivy národní stát řízený kybernetických útoků 30. září 2013. Hacking | Počítačový útok | Zabezpečení FireEye vydala zprávu, která popisuje jedinečné mezinárodní a místní charakteristiky útoku kampaní vedených kybernetických vládami po celém světě.
"Kybernetické zbraně jsou používány jako výhodu v reálném konfliktu," řekl Kenneth Geers, senior analytik celosvětovou hrozbu, FireEye. "Kraje mají vlastní sadu zbraní kybernetických, které se budou používat ke svému prospěchu, pokud jde o konflikt, nebo na pomoc své spojence. Svět je v kybernetické válce s útoky v každém směru a umístění. Cyber záběry jsou vypalovány v době míru pro okamžité geopolitických konce, stejně jako připravit se na možné budoucí kinetických útoků. Vzhledem k tomu, útoky jsou lokalizované a výstřední, chápání geopolitiky každém regionu může pomoci v obraně kybernetické. " "Největší výzvou pro odstrašení, obrana proti, nebo odplata za kybernetických útoků je problém správně určit pachatele. Balistické rakety mají zpáteční adresy, "řekl profesor John Arquilla na Námořní postgraduální škole. "Ale počítačové viry, červy a popření servisních útoků často pocházejí od za závojem anonymity. Nejlepší šance prorazit tento závoj je dodáván s dovedné míchání forenzních "zpět" hackerských technik, s hlubokou znalostí strategických ostatních kultur a jejich geopolitických cílů. " Kybernetické útoky již osvědčily jako low-cost, high-výplatní cestě hájit národní suverenitu a promítat moc státu. Mezi klíčové charakteristiky pro některé regiony patří: . asijsko-tichomořské domovem pro velké a byrokratické hackerské skupiny, jako například "Komentář Crew", který sleduje cíle ve vysokofrekvenční, brute-force útoky. Rusko / Eastern Europe. Tyto kybernetické útoky jsou technicky vyspělejší a vysoce účinné, jak se vyhnout odhalení. Blízký východ. Tyto zločinci jsou dynamické, často používat kreativitu, podvod a sociální inženýrství, aby přimět uživatele k ohrožení své vlastní počítače. Spojené státy. Nejsložitější, cílené, a důsledně navržena cyber . zaútočit kampaně k dnešnímu dni Kromě toho zpráva spekuluje faktory, které by mohly změnit svět v počítačové oblasti bezpečnosti v blízké-až střednědobém horizontu, včetně:
Výpadek národní kritické infrastruktury, která je zničující dost vynutit hrozbou aktéři přehodnotit sílu kybernetických útoků. Cyber zbraních nemohou zastavit používání kybernetických útoků. Ochrana osobních údajů obavy z hranolu lze omezit vládou dotovaných kybernetických útoků ve Spojených státech a po celém světě. Noví aktéři na scéně Cyber, nejvíce pozoruhodně, Brazílie, Polska a Tchaj-wanu. Větší důraz na rozvoj úniky metody, které obcházejí detekci. "Kybernetický útok, při pohledu mimo jeho geopolitickém kontextu, umožňuje velmi malý manévrovací prostor pro právní bránící státu," profesor Thomas Wingfield z Marshall Center. "Falešnou vlajkou operace a samotná povaha internetu, aby taktické přiznání ztrácející hra. Nicméně, strategické uveďte autora - fusing všechny zdroje inteligence na potenciální hrozbu - umožňuje mnohem vyšší míru důvěry a více možností pro rozhodovatele. A strategické atribuce začíná a končí geopolitické analýzy. "
Průměrná on-line bankovní účet je přístupný 2,4 unikátní zařízení 30. září 2013. Zabezpečení | Mobil Průměrný počet zařízení zákazníků používá pro přístup k online účetnictví - včetně osobních počítačů, pracovních počítače, smartphony a tablety -. Bankovními klienty, kteří se na první místo pro většinu používaných zařízení každý měsíc ThreatMetrix Světový svěřenecký Intelligence Network (Síť) zachycuje více než 500 milionů návštěvníků, přes více než 1900 zákazníků a 9000 webových stránek a využívá prediktivní analytiku rozlišovat mezi legitimní a podvodné chování, osobností a zařízení. V nedávném snímku od 1. května do 31. července 2013 Síť zjištěno, že průměrná on-line bankovní účet je přístupný 2,4 jedinečné zařízení. Údaje byly zpracovány přes různorodý soubor odvětví - včetně bankovnictví, e-commerce, podnikání, pojištění, sociální sítě, státní správy a zdravotnictví -., A zjistil, že bankovní účty jsou přístupné výrazně vyšším počtem unikátních zařízení, než v jiných sektorech v červenci 2013, údaje ukazují, že 55 procent z bankovních účtů jsou přístupné z jednoho přístroje, je 26 procent přístupné dvěma zařízeními, jsou o 11 procent přístupné tři zařízení, a 4 procenta jsou přístupné čtyři zařízení. Zatímco tam je významný pokles-off po čtyřech zařízeních, údaje ukazují velmi malé procento účtů byla přístupná tolik jako dvacet zařízení ve lhůtě jednoho měsíce, což vyvolává nějaké červené vlajky. Oproti bankovnictví, všechna průmyslová odvětví a analyzoval pořad výrazně nižší počet unikátních zařízení na účet. Ve stejném období tří měsíců od 1. května do 31. července, to vše se odvětví přístupné v průměru o 1,79 zařízení na účet, v porovnání s bankovními účty byla přístupná zařízení 2,4 v průměru. Podle údajů z července 2013, 68 procent účty ve všech odvětvích jsou přístupné pouze jedno zařízení každý měsíc, jsou o 19 procent přístupné dvěma zařízeními a 7 procent jsou přístupné tři zařízení. Po třech zařízeních, údaje ukazují výrazný pokles off. Zatímco většina on-line podnikání určení počtu zařízení přístup účty cookies, které identifikují uživatele činnost na webových prohlížečích, to není nejpřesnější způsob, jak identifikovat jedinečné zařízení. Kvůli anonymní prohlížení režimů a obecných znalostí smazání cookie, rozpoznání specifických Zařízení takto metody ukazují vyšší počet zařízení, protože každé nové uživatele vymazání souborů cookie, počítají se jako nové zařízení při návratu do webové stránky. ThreatMetrix přezkoumání všech přihlašovacích údajů účtu v průběhu tří měsíců - od 1. května do 31. července 2013. Přihlášení byly přezkoumány bez zachycení identifikační údaje k určení počtu jedinečných identifikátorů zařízení spojených s šifrovanou hodnotu účtu. Počet unikátních zařízení byla stanovena počítáním jedinečných zařízení otisků prstů (SmartID) za přihlášení. Organizace byly rozděleny do různých širších kategorií pro srovnání: bankovnictví, maloobchod a další.
Chraňte vysoké hodnoty transakcí na iOS a Android 30. září 2013. Mobil | OS | Zabezpečení SecureKey představila svůj rozšířené cloud-based briidge.net Připojte multi-faktorovou autentizaci služby. Tato nejnovější verze briidge.net Connect zahrnuje novou briidge.net Connect Mobile SDK, které umožňuje vývojářům snadno přidávat robustní multi-faktorovou autentizaci do funkce iOS a Android mobilních aplikací.
S Connect SDK mohou vývojáři vložit schopnosti jako QuickCode zabezpečené PIN a nula-touch zařízení autentizace do aplikací s vysokou přidanou hodnotou, jako je retailové bankovnictví, mobilní platby, obsah objednání, sociálních médií a dalších, což zjednodušuje uživatelský komfort a snižuje uživatelskou správu hesel zátěž pro poskytovatele služeb. SecureKey software-jediné řešení je modeled po hardwarového bezpečnostního prvku a používá stejné standardní GlobalPlatform bezpečnostní protokoly, aby zajistily, že každý přístroj může být jednoznačně identifikovány a ověřeny briidge.net Připojte Service pomocí out-of-band kanál. Nová Connect SDK nabízí všudypřítomné silné zabezpečení pro všechny mobilní aplikace pro Android a iOS platformy, včetně nového iPhone 5S a 5C zařízení, a poskytuje bezproblémový přechod do hardwarového zabezpečení. Se zvýšenou mobilní bezpečnostní aplikace, mohou poskytovatelé služeb zavést další služby s vysokou přidanou hodnotou, přilákat více zákazníků a získat konkurenční výhodu. briidge.net Connect Service zahrnuje rovněž briidge.net Connect Mobile App - ke stažení z iTunes a Google Play App Obchody- který podporuje single-click, out-of-band webové ověřování na mobilních zařízeních pro jednoduché a bezpečné online účtu přihlašovacích údajů a transakce konfirmací. Jak Connect SDK ke stažení Connect mobilní aplikace zaměstnanosti briidge.net DNA technologie poskytují jedinečné ID zařízení pro širokou škálu aplikací podporovaných službou briidge.net Connect. SecureKey briidge.net DNA technologie je již zakotvena v Intel IPT-dát notebooky, počítače a Ultrabooks dodávané spotřebitelům od roku 2012. Tím, že poskytuje spolehlivé unikátní ID zařízení přes mobilní platformy, Connect SDK umožňuje vývojářům vytvářet mobilní aplikace s jednotnou zařízení na bázi ověřování. To také umožňuje připojit briidge.net služby, které mají být použity v kombinaci se stávajícím třetích stran, na platformě specifických řešení zařízení otisky prstů jako součást celkového rizika na základě ověření systému. Nová QuickCode rys v Connect SDK umožňuje organizacím nahradit těžké k typu jména a hesla ve svých mobilních aplikací se rychle, snadno vstoupit serveru ověřený PIN. Silnější než jeden mobilní app PIN nebo online heslem, uživatel QuickCode působí jako multi-zařízení PIN - synchronizovaný napříč všemi uživatele zapsaných zařízení, které poskytují konzistentní zážitek přes zařízení, které používají pro přístup ke službám. "Musíme se dostat zbavit hesel. Potřebujeme silný multi-faktor autentizace pro většinu internetových a mobilních případech transakcí použití. Vzhledem k tomu, kapaliny ohrožení životního prostředí a naší vlastní průmyslu se vyvíjející technologie krajina, klientský software a cloud-based služeb přístup může poskytnout silnou autentizaci, kterou potřebujeme a nezbytnou pružnost reagovat na nové požadavky, "řekl George Peabody, ředitel s Glenbrook partnery. "Koncových zařízení, oblačnosti, a bezpečnostní hardware bude kaše vstříc řadu autentizačních potřeb. SecureKey Schopnosti spojit ty uzly v transakci řetězce. "
Cyberoam uvádí na trh novou generaci firewallu spotřebiče 30. září 2013. Zabezpečení | Ochrana Cyberoam představila nové generace firewallů (NGFW) v jeho NG řady spotřebičů. Cyberoam NGFW přijít Layer 8 Identity-Based technologie pro žalovatelné inteligencí a ovládací prvky, které nabízejí kompletní zajištění kontroly nad L2-L8 pro budoucnost připraven bezpečnosti v podnicích. Cyberoam Next-Generation Firewall ochrana EAL4 + certifikovaný a nabízí vrstvy 8 Identity-Based zabezpečení, Aplikace viditelnost a ovládání, Intrusion Prevention System, webové stránky filtrace, HTTPS inspekce, VPN (IPSec a SSL) a granulované pásma kontroly. Další bezpečnostní funkce, jako je Firewall webových aplikací, Gateway Anti-Virus, Gateway Anti-Spam a více, jsou také k dispozici. mobilizace pracovních sil vedla k poptávce po kdykoliv-kdekoliv přístup k síťovým prostředkům. To, spolu s rostoucím počtem uživatelů, jako zákazníky a partnery se připojují k podnikové síti z vnějšku vede k de-perimeterization podnikových sítí. . Kromě toho, trendy, jako je nárůst počtu uživatelů sítě a zařízení, aplikací výbuchem, virtualizace a další vedou ke ztrátě bezpečnostních kontrolách podniků prostřednictvím jejich sítí, dnes podniky hledají řešení, která zajistí nejlepší z obou světů - příští generace sítí bezpečnost a rychlejší výkon sítě s flexibilním připojením. Jak se investovat do schopností, jako NGFWs, chtějí sklízet maximální obchodní přínosy a dlouhodobý význam pro jejich IT a síťové ekosystému. Cyberoam NGFWs odpovídajícím způsobem řešit tuto potřebu tím, že poskytuje vysoký výkon a propustnost flexibilní I / O sloty, které umožňují další měď / vlákniny 1G/10G porty (XP) na svých FLEXI port (XP) bezpečnostních zařízení. Navíc Cyberoam je Extensible bezpečnostní architektura pomáhá podnikům řešit neznámé hrozby budoucnosti tím, že nabízí flexibilitu pro prodloužení životnosti a výkonu svých NGFW spotřebičů podporovat novější funkce podnikového zabezpečení a vylepšení. Kromě Extensible bezpečnostní architekturu, která podporuje budoucí potřeby bezpečnosti stejném zařízení, mohou podniky také přidat další zařízení v clusteru / HA podporovat větší počet uživatelů v jejich sítích.
Ještě nemáte perimetru sítě zajištěny proti stažení škodlivý obsah?
29.9.2013 Bezpečnost | Zabezpečení
Profesionálové informační bezpečnosti brát velmi vážně perimetru sítě a snaží se zavést několik zařízení vynutit řízení přístupu k síťovým prostředkům, jako jsou firewally, IPS, filtrování obsahu, včetně zařízení, antimalware funkčnosti a řízení přístupu k síti. Ale existují dva konkrétní proměnné, které mohou značnému zvýšení rizika externích kompromisů:
Administrátorská práva ve stolních počítačích: Mnoho druhů podnikového softwaru nemají zavedený princip vyžaduje alespoň oprávnění. To nám, proč se významné procento privilegií firem správce grantu pro uživatele, kde je jejich použití není sledován v detailu. Ovládání USB zařízení: Mnoho společností s výhradou dodržení předpisů neumožňuje využití USB portů vůbec. Nicméně, tyto společnosti jsou malé procento z celkového vesmíru a zbývající nejsou ochotni provádět nepopulární opatření. Zvažte následující scénář: Společnosti s PC přistupuje přes oficiální přístup k internetu a podnikových notebooků s 4G přístup:
Mohou nastat okolnosti, kdy CISO může být opravdu nepopulární, jako den, kdy se na oficiální země fotbalový tým hraje rozhodující zápas. Samozřejmě, že oficiální internetové připojení neumožňují přístup k proudu, a tak se lidé najít "alternativní způsoby, jak" k přístupu. Protože ne příliš mnoho lidí zná pojem výchozí brány a jak to změnit v počítači aniž by samy o sobě samo, odmítnutí služby, je velmi zajímavý program s názvem delegát , který je víceúčelový server proxy a bude fit pro potřebu vynechání přístupu k internetu. Vzhledem k tomu, že je velmi podrobný Příklady použití stránky , mohou lidé začít používat bez dalšího obtížnosti.
Většina lidí v podnikové síti jsou si vědomi, že "proxy parametr" existují, tak je to pro ně velmi snadné změnit a užívat si "výhody" volných-z-omezení internetu.
Jak můžete říct, pokud máte "free proxy" uvnitř vaší síti, které používají ilustrovaný scénář? nmap má plugin, který je schopen kontrolovat otevřená proxy. Chcete-li zkontrolovat otevřená proxy vnitřní sítě 192.168.0.0/24, můžete vydat příkaz nmap - script http-open-proxy.nse 192.168.0.0/24. Následující obrázek ukazuje příklad výsledek projednávané situaci:
Určitě byste měli oddělit administrátorská práva pro uživatele a rovněž zakázat používání 3G an 4G zařízení při připojení do firemní sítě. Pokud nemáte nástroje pro to, měli byste sledovat využití pro oprávněními správce daných uživatelů.
ESET vydává sedmou verzi svého antiviru NOD32 a balíku Smart Security
26. září 2013. Zabezpečení | Ochrana
Bezpečnostní programy ESET NOD32 Antivirus a ESET Smart Security se dočkaly nové, sedmé verze. Hlavní novinkou jsou nové funkce pro odhalení či zpětné dohledání složitě šifrovaného či novými způsoby maskovaného malwaru, který by jiné technologie současných antivirů údajně nezachytily.
Konkrétně se jedné o funkce Exploit Blocker, která pracuje na principu sledování pokusů o útok na aplikace, jako jsou webové prohlížeče nebo PDF čtečky, a Advanced Memory Scanner, která zpětně v paměti pátrá po stopách šifrovaného malwaru.
„Již ve zkušební fázi produktů verze 7 a při využití funkce Advanced Memory Scanner jsme byli schopni rozpoznat a shromáždit řadu vzorků patřících mezi typy malwaru, které často způsobují uživatelům problémy. Tím je například Win32/TrojanDowloader.Wauchos pracující jako přenašeč dalších malwarových infekcí, backdoory Win32/Fynloski, Win32/Wigon ,Win32/Zbot, nebo červ Win32/Spatet. V neposlední řadě se také prokázalo, že nové produkty pomáhají chránit před ransomware trojany,“ řekl Juraj Malcho, ředitel výzkumu společnosti ESET. Zároveň podle jeho slov nové funkce zabrání i cíleným útokům.
Další novinkou je funkce nazvaná ESET Social Media Scanner, která zajišťuje ochranu na sociálních sítích, tedy zejména před škodlivými odkazy. Podobně jako v nové verzi konkurenčního AVG umí i ESET zanalyzovat stav zabezpečení soukromí sociální sítě a navrhnout optimální nastavení, a to pro Facebook a Twitter.
Na vývoji antivirových programů je vidět směr vývoje, který míří k odhalování novotvarů škodlivého softwaru přímo v počítači uživatele. Dalším směrem uplatnění jsou sociální sítě, kde bezpečnostní software dohlíží nejen na nebezpečné odkazy, ale i na soukromí uživatele.
Zkušební verze lze stáhnout na webech produktů: ESET NOD32 Antivirus verze 7 a ESET Smart Security verze 7. Roční licence samotného antiviru stojí 1 209 Kč, bezpečnostní balík Smart Security vyjde na 1 511 Kč.
Představitelé průmyslu vnímat četné bezpečnostní hrozby jejich dat 26. září 2013. Bezpečnost | Zabezpečení Drtivá většina vedoucích pracovníků věří, že jejich zákazníci a klienti starat o porušení osobních údajů v držení jejich organizací. Unisys sponzorovaný výzkum prováděný IDG Připojte zjistil, že 91% osobami rozhodujícími o obchodě dotázaných vyjádřily obavy vnímání svých zákazníků o jejich schopnosti organizace na ochranu osobních údajů, se 65% osob s rozhodovací pravomocí zpráv se domnívají, že zákazníci jsou "velmi znepokojeni." Průzkum také zjistil, že manažeři vnímají četné bezpečnostní hrozby na jejich dat a IT infrastruktury, přičemž téměř tři čtvrtiny dotazovaných obává útoků na jejich bezdrátové infrastruktury (74%), nebo síťových protiopatření (72%). Téměř dvě třetiny (64%) uvedlo, že obavy o narušení nebo útoky na jejich cloudových aplikací a mobilních zařízení. "Obchodní a technologie s rozhodovací pravomocí jsou vidět hrozby ze všech směrů a hledají nové způsoby, jak chránit své organizace a jejich klienty, "řekl Steve Vinsik, viceprezident globálních bezpečnostních řešení v Unisys. "Tento průzkum ukazuje, že většina z nich hledají nové způsoby, jak zvýšit flexibilitu svých bezpečnostních řešení, řízení nákladů a reakci na měnící se bezpečnostní výzvy. To také ukazuje, že bezpečnost je již považována pouze IT výzvu, ale obchodní výzvu stejně. " Průzkum ukázal, že tvůrci obchodní rozhodnutí byly poněkud větší starosti než jejich technologií zaměřených protějšky o zákazníka obavy z ochrany osobních údajů, s 80% z vlivných obchodníků hlášení jsou velmi znepokojeni vnímání svých zákazníků o ochraně osobních údajů, ve srovnání s 69% z tvůrců technologie rozhodnutí. Výsledky echo zjištění ročního indexu společnosti Unisys Security počátkem tohoto roku. Unisys Security Index, který pravidelně zkoumá více než 1000 Američanů v různých oblastech bezpečnostního zájmu, ukázaly vysokou míru obav o narušení dat mezi spotřebiteli v USA. Respondenti tohoto průzkumu uvedlo, že byly nejvíce obávají narušení dat, bít do jejich banky a finanční instituce, přičemž dvě třetiny (67 procent), vykazování obavy. Většina Američanů dotazovaných také uvedl obavy o narušení dat, které zahrnují vládní agentury (62 procent), zdravotní organizace (60 procent) a telekomunikačních sítí a poskytovatelům internetových služeb (59 procent). nedávného průzkumu podnikových manažerů, provedla pro společnost Unisys od IDG v červenci 2013, vyšel na více než 100 obchodních USA a tvůrci technologické rozhodnutí v organizacích s 1000 a více zaměstnanci. Cílem tohoto průzkumu bylo zjistit respondentů vnímání bezpečnosti dat a sítí. Téměř všichni, kteří rozhodují dotázaných vyjádřila povědomí o svých organizací zranitelnosti, jakož i otevřenost vůči zvažuje alternativní přístupy kybernetické bezpečnosti, včetně softwarových řešení založených na rozdíl od tradičního hardwaru obvod na bázi řešení.
Yahoo ID recyklační schéma je potenciální bezpečnostní minové pole 25. září 2013. Zabezpečení Yahoo nedávno oznámila, e-mailový účet / Yahoo ID recyklační schéma mělo uvolnit neaktivní (atraktivní), účty tak, aby mohly být obsazena jiným uživatelem. Ale zatímco nápad byl zpočátku myšlenka vedení firmy jako dobrý tah, realita se ukázala být tvrdší.
InformationWeek s Kristin Burnham byl vystopoval tři uživatelé, kteří využili (pak zdarma, nyní stojí 1,99 dolarů) nabízí vytvoření seznamu přání svých pěti nejlepších možností pro uživatelské jméno, a mají to štěstí, že na získání jednoho. Ale to, co Nečekal byl příval legitimní a spam e-maily, které nadále přijímat ve své nové e-mailové schránky. Marketing e-maily, Facebook a Pandora e-maily s informacemi o účtu určitou, e-maily od investičních podniků a Boost Mobile, e-mailem potvrzení o převzetí od obchodů, detailní najeto proplacení, Soud informace, a ještě mnohem více bylo dodáno, často včetně osobní a finanční údaje jsou noví uživatelé mohli snadno použít ukrást identitu předchozího majitele účtu. Teoreticky by to nestalo. Když Yahoo udělal seznam neaktivních účtů ( po oznámení jejich majitelé iniciativy a tím, že obdrží doklad, že účty byly stále používají), vymažou se všechna data obsažená na účet. Pak vzali měsíc posílat zacvakávací e-mailem upozornění odesílatele, že deaktivován účet již existuje; odhlásit těchto účtů z komerčních e-mailů, jako jsou bulletiny a e-mailových upozornění a koordinovat s on-line služeb a firem provádění "Vyžadovat-příjemce-Platí-Since" (RRVS) hlavička, která by zabránila e-maily resetování hesla, které mají být dodány do nového vlastníků. Ale v praxi se tato opatření selhala. Yahoo řekl, že "slyšel z velmi malého počtu uživatelů, kteří obdrželi e-maily prostřednictvím jiných třetích stran, které byly určeny pro předchozí majitele účtu" a že pokračovat v práci s firmami realizovat RRVS záhlaví e-mailu. Nicméně rozhovor Tři noví majitelé nebyli nakonec spokojeni s přechodem na nový účet, a to buď snaží filtrovat nevyžádané e-maily, uzavřeli nový účet a vrátila se ke staré, nebo se aktivně přemýšlet o tom, jak to udělat. Všichni ve všech, co by mělo být pozitivní zkušenost, která by z nich udělala ocení Yahoo ještě se stala nepříjemnost a další práce -. není něco, co Yahoo doufal, jistě , ale zda tyto zkušenosti jsou výjimky nebo norma je těžké říct, právě teď - Doufejme, že to první. V těchto případech nový účet majitelé byli etické, a nebyly zneužity citlivé informace, které sbíral prostřednictvím e-mailů, ale šance, že tam jsou lidé, kteří tam nebudou, že ctnostný
Apple dotykový ID hack bylo snazší, než se očekávalo 25.září 2013 Zabezpečení | Hacking Bylo potvrzeno : Kosmik z německého klubu Chaos Computer získal dav-source cenu pro dotykové hacking Apple ID . funkce bezpečnostního Jak vysvětlil Ars Technica , hack bylo snazší, než čekal - místo týden nebo dva doufal by se ho na to, že mu trvalo 30 hodin, a on říká, že s lepší přípravou by trvalo přibližně půl hodiny. "Ty v podstatě to udělat doma s levnou kancelářských zařízení jako skener, laserovou tiskárnou a Sada pro leptání plošných spojů. A to bude trvat jen na pár hodin, "sdílel. "Tyto techniky jsou vlastně několik let a jsou snadno dostupné na internetu." Přesto se domnívá, dotykové ID, že je velmi spolehlivý otisků prstů, ale říká, že Apple by nabízel své pohodlí, a to tvrdil, že je v bezpečí. Lookout Security výzkumník Marc Rogers se snažil kopírovat Kosmiku hack, a podařilo se mu to s některými změnami, aby bylo jednodušší. "Ano, TouchID obsahuje chyby, a ano, je to možné využívat ty chyby a odemknout iPhone. ale skutečnost je taková, Tyto nedostatky nejsou něco, že průměrný spotřebitel by měl bát. Proč? Protože jejich využívání bylo něco ale triviální. Hacking TouchID spoléhá na kombinaci dovedností, stávající akademický výzkum a trpělivost technik Crime Scene, "napsal a sdílet jeho vlastní pohled na hack. "TouchID není" silné "bezpečnostní kontrolou. Jedná se o" výhodné "bezpečnostní kontrolou," říká a ukazuje na to, že to bude chránit vaše data před zloději ulice, která chytne svůj telefon, nebo v případě, ztratíte telefon, ale ne z cíleného útoku. "vyhrazená útočníkovi času a zdrojů pozorovat svou oběť a shromažďování dat, se pravděpodobně nebude vidět TouchID jako velkou výzvu. Naštěstí to není hrozba, že mnoho z nás čelí, "dodal. Ale když se dostal nejvíce pozornosti, Touch ID není jedinou bezpečnostní funkci, aby byly předvedeny Apple při uvolňování nových iPhone a iOS7 - podívejte se na reakce z bezpečnostní komunity na iOS 7 na dozvědět více o nich.
Vystavení slabá místa zabezpečení máme tendenci přehlížet 24. září Zranitelnosti | Zabezpečení
Jako bezpečnostní analytik se často ptají na otázku: "Jaká nebezpečí a zranitelnosti si myslíte, že nám umožňují vidět do budoucnosti?" To je velmi zajímavá otázka, ale také známkou toho, že způsob, jak přemýšlet a diskutovat o IT-bezpečnost je v podstatě špatně. Opravdu potřebujeme investovat čas a prostředky soustředit se na budoucím hrozbám, když jsme ještě před útoky, které byly diskutovány již více než 20 let?
Pokud jste se podívat na některé z hlavních porušení jsme viděli v minulosti, útočníci nepoužili Zero Day zranitelná. Také pokud se podíváte do exploit kity, jsou jen velmi málo skutečně vybavena využije využívají Zero Day zranitelnosti. Aby bylo možné analyzovat to do hloubky, Kaspersky výzkumník David Jacoby spojila své síly s ČSÚ Outpost24 Martin Jartelius, získat přístup k unikátním statistik souvisejících s technickými rizikových expozic od dodavatele správu slabých míst a provedli několik bezpečnostních auditů, který zahrnoval jak sociálního inženýrství, testy a penetrační testy. Nicméně, to bylo vše provedeno bez využití jakékoliv chyby.
Začali jsme analyzovat statistické údaje, které jsme získali, a to netrvalo moc dlouho, dokud naše teorie se ukázala jako správná. Podívali jsme se na frekvenci, starých chyb, což znamená, jaké chyby vlastně jsme zranitelní proti. Rozhodli jsme se zařadit statistiky pro Švédsko a Beneluxu v této zprávě.
Dokonce i statistiky ukazují, že jsme docela dobře chránit se proti zranitelnosti, které jsou nové, ale kupodivu máme tendenci zapomenout na starší zranitelnosti. Některé systémy jsou stále zranitelné zranitelnosti starších než 10 let.
Další zajímavou otázkou je: "jaké systémy máme skutečně snaží zajistit?" Je to velmi žhavé téma hovořit o kritické infrastruktury, ale to, co jiný druh "veřejných zdrojů" tam venku, které by mohly být rozhodující? Co například hotely? Nebo nemocnice? Nebo radiostanice například?
Při výzkumu je vždy důležité, aby se skutečná fakta, a jeden ze způsobů, jak to udělat, je dostat své špinavé ruce. V našem výzkumu jsme chtěli provést praktickou výzvu několik firem z různých odvětví. Hlavní myšlenkou bylo jít ven a navštívit společnosti a provést bezpečnostní audit s předem definovanou seznamu na základě výsledků z výzkumu. Naším cílem bylo ověřit a zjistit, jestli mají nějaké systémy citlivé na staré hrozby a rovněž přezkoumat jejich bezpečnostní rutiny a mnoho dalších testů. Nicméně, jen hrstka firem vlastně chtěl k účasti na této výzvě. Oba si myslíme, že je to naprosto dnes jedním z klíčových problémů, trávíme raději více času na nové vzrušující zranitelností a hrozeb, než ve skutečnosti, že péči o skutečných problémech. Rozhodli jsme se provést úkol stejně, a výsledky byly docela zajímavé.
Útočníci brousit dovednosti: Co to vlastně znamená pro CISO 24. září 2013. Zabezpečení | Hacking Dnes, IBM odhaluje výsledky svého X-Force 2013 Mid-Year Trend a zprávy o rizicích, která ukazuje, že vrchní úředníci bezpečnosti informací (CISO) musí zvýšit své znalosti o vyvíjející se zranitelnost a útoku krajiny, jako jsou mobilní a sociální technologie, účinněji bojovat proti vznikající bezpečnostní hrozby. Pro CISO, je to žádným překvapením, že se snažil a pravdivé taktiky útok může způsobit největší škody podniku. Známé chyby opustil unpatched ve webových aplikacích a serverů a koncových bodů software, vytvářet příležitosti k útokům dochází. Tyto unpatched aplikací a softwaru nadále pomocníky porušuje rok co rok. Nicméně nejnovější X-Force Zpráva rovněž uznává, že útočníci se zlepšit jejich dovednosti, které jim umožní zvýšit návratnost jejich vykořisťování. Tyto útočníci se vydělávat na důvěře uživatelů, pokud jde o nové vektorů, jako jsou sociální média, mobilní technologie a napajedla útoky. Nárůst využívání důvěryhodných vztahů v polovině roku 2013, útočníci nadále zaměřovat na využívání důvěryhodné vztahy se sociálními sítěmi z profesionálně vypadající spamu, posílání škodlivé odkazy, které se zdají být od přátel nebo lidí, které "budou následovat." Tyto útoky dělat práci, poskytuje vstupní bod do organizace. Na jejich obranu, sociální sítě přijaly více proaktivní opatření v pre-skenování odkazy obsažené ve veřejných a soukromých příspěvků / messages. Podvodníci se prodávají účty na sociálních sítích, některé patří ke skutečným lidem, jejichž pověřovací listiny byly ohroženy, jiní vyrobeny a navrženy tak, aby se důvěryhodné prostřednictvím realistických profily a webové připojení. Jako minimum fungují nafouknout stránce "líbí se mi" nebo vyvrátit názory, ačkoli více zákeřné použití patří skrývání vlastní identity provádět trestné činnosti - online ekvivalent falešné ID, ale s svědeckých přáteli, přidávat k podvodu. IBM X-Force očekává, že aplikace sociálního inženýrství propracovanější jako útočníci vytvářet složité Internetworks identit při rafinaci umění klamání obětí. Technologie vylepšení a ovládací prvky jsou k dispozici, osvědčené postupy i nadále rafinované a učil, ale nakonec důvěra uživatel věří, že se mohou obejít cokoliv bezpečnostní odborníci zavést. Otrava napajedlo otravy WaterholeAttackers se zaměřením na centrální, strategické cíle, jako je zvláštního zájmu Webové stránky, které jsou často navštěvují vybranou skupinu potenciálních cílů je efektivní a optimalizovaný způsob využití. Tyto ústřední cíle nemusejí mít vždy silné bezpečnostní řešení a nasadit politiky, a to iv případě, že ano, náklady na přijít na to, jak se dostat přes ně stojí možnost ohrozit jeho uživatelská základna. Tyto "zavlažování díra" útoky jsou skvělé příklad toho, jak funkční sofistikovanost se používá k dosažení cíle dříve citlivý. Tím by byla ohrožena centrální místo a používat to, aby sloužit malware, útočníci jsou schopni dosáhnout více technicky zdatné oběti, které nemohou být oklamáni v pokusy o phishing, ale nebude tušit, že stránky, které by mohly být škodlivé důvěra. rozptýlení a přesměrování techniky Distributed Denial-- of-Service ( DDoS ) útoky lze použít jako rozptýlení, což umožňuje útočníkům prolomit další systémy v podniku, zatímco IT pracovníci jsou nuceni činit obtížná rozhodnutí založené na rizicích, případně bez viditelnosti v plném rozsahu toho, co se děje. Útočníci prokázaly zvýšenou technickou náročnost v oblasti DDoS využitím metod zvyšování množství schopného šířku pásma, aktualizované a účinný způsob, jak zastavit podnikání přerušení on-line služby, stejně jako nové techniky DDoS zmírnění úniků. Vzhledem k tomu, rozsahu a četnosti narušení dat pokračuje ve vzestupné trajektorii, je důležitější než kdy jindy se dostat zpět do základní bezpečnostní základy. Zatímco technická zmírnění je nutnost, vzdělávání uživatelů v celém podniku, že bezpečnost je způsob myšlení, není výjimkou, může jít dlouhou cestu směrem k snížení těchto incidentů. Kompletní zpráva je k dispozici zde .
Výzkumník zoufá nad kritické SIM nedostatky jsou stanoveny před útoky se stalo 24. září 2013. Zranitenosti | Zabezpečení Dva měsíce, které uplynuly od badatel Karsten Nohl oznámil, že našel a podařilo se pákový kritické chyby v šifrovací technologie používané některými SIM kartami, ale telekomunikační společnosti jsou ještě reagovat a opravit je.
Ano, když vyšel s informacemi a sdílet ji s telekomunikací, oni říkají, že by se na to. Ale jak čas ubíhal, Nohl stal se přesvědčený, že se odklad jednání, nebo dokonce přímo v plánu nic nedělám určit na alespoň jeden z nich, protože jim to umožňuje bezobslužně nasadit svůj vlastní software aktualizace na thusly backdoored telefonů. Nohl objev mu umožnila objevit šifrování DES klíče jednotlivých ohrožených SIM karty jednoduše zasláním speciálně vytvořenou SMS na cílové zařízení, pak zlomit a používat znalosti na dálku překonfigurovat na SIM tak, že přijímá další pokyny jako pro instalaci špionážní aplikace bez uživatel si toho byli vědomi. Byl dokonce schopen naklonovat kartu. "Mysleli jsme, že náš příběh byl jedním z bílo-hat hackerů prevenci trestné činnosti," sdílel s registrem, ale řekl, že proto, že žádný přímý trestný čin byl objeven v současné době děje v důsledku těchto vad, žádné šetření byla zahájena o věci. Frustrovaný zjevné ignorování odvětvím telekomunikací a SIM výrobců, se rozhodl přijít s další podrobnosti o zranitelnosti. Tyto údaje by mohly pravděpodobně pomoci hackerům replikovat své vlastní útoky, ale může také vynutit ručně společnosti "dělat něco o tom. Mezi společnosti, které se kontaktovaných byl Gemalto, která je největším světovým SIM karta výrobce, a on dostal řekl, že nedostatky byly nedůležité. Společnosti mají pravdu v jedné věci. V současné době, útok je poměrně složitá a útočník musí mít dobré znalosti o rozvržení paměti na SIM kartě a kryptografie, a jedná se pravděpodobně o nepatrný počet útočníků, kteří by byli schopni vytáhnout ho. ale jako vadné SIM karet stále hostit bankovní aplikace, čas eventfully ve chvíli, kdy je možnost krádeže obrovské sumy peněz budou s větší pravděpodobností, a útočníci thusly více motivováni. Bohužel, on si myslí, že společnosti budou naslouchat a uskutečnit změny, pouze tehdy, když vážné útok zneužívat případných chyb se stane.
Firmy proti dnešním útokům využívají staré strategie
23.09.2013 Zabezpečení | Hacking Společnosti zaostávají, protože útočníci je zatím stále přechytračují díky nejnovějším technologiím, kterými jsou vybaveni.
Firmy proti dnešním útokům využívají staré strategie
Válka o informace pokračuje a boje přituhují. Zatímco ale organizace pomalu nasazují obranné techniky, které byly vyvinuty před lety proti tehdejším technologiím, protivníci využívají slabin, které mohly být objeveny třeba tento týden. Platí to v České republice stejně jako v jakékoli jiné zemi.
Poměrně alarmující informace v pátek uveřejnila konzultační společnost PricewaterhouseCoopers. Ve studii „The global state of information security survery 2014“, která vychází z dat nasbíraných od více než 9 600 společností a bezpečnostních profesionálů, primárně vybíraných v oblasti asijského Pacifiku.
Letošní analýza zjistila, že počet bezpečnostních incidentů, které byly detekovány během posledních 12 měsíců, se meziročně zvýšily o 25 procent, zatímco průměrný finanční dopad takového útoku se zvednul o 18 procent. Přitom investice do bezpečnosti jsou i nadále velké, průměrný rozpočet určený na bezpečnost se za poslední rok zvýšil o 85 procent. Většina respondentů je i nadále optimistická, co se alokace finančních prostředků na bezpečnost týče, 60 procent počítá s dalším navýšením během následujících 12 měsíců.
Bohužel, průměrné finanční ztráty způsobené vinou bezpečnostních incidentů se zvedly o 28 procent. Znepokojující je, že prudce vzrostl počet případů, ve kterých finanční ztráty přesáhly 10 milionů dolarů – více než o 50 procent od roku 2011.
V reakcích překvapivě figurovala značná část ředitelů jako hlavní překážka ve zlepšování bezpečnostních praktik společností. Většina respondentů uváděla jako primární zdroj bezpečnostních incidentů dřívější nebo současné zaměstnance, u bezpečnostních útoků zvnějšku 32 procent společností jmenuje jako původce hackerské skupiny a pouze 4 procent uvádí jako útočníky státní agentury.
PricewaterhouseCoopers doporučuje přepracování bezpečnostních strategií tak, aby byly integrovány s potřebami každé společnosti a aby jim priority přidělovalo vrcholné vedení. „80 procent respondentů tvrdí, že jejich informační bezpečnost je v souladu s obchodními prioritami firmy. To ukazuje, že management začíná chápat míru dopadu bezpečnostních incidentů. Ale musí jít ještě o krok dále a posílit chápání nutnosti bezpečnostních kroků ve všech částech jejich společností. Spolupráce, ať už interní či interní, je stává klíčovou zbraní.“
Jako každoročně se zpráva věnuje i mobilní a cloudové bezpečnosti, která opět zaostává proti ostatním segmentům. Například ze 4 procent respondentů, kteří využívají cloudové prostředky, má pouze 18 procent odpovídající směrnice pro jejich bezpečné a správné využívání.
Produkt Pokrytí a zmírnění jejich důsledků pro CVE-2013-3893
Zpravodaj zabezpečení společnosti Microsoft (2887505) 17. září th , 2013, publikoval Microsoft Security Advisory 2887505, který coverers vzdálené spuštění kódu ve všech podporovaných verzích aplikace Microsoft Internet Explorer. Chyba spočívá v manipulaci s objekty v paměti, které byly odstraněny nebo nesprávně přidělena. Konkrétně může use-po-free chyba v HTML engine (aka mshtml.dll) být použity k vyvolání stavu ohrožení. Tato chyba je v současné době využíván v omezených a cílené útoky. Funkční využití a malware artefakty byly identifikovány ve volné přírodě. Sanace / Zmírnění Microsoft Společnost Microsoft vydala Fixit zástupného řešení k řešení tohoto problému. Kompletní oprava ještě není uvolněna. Zdroje http://technet.microsoft.com/en-us/security/advisory/2887505 http://blogs.technet.com/b/srd/archive/2013/09/17/cve-2013-3893-fix-it-workaround-available.aspx McAfee Labs Následující produkty McAfee / zabezpečují pokrytí McAfee Vulnerability manažer McAfee MVM / FSL Obsah Vydání 9/18/2013 McAfee Antivirus Pokrytí je k dispozici v 7204 DAT, propuštěn na 9/20/2013 Jméno - Exploit-IE heur McAfee Network Intrusion Prevention Systems (NIP) UDS Nouzové odblokování v 9/17/2013 UDS podpis útok ID 0x4510ef00 Name = "UDS-HTTP: Microsoft Internet Explorer onlosecapture Použití po volném zabezpečení Jako nové informace je možno získat, nebo produkt, pokrytí je aktualizován, společnost McAfee Labs vás informovat.
Kaspersky Lab uvádí na trh řešení pro multi-zabezpečení zařízení 18. září 2013. Zabezpečení Kaspersky Lab oznámila Kaspersky Internet Security - Multi-Device , nový bezpečnostní produkt, který poskytuje způsob, jak pro zákazníky zajistit jejich činnosti na internetu mezi několika zařízeními, vše prostřednictvím jediného nákupu a licence pro jednoho uživatele.
Tento software zahrnuje ochranu pro PC, Mac a Android smartphony a tablety v jeden produkt. Zákazníci si mohou nainstalovat zařízení-specifické technologie na libovolnou kombinací PC, Mac a Android smartphony a tablety, s možností pohybovat ochranu z jednoho zařízení do druhého, protože zákazníci zakoupit nová zařízení. Klíčové Android bezpečnostních prvků:
Real-time ochrana proti malwaru pro mobily, včetně automatického skenování stažených programů, aby se zabránilo instalaci aplikací rouge se tváří jako legitimní ty Prohlížení webu Ochrana zajistit zákazníkům neklikejte na škodlivé webové stránky nebo podvodné odkazy, jejichž cílem je ukrást osobní informace Anti-theft funkce, které zákazníkům umožňují najít chybějící zařízení pomocí GPS a mobilní signál. Zákazníci mohou také vzdáleně uzamknout zařízení, vymazat data, zapněte funkci alarmu a aktivaci systému fotoaparátu automaticky fotit každý, kdo v současné době má ji Zavolejte a text filtrování zpráv blokovat nevyžádané a nechtěné telefonáty. Klíčové Mac bezpečnostní prvky: Kompletní ochrana před všemi hrozbami malware, včetně specifickými pro Mac malware, a všechny PC cílení malware, které mohou být uloženy na počítačích Mac a nechtěně přeneseny do počítače Advanced Parental Controls, aby zajistily děti používat internet bezpečně a zodpovědně Na obrazovce virtuální klávesnice, poskytuje další vrstvu ochrany před malware keylogging při zadávání osobních údajů na internetu. Klíčové vlastnosti zabezpečení počítače: Lepší Bezpečné peníze proaktivní ochrana proti finanční krádeži, která zahrnuje podporu pro více webových prohlížečů, a výrazně rozšířený seznam důvěryhodných stránkách internetového bankovnictví, platebních služeb a on-line obchodů. Ochrana speciálně pro sociální sítě, jako je škodlivé adresy URL, která se rozšířila na Facebooku a Twitteru Další ochranu před nejnovějšími hrozbami prostřednictvím vylepšené automatické technologie Exploit Prevention, která zajišťuje zranitelnosti v rámci programů nepovede k PC kompromitaci Nové nástroje porazit malware, který uzamkne počítač a požaduje výkupné vrátit kontrolu vlastníka dat Rodičovská kontrola blokovat nežádoucí obsah, omezit množství času stráveného online a automaticky zabránit dětem sdílení soukromých informací o kreditní kartě čísla, telefonní čísla, domovní adresy - na sociálních sítích. Christopher Christiansen, viceprezident IDC bezpečnostních produktů a služeb komentáře: "Jako domácí spotřebiče množit s mobilními zařízeními spojující počítače, tam jsou dva problémy. Za prvé, je rychle se rozvíjející mobilní hrozeb. Za druhé, je řízení problém udržet všechny chráněné zařízení a zároveň se zjednoduší instalace, aktualizace a licencí. Nicméně, složitost řízení více bezpečnostních produktů pro PC oproti smartphony a tablety způsobí, že lidé nedělají nic. To klade je v ohrožení a umožňuje správu multi-zařízení domácnosti opakující se noční můra. Řešením je přijetí jednotné řešení, které zajišťuje většinu nebo všechny domácnosti, v zařízení. Řešení, jako Kaspersky Internet Security - Multi-Device jsou pokrokový krok od společnosti Kaspersky Lab o tom, jak zjednodušit proces chránící domácnost zařízení ".
Self-healing zabezpečení systému BIOS od HP 18. září 2013. Zabezpečení | Hardware Společnost HP oznámila, HP biosféry s SureStart techniky, sebeléčení řešení zabezpečení vytvořen s cílem pomoci organizacím lépe spravovat rizika a chránit uživatele a produktivitu IT. HP biosféry s SureStart technologie byla vyvinuta s HP Labs, společnost je centrální výzkumná rameno a může automaticky obnovit Systém BIOS počítače již dříve bezpečného stavu v případě napadení nebo je poškozen. Toto bezešvé schopnost přináší "budoucnost," technologický průlom k HP EliteBook zákazníky tím, že konečný PC BIOS obranu. Společnost HP přidala HP SureStart řešení jeho vícevrstvého HP Client Security portfolia řešení s cílem poskytnout zákazníkům ještě silnější bezpečnostní protokol, který brání proti neoprávněný přístup k systému. IT se neustále za úkol chránit důvěrné informace, včetně zaměstnanců identit a údaje o zákaznících napříč různými zařízeními. To je třeba opravit celou řadu lidí s různými pracovními styly celé organizace dělá neočekávané podnikové IT bezpečnostních hrozeb trvalou výzvu. "bezpečnostní situace se stala složitější, neboť hrozby stále rafinovanější a zaměstnanců vyžadují flexibilitu zařízení se shoduje s jejich měnící se pracovní prostředí , "řekl Lorri Jefferson, ředitel, tablety a Software Strategie společnosti HP. "Tato nabídka průlom zabezpečení jsou jednoduché, bezešvé řešení, které by řešily tyto sbíhající se trendy přináší podnikovým zákazníkům Ultimate Fighting mechanismus pro zmírnění rizika, hrozby a negativní obchodní výsledky." biosféra HP s technologií SureStart je prvním řešením svého druhu, aby prakticky bez přerušení produktivita pro podnikové uživatele tím, že zabrání korupci a poskytování samoléčbu před malwarem nebo nepravděpodobný neúspěšných aktualizací systému BIOS počítače. Bez ohledu na důvod, úmyslné nebezpečný útok, neznámé příčiny, nepodařilo aktualizace nebo jiné náhodné příčiny HP SureStart obnoví PC BIOS pro další uživatele produktivity a snížení IT help desk požadavky. S HP SureStart zákazníci již nebudou muset starat o bezpečnost jejich PC Aktualizace systému BIOS. Bezpečnost a spolehlivost vylepšení jsou dodávány přímo zákazníkovi, přes web nebo zákazníka interní webové stránky. Tento out-of-the-box řešení je založeno na biosféře HP, HP špičkové firmware ekosystému, který zahrnuje HP BIOS a zabezpečený integrovaný řadič. Biosféra HP umožňuje jak HP Client Security a klienta obûti řešení pro řízení tím, že automatizuje ochranu dat, stejně jako robustní konfigurovatelnost a možnosti správy pro obchodní počítačů HP. HP SureStart technologie poskytuje maximální ochranu před útoky škodlivého softwaru z PC BIOS, prevenci uživatele prostoje a IT podpora požadavků. V kombinaci s HP BIOS Protection, (2) roztok zjistí, zabraňuje, zprávy a umožňuje automatické obnovení pokročilých perzistentních hrozeb (Apts). To udržuje vládní a obchodní profesionály v bezpečí před cybercrimes zvyšující produktivitu a zároveň získat klid.
30 procent z transakcí uskutečněných od Tor jsou podvodné 17. září 2013. Zabezpečení | Šifrování | KyberSecurity iovation oznámil, že 30,2 procent operací prováděných od Tor (cibule směrovač) v srpnu bylo podvodné. To je ve srovnání s celkovým podvod mírou 1 procento pro všechny on-line transakcí v srpnu. Tor je soukromí protokol, který je určen na pomoc lidem, pro prohlížení internetu anonymně. Činí tak tím, že přesměruje webový provoz po hard-to-následovat cesty a přiřazení uživatelů webových náhodné IP adresy, která může kdykoliv změnit. To pomáhá maskovat skutečné uživatelů geolocations a IP adresy jejich zařízení připojených k Internetu. Podle Tor metriky, více než 1,5 milionu lidí používá Tor každý den od začátku září 2013 se z 500 tisíc denně na začátku srpna 2013. " Počítačoví zločinci jsou vždy hledají způsoby, jak létají pod radarem, "řekl Scott Waddell, technologický ředitel společnosti iovation. "Zatímco Tor na jeho povrchu se zdá být pro větší dobro, je nepřiměřeně používá k podvodným a zneužívající transakcí. Za zmínku stojí, Tor použít více než zdvojnásobil v srpnu, pravděpodobně kvůli masivnímu botnetu pákového Tor pro velení a řízení komunikace. " podvodu nálezy byly vyrobeny iovation analýzou 240000000 transakcí uskutečněných v srpnu 2013 pocházejí z 1,5 miliardy zařízení, jež má ve svém zařízení pověst databáze. Transakce s využitím Tor byly identifikovány iovation využitím technologie je vyvinuta korelovat transakce na IP adresy, které jsou součástí Tor.
Příliš dlouhá hesla může DoS některé servery 17. září 2013. Zranitelnosti | Zabezpečení Objev zranitelnosti v populárním open source aplikací web rámcové Django nedávno prokázala, že použití dlouhého hesla není vždy to nejlepší, co má dělat.
Jak vysvětlil Web Developer James Bennett, Django používá PBKDF2 algoritmus hash uživatelských hesel, takže je velmi obtížné pro brute-force útoky, které mají být úspěšně proveden. "Bohužel, tato složitost být také použit jako útoku. Django neukládá než maximální na délce hesla holého textu, což znamená, že útočník může jednoduše podat libovolně velký - a zaručený k selhání - hesla, nutit server se systémem Django provést výsledný hash drahé výpočtu ve snaze kontrolovat heslo . Heslo jeden megabajt ve velikosti, například, bude vyžadovat zhruba jednu minutu výpočtu pro kontrolu při použití PBKDF2 hasher, "Bennet vysvětlil v blogu. "To umožňuje denial-of-service útoků přes opakované podání velkých hesel , vázání serverové zdroje na drahé výpočtu příslušných hash. " Existence vady byla zveřejněna na veřejné django-developers mailing listu, a opustil základní tým usilovně snaží opravit co nejdříve je to možné. Naštěstí to trvalo jen jeden den, a oni to udělali tím, že omezí hesla 4096 bajtů. Nově vydána Django 1.4.8, Django 1.5.4 a Django 1.6 beta 4 obsahuje opravu a všichni uživatelé se doporučuje provést upgrade na jednu z tyto verze ihned. Bennett také nezapomeňte se zeptat, že všechny budoucí potenciální bezpečnostní problémy vždy sdělují prostřednictvím e-mailu na security@djangoproject.com, spíše než prostřednictvím veřejných kanálů.
Schopnost provádět finanční transakce na internetu učinil naše životy mnohem jednodušší.Nyní prakticky každý druh výrobku či služby lze zakoupit z domova, zatímco webové služby bankovní ušetří námahu stojí v břehové čáry.Nicméně, rostoucí popularita on-line plateb, hraje do rukou zločinců, kteří jsou také plné ruce práce se přijímají špičkové technologie: čím více lidí se rozhodnou pro vzdálenou finančního řízení, tím více potenciálně stát obětí.Trestná činnost se stává výhodnějším.Jako výsledek, krást finanční informace a převodem aktiv uživatelů na účty pod kontrolou zločinci je nyní velmi efektivní způsob, jak vydělat peníze, zaměstnaná zločinci po celém světě.
Teoreticky pro zločinci, kteří se snaží ukrást finanční informace, je výhodnější zaútočit na straně serveru zpracování plateb (včetně infrastruktury bankovnictví, platebních systémů, serverů apod.), neboť obsahuje obrovské množství dat, které mohou být použity pro Výhodou nebo prodat.Nicméně, v praxi je stejně obtížné získat takový přístup, aby narazit do fyzického bankovním sejfu, protože firemní servery jako velmi dobře chráněna.Proto zločinci raději útočit na uživatele bankovnictví a platebních systémů - ty nejsou tak dobře chráněny.V jediném útoku, může zločinci nakazit desítky tisíc domácích počítačů, a ve velkém měřítku jim přinese kýžený zisk.
Jak uživatelská data krádeži
Zločinci jsou vyzbrojeni celý arzenál metod, s nimiž získat přístup k důvěrným informacím uživatelů.Většina útoků, které se zaměřují na finanční údaje mají sociální inženýrství jako jejich základní prvek.To lze použít k šíření malware nebo ukrást přihlašovací údaje přímo.
Phishing je klasickým příkladem využití sociálního inženýrství s cílem podvést uživatele o jejich finančních informací.Uživatel je svedena předávání důvěrných informací zločinci.Například může být dezorientovaný oběť obdrží "oficiální" písmeno v názvu renomované banky (platební systém, internetový obchod, atd.), které říká, že tam byla porucha na serveru organizace, takže všichni klienti potřebují urychleně poskytnout jejich osobní údaje pro ověření.Záminky se může lišit, ale v každém případě je klient vyzván, aby zaslaly své přihlašovací údaje v odpovědi e-mailem, zadejte je v přiloženém webového formuláře, nebo na banky "oficiální" webové stránky, v návaznosti na odkaz v e-mailu.Veškeré informace poskytnuté uživatelem dorazí v rukou kybernetických zločinců.
Podvodníci používají falešné webové stránky, které napodobují originály.
Příklad phishing webu
Chcete-li spoofing méně nápadné, že počítačoví zločinci používají URL adresy, které jsou podobné těm z původních webových stránek.Různé způsoby falšování lince v adresním řádku jsou také používány.
Výmysly Podvodníci jsou často těžké odlišit od původních stránek.Proto odborníci radí uživatelům přístup k finančním stránky ze záložek ve svém prohlížeči, spíše než po e-mailový odkaz.
Existují také specializované škodlivé programy určené k ukrást finanční informace, jedná se o bankovní trojské koně.Obvykle se automaticky shromažďují informace o platbách provedených z infikovaných počítačů a občas provádět finanční transakce ve jménu uživatele.
Když klienti bank jsou napadeny pomocí škodlivých programů, phishing e-maily mohou být zaslány ve jménu napadeného banky.V těchto falešných e-mailů jsou uživatelé požádáni, aby zaslali informace, ale otevřít přiložený dokument pod nějakou záminkou.Příloha, ve skutečnosti je škodlivý soubor.
Tato masivní rozšíření bankovních trojských koní je podporovaný využije zranitelnosti ve Windows a dalších populárních softwarových aplikací.Bez toho, aby uživatel vědět, že tyto exploity proniknout do systému pomocí softwarových chyb a stahovat další škodlivé programy, které kradou informace o financích z počítače oběti.Chcete-li útok efektivní, že zločinci využít tzv. exploit balení, nebo balení, které využije na různé zranitelnosti, spíše než jednotlivé využije.Exploit balení analyzuje software nainstalovaný na počítači uživatele, pokud zjistí mezery v software, ale vybere si vhodnou exploit infikovat počítač.
Exploit balení jsou umístěny buď na serverech Počítačoví zločinci "nebo pirát zdrojů.Odkazy na činů jsou distribuovány zločinci přes spam, sociálních sítí, hostované na napadených legitimní stránky, dokonce i transparenty a Hádanky právních reklamních systémů mohou být použity pro toto.Využije zase stáhnout trojské koně obětí počítačů.Infekce oblíbených míst jsou obzvláště nebezpečné: jsou navštívilo mnoho uživatelů, a když škodlivý odkaz je k dispozici, je pro každého návštěvníka je počítač nenápadně napaden exploity, které se snaží připojit škodlivé programy k nim.
Zločinci používají oba víceúčelových bankovní trojské koně, schopné napadat klienty různých bank nebo platební systémy a jednoúčelové trojské koně určené k útoku na zákazníky konkrétních bank.
Jak trojské koně pracují
Jakmile se na počítači uživatele, bankovní trojské koně vytváří oporu v systému, a pak začne jeho zadaný úkol, který je ukrást všechny typy finančních informací od uživatele.
Škodlivé programy používají následující postupy:
Keylogging.Intercept trojské koně úhozů, když uživatel zadá informace, které nejsou předmětem zájmu zločinci, jako jsou přihlašovací údaje.
Snímání screenshotů zachytit důvěrné finanční informace zadané pomocí běžné klávesnice.V tomto případě se zločinci pouze poznat informace zobrazené během typu dovnitř, ale nemůže získat přístup uživatele přihlašovací jméno a heslo, protože zadané znaky jsou nahrazeny hvězdičkami na obrazovce.
Obcházení virtuální klávesnice: zachycením obrazu obrazovky plochy kolem kurzoru v době, kdy uživatel klepne levým tlačítkem myši.Tímto způsobem cybercriminal zachycuje znaky, které uživatel zadá pomocí virtuální klávesnice, a tak ví uživatele přihlašovací jméno a heslo.
Úprava souboru hosts.Informace uložené v tomto souboru má přednost před informacemi, které webový prohlížeč obdrží z DNS-server.Trojské koně přidat bankovní URL k tomuto souboru a přiřadit IP-adresy serverů počítačoví zločinci "k nim.V důsledku toho jsou uživatelé, kteří zadejte tyto adresy URL banky do svých prohlížečů přijata podvodné stránky, i když stále vidět právní bankovní URL ve svém prohlížeči.Pokud uživatel zadá své přihlašovací údaje na falešné stránky, je tato informace zaslána zločinci.
Vniknutí do běžícího procesu prohlížeče.Díky tomu, může Trojan ovládání prohlížeče připojení k serveru.Tímto způsobem mohou zločinci získat přihlašovací údaje, které uživatelé vstupují na bankovní stránkách, stejně jako upravit webovou stránku v obsahu (přes webové injekce), čímž se získá další důvěrné informace.
Pro compelte drtivou většinu on-line finančních operací, uživatelé potřebují webových prohlížečů.Techniky používané v moderních bankovních trojských koní jsou tak či onak souvisí s tímto softwarem.
Webové injekce nebo modifikující obsah HTML stránky, jsou populární metoda s zločinci.Škodlivý program přidá další pole, když jsou banky webové stránky zobrazené v prohlížeči, vyzve uživatele k zadání důvěrných informací.Například Trojan Carberp používá webové injekci přidat další pole na stránce online bankovnictví položka, ve které vyzve uživatele k zadání jeho / její číslo platební karty, jméno držitele, datum platnosti, CVV, CVC a kód slovo.Pokud uživatel odmítne učinit, Trojan zobrazí chybovou zprávu a blokuje bankovní relace.
Žádosti informace Carberp o pozměněném hlavní stránce on-line bankovního systému (viz červených krabic)
Dodatečné informace zadané uživatelem se dostane do rukou kybernetických zločinců ", ale nedosahuje banku tak, jak je zachytil, když jsou data posílána na bankovní server.Proto ani oběť, ani banka neví nic o podvodu.
Ve většině případů, zločinci raději používat kombinace různých technik - tudy se zlepšit své šance na úspěšné infekce a zvýšit účinnost škodlivého programu.Bankovní Trojan Zeus (Zbot) je jedním z nejmodernějších high-tech, trojských koní používaných zločinci.Mnoho druhů tohoto škodlivého programu existují po celém světě, a navíc jeho funkční klon - byla vytvořena - Trojan SpyEye.
Zde jsou některé z funkcí, Diův:
Trojan krade veškeré informace, které má uživatel "vzpomínat na počítači", např. kontrolou "Uložit heslo" políčko.
Trojan stopy, které klávesy uživatel stiskne.Pokud se virtuální klávesnice používá, Zeus zachycuje obrazovky oblast kolem kurzoru v době, kdy levé tlačítko myši je klepli.V důsledku toho, cybercriminal získá informace o tom, které jsou stlačená na virtuální klávesnici, a tak zná uživatele přihlašovací údaje.
Zeus používá webové injekce.Když uživatel otevře webovou stránku, která je uvedena v konfiguračním souboru Zeus, Trojan přidá nové pole, ve kterém je uživatel vyzván k zadání důvěrné finanční informace, které jsou předmětem zájmu zločinci.
Zeus je schopen obejít nejmodernějších systémů bankovní záruku (viz diskusi níže).
Tento škodlivý program se šíří pomocí sociálního inženýrství a využití zranitelnosti v populárním softwaru společnosti Microsoft, Oracle, Adobe, atd., když uživatel navštíví nedůvěryhodné weby.Odkazy na tyto stránky jsou většinou distribuovány ve spamu.
Zeus je schopen krást důvěrné informace o získání neoprávněného přístupu k účtům v největších světových bank.V roce 2012 jsme zaznamenali 3524572 pokusí nainstalovat tento škodlivý program na 896.620 počítačích s produkty společnosti Kaspersky Lab instalovaných na nich, které se nacházejí v různých zemích.
2012 Mapa Zeus / Zbot Infekční pokusy (KSN statistika)
Obcházení druhý faktor
Jak bylo uvedeno výše, banky investovat hodně úsilí při ochraně svých klientů.Bankovní trojské koně byly tak účinné, že banky mají zavést další ochranné vrstvy - nástroje identifikace uživatele, se standardními přihlašovací údaje, které tvoří tzv. dvoufaktorovou autentizaci.S dvoufaktorové autentizace na místě, že nestačí znát uživatelské jméno a heslo k získání kontroly nad bankovním účtu.
Nicméně, zločinci viz upgradovaný ochranu jako novou výzvu, a dál hledat nové způsoby, jak to obejít.
S dvoufaktorové autentizace na místě, banky používají jednorázová hesla (Transaction Authentication Number, TAN).V praxi, které mohou být ATM skluzu s kódy vytištěné v něm, SMS zprávy s jednorázovými hesly, která banka zasílá mobilní telefon uživatele (MTAN), nebo dokonce speciální zařízení (chipTAN).
Chcete-li obejít výše uvedených bezpečnostních systémů, zločinci vytvořili nové metody krádeže dat a upravovat jejich techniky sociálního inženýrství.
Jednorázové heslo (TAN)
Bankovní Trojan Zeus sadu nástrojů ve svém arzenálu, který může obejít různé druhy dvoufaktorové autentizace.Zeus používá zajímavý nástroj pro sběr jednorázová hesla, která uživatelé tisknou v bankomatu.
Jakmile uživatel je registrován u on-line bankovního systému a zadá své jednorázové heslo, Zeus krade autentizačních dat, zobrazí falešné oznámení, která říká, že aktuální seznam jednorázových hesel je neplatná, a vyzve uživatele k odběru Nový seznam hesel.
Chcete-li získat "nový seznam", musí uživatelé zadat své současné Tan-kódy, údajně proto, aby si je zablokován do příslušných polí ve formuláři vytvořil Zeus pomocí metody webové injekce.
Všechny přihlašovací údaje, které jsou zadány jsou zaslány počítačovými zloději, kteří se bezprostředně používají pro přenos oběti aktiv na jejich účty.
Příklad falešného oznámení vytvořil Zeus
MTAN
Ve spolupráci s mobilním Zeus Trojan-in-the-Mobile (ZitMo), můžete Zeus ukrást jednorázová hesla uživatelů, které přicházejí do mobilního telefonu.
To je, jak dva Trojans interakci s uživateli:
Když uživatelé navštíví přihlašovací stránka internetového bankovnictví, Zeus používá webové injekce vytvořit další pole v této stránce, kde jsou uživatelé vyzváni k zadání telefonního čísla, údajně obdržet certifikát aktualizace.
Pokud uživatelé zadejte přihlašovací údaje požadované pro povolení a telefonní číslo, Trojan krade informace a odešle ji na své majitele.Po nějaké době přijde SMS na uživatele smartphone, který obsahuje odkaz na "nové bezpečnostní list".Když uživatelé pokusí nainstalovat tento falešný certifikát, dostane smartphone napaden místo.
Tímto způsobem zločinci získat přístup ke všem údajům potřebných na dálku ovládat uživatele bankovní účet, a kradou peníze z něj.
chipTAN
chipTAN je další způsob ověření pomocí dvou faktorů.Používá se západoevropskými bankami a vyžaduje, aby každý klient mají speciální TAN generátoru zařízení.Máte-li nastaveny transakci na bankovním místě, uživatelé dát své bankovní karty do chipTAN a zadejte kód PIN.
Další uživatelé přepnutí přístroje vedle svého monitoru počítače zkontrolovat podrobnosti transakce probíhá.Po kontrole podrobnosti transakce podle následujících údajů zobrazených na displeji přístroje, uživatelé zadat další kód ze zařízení pro potvrzení transakce.
ChipTAN stránka na německé banky stránek
chipTAN je nyní nejmodernější a efektivní bankovní bezpečnostní nástroj.Bohužel, tvůrci SpyEye bankovnictví Trojan se naučili obejít tento high-tech bezpečnostní nástroj stejně.
Pomocí webové injekce, Trojan upravuje uživatele seznam bankovních transakcí.Z tohoto důvodu, když uživatelé přihlášení do on-line bankovního systému, vidí, že bankovní převod na velkou sumu dorazil, a zůstatek účtu změní.
SpyEye, ve jménu on-line bankovního systému, upozorní uživatele, že tato operace byla provedena omylem, a že účet bude blokován, dokud se vrací součet se údajně obdržel.
Aby se tomu zabránilo, uživatelé zahájit novou platební operace vrátit peníze.SpyEye vyzve uživatele s požadovanou bankovní účet a sumou peněz.Trojan nemusí krást generovaný kód chipTAN, protože uživatelé zadejte kód vlastníma rukama a potvrdit transakci.
Po tomto, aby Trojan manipuluje s webové stránky se zobrazí původní zůstatek na bankovním účtu, zatímco peníze jsou zaslány zločinci.
Německá banka varuje své klienty o oznámení chybného převodu peněz
Jak je vidět, tato metoda nevyžaduje ani další technické triky na straně zločinců, útok je založen na webových injekce a sociální inženýrství.
Známka
Token je USB zařízení sloužící jako další bezpečnostní nástroj a obsahující jedinečný klíč, který systém vyžaduje pokaždé, když uživatel provede platbu operaci.Tvůrci bankovního Trojan číhá nejedno efektivní způsob, jak obejít tuto ochranu:
Uživatelé iniciovat platební operace v internetovém bankovnictví a zadejte údaje.
Trojan číhají zachycuje údaje o platbě a čeká na systému požádat token.
On-line žádost bankovního systému žeton, a uživatelé představují jejich kredit vložením USB tokenu do příslušné zásuvky.
Trojan zachycuje tuto událost, po které se ukazuje, falešný "modrá obrazovka", která informuje uživatele o tom, že výpis fyzické paměti je vytvořené pro následnou analýzu, a žádá uživatele, aby přepnout počítač vypnout před dokončení operace.
Falešný modrá obrazovka zobrazí Trojan
Zatímco uživatelé čekat na "provoz" na dokončení (a zatímco jejich žetony jsou v portu USB), cybercriminal přístupu na tyto účty na dokončení příkazu k úhradě ve jménech uživatelů a převede peníze na jiný účet.
Mezi škodlivé programy Trojan-Banker.Win32.BifitAgent rodiny použít jinou metodu, aby se vyhnula USB tokenu.Tyto škodlivé programy jsou určeny k útoku uživatelů online bankovnictví software vyvinutý ruským BIFIT výrobce softwaru.
BifitAgent škodlivý program se skládá ze dvou hlavních modulů, které běží na počítači oběti - spustitelný soubor a archiv Java.Když se škodlivý program běží, hlavní spustitelný modul, který umožňuje komunikaci s C & C serveru, pracuje současně s škodlivých souborů JAR a umožňuje útočníkům změnit jakékoliv JAVA kód v okamžiku, kdy jsou bankovní transakce prováděny.Hlavní funkce kódu v jazyce Java obsažené v škodlivého souboru JAR je falešný údaje použité při bankovních transakcích na infikovaném počítači, aniž by uživatel nevšimne.Použití USB tokenu v dané transakce není překážkou cybercriminal protože token pouze znaky transakcí po data byla falešnou identitou.V důsledku toho, že uživatelé "peníze přistane v počítačovými zloději účtů.
Jak se mohu bránit?
Banky a platební systémy investovat hodně úsilí ke zlepšení bezpečnostní situace svých klientů, ale to samo o sobě nestačí znamenat uživatelé mohou být uvolněný o bezpečnost jejich majetku.Počítač uživatele musí být zabezpečeny proti krádeži platebních údajů bankovní trojské koně a další malware - to je zajištěno tím, že chrání před škodlivým kódem prohlížeče, ochrana klávesnice vstupy a antivirové technologie, které zabraňují průniku škodlivého softwaru systému.Přesto ani antivirová ochrana samo o sobě, tam musí být způsob kontroly legitimitu webové zdroje (stránky banky, platební systém, internetový obchod atd.) a zabezpečené připojení k němu.
Žádná finanční transakce mohou být považovány za bezpečné, pokud tři klíčové komponenty jsou chráněny:
1..Počítač, ze kterého uživatelé přistupovat ke svým online bankovnictví účty
Antivirus chrání systém jako celek před škodlivými programy, speciální složka v antivirus chrání prohlížeče používané pro přístup k on-line bankovního systému.
Antivirus používá řadu ochranných mechanismů, díky nimž je obtížné nebo nemožné pro škodlivý kód proniknout do systému, spuštění a spustit na počítači.Tyto ochranné mechanismy fungují ve všech fázích bankovní operaci.
Pokud neznámý škodlivý program se podaří proniknout do systému, je hlavním úkolem komplexního antivirového řešení je ochrana dat.Za tímto účelem musí být výrobek sledovat prohlížeč běžící procesy a chrání ji před manipulací v jiných aplikacích.Doplňková ochrana je zde zajištěna virtuální klávesnici, s níž mohou uživatelé bezpečně vstoupit na podrobnosti o platební operace (číslo platební karty, CVV2/CVC2, osobní údaje apod.) do prohlížeče.
2..Komunikační kanál mezi klientem a serverem
Zabezpečené připojení brání zachycení údajů sdělených z klienta na server.Komunikační kanál je zajištěna použitím speciální protokoly (TLS / SSL), které zaručí, že šifrování sdělených údajů.Místo, na které je navázáno je identifikován pomocí certifikátu.
Místa bank a platebních systémů majídigitální certifikáty, které jsou vydané a podepsané certifikační autority.Tyto certifikáty ověřit pravost stránek a legitimitu jejího vlastníka.
Falešné stránky buď nemají certifikáty nebo používat falešné certifikáty.Nicméně, může být složitější situace také existují.Například, může Trojan, který získal oporu v systému upravit soubor hosts a vzít uživatelů na webu, který je přesnou replikou původního místa.Stejné Trojan můžete nainstalovat extra kořenový certifikát oběti počítači, který by ověřil oprávněnost falešné potvrzení o kybernetických zločinců "webové stránky, při kontrole v prohlížeči.Tak, že zločinci jsou schopni rozluštit všechny údaje předávané v prohlížeči z falešné stránky.
Antivirové řešení musí nezávisle ověřit pravost certifikátu zabezpečení, spíše než se spoléhat na operačním systému a prohlížeče pro to.Pokud certifikát není legitimní uživatelé upozorněni.
3..Na stránkách finanční organizace
Počítačoví zločinci řemeslo svých stránek, aby vypadal jako oficiální stránkách bank a platebních systémů.Certifikát legitimita kontrola je účinná pouze v případě, že uživatelé zadat správnou URL bankovním webu.Pokud uživatelé jít na bankovní místě po falešném odkazu z dopisu phishing, sociální sítě nebo z výsledků vyhledávání, musí být anti-phishing komponenty zasáhnout.Odkazy jsou kontrolovány proti databázi nedůvěryhodných webových zdrojů.Pokud se uživatelé pokusí navštívit nelegitimní stránky, obdrží varování před hrozbami.Aby se zabránilo pádu obětí phisherů, je vhodné navštívit bankovní stránek pomocí příslušný seznam z antivirový produkt.
V neposlední řadě, vysoká úroveň vlastní ochrany, je nezbytnou součástí řešení kvality bezpečnosti.Pokud byl škodlivý program, dokáže narušit práci antivirového řešení, vytváří mezeru v bezpečnostním systému a ohrožuje bezpečnost budoucích transakcí.
Klíčové prvky v bezpečné transakce
Je to právě tato koncepce zabezpečení online transakcí, která je implementována v nouzovém Money, Kaspersky Lab software řešení.
Bezpečné transakce Scénáře
Podívejme se nyní, jak je zabezpečená transakce prováděné podle Bezpečné peníze.
Komplexní antivirová ochrana zabraňuje pronikání škodlivého softwaru z počítače.Zejména bezpečnostní řešení kontroluje systém zranitelnosti v operačním systému nebo aplikace.Pokud uživatel nemá pravidelně aktualizovat systém, a pokud tam jsou chyby v systému, které byly uzavřeny vývojář, bezpečnostní řešení varuje uživatele o možném nebezpečí a vyzve k aktualizaci zranitelný software.
Pokud uživatelé ručně zadejte adresu URL nebo následovat odkazy z písmen nebo sociálních sítí, anti-phishing modul kontroluje, zda je URL v databázi nedůvěryhodných webových zdrojů.Pokud se jedná o phishing nebo škodlivých URL, uživatelé obdrží varování.
Pokud je stránka v URL je nalezen v databázi, uživatelé jsou vyzváni k otevření tohoto webu v zabezpečené prohlížeči.
Antivirus zkontroluje certifikát použitý k vytvoření zabezpečeného připojení.Požadavek je odeslán na cloudové služby ověření certifikátu.
Pokud certifikát není legitimní, uživatelé obdrží upozornění, že spojení nelze navázat.Bezpečné peníze vysvětluje, proč je spojení považováno za nedůvěryhodné.
Uživatel Oznámení v nouzovém Money Kaspersky Lab pro vykazování neplatný certifikát.Ve stejné době, je toto potvrzení specifické považovaná podle prohlížeče
Pokud je certifikát je důvěryhodný, zabezpečený prohlížeč vytváří šifrované spojení s bankovním webu.
Je bezpečnější používat seznam bank v bezpečnostní řešení otevřít přihlašovací stránku pro online bankovnictví nebo k zadání klienta stránku platebního systému.
V tomto případě je bezpečné navázání spojení a banky legitimní stránky je otevřen okamžitě pomocí zabezpečeného prohlížeče.
V nouzovém režimu Money, okno pomocí zabezpečeného prohlížeče má černé zelené pozadí
Bezpečný Money aktivní režim, data zadaná na stránky banky, ať už z virtuální klávesnice nebo pravidelné, je chráněn speciálním ovladačem, který nedovolí zločinci zachytit to.
Tak, platební transakce chráněny před bankovních trojských koní pomocí antiviru, pomocí zabezpečeného prohlížeče proces a bezpečné vstup z klávesnice.Pravost platebního systému nebo internetového bankovnictví webu je ověřena kontrolou na odkazy a digitální certifikát.
Účinnost řešení založené na konceptu bezpečných on-line transakcí bylapotvrzenazkušební laboratoře.
Závěr
Banky, platební systémy a další finanční organizace investovat hodně úsilí chránit jejich infrastrukturu a klienty před počítačovými zločinci.Nicméně, zločinci přetrvávají i při vývoji malware, přijít s novými způsoby, jak obejít bezpečnostní nástroje a ukrást bankovní údaje uživatelů.V této fázi je bankovní uživatelů Informace o nejlépe chráněny antivirových produktů a věnoval řešení, která může upozornit na nebezpečí, zabránit infekci včas a nenechá mezeru za nového bankovního Trojan.
Důkaz-založený systém zabezpečit auto
17 září 2013 Zabezpečení | Hacking
Digitální systémy v dnešním propojeném automobilu, včetně motoru, populárně naučné pořady a telematických systémů, zajišťují komunikaci, s pohodlím, informace, bezpečnost, údržba, bezpečnost a postupují směrem funkcí ovladače minimalistické a dokonce i zcela samostatně hnacích vozidel.
Množství dat generovaných rychle roste na podporu těchto funkcí. V kombinaci s integrovaným mobilním zařízením, GPS data a sociální profily, připojit auto se stává mocným sběratel a vysílání informací. Tato data jsou vysílána přes veřejné rozhlasové a televizní vysílání a uloženy v cloudu. Vzhledem k tomu, moderní připojen vůz má až 100 milionů řádků softwarového kódu, když jsou data více důležité pro provoz vozidla a připojeného vozu ekosystému, je důležité, aby se aktivní integritu ověření kritických systémů v reálném čase, přičemž vzájemná Auditovatelnost zajišťuje soukromí, ochranu, bezpečnost, legálnost a pojistitelnost. Základním problémem současných bezpečnostních modelů je, že je těžké zjistit (a následně dokázat), porušení událost, pokud na stěnu nebo klíče jsou ohroženy. S takovým útokem, je nemožné, aby byla zajištěna jejich spolehlivost, digitální aktiva, jak to může být změněn nebo přístupem neoprávněných osob (kteří pak zakryli stopy). Guardtime je Keyless podpis Infrastructure ( KSI ) je alternativní technologie pro ověřování elektronických dat . KSI se mění hru, s účinnou atestační založené na modelu zabezpečení, připojením složité matematické "značky" přímo do dat, což činí jakékoliv přístup k těmto údajům zdokumentovaná a ověřitelné události. čas, identita, autenticita a historické provenience data jsou chráněna a ověřeny v reálném čase pomocí Guardtime patentované "důkaz založený na" technologie, namísto ochrany poskytované administrátory nebo pověření, které mohou být kompromitována. Symphony Teleca (STC) a Guardtime oznámily partnerství, aby tyto nové ochrany, bezpečnosti , údržba, spolehlivost a schopnosti pro zvýšení Connected Car ekosystém. Mají vytvářet řešení s cílem zvýšit bezpečnost a spolehlivost připojeného životního cyklu vozu softwaru, ať už z prováděcích mechanismů, jako Over The Air (OTA), nebo přímo z údržby portálu. S hodnotou softwaru vozidel stanovených zvýšit až o 50 procent do roku 2020, je nezbytné pro OEM efektivně řídit jejich životní cyklus softwaru. Jak více a více dat prochází veřejné rozhlasové a televizní vysílání a stále bezpečné sítě umožňují nezabezpečené Mobilní zařízení připojit k jejich sítě, problematika integrity dat, Software Assurance a vzájemné ověřitelnost zůstává nezodpovězenou otázkou.
NIST kybernetické rámec: Vaše pojišťovna se dívá
17 září 2013 Zabezpečení
Pokud NIST přišel s novým standardem pro kybernetické bezpečnosti , by vaše organizace pojistit pro počítačové rizik při měření proti tomuto standardu ? To bylhlavní tématem diskuse v Dallasu minulý týden nejpozději v sérii workshopů , které se snaží , aby se doladila navrhovaný NIST kybernetické rámec ( jsme diskutovali předchozí SSR schůzky Žijeme tady a bezpečnosti i zde , plus podcast zde).
Cyber pojištění bylo tématem panelu moderovat Tom Finan Ministerstva pro vnitřní bezpečnost a včetně Peter Foster,pojišťovací makléř se Willis Group, Mark Camillo AIG , Merrill Toby ACE USA, a Laurie Schwarz z Locktonu . Zde je, jak DHS jde o kybernetické pojištění:
Cybersecurity pojištění je určeno na zmírnění ztrát z různých kybernetických incidentů , včetně narušení dat , síťové poškození, a kybernetické vydírání . Ministerstvo průmyslu a obchodu popsal kybernetické pojištění jako "účinné, tržním způsobem zvyšování kybernetické bezpečnosti ", protože to může pomoci snížit počet úspěšných kybernetických útoků podporou široké přijetí preventivních opatření , podporovat zavádění osvědčených postupů tím, že založí pojistné na pojištěného úroveň vlastní ochrany a omezení úrovně ztrát, které firmy čelí po kybernetickém útoku.
Samozřejmě, že NIST je standardy agentura, nepojištění či subjektem pro prosazování práva . Ale NIST je v obchodu , a to za cíl poskytovat normy, které jsou obecně přijímány přes průmyslu , například , pojišťovny , kteří hledají nějaký způsob, jak měřit , zda je váš obchodní komíny až po "zlatý standard" a účtovat pojistné odpovídajícím způsobem. V současné době , by mnoho firem mohli kvalifikovat pro politiky ( podle alespoň jednoho Rozhodce ) , ale pojišťovny se zdají silně zaujatý v některých klíčových ukazatelů , jako zda je vaše firemní kultura je proaktivní nebo reaktivní s ohledem na rozvíjející se bezpečnostních otázek . Myslíte si, zůstat na vrcholu změny , nebo se více pasivní stand- back- a - watch přístup, pokud jde o bezpečnost ? Odpovědi na tyto otázky by mohla započítat do ceny , kterou zaplatíte za kybernetické pojištění ( zde je příklad takového pojištění , které nabízí AIG , a ACE USA).
Když pojišťovny rozhovor pro kybernetické politice , budete chtít přesvědčit je, že máte velmi dobré pochopení o tom, kde se nyní nacházíte , kam jít dál, a jak máte v plánu dokázat všechno. Obecně budete chtít ukázat, že jste vzhledem k vaší bezpečnostní situace některé významné myšlenky.
Jeden účastník diskuse rád se zeptat potenciálním klientům o svých nedávných ztrát zážitky. Pokud řeknou , že jsem neměl nic , on se zamračil podezřele a zaboří hlouběji , zkoumal , jak vědět, zda byly porušeny , nebo zda mají postup na místě poznat vůbec.
Ale co přesně bude kryta pojištěním kybernetické ? To je stále méně jasný. Například , jestliže tam je masivní rozsáhlé akci , řekněme kybernetické Katrina ve stylu digitální hurikán, který vyhladí celou pás technologických služeb , kteří platí za to, co , komu a za jakých okolností ? To je otázka kapacity , a jen jedna z otázek, DHS se věnoval týkající se kybernetické pojištění zde .
A pak tam jsou akciové trhy . Společnosti, které pojišťují finančních transakcí lidi pojistit velmi, velmi velké množství transakcí. Myslíš, že mnoho biliony dolarů není příliš mnoho dní . Hmotnost digitální troska v jejich světě by jistě nepříjemně děsivé ( pro ně i pro nás ) , a aby se nároky oddělení krčit .
Jo , a pokud je digitální Katrina , neuvidíte to přijde v televizi, předchází blížící se pevninu lijáky mlátičce na půl dne (nebo více) , stane se to v sekundách (možná mikrosekund ) s malým upozorněním , stejně jako v nedávné ATM loupeže , kde milionů dolarů ztrátové hodin může být normou.
Takže to, co je maximální celková společnosti dopadů pojištění lze důvodně předpokládat, že zvládnout ? To je otázka,panel uvažoval . Jeden účastník diskuse se domníval, že by mohly zvládnout 350 milionů dolarů dolarů událost , ale pravděpodobně 10 z těch, ve stejnou dobu . Ale pojišťovny lidé nejsou jen sedí na svých hýždích . Pojistné výpočty jsou založeny na velikosti a typu dostupných dat , a tam prostě není ještě dost , aby veškeré pojistně-matematické výpočty práci, ale oni zpomalení se tam dostat .
Zatímco pojištění Cyber průmysl je v plenkách, porušení oběti nezdá dočkat, až z klusu do posledního detailu každé porušení vzpružit pojistně tabulky , jako celý výpis všech detailů může sloužit jako nezáměrné poplašných upozornění pro zákazníky a uživatele, kteří chcete jistotu, že jejich data jsou chráněna . To platí zejména v okamžiku, kdy soutěžící po silnici neodhalí údaje , což by mohlo dvoření přízeň na trhu , protože "se objeví " být více v bezpečí. Chtěli byste pochlubit vaší organizace údaje pro všechny vidět , aby znalci radost?
A co dostanete za své pokrytí ? Jeden účastník diskuse zdůraznil sedm různých kategorií " kybernetické pojištění ", v rozmezí od fyzické ztráty na reputaci pojištění a houf dalších. Pokud je vaše politika reaguje na ztrátu zasláním stoh nových serverů , které mohou dělat jen málo zmírnit celkový ránu na váš veřejný obraz. A o to právě jde : budete opravdu potřebovat komplexní pokrytí, a dokonce ani nemusí vědět , jak hodnotit to, co potřebujete . A ani se mohou váš agent . Opět platí, že nejste sami , protože pojištění Journal poukazuje na to tady.
Ať se stane cokoliv , NIST Cybersecurity rámec doufá, že na podporu v pokračujících jednáních o pojistitelnosti ( a mnoho dalších věcí ), které budou potenciálně ovlivňují osoby, které poskytují to, co lze stále považovat za důležité součásti naší národní vzdělávací infrastruktury.
Příspěvek NIST kybernetické rámec: Vaše pojišťovna se dívá poprvé objevil na Žijeme zabezpečení.
Remote Desktop ( RDP ) Hacking 101: Vidím svůj desktop od tady!
17 září 2013 Viry | Hacking | Zabezpečení
V poslední době jsme zaznamenali nárůst zpráv o malwaru instaloval přes Remote Desktop Protocol ( RDP ) . To je silný protokol, který byl nechat si zobrazit plochu systému Windows " na drát " na druhé straně zeměkoule (nebo zpět na své domů z kanceláře ) pro více než deset let . Je smutné, že zatímco RDP mohou sloužit řadu užitečných účelům od dálkového ovladače " hands-on " podporu konfigurace a provoz serverů , ve špatných rukou může býtdálkové ovládání zbraní, která umožňuje špatní herci na zombify počítač a nechte jej dělat jejich nabízení .
Jak se to mohlo stát? Pokud je váš počítač " naslouchá " pro signál RDP ( typicky přes portu TCP 3389 ) , a je připojen k internetu , bude reagovat, kdyžvzdálený uživatel požádá , pokud je to živé . Pro vzdálené uživatele , budou prezentovány s přihlašovací obrazovce na ploše, často bez povšimnutí vás ( zvláště pokud je počítač zapnutý a právě stalo, že se od ní ) . V tomto bodě, bude váš počítač vyzve je k zadání hesla - obvykle . Pokud máte špatně nakonfigurovaný RDP nastavení na vašem počítači však může jen nechat je dál -li tomu tak , je to jen začátek své problémy .
Co může PRV vetřelci dělat? Máte-li oprávnění správce přiřazené k uživateli se přihlásí as, mohou se počítač po neomezenou rotaci kolem bloku , a to od jeho vypnutí , restartování jej , instalace softwaru (včetně malwaru ) , nebo jen s rozhlédnout najít dokumenty souborů s vaší kritické osobních údajů v nich, jako je bankovnictví, účetnictví, nebo jiné informace a pak duch je pryč celé síti jejich domácích počítačích pro hanebné účely .
Jak se vám zastavit tohle všechno? První věc je vědět, jestli jste RDP povolen . To je snadné zkontrolovat z ovládacího panelu v části Systém > Vzdálená Nastavení> Připojení ke vzdálené ploše ( pod Windows 7 , ostatní operační systémy se liší ) .
Windows 7 RDP blokování
Všimněte si tento test má počítač Remote Desktop (RDP ), se zdravotním postižením, což je v pořádku pro testovací účely , protože nikdo by neměl být přihlášení vzdáleně tohoto rámečku. Ale pokud se rozhodnete povolit připojení nějaký čas trvat, definovat, kdo si myslíte, že by mělo být připojení pomocí " Vybrat uživatele ", dialogové okno :
RDP- uživatelé
Všimněte si , že jste uživatel přihlášen jako již nemá přístup ( zahalené v příkladu ) . Když vzdálenému útočníkovi přijde volání by to mohlo způsobit problémy pro bezděčná uživatele, který je přihlášen jako administrátor . Velmi pravděpodobně protivníci budou usilovat o získání zvýšené přístup a přihlášení jako správce jerychlý způsob, jak to udělat . Nemohou-li se pár, který je platný uživatel s snadný-k - uhodnout heslo , že mám klíče od počítače korunovačních klenotů .
V poslední době jsme zaznamenali nárůst počtu RDP - útoky pomocí trojského koně Win32/Filecoder.NAH (také známý jako ACCDFISA ), která se pokouší šifrovat soubory na vašem počítači a výpalné platit padouchy na jejich zpřístupnění .
Nevadí , že je to vždy dobrý nápad poslat peníze na podvodníky v systému , jako je tento (zejména prostřednictvím kreditní karty , který prakticky zaručuje další podvod ) , může celá věc se jednoduše vyhnout tuto službu , pokud nepotřebujete to a chránit jej , pokud nemáte .
Když už mluvíme o ochranu , kromě nepoužíváte snadno uhodnout jména uživatelů by silné heslo také jít dlouhé cesty směrem k ochraně účtu. Jestliže hackeři programově "odhadnout " vaše heslo, protože je založen na jednoduché slovo - , že budou poměrně rychle . Na druhou stranu, pokud je to složité , což znamená, kombinace malých a velkých písmen, číslic a symbolů ( čím déle , tím lépe) , jejich úkolem se stává mnohem více skličující.
Pokud potřebujete použít RDP a jsou více technicky nakloněn, můžete změnit port, na kterém RDP " naslouchá " pro připojení (výchozí port je 3389 ) . Microsoft má článek o tom, jak to v mnoha verzích systému Windows. Najdete zde také řadu možných řešení diskutovaných na přetečení zásobníku .
A na téma vzdálené plochy podporu , zůstat ve střehu, pro ty "Podpora systému Windows ", lidi, kteří telefon a zeptat se vás na instalaci speciálního software pro vzdálený přístup , aby mohli " opravit " počítač. Padající pro tento podvod může skončit špatně. Pro více informací o to, podívejte se na článek David Harley zde .
Příspěvek Remote Desktop ( RDP ) Hacking 101: Vidím svůj desktop od tady! se objevil na prvním místě Žijeme zabezpečení.
Náhlé - hat skenování může být nejbezpečnější klíče od auta všech dob
17 září 2013 Hacking | Zabezpečení
Náhlé skener může být použit jako konečný " biometrického klíče od auta ", podle výzkumníků na University Tottori - a dokonce zabránit carjackings , nelicencované ovladače užívající kolo, nebo nehod zaviněných řidiči s usínáním .
Biometrické systémy jsou široce projednávána v současné době , vzhledem k zahrnutí Apple systému otisků prstů číslo ve svém novém iPhone 5S .
Ale pro některé systémy , metody ověřování , jako jsou snímače oční duhovky a rozpoznávání otisku prstu jsou nedostatečné , Isao Nakanishi na Graduate School of Engineering uvádí v článku v časopise International Journal of biometrie .
Otisk prstu a duhovky systémy jsou "jednou a záznam " autentizace , Nakanishi tvrdí - a pro vozidla přepravující cenné komodity , nebo dokonce vozidel veřejné dopravy , nemusí to stačit .
"Měření řidičovy mozkové vlny stále - přes senzory v pokrývky hlavy u řidiče pokrývky hlavy - by bylo jednoduché a umožnilo ověření , které nemohly být spoofed podvodníka , " uvádí zpráva . "Pokud špatné mozkové vlny se měří , je vozidlo bezpečně zablokováno. "
Tento systém by snímat alfa- beta mozkové vlny řidiče , když jeli k enture , že jsou v dobré kondici , aby tak učinily .
" Důležité je, že by probíhající ověřování ovladačů, které používá své mozkové vlny usnadnit jednoduchý způsob, jak nezbavit spuštění motoru , pokud je řidič pod vlivem alkoholu s léky nebo alkoholem , nebo dokonce jen příliš unavený, protože jejich mozkové vlny se neshoduje s jejich normální vzor za takových okolností , " uvádí zpráva .
"Pokudpodvodník nahradí ověřeného uživatele v uneseného auta , například takové systémy nemají žádný způsob, jak ověřit , že osoba, v současné době jízdy auto je legitimní ovladače a že únosce nebyl hozen majitele z auta nebo přivázal v zavazadlovém prostoru . Systém ověřování na základě hesla nebo duhovky skenování , který opakovaně kontroluje , že řidič je právní řidič vozidla by neměla být v bezpečí. "
Jsme nedávno informoval o jiné biometrické, váš srdeční tep a podle Stephena Cobb , Senior Security výzkumník společnosti ESET , můžeme být na pokraji rozsáhlé nasazení biometrických údajů . Říká Cobb, " Úspěšné zavedení biometrických prvků v segmentu vedoucí výrobku může nevěstí nic dobrého pro spotřebitele přijetí . " Dodává: "Byl jsem fanouškem těchto údajů jako přidanou autentizační faktor od doby, kdy jsem poprvé zkoumal multi- faktoru a 2fa systémy 20 roků před však přijetí ze strany uživatelů je velmi citlivá na výkon , jinými slovy iPhone 5S mohli postoupit biometrii , nebo dát spoustu lidí mimo biometrie " .
Začátkem tohoto roku , UC Berkeley výzkumníci navrhli " mozkových vln " hesla by mohlo být efektivním nástrojem pro uvolnění počítačů a jiných počítačových systémů - s poruchovostí méně než 1%.
" Zjistili jsme, že mozkových signálů , dokonce i ty získané pomocí low-cost non- rušivé EEG senzory v každodenním prostředí , mohou být použity k autentizaci uživatelů s vysokou přesností ," řekl výzkumníci .
" Jiné než EEG snímač , headset je k nerozeznání od běžné Bluetooth headset pro použití s mobilními telefony , hudební přehrávače a jiných počítačových zařízení , " tvrdí vědci .
Po náhlé - hat skenování může být nejbezpečnější auto klíč někdy dělal poprvé objevil na Žijeme zabezpečení.
Microsoft re-vydání opravy, které byly příčinou smyčce instalace
17.9.2013 Zranitelnosti | Zabezpečení
Minulý týden počet lidí, kteří uvádí, že existují tři místa, která průběžně instalovány. Microsoft znovu vydala tyto opravy po upevnění detekční problém, který byl příčinou problému.
Následující bylo re-vytékal: Bulletin zabezpečení společnosti Microsoft MS13-067 Aktualizace zabezpečení aplikace Microsoft Office SharePoint Server 2007 (KB2760589) Bulletin zabezpečení společnosti Microsoft MS13-072 Aktualizace zabezpečení pro systém Microsoft Office 2007 suites (KB2760411) Aktualizace zabezpečení pro systém Microsoft Office 2010 (KB2767913) Bulletin zabezpečení společnosti Microsoft MS13-073 Aktualizace zabezpečení aplikace Excel 2003 (KB2810048) Aktualizace zabezpečení aplikace Microsoft Office Excel 2007 (KB2760583) Aktualizace zabezpečení aplikace Microsoft Office Excel Viewer 2007 (KB2760590) Aktualizace zabezpečení pro systém Microsoft Office 2007 suites (KB2760588) Bulletin zabezpečení společnosti Microsoft MS13-074 Aktualizace zabezpečení pro systém Microsoft Office 2013 (KB2810009) 64-Bit Edition Aktualizace nesouvisející se zabezpečením: Aktualizace aplikace Microsoft PowerPoint 2010 (KB2553145) Aktualizace aplikace Microsoft PowerPoint Viewer 2010 (KB2553351) Pokud počáteční náplast pracoval tam pro tebe není třeba nic dělat. Pokud váš stroj šel do instalačního smyčky pro patch by měl nyní být stanovena a můžete testovat a nasazovat.
Výkonný antimalware představily AVG i Eset
16.09.2013 Zabezpečení | Ochrana Hned dvě firmy představily svá nejnovější řešení pro boj se škodlivými kódy - AVG své antimalwarové systémy pro rok 2014, Eset zase prvek chránící prostředí sociálních sítí.
AVG představila své širší produktové portfolio pro rok 2014, jež zahrnuje celkem šest novinek - mimo jiné bezplatný AntiVirus Free 2014. Ten například obsahuje zcela novou funkci File Shredder pomáhající udržet citlivá data v soukromí.
Plnohodnotný AntiVirus 2014 pak kromě File Shredderu zahrnuje i funkci Data Safe šifrující a uchovávající cenné soubory na virtuálním disku. PC TuneUp 2014, jenž monitoruje a automaticky optimalizuje počítač, zase nabízí funkce pro vyčištění pevného disku a prodloužení životnosti baterie.
PrivacyFix umožňuje kontrolovat, spravovat i přizpůsobovat bezpečnostní nastavení na oblíbených stránkách (Facebook, Google, LinkedIn) z jednoho centrálního kontrolního panelu.
A konečně AntiVirus PRO v3.3 pro Android dovoluje bezpečně stahovat data, aplikace a prohlížet internetové stránky a má i funkci anti-theft.
Eset zase uvolnil k testování novou verzi Social Media Scanneru. Produkt informuje a chrání před hrozbami nejen účty samotného uživatele Twitteru či Facebooku, ale také účty jeho přátel na sociálních sítích. Součástí je Centrum zabezpečení, které zobrazuje aktuální úroveň ochrany osobních údajů na zmíněných sítích a navrhuje změny v nastavení soukromí.
Novinka umožňuje zvolit si mezi jednorázovou kontrolou nebo skenováním kvůli odhalení případných hrozeb. Po vytvoření účtu na webu výrobce může uživatel řídit ochranu svých profilů na sociálních sítích a chránit neomezený počet účtů včetně rodiny a přátel.
Java a Staré Hash algoritmy
13.9.2013 Zabezpečení
David, jeden z našich čtenářů, e-mailem wih otázku - když se snaží komunikovat s konkrétním tiskovém ovladači dostane chybu Java:
PKIX cesta ověření se nezdařilo: java.security.cert.CertPathValidatorException: Algoritmus omezení se nepodařilo zjistit: MD2withRSA
Tato chyba je, protože jako Java 7, MD2 zatřiďování a jakékoli RSA 1024 bitů za hash jsou zakázány. Protože se jedná o (velmi) starý ovladač tiskárny, skutečnost, že se stále používá MD2 není překvapení - ale to, co dělat dál?
OK - Zřejmá odpověď je upgrade z problému - v případě, že řidič má aktualizace aplikovat. Ale jak se dostaneme k rozhraní dané situace Java? Odpověď je pohřben v konfiguračních souborech Java - editujte soubor java.securty, která ve Windows se nachází na adrese: "C: \ Program Files (x86) \ Java \ jre7 \ lib \ security"
V tomto souboru najdete řádek: jdk.certpath.disabledAlgorithms = MD2, RSA KeySize <1024
Upravit nebo komentář mimo tento řádek a MD2 bude pracovat pro vás znovu. Ale nenechávejte to takhle - to umožňuje všechny ty CERT se slabým hash, který vás nechá otevřené do světa bolesti. V tomto případě dostane přístup zpět do rozhraní, takže můžete upgradovat na novější verzi. Pokud není k dispozici novější verze, to vám dává přístup, dokud můžete upgradovat hardware nebo aplikaci, která je příčinou problému.
NSA říká, že nelegální sběr dat byl způsoben příliš složité tech 13. září 2013. KyberSecurity | Zabezpečení NSA opakované tvrzení o nutnosti jeho sledování zařízení pod kontrolou vzít další hit poté, co agentura byla právně nucen vydávat obrovské dávky předtím klasifikovaných dokumentů. Mimo jiné, jeden z dokumentů vyplynulo, že NSA "byl nesprávně zpochybnil hromadné telefonování metadata pomocí automatizovaného "Upozornûní" proces, který vyústil v použití selektorů, která nebyla individuálně zhodnotil a rozhodl se splnit si vyžaduje přiměřenou articulable podezření standard. " Jak to dopadá, v těchto třech letech agentura skončil sledování některých 17835 telefon účty, kdy jen 1935 z nich se setkal, že norma. ředitel Národní zpravodajské James Clapper nazval to jako "dodržování incidentů", který "pocházel z velké části z složitosti technologie použité v souvislosti s objemnější telefonie metadat programu , interakce těchto technologií s jinými systémy NSA, a nedostatek společného porozumění mezi různými složkami NSA o tom, jak některé aspekty komplexní architektury podporující program fungoval. " "Po objevu těchto událostí, které byly okamžitě hlášeny na FISC, Soudní dvůr v roce 2009 vydal rozkaz vyžadující NSA usilovat o soudní schválení dotaz telefonie metadata případ od případu, s výjimkou pokud je to nutné k ochraně proti bezprostředního ohrožení lidského života, "říká. "Poté, NSA dokončila end-to-end recenze a udělal několik kroků k nápravě těchto problémů, včetně vytváření technologických opravy, zlepšení vzdělávání a zavádění nových dozorových postupů. Tyto kroky k nápravě pak byly hlášeny Soudnímu dvoru, a v září 2009, Soud zvedl požadavek NSA usilovat o souhlas k dotazu na telefonní metadata případ od případu a od té doby neustále reauthorized tento program. " Není to poprvé, že FISC soud slyšel od NSA, že to byl "omylem" zpronevěra dat a / nebo sdělení, že nemá právoplatné svolení ke dělat. Nicméně FISC soudci opakovaně ukázaly být soucitný a nebyly rozhodl skoncovat s programem sledování. V tomto konkrétním případě, ale pouze dočasně omezen přístup k údajům týmem analytiků NSA integrity dat. ERF a Trevor Tim rovněž poukázal na to, že klapky říkal, že oni byli uvolnění dokumenty, protože směřovalo k tomu prezidenta USA . "Toto tvrzení je zavádějící," řekl poukázal . "Jsou této informace, protože soud nařídil jim, aby jako součást svobody EFF soudního řízení informačního zákona, podané před téměř dvěma lety na desátým výročím Patriot Act." "Je neuvěřitelné, zpravodajských služeb dnes řekl, že nikdo na NSA plně pochopil, jak jeho vlastní kamerový systém pracoval v té době, takže se nemohli adekvátně vysvětlit soudu, To je úžasné vstupné. NSA dohled přístroje pro let, byla tak složitá a rozčleněný, že žádný člověk mohl pochopit, " dodal. "Zpravodajské úředníci také uznal, že soud musí své rozhodnutí opřít o informace NSA dává to, který nikdy nebyl dobrý základ pro brzd a protivah, která je charakteristickým znakem americké demokracie."
Java konečně dostane Whitelisting funkci 13. září 2013. Zabezpečení Poslední aktualizace Java Development Kit (JDK 7u40) obsahuje řadu oprav chyb, nové funkce zabezpečení a změny, a mezi nimi je ten, který byl už dávno:. Whitelisting volbou pro ochranu koncových bodů "Nasazení pravidlo stanovené funkce je pro podniky že spravovat jejich Java desktopové prostředí přímo, a poskytuje způsob, jak pro podniky, nadále používat staršími obchodními aplikacemi v prostředí stále utahování Java applet a Java Web Start politiky zabezpečení aplikací, "je vysvětleno v dokumentaci k funkci. Tato funkce umožňuje podniku na vytvoření whitelistu známých webových aplikací v jazyce Java, a ti na whitelist lze spustit bez jeho výzvy zabezpečení. Aby to fungovat, je nový Java Plug-in (k dispozici pouze od Java SE 6 Update 10) požadováno koncové body, ale i Java 7u40 (poslední verze), který bude použit k vytvoření pravidla, která pak bude pracovat pro starší verze. Tato funkce byla zavedena na pomoc společnostem, které nelze upgradovat na nejnovější verzi Java a může " t zakázat Java plug-in chránit své zaměstnance. sada pravidel je vytvořen pomocí XML souboru a budou muset být digitálně podepsán platným digitálním certifikátem vydaným důvěryhodnou certifikační autoritou. "Nasazení pravidlo stanovené funkce je volitelná a musí být používán pouze interně v organizaci řízeném prostředí. Pokud JAR soubor, který obsahuje sadu pravidel je distribuován nebo zpřístupněny veřejnosti, pak certifikát použitý k podepsání sadu pravidel bude na černé listině a zablokován v Javě ", pokyny k závěru.
Phishingové útoky na poštu neustávají, v Česku se napálily desítky lidí
12.9.2013 Phishing | Zabezpečení | Kriminalita
Masivní phishingová kampaň, ve které se už od začátku srpna útočníci vydávají za zaměstnance České pošty, stále neutichá. V těchto dnech byla zaznamenána další vlna podvodných e-mailů, jejichž prostřednictvím si lidé mohou zavirovat PC. Novinkám to potvrdila mluvčí pošty Marta Selicharová. „Cílem útoku je získat přihlašovací údaje klientů k jejich bankovním účtům. Podvodné e-maily jsou psány ve formě ‚Informace o zásilce‘, kde najde zákazník údaje o nedodání zásilky a upozornění na možné sankce,“ konstatovala Selicharová.
Ve zprávě je umístěn odkaz na podvodné stránky s trojským koněm Win32/Spy.Hesperbot. „Je to velmi silný bankovní trojský kůň s mnoha 'užitečnými' funkcemi, jako je logování zmáčknutých kláves, vytváření screenshotů a nahrávání videa. Dokáže také spustit vzdálenou proxy, vytvořit skrytý VNC server umožňující vzdáleně ovládat infikovaný počítač,“ popsal již dříve hrozbu bezpečnostní analytik Pavel Bašta z týmu CSIRT, který je provozován sdružením CZ.NIC.
Podvodný e-mail Podvodný e-mail FOTO: CSIRT
Podle něj jsou útočníci velice vychytralí a k penězům na účtu se dokážou dostat i přes potvrzovací SMS. „Oběti následně nutí k instalaci dalšího malwaru na jejich Android, Symbian či Blackberry telefony,“ dodal Bašta s tím, že pokud se jim podaří infikovat také mobil, v cestě k penězům na bankovním účtu jim už nic nebrání.
„Tímto virem byly již infikovány počítače v Turecku, Velké Británii, Portugalsku a desítky i v České republice. Upozorňujeme klienty, aby v žádném případě nereagovali na jakékoli výzvy, které obsahují adresu cpost@ceskaposta.net a její obměnu cpost@ceska-posta.net,“ uzavřela Selicharová.
Pošta již dříve kvůli podvodným e-mailům podala trestní oznámení na Policii ČR na neznámého pachatele. Pokud se lidé setkají s podvodnou zprávou, pošta žádá o přeposlání na adresu info@cpost.cz.
Kaspersky ochrání najednou Windows, Android a Mac OS
12.9.2013 Zabezpečení | Ochrana
Novou verzi svého řešení Internet Security uvedl na trh Kaspersky. Jde o variantu multi-device 2014, která, jak název napovídá, nabízí ochranu pro různá zařízení – pro počítače s Windows a MacOS a také pro mobilní přístroje s Androidem.
V současnosti je k dispozici česká verze řešení pro Windows, v krátké době prý lokalizace bude i pro Android.
Jakoukoliv kombinaci zařízení může uživatel chránit pomocí jediného aktivačního klíče. Dle průzkumu B2B International B2C Global Brand Tracker Survey z letošního dubna má totiž každá domácnost v průměru 4,5 zařízení připojeného k internetu.
Verze pro Windows obsahuje veškerou ochranu z produktů Internet Security 2014 a Anti-Virus 2014 a zahrnuje například Safe Money chránící před odcizením finančních prostředků při online transakcích a nakupování, dále obranu proti programům, které blokují obrazovku (tedy před trojskými koňmi, jejichž cílem je zablokování počítače a vydírání (tzv. ransomware).
Součástí je i funkce Automatic Exploit Prevention, automatická prevence zneužití slabých míst, jež zabraňuje škodlivému softwaru ve využívání slabých míst v operačním systému nebo v aplikacích, Trusted Applications Mode, která automaticky blokuje nevěrohodné programy či technologie ZETA Shield, sloužící k důkladnému hledání skrytých škodlivých kódů.
Varianta pro Android zase nabízí ochranu v reálném čase včetně automatického skenování stažených programů, možnost filtrování hovorů a zpráv SMS, funkce k minimalizaci zneužití cenných osobních údajů při ztrátě či krádeži zařízení, zejména pomocí vzdáleného přístupu a ovládání přes Kaspersky Anti-Theft Web Management.
V obraně biometrie
12.9.2013 Biometrie | Zabezpečení
K dispozici je nový iPhone a přichází s čidlem otisků prstů! Jaký lepší důvod mluvit trochu o biometrické. Za starých dobrých časů před Defcon a wardriving, Biometrie měl atmosféru "vysokou bezpečnost." Vzpomeňte si na film Jamese Bonda, kde vystřihnout chlapa oko obejít sítnice skener? Tyto dny jsou dávno pryč. Nyní jsme viděli otisků prstů a systém rozpoznávání obličejů je obejít tím, že jednoduché výtisky otisku prstu nebo obličeje nebo gumových forem otisků prstů používány namísto skutečné věci.
Tak jak smysluplná je snímač otisků prstů v těchto dnech? Správná odpověď je samozřejmě: To záleží. První na kvalitě senzoru, jednak na softwaru použitém k analýze získaných dat a nakonec alternativní metody ověřování nahradí nebo Metráže Nitě.
Během zápisu, Čidlo měří referenční obraz otisku prstu. Tento obraz je pak analyzován, a některé parametry jsou extrahovány z obrázku. Právě tyto parametry, nikoli původní obrázek, který bude použit k porovnání pozdějších pokusů o ověření. Samozřejmě, že žádné dva obrázky jsou docela podobní. To nemusí být možné určit všechny parametry, nebo některé další charakteristiky mohou být zjištěno, že nebyly viditelné v referenčním skenování. Výsledkem je to, že software je vytvořit prostor pro určitou variabilitu. Méně kvalitní snímače, může být poměrně velká variabilita, takže si jen s několika odlišnými parametry. Výsledek je stejný, jako má špatný heslo: Mnoho různých uživatelů skončí se stejným "otisk prstu", pokud jde o snímač se týká.
Takže co to znamená pro iPhone nebo mobilní zařízení autentizaci obecně? Problém s mobilním ověřování zařízení, vždy k tomu, že je obtížné pro uživatele k zadání hesla složité na malou klávesnici. Výsledkem je, že většina uživatelů vybrat krátké číselné PIN. Tam bylo několik dalších pokusů, například Android "vzor" login a používání kamer pro rozpoznávání obličeje. Rozpoznávání obličeje obvykle trpí špatným čidlem kvality az velmi variabilní osvětlení. Vzor přihlášení je docela elegantní nápad, ale myslím, že to nebyl testován dostatečně zjistit, kolik uživatelů si vybrat vzory ve skutečnosti lišit.
Existuje jedna věc, Apple se zdá, že se dobře: Údaje o otiscích prstů zůstane na telefonu, a není zálohována žádné cloudu. Pokud je tato informace se ztratil, mohl by útočník použít k rekonstrukci duplikát prstu, což by mohlo být použito pro biometrickou identifikaci i nad samotným přístrojem iPhone.
Pokud jde o kvalitu obrazového snímače a software: Budeme muset čekat na to zkouší jednou telefon je propuštěn. Pravděpodobně neobsahuje pokročilejší feat. Rues jako měření tělesné teploty uživatele nebo sledování průtoku krve. Ale doufám, že to bude lepší než 4-místný kód PIN.
Jeden jednoduchý zlepšení: Ať je to "skutečné dva faktor", které umožňuje uživatelům vyžadují zadání kódu PIN / heslo kromě otisku prstu. Mohl by udělali lépe než otisk prstu? Existuje několik různých společných biometrické senzory: rozpoznávání obličeje, otisků prstů, hmotnost / výška, sítnice skeny a iris skenování. Otisky prstů jsou pravděpodobně nejlépe s ohledem na cenu snímače a obtížnost získat data.
Na závěr: Tam je pravděpodobně jeden opravdu velký zranitelnost zde . Ukradený iPhone je pravděpodobné, že se vztahuje na uživatele otisky prstů. To by nemělo být příliš těžké pro útočníka zvednout otisk prstu mimo samotného telefonu obejít senzoru.
Backdoored NIST odhalen, bude znovu k přezkoumání
12.9.2013 Hrozby | Zabezpečení | Zranitelnosti
Po minulém týdnu zjevení , že NSA, mimo jiné ovlivnila Americký národní institut pro standardy a technologie (NIST) přijmout standard šifrování, který byl učiněn NBÚ zahrnovat slabost znají jen oni, NYT neodhalil že dotyčná norma je NIST Special Publication 800-90.
Přijato organizace v roce 2006, byl standard zřejmě autorem téměř výhradně kryptografické odborníky NSA, a zahrnuje čtyři deterministický Náhodné Bit generátory, mezi nimiž je jeden tzv. Dual_EC_DRBG, který by měl vytvářet náhodná čísla klíče osiva šifrování, ale jak se ukázalo, náhodné Čísla produkuje mají malé zkreslení. To nepřijde jako šok pro odbornou cryptographer Bruce Schneier, ani jeho kolegové Dan Shumow a Niels Ferguson, který v roce 2007 publikoval výzkum popisovat chybu a teoretizování, že to je úmyslné zadní dveře.
Na čas byl Schneier zmateni tím, proč NSA byl tak neústupný, o zařazení tohoto generátoru v normě. "To nedává smysl jako poklop: Je to veřejná, a dosti zřejmé Nemá smysl z technického hlediska:. to příliš zpomalit pro každého, kdo dobrovolně používat, a to nedává smysl z hlediska kompatibility zpětně:. Výměna jednoho generátor náhodných čísel pro jiného je snadné, "poznamenal, a doporučil, aby nikdo používat. Podle New York Times, standardní byl nejen přijat NIST, ale podle Mezinárodní organizace pro normalizaci a Kanady Communications bezpečnostního establishmentu, stejně.
NIST reagovala na odhalení tím, že "by nebylo úmyslně oslabit šifrovací standard" a že by i nadále své poslání " pracovat s kryptografickým společenství vytvořit co nejsilnější šifrování normy pro americkou vládu a průmysl jako celek. " "NIST má za sebou dlouhou historii rozsáhlé spolupráce s předními světovými kryptografie odborníků na podporu robustní šifrování. National Security Agency (NSA) se podílí ve vývojovém NIST kryptografie procesu, protože jeho uznávanými odborníky. NIST je rovněž vyžadováno zákonem konzultovat s NSA, "jsou dále vysvětleny. Konečně, v gestu dobré vůle a doufá, že se znovu získat některé z důvěry, že ztratily z bezpečnostní komunity, se znovu otevřela veřejnosti komentář období pro zvláštní vydání 800-90A a návrhy odborných publikací 800-90B a 90C-800 tak, aby se veřejnost může prohlédnout a vyjádřit se k normě podruhé. "Pokud jsou nalezeny chyby v těchto nebo jiných NIST standardy, budeme pracovat s kryptografickým společenství řešit tak rychle, jak je to možné ", uzavírají.
SSL je rozbitá. No a co?
Hrozby | Zabezpečení | Šifrování
Je těžké ignorovat nejnovější zprávy o kampaních vláda sponzorovala internetových dozoru, které jsou údajně zapojit dešifrování protokolu SSL. Ve světle těchto zpráv, měli byste něco jinak? Záleží na tom, k vaší síti a jak? I když dnes jen malá skupina má k dispozici znalosti a zdroje k dešifrování SSL, je pravděpodobné, že toto tajemství bude unikat tak jako mnoho a zdroje nezbytné k uplatňování technik bude jen levnější a následně k dispozici dobře financované rad, jako je organizovaný zločin . Informace jednou dešifrovat mohou být také ohroženy jsou ohroženy kdo ohrožena organizace, která nyní drží data. Takže záleží na tom? Za prvé, já si nemyslím, že je "důkaz" v tomto okamžiku SSL samo o sobě bylo přerušeno. SSL a šifrovací algoritmy se jedná viděli mnoho implementačních problémů v minulosti, a to je správné předpokládat, že zlomená implementace, špatné generátory náhodných čísel a sub-optimální konfigurace činí prolomení "živou" SSL mnohem jednodušší, pak by mělo být založeno na síle základních algoritmů. Kromě toho, v mnoha význačných útoků, SSL nebyl problém. Koncový bod nebo SSL infrastruktura byla ohrožena místo a jako výsledek, šifrovací algoritmus nezáleží. Endpoint Security Žádný z "apt" úniku dat ve stylu měl hodně co do činění s dešifrování SSL. Místo toho, koncový bod ohrožena buď tím, že využívá technické zabezpečení v klientském softwaru, nebo pomocí techniky sociálního inženýrství oklamat uživatele do instalace škodlivého softwaru. Tyto techniky jsou staré, stále upravena a není omezen na sofistikované útoky. Každý den vidíme, kompromisy v rozmezí od "banálních" falešných UPS, e-mail na více chytrých napadených reklamních sítí k vysoce cílené a dobře řemeslně "spear phishing" útoky. Co je to "Endpoint"? Mnoho systémů slibují "end-to-end šifrování". Podle mého názoru, end-to-end šifrování znamená, že zpráva je zašifrována odesílatelem před přenosem a dešifrovat * Konečná * příjemci. Definice * vlastní * je rozhodující zde. Mnoho zpráv kódované systémy dešifrovat zprávu na serveru, znovu zašifrovat pro příjemce. Tento režim se vystavit vaši zprávu zachytit na relé bodu. Pokud nechcete ovládat relé bod, pak se vaše zpráva je ohrožena zachycuje. Například Skype. Skype používá docela solidní šifrovací systém. Aby však bylo možné podpořit vlastnosti, jako brány do jiných telefonních systémů, příslušná brána musí být schopen dešifrovat zprávy. Kdykoliv váš bezpečný komunikační systém je schopen komunikovat s nezajištěnými koncovými body, někdo musí být schopen dešifrovat zprávy. Podobně se systémy webmail.
Tam jsou některé pokusy postavit end-to-end šifrované systémy, webové pošty, které používají na straně klienta, JavaScript nebo pluginy pro šifrování a dešifrování zpráv. Ale tyto systémy nejsou v širokém použití v tomto bodě. Cloud zpráv systémy jsou samozřejmě v určité problematické a je třeba navrhnout opatrně, aby dešifrování "v oblaku", které zase funkcí přestávky, jako je hledání a indexování pomocí cloud zdroje. SSL infrastruktury Existují dva způsoby, jak "očichat" SSL: Na jedné straně můžete nahrávat SSL šifrované relace a dešifrovat je offline. Bez znalosti privátních klíčů nebo master klíče zúčastněných, tento proces je velmi obtížné, pokud vůbec možné. Mnohem více běžně používaný způsob, jak zachytit SSL použít "Man in The Middle" útoku. Opět se týká "end-to-end" pojetí. Útočník ukončí připojení SSL a znovu zašifruje jej zamýšlenému příjemci. SSL poskytuje podepsané certifikáty, aby se zabránilo tento útok, a klienti upozorní uživatele, pokud neplatný certifikát. Prvním problémem je, že uživatel může ignorovat varování, vzhledem k tomu, že příliš mnoho "skutečné" SSL certifikáty nejsou správně nakonfigurovány a produkovat toto upozornění. Za druhé, bude prohlížeč považovat certifikát za platné, pokud je podepsán důvěryhodnou certifikační autoritou. Certifikační orgány byly zneužity v minulosti. Mnoho vlád kontrolovat certifikační autority a jsou schopni generovat spolehlivé certifikáty vydávat jiné stránky. Lidské faktory kolem certifikačních autorit a útočníků budou moci získat platné certifikáty jsou mnohem větší hrozba a SSL může být považována za zlomené na nějakou dobu jako výsledek. Nástroje jako sslstrip bude samozřejmě kořist na lidské rozhraní komponenty opět vést k více "elegantní" člověka ve středním útoku. Tak co mám dělat? V zabezpečení sítě, vždy mám málo času a omezené zdroje k boji neomezené starosti.
Za prvé, soustředit se na koncových bodech. Ty jsou mnohem větší pravděpodobnost, že trpí kompromisu kvůli špatne koncový bod pak hrubou silou dešifrovat SSL relace. Za druhé, je potřeba zkontrolovat konfiguraci SSL klientů a serverů. Používáte nejsilnější možnou šifrovací algoritmus? Jste při použití nejdelších možných klíčů? Toto je jedna z věcí. Například, ne všechny systémy Podporuji něco za TLS 1.0. Přidat příslušných vylepšení vašeho plánu. Konečně: Šifrování všechno. Dokonce i sofistikované protivník má použít nějaký konečný zdroj pro provoz dešifrovat. Zvýšení pracovní zátěž pomocí šifrování veškeré komunikace, a to nejen "důležité" provoz je jeden způsob, jak prodloužit životnost vašich informací. V případě uzavřených sítí, které nemají ke komunikaci s okolním světem, za budování své vlastní SSL infrastruktury (NOT implementovat vlastní knihovny SSL). Nastavte si vlastní CA a důvěřovat pouze certifikáty podepsané svým vlastním CA. Ale nakonec, tráví svůj čas na problémy, které věci. Je až příliš snadné nechat se rozptylovat titulkem dne.
McAfee vydává 2014 základní produkty zabezpečení počítače
09.09.2013. Zabezpečení | Ochrana
McAfee oznámila novou řadu 2014 základních sad zabezpečení počítače poskytující vyšší výkon a lepší s lehčí a rychlejší stopu, která vede ke zvýšení uživatelské zkušenosti. Řada zahrnuje McAfee AntiVirus Plus 2014, McAfee Internet Security 2014 a McAfee Total Protection 2014. Se vylepšení své nedávno modernizované malware skenovacího jádra - McAfee AM Core - poprvé představen s 2013 řádku McAfee 2014 Počítačové produkty nabízejí vyšší detekční schopnosti k ochraně proti nejvyspělejší hrozby. Nový motor zajišťuje rychlé a efektivní skenování a real-time inteligenci pomoci dynamicky bránit před nejnovějšími digitálními nebezpečími, včetně zero-day hrozby, keyloggery, trojské koně a zároveň minimalizuje dopad na systémy uživatelů. Konkrétní součásti produktu byly také přepracována v roce 2014 vedení zvýšit rychlost skenování tím, že sníží velikost souborů signatur a lepší využití procesoru. "Díky neustálému zvyšování komponenty základní bezpečnostní spotřebitelského portfolia společnosti McAfee, my se snažíme zajistit našim zákazníkům zůstat v bezpečí od hráze všudypřítomné online hrozbami a způsobem, který udržuje rychlost a výkon jejich zařízení, "řekl Alan LeFort, viceprezident pro řízení spotřebních výrobků v McAfee. "Naše řada 2014 nám umožňuje dále splnit svůj slib, aby účinně a efektivně chránit digitální život připojených uživatelů po celém světě." Vylepšení v roce 2014 řadu produktů základní PC jsou využívány také McAfee LiveSafe služby, první z svého druhu, cross-device řešení, které komplexně chrání data spotřebitelů, identitu a všechny PC, Macy, smartphony a tablety uživatel vlastní. trh v květnu 2013 McAfee LiveSafe zahrnuje osobní Locker, což je funkce, která používá tváří a hlasem ověřování technologie Chcete-li načíst uživatele nejvíce citlivé osobní informace a dokumenty, jako jsou kopie pasů a identifikačními čísly, ze zabezpečeného umístění online. Kromě ochrany spotřebitele před nejnovějšími online hrozbami a viry, McAfee LiveSafe služba také nabízí zjednodušenou a automatizovanou správu uživatelských jmen a hesel, ochrana soukromí pro smartphone a tablet, jakož i prvotřídní oceněné zákaznickou podporu. McAfee také nedávno aktualizovala svou cenu -vyhrávat McAfee Mobile Security výrobek s novými, špičkovými funkcí ochrany osobních údajů, včetně multi-uživatelského profilu App funkce, která umožňuje zákazníkům vytvořit více uživatelských profilů nebo "bezpečné zóny" na jednom zařízení s vlastní nebo omezený přístup k aplikacím. Nová verze také nabízí možnost volby mezi základní a prémiové verzi. McAfee Mobile Security nabízí základní základní ochranu pro mobilní zařízení bez nákladů, prémie verze nabízí celou řadu bezpečnostních prvků a nejlepší ve své třídě ochrany osobních údajů.
Jak důležitá je penetrační testování?
09.09.2013. Nástroje | Zabezpečení
S kybernetické útoky stávají normou, je mnohem důležitější než kdy jindy, aby prováděly pravidelná zranitelností a penetrační testy, nalézt slabiny, a zajistit na pravidelném základě, že kybernetické kontroly fungují. Geraint Williams, senior konzultant v oblasti IT Governance, vysvětluje: " zranitelností zkoumá vystavené aktiva (sítě, servery, aplikace) zranitelnosti - Odvrácená strana zranitelnosti skenování je, že falešně pozitivní výsledky jsou často hlášeny. Falešně pozitivní výsledky mohou být znamením, že stávající řízení není plně efektivní, tzn sanitaci aplikace vstupu a výstupu, a to zejména na internetových aplikací. " Penetrační testování se zaměřuje na zranitelnosti a bude se snažit a využívat je. Testování se často zastaví, když je dosaženo cíle, tj. při přístupu k síti bylo dosaženo - to znamená, že je možné i jiné využitelné chyby nejsou testovány ". Organizace musí provádět pravidelné kontroly jejich systémů, z těchto hlavních důvodů:
Chcete-li zjistit nedostatky v infrastruktuře (hardware), aplikace (software) a lidé s cílem rozvíjet kontroly Pro zajištění kontroly byly realizovány a jsou efektivní - to poskytuje záruku bezpečnosti informací a vrcholového vedení Pro testování aplikací, které jsou často cesty k útoku (Aplikace jsou postaveny lidmi, kteří mohou dělat chyby navzdory osvědčených postupů v oblasti vývoje softwaru) Chcete-li zjistit nové chyby ve stávajícím softwarem (záplaty a aktualizace mohou opravit stávající chyby, ale oni mohou také zavést nová zranitelná místa). Geraint dodává: "Pokud jsou lidé napadeni prostřednictvím sociálního inženýrství to obchází silnější obvodové prvky a vystavuje do méně chráněných vnitřních aktiv. Nejhorší situace je mít exploitovatelnou zranitelnost v rámci infrastruktury, aplikací nebo lidé, kteří si nejsou vědomi, jak útočníci být sondování svůj majetek, i když nejste. Porušení, pokud uveřejněný útočníků, může zůstat nepovšimnuto několik měsíců. " zranitelností a penetrační testy mohou testovat organizacím schopnost detekovat útoky a porušování. Organizace potřebují skenovat externí dostupné infrastruktury a aplikací, abyste se chránili před vnějšími hrozbami. Oni také potřebují skenovat vnitřně chránit proti obchodování zasvěcených ohrožení a ohrožení jednotlivců. Interní testování musí zahrnovat kontroly mezi jednotlivými bezpečnostních zón (DMZ, prostředí dat držitelů karet, SCADA prostředí atd.), aby tito jsou správně konfigurovány. Pen testy by měly být prováděny pravidelně, aby se odhalit nedávno zjistil, dosud neznámé chyby. Minimální frekvence závisí na typu, který se provádí testování a cílem testu. Zkoušení by mělo být nejméně jednou ročně, a možná měsíčník pro vnitřní zranitelností pracovních stanic, normy, jako je PCI DSS doporučujeme intervaly pro různé typy skenování. Pen testování by mělo být prováděno po zavedení nové infrastruktury a aplikací, stejně jako po velkých změn infrastruktury a aplikace (např. změny pravidel brány firewall, aktualizace firmwaru, záplaty a upgrady softwaru).
Google spěchá na šifrování provozu mezi datacentry
9.9.2013 Šifrování | Zabezpečení
Google se rozhodl urychlit nasazení šifrování mezi svými datacentry v rámci ochrany před NSA.
Podle pátečního prohlášení představitelů společnosti dojde k rychlejšímu nasazení šifrování datových toků mezi jejími datacentry, která jsou rozmístěna po celém světě. Má jít o další krok ve snaze zamezit sledovacím aktivitám americké agentury NSA, ale i výzvědných služeb jiných zemí.
Podle poskytnutých informací padlo rozhodnutí o této šifrovací iniciativě již v loňském roce, tedy ještě před tím, než se provalila aféra PRISM. V červnu byla ale maximálně urychlena v reakci na kritiku, které byl gigantický poskytovatel webových služeb vystaven. Eric Grosse, viceprezident bezpečnostní divize Googlu, říká: „Je to závod ve zbrojení. A my víme, že vládní agentury patří mezi neschopnější hráče této hry.“
Připomeňme, že podle informací poprvé uveřejněných v denících Washington Post a Guardian, je Google jednou z mnoha velkých internetových společností, které poskytují NSA data svých zákazníků. Podle dalších dokumentů Edwarda Snowdena používá NSA pro boj se šifrováním řadu prostředků, od získání dešifrovacích klíčů po superpočítače lámající kódy hrubým výpočetním výkonem. A nejen to, v minulosti ovlivnila řadu bezpečnostních standardů a učinila je zranitelnějšími vůči určitým metodám útoků.
Podle řady expertů jakékoli šifrování ale přece jen vládní snahy o získání absolutního přístup k datům komplikuje. Podstatně navyšuje prostředky nezbytné pro zpracovávání dat a zpracovávající agenturu nutí k selektivnosti – ta sice může shromažďovat veškerá zachycená data, ale dešifrovat může jen komunikaci prioritních cílů. Tedy přinejmenším v krátkém časovém rámci.
Podobné prohlášení jako to páteční ale odhaluje jinou stránku věci, a nejen o Googlu. V roce 2013 chce zapnout šifrování interně přesouvaných dat. Není na to poněkud pozdě? Znamená to tedy, že doposud naše data po celém světě provozoval otevřeně? Že je posílal rovnou do čínských zálohovacích center pro naši větší jistotu a pocit zajištění? Stejně tak je hezké proklamovat, jak hodlá s NSA bojovat šifrováním, když jindy prohlásil, že nebude sdílet šifrovací klíče uživatelů, ale pochopitelně je nuce je kdykoli vydat komukoli, kdo má náležitou právní moc. A dnes již dobře víme, že „ten zákon“ je pro požadavky amerických agentur velmi blahosklonný.
To vše dělá z pátečního prohlášení marketingovou hru, kterou nelze brát vážně. O bezpečnost dat různých provozovatelů cloudu očividně postaráno nebylo, data nebyla dostatečně šifrována, různé osoby na výplatní listině NSA měly příležitost instalovat různé utajené přístupy přímo do klíčových serverů a nakonec, dokud bude muset každá americká společnost panáčkovat, jakmile ji jedna ze šestnácti amerických agentur poručí, nic se na tom principiálního nezmění.
Vítejte nazpět v Evropě, data…
Experti: Šifrování je stále nejlepší ochrana proti NSA
Podle bezpečnostních odborníků je správně nasazené šifrování tvrdým oříškem i pro kryptografické odborníky amerických výzvědných služeb.
Šifrování | Zabezpečení
I když agentura NSA investuje miliardy dolarů do výzkumu prolomení šifrovacích technologií, bezpečnostní odborníci se domnívají, že správně implementované šifrování je stále tím nejlepším způsobem ochrany soukromí online.
Různé americké a britské zpravodajské zdroje tento týden publikovaly příspěvky podložené interními dokumenty NSA o technikách, které tato výzvědná agentura používá k dešifrování dat přenášených veřejnými komunikačními a datovými sítěmi. Z dokumentů poskytnutých Edwardem Snowdenem vyplývá, že NSA používá nejrůznější zákonné i nezákonné způsoby včetně instalování zadních vrátek, soudních příkazů nebo dokonce obchodních vztahů s provozovateli sítí a výrobci softwaru. Mnoho šifrovacích algoritmů, které se v současné době nejvíce používají k ochraně online komunikace, bankovních a zdravotních záznamů nebo obchodních tajemství, již dokáže prolomit nejen americká NSA, ale i britská GCHQ.
Steve Weis, technický ředitel společnosti PrivateCore, který získal doktorát z kryptografie na americké MIT, se však přesto domnívá, že matematické šifrovací algoritmy je stále velmi náročné prolomit. Podle jeho názoru se špionům podařilo prolomit zastaralé verze šifrovacích technologií se známými bezpečnostními slabinami.
Podle dokumentů například NSA zabudovala zadní vrátka do šifrovacího standardu Dual EC DRBG, který slouží ke generování náhodných čísel. Podle Weise vznikl tento algoritmus před šesti lety a od chvíle, kdy dva odborníci Microsoftu ona zadní vrátka odhalili, se používá jen zřídka.
Podle Weise není jasné, jestli šifrovací odborníci zpravodajských služeb pronikli do robustnějších šifrovacích algoritmů. „Zatím jsem neviděl nic, co by napovídalo, že by byly prolomeny algoritmy jako AES,“ dodal Weis na vysvětlenou.
„Pokud je šifrování nasazeno správným způsobem, nabízí v podstatě neproniknutelné zabezpečení,“ domnívá se Dave Anderson, ředitel společnosti Voltage Security, poskytovatele šifrovacích technologií. „Prolomení takového zabezpečení by nejvýkonnějším superpočítačům zabralo miliony let. Pokud je ale nasazeno nedbale, bez náležité správy šifrovacích klíčů, dokáže do něj proniknout průměrný hacker s běžně dostupným osobním počítačem během několika hodin,“ vysvětlil Anderson.
Podle Andersona se NSA daří pronikat spíše do správy klíčů než přímo do šifrovacích algoritmů. Pokud je tedy NSA schopna dešifrovat tajné soukromé nebo firemní údaje, nemůžou za to slabé šifrovací technologie, ale nedostatky ve správě šifrovacích klíčů.
Podobný názor sdílí i Dave Jevans, zakladatel a technický ředitel společnosti Marble Security, která nabízí mobilní šifrování. Podle Jevanse využívá NSA ohromné finanční prostředky i tisíce zaměstnanců právě na nejslabší články řetězu, tedy lidský faktor a správu šifrovacích klíčů. „Je to miliardkrát účinnější přístup,“ poznamenal Jevans.
Weis proto na základě známých informací doporučuje používat otevřené standardy jako Open SSL, jejichž kód je všem veřejně přístupný a je do něj proto mnohem obtížnější ukrýt zadní vrátka. Což se – ve světle nejnovějších informací – o různých proprietárních řešeních říct nedá.
Masivní hrot Tor uživatelů způsobené Mevade botnetu
7.9.2013 BotNet | Zabezpečení
Při projektu Tor režisér Roger Dingledine nedávno obrátila pozornost veřejnosti k neobvyklé a značné zvýšení počtu Tor uživatelů, pozval lidi, aby spekulovat a sdílet věrohodné vysvětlení o tom, protože jeho vlastním přístupem, ale nebyli jsme schopni najít to tím, samy o sobě.
Tyto teorie předložené v rozmezí od publicity Browser Pirate pryč přes palubu a Ruska nedávné úsilí o cenzuře internetu, k reakci na dozoru NSA úsilí. Ve čtvrtek Dingledine ozval se znovu říci, že vzestupný trend pokračoval, a že sází své peníze Důvodem je to, že botnet. "Faktem je, že se růstové křivky, jako je tento, je to v podstatě žádný způsob, že je tu nový člověk za každé z těchto Tor klienty," řekl napsal . "Tito klienti Tor dostal svázané do nějakého nového softwaru, který dostal nainstalován na milionech počítačů skoro přes noc. Protože žádná velká software nebo operační systém prodejci přišli dopředu, aby nám řekli, že jen svázaný Tor se všemi jejich uživateli, že mě nechává s jedním uzavřením : tam někdo napaden miliony počítačů a jako součást jejich plánu se instalují Tor klienty na nich. " Teorie, které více než pravděpodobné obecnou pasivitou z těchto nových uživatelů, bylo potvrzeno holandský-založil firmu bezpečnostního auditu Fox-IT. "V posledních dnech jsme skutečně našel důkazy, které naznačují, že konkrétní a poměrně neznámý botnet je zodpovědný za většinu náhlé uptick v Tor uživatelů," napsal bezpečnostní specialista Yonathan Klijnsma. "Nedávné odhalení jméno, které má byl použit ve vztahu k tomuto botnetu je "Mevade.A", ale starší odkazy naznačují názvem "Sefnit", která sahá až přinejmenším do roku 2009, a také Tor připojení. Zjistili jsme, různé odkazy, že malware je interně známý jako SBC jeho provozovatele. " Takže botnet je masivní, a nic nového. Před přidáním Tor jako způsob komunikace, roboty používá HTTP a alternativní metody pro komunikaci s jejich C & C kanálu. "Jak bylo zdůrazněno v Tor týdenní zprávy, musí být verze Tor, který používá nové Tor klienti 0.2.3 . x, vzhledem k tomu, že nemají používat novou metodu. Tor handshake základě kódu, můžeme potvrdit, že verze Tor, který se používá, je 0.2.3.25, "sdílel. Fox-IT vědci nejsou zcela jisti, co je malware dělá, ale věří, že to pochází z oblasti, kde se mluví rusky, tak spekulují, že jeho pravděpodobně motivován přímou nebo nepřímou finanční trestný čin. "Zpětná vazba od Smart Protection Network ukazuje, že malware byl Mevade, opravdu, stahování Tor modul v posledních týdnech srpna a začátkem září, "odborníci Trend Micro přidal své dva centy na rozhovor. Také dodal, že provozovatelé botnetu byly sledovány až do Charkov, Ukrajiny a Izraele, ale v současné době znám pouze jejich on-line rukojeti. Mají zřejmě působí od roku 2010, a zdá se být součástí "dobře organizované a pravděpodobně dobře financované počítačové trestné činnosti gangu." Říkají, že mají podezření, botnet je vydělávat instalací adware a panely nástrojů do ohroženého systému. "To nevypadá jako nové klienty používáte Tor sítě na zasílání provoz na externí cíle (např. webové stránky). Zatím lze usuzovat, že" znovu přístup skryté služby - rychlé relé viz "Přijaté ESTABLISH_RENDEZVOUS vyžádání" mnohokrát za sekundu v jejich informací na úrovni protokolů, ale rychlý odchod relé nevykazují výrazný nárůst výstupního provozu, "poznamenal Dingledine. "Jeden přijatelné vysvětlení (za předpokladu, že je skutečně botnet), je to, že je to běh jeho velení a řízení (C & C), bod jako skrytý." Ještě je tu jedna věc, která zahřeje srdce, a to je, že Tor je síť stále pracovní navzdory masovým nárůstem Tor klientů na něj a nových obvodů Dělají. "Myslím, že všechno, co práce jsme dělali na škálovatelnost je to dobrý nápad," dodal. Přesto jsou hodně relé se maximu na CPU zatížení, a mohly by být brzy přemožen, takže sdílí seznam pravděpodobné akce pro projekt, aby se, aby se zabránilo tomu, že z děje nyní i do budoucna.
NSA snaha rozvrátit šifrování, nainstalovat zadní vrátka
7.9.2013 Kryptografie | Zabezpečení
Novináři z New York Times a ProPublica spojily síly a vydaly nejvíce výbušný předmět, k dnešnímu dni se zabývá odhalení o úsilí NSA špionáž. Podporována dokumentů sdílených informátorů NSA Edward Snowdena uvádějí, že americká Národní bezpečnostní agentura má aktivně a po celá léta nyní soustředí na zamezení nebo rozvracení šifrování úsilí prostřednictvím několika způsoby, a že jejich snahy byly velmi úspěšné. "agentura obcházena nebo popraskané hodně šifrování nebo digitální kódování, která chrání globální obchod a bankovní systémy, chrání citlivá data jako obchodní tajemství a lékařských záznamů, a automaticky zabezpečuje nastavení e-mailů, vyhledávání na webu, internetové chaty a telefonátů Američanů a dalších po celém světě, dokumenty ukazují, "tvrdí. Mnoho uživatelů se předpokládá "- nebo byly zajištěny Internetu společnosti -., že jejich data jsou v bezpečí před zvědavýma očima, včetně vlády a Národní bezpečnostní úřad chce, aby to tak agentura léčí své nedávné úspěchy v dešifrování chráněných informací jako mezi jeho nejvíce střežených tajemství, omezeny na ty, schváleny pro přísně tajné programu s kódovým označením Bullrun. " Poukázali na to, že po NSA ztratil velmi veřejný spor v roce 1994 o tom, zda by mělo být umožněno, aby se vešly na zadní vrátka do všech šifrování, se rozhodli, že se nebude zmařena tím útlum a rozhodli se jednoduše pokračovali v úsilí - tentokrát v tajnosti. Nemuseli se soustředit na prolomení šifrování stejně jako dělat jeho použití irelevantní. Udělali začít používat rychlejší a rychlejší superpočítače pro lámání kryptografické klíče, ale také, mimo jiné:
Zabezpečil spolupráce - buď dobrovolná nebo právně nucen - z USA a zahraniční internetu a telekomunikačních společností k získání potřebných přístup ke komunikaci, jež chtěli zkontrolovat před tím, než byly zašifrovány. Jinak, když ani jeden z těchto dvou přístupů pracoval, by ukrást šifrovací firem tlačítek nebo tajně změnit své výrobky obsahují backdoor známa pouze NSA. Naboural do počítače / koncové body před zprávy jsou zašifrovány. Ovlivnil Americký národní institut pro standardy a technologie (NIST) a Mezinárodní organizace pro normalizaci, aby přijaly šifrovací standard, který byl dosažený NSA patří slabost znají jen oni. Všechny tyto věci byly, samozřejmě, udělat v tajnosti. "Plný rozsah funkcí dekódování NSA je známa pouze omezenému okruhu špičkových analytiků z tzv. pěti Oči: NSA a jeho protějšky v Británii, Kanadě, Austrálii a na Novém Zélandu,". Reportéři sdílených Existuje mnoho více informací o těchto a dalších snah na původní článek , a ten publikoval The Guardian , a já vás vyzývám, abyste prostudovat je. Budete pravděpodobně šokováni, co jste si mysleli, že je v bezpečí (např. SSL, VPN, nebo $ G), ale ve skutečnosti není. Matthew Green, cryptographer a výzkum profesor na Johns Hopkins University, má zajímavý blog post s spekulací o tom, které číslo bylo hardwaru a standardy oslabený, a které se podíleli. Naopak, Bruce Schneier, další známá cryptographer a počítačové bezpečnostní expert, jakož i soukromí obhájce, pracuje se na Guardian příběhů NSA a má požadovaný vhled do detailů nabídnout sadu rad , které mohou pomoci každý z nás udržet se on-line komunikaci a akce bezpečné -. nebo tak bezpečný, jak oni mohou být "NSA změnil strukturu internetu v obrovský dohled platformu, ale nejsou kouzelné. Jsou omezeny stejným ekonomické realitě jako zbytek z nás a naší nejlepší obranou je, aby se dohled nad nás tak drahé, jak je to možné, "podotkl. "Věř matematiku. Šifrování je váš přítel. Používejte ji dobře, a dělat to nejlepší, aby zajistily, že nic nemůže ohrozit to. To je, jak můžete zůstat zajištěna i tváří v tvář NSA." Je zajímavé si povšimnout, že jak NYT a ProPublica byli požádáni o zpravodajských služeb USA nezveřejnit tento poslední článek, že "by to mohlo podnítit zahraniční cíle přejít na nové formy šifrování nebo sdělení, které by bylo těžší vybírat nebo číst." Nicméně, obě publikace odmítl. " Příběh, věříme, že je důležitá. Ukazuje se, že očekávání milionů uživatelů internetu týkající se soukromí svých elektronických komunikací se mýlí, "ProPublica editor-in-šéf a jeho ředitel zdůraznil . "Tato očekávání vedou praktiky soukromých osob a firem, většina z nich nevinný nějakého darebáctví. potenciál pro zneužívání těchto mimořádných schopností v oblasti dohledu, včetně k politickým účelům, je značný. vláda trvá na tom, že zavedla brzd a protivah omezit nevhodnému použití této technologie . Avšak otázka, zda jsou efektivní, je zdaleka vyřešeny a je otázkou, která může být projednána lidí a jejich volenými zástupci, pokud základní fakta jsou odhaleny. "
NSA oznámila nové školy pro počítačové iniciativy
7.9.2013 Špionáž | Zabezpečení
Čtyři nové školy byly vybrány Národní bezpečnostní agentury Národních center akademické excelence v oblasti Operations Cyber program, který byl navržen tak, aby pěstovat více amerických počítačovými odborníky. Po pečlivé aplikace a prověření, NSA vybrány následující školy přijímat CAE-Cyber Operace označení pro akademický rok 2013-2014:
Air Force Institute of Technology v Ohiu Auburn University, Alabama Carnegie Mellon University, Pennsylvania Mississippi State University. Program, který má nyní celkem osm škol, doplňuje více než 100 existujících center akademické excelence (CAES) v oblasti výzkumu a informace o zajištění vzdělávání -. Společně pod dohledem NSA a Department of Homeland Security následek prezidenta Národní iniciativy pro Cybersecurity vzdělávání, program určuje instituce, které mají hluboce technický interdisciplinární vzdělávací program zaměřený na oblasti, jako jsou počítačové vědy a elektrotechniky. Agentura dlouhodobě spolupracuje se školami zlepšit vzdělávání v oblasti vědy, technologie, inženýrství a matematiky. Kromě toho program nabízí někteří účastníci možnost uplatnit své učení nebo zlepšit svou výuku v letních seminářů na NSA. Účastnící se studenty a členy fakulty nejsou zapojeni do skutečných veřejných aktivit amerických zpravodajských. Steven LaFountain, NSA technický vedoucí, řekl, právní a etické otázky v kybernetické bezpečnosti jsou potřeby a důležitou součástí úsilí. "V procesu žádosti a ve všech jejích pracovat s vybranými školami, NSA zdůrazňuje důležitost integrity a dodržování předpisů, "řekl. "Cyber dovednosti jsou stále důležitější v národní obrany, ale to je ještě důležitější, aby pracoval jako zodpovědných občanů v používání těchto dovedností." Témata jsou běžně učí na vysokých školách a univerzitách, ale tato iniciativa integruje materiál, který pomůže studentům lépe pochopit jak by mohly někdy pomáhají bránit národ. Účastníci Letní seminář musí projít prověrek a získat dočasné, přísně tajné bezpečnostní prověrky. Školy vybrané v roce 2012, na programu první rok, bylo Dakota State University, South Dakota, Námořní postgraduální školy, Kalifornie, Severovýchodní univerzita, Massachusetts, a University of Tulsa, Oklahoma. Stejně jako ostatní agentury CAES jsou ty v provozní kybernetické programu každoročně hodnocen. Označení jsou na dobu pěti let a školy po celé zemi mohou soutěžit se připojit každý rok. důchodci Lt Gen Ronald L. Burgess Jr., bývalý ředitel americké zpravodajské agentury obrany, nyní slouží jako Senior Counsel Auburn University v národních bezpečnostních programů , Cyber programy a vojenských záležitostech. CAE-Cyber Operations projekt má skutečně opodstatnění, řekl. "Auburn věnuje značné prostředky a interdisciplinární přísně na celém areálu rozšíření nových kybernetických iniciativy a rozsáhlé spolupráci s externími organizacemi," řekl. "Jsme velmi rádi, že NSA uznal naše úsilí výběrem Auburn University" pro program. "Je důležité, aby národ - a chceme být součástí strategického postup a cítit se můžeme přispět k této národní potřeby."
Co je dalšího u IPS?
6.9.2013 Zabezpečení
Zajímá vás, kde IPS (Intrusion Prevention Systems) se bude v příštích letech? Myslíte si, že uvidíme více HIPS (Host Intrusion Prevention Systems), promítá se do konzole IPS nebo větší integraci s Siems? Nebo se vidíme jen lepší verze, co máme dnes? Nebo jste možná jen zeptat, jestli vaše organizace potřebuje IPS? Ať tak či onak, jsme zájem o náš vstup! Máme přehled běží vyzvednout vzít na IPS je, a kde můžete očekávat (nebo chcete), je vidět vyvíjet v příštích letech: https://www.surveymonkey.com/s/2013SANSNetworkSecuritySurvey Budeme sběr výsledky brzy, a bude jejich sdílení v SANS analytik Webcast v říjnu - více informací zde: https://www.sans.org/webcasts/survey-network-security-96967
Samsung Knox bude rozšířen o antivirus
Společnost Samsung chce chránit uživatele svých telefonů s operačním systémem Android pomocí předinstalovaného antivirového programu.
Software | Zabezpečení
Samsung uzavřel dohodu o spolupráci s výrobcem mobilních antivirových řešení Lookout. Do telefonů, ale i tabletů chce nasadit jeho bezpečnostní software. Služba má být primárně určena pro podnikové uživatele jako součást připravovaného bezpečnostního produktu Knox, který byl představen v březnu letošního roku.
Android je podle mnoha průzkumů vůbec nejčastějším terčem hackerských útoků. Ostatní systémy za jeho „popularitou“ mezi kyberzločinci obvykle výrazně zaostávají.
Společnost tak chce tímto krokem pravděpodobně firemním zákazníkům ukázat, že její telefony s Androidem jsou bezpečnou alternativou k platformám Blackberry a Windows Phone, které bezpečnost prezentují jako jednu ze svých klíčových vlastností.
V reakci na uzavření spolupráce generální ředitel Lookoutu John Hering ve svém blogovém příspěvku uvedl, že přítomnost nějaké ochrany proti malwaru se stává tím důležitější, čím roste počet zaměstnanců používajících pro práci vlastní zařízení.
„Každá třetí firma dnes svým zaměstnancům umožňuje používat vlastní zařízení. Ti pak prostřednictvím nich vynášejí podniková data mimo firemní síť, ačkoliv k tomu často nemají povolení,“ napsal Hering.
Společnost bude za použití svých serverů skenovat uživatelská zařízení a vyhledávat potenciálně nebezpečný obsah, který se do nich může dostat z e-mailů, webových stránek nebo služeb pro sdílení dat.
Jak již bylo řečeno, Android je považován za jednu z nejméně bezpečných mobilních platforem. Ruská společnost Kaspersky nedávno informovala, že od počátku tohoto roku identifikovala již 57 tisíc nových hrozeb zaměřených pouze na Android.
Společnost McAfee pak varovala před novými typy spywaru a kódy navrženými pro zneužití bankovních účtů. Jejich existence prý mezi dubnem a červnem způsobila nárůst malwaru pro Android o 35 %. Ve stejném duchu mluví i zpráva americké vlády, podle které je až 79 % všech mobilních útoků vedeno proti uživatelům Androidů.
Android je podle odborníků nejméně bezpečným mobilním systémem především proto, že jde o otevřenou platformu, kterou si každý může upravit k obrazu svému. Zabezpečit obrovské množství různých verzí tak není jednoduché.
FireEye představuje v reálném čase, nepřetržité ochrany platformu
04.09.2013 Zabezpečení
FireEye oznámil Oculus, globální, v reálném čase, nepřetržitá ochrana platformy.
Oculus se skládá ze tří složek: Prevence hrozeb platformy - FireEye Threat Prevention Platforma řeší dnešní pokročilé počítačové útoky. Tato platforma je vybaven patentovanou Multi-Vector Virtual Execution (MVX) motor, který diriguje podpisu méně analýzu vrcholu patentované technologii virtualizace účel-postavený pro bezpečnost. MVX Motor je určen pro škálovatelné, přesné a včasné ochrany v rámci primární hrozbu vektorů, web, e-mail, a soubory. Kromě toho, jak čelit rostoucí hrozbě škodlivých mobilních aplikací, FireEye plánuje rozšířit svou MVX technologii uvolněním nové SaaS platforma s názvem FireEye Mobile Threat Prevention na začátku příštího roku. Dynamic Threat Intelligence (DTI) - FireEye je globální nasazení poskytuje společnost s bohatou hrozbách. Na hodinovém základě, FireEye zákazníci těžit z aktualizovaného hrozbách na celém světě počítačové kriminality sítí a národní aktéři. podpora a služby - FireEye chrání své zákazníky přes 24x7 celosvětové podpory ve všech hlavních oblastech po celém světě. FireEye představuje nepřetržitou ochranu služba, která umožňuje zákazníkům využít FireEye FireEye v odborných znalostí v oblasti řešení dnešních kybernetickým hrozbám a získat vhled do jejich bezpečnostní pozici ve vztahu k jejich odvětví vertikální, což jim umožňuje provádět průběžné posouzení rizik jejich organizace.
Snort IDS senzor s Sguil New ISO Vydáno
09.02.2013 Nástroje | Zabezpečení
CD obsahuje některé nové nástroje a aktualizované skripty. Je k dispozici ve dvou verzích, 32-bit a 64-bit. Install.pdf dokument o tom, jak nainstalovat a nakonfigurovat systém je umístěn v adresáři rel_note.
Verze 7.3 obsahuje nové nástroje, GUI a databáze: polknutím , nfsen , SQueRT , ssdeep , PassiveDNS s databází, Sagan , nfdump , rrdtool, rsyslog a pf_ring .
Tato stránka obsahuje dodatečné informace, kde stáhnout ISO a dokumentace.
Bezpečnost sítí: Analogové a digitální vysílání II
Digitální vysílání umožňuje operátorům šifrovat přenosy televize a rozhlasu a adresovat každého jednoho zákazníka pomocí jím vydané smart karty.
Zabezpečení
Konfigurace digitálního přenosového řetězce s implementovaným podmíněným přístupem (CA) je extrémně flexibilní a umožňuje operátorům libovolně konfigurovat k jakým kanálům má zákazník přístup a také ve kterých okamžicích ho má a ve kterých naopak ne.
Realita ovšem není tak jednoduchá, jelikož operátor ve spolupráci s poskytovatelem CA systému se snaží maximálně zamezit neautorizovanému přístupu, tedy tomu bez originální a zaplacené smart karty.
Jednou z technik je časové omezení autorizací uložených na kartě. Jinými slovy, neobnoví-li operátor předplatné na kartě, časem karta přestane poskytovat klíče. Pro tuto funkcionalitu je ovšem třeba, aby operátor byl schopen vzdáleně modifikovat obsah karty. K tomu slouží speciální typ servisních dat přenášený ve streamu. Tato data obsahují zprávy pro smart kartu, které její procesor zpracuje a zařídí se podle nich. Zde leží jedno z obchodních tajemství poskytovatelů CA systémů a také jedno z potenciálních míst k napadení.
Pokud se podaří vygenerovat a poslat kartě zprávu o prodloužení předplatného, mohl by zákazník sledovat programy, které nemá zaplaceny. Zprávy jsou ovšem šifrovány v zařízeních s podmíněným přístupem pomocí přísně střežených klíčů a pak jsou dešifrovány klíčem uloženým v kartě. Jejich falšování je prakticky nemožné bez znalosti klíčů. Vzhledem k omezenému výpočetnímu výkonu procesoru karty je ovšem zpráva šifrována nejen kartou ale i přijímačem stejně jako u audio-video streamu. To aby bylo lepší zabezpečení bez vysokých nároků na procesor karty.
Jedním z oblíbených způsobů útoku na smart kartu, byl tzv. blocker. Šlo o zařízení vložené mezi kartu a CA modul, jež analyzovalo komunikaci mezi kartou a modulem a zablokovalo přenos určitých typů zpráv. Většinou zprávy znehodnocující nebo blokující kartu či omezující předplatné.
Integrovaná bezpečnost Poskytovatelé systémů CA se tomuto snaží bránit například vkládáním tzv. bezpečnostního elementu přímo na hlavní procesorový čip přijímače. Mimo jiné slouží k jedinečné identifikaci přijímače a také pomáhá při zabezpečení citlivých dat přímo v paměti, jež může být přečtena hackerem. Další účinnou obrannou technikou některých poskytovatelů CA je používání rozmanitých technik zabezpečení a šifrování pro různé zákazníky a trhy. Tím je eliminován problém při prolomení CA u jednoho operátora a zpřístupnění nabídky všech, kteří daný systém používají.
Poskytovatelé CA navíc existujícím zákazníkům systémy postupně mění, čímž opět efektivně brání napadení, jelikož omezují dobu, po kterou je systém k dispozici na trhu. Koncový zákazník většinou obdrží od operátora novou přístupovou kartu, případně celý nový modul CA.
Velmi oblíbený způsob napadení celého řetězce je tzv. sdílení karet (card sharing). Jde o zařízení, které emuluje chování karty v přijímači, přičemž na klíče se dotazuje přímo originální karty zasunuté ve sdílené čtečce. Emulátor však umožňuje i ostatním emulátorům přístup, tím zákazník efektivně nemusí vlastnit kartu a stačí mu pouze vzdálený přístup ke sdílené kartě poskytující klíče.
Kolik klíčů, tolik… Způsobů boje s touto zranitelností je několik. Jednou z nich je omezení počtu klíčů poskytnutých kartou za jednotku času. Tím se zásadně omezí počet přijímačů sdílejících jednu kartu bez vlivu na legální uživatele. Další možností je využití bezpečnostního elementu na čipu a zašifrování kanálu mezi procesorem a kartou klíčem, který je unikátní pro daný přijímač.
Modul CA může být přítomen ve dvou základních formách, jako nedílná součást softwaru a hardwaru přijímače nebo jako fyzický modul připojený přes tzv. common interface (CI).
CI je standardizované rozhraní pro připojení modulů CA a v současné době je velmi oblíbené výrobci přijímačů, kteří tímto jednoduše připraví své zařízení na příjem placeného vysílání.
Zákazník pouze vloží modul CA s kartou, obojí získané od poskytovatele, a může sledovat šifrované vysílání. Případný bezpečnostní element je součástí fyzického modulu CA a karta je tudíž párována s tímto modulem. Někteří poskytovatelé CA vidí CI jako možnou bránu napadení jejich systému, a tedy finanční ztrátu, a proto vyvíjejí nadstavbové zabezpečující funkce do modulu CA, které brání útočníkům v jeho napadení přes rozhraní CI.
Šifrované nahrávání V současné době je velmi oblíbená funkce umožňující nahrávat digitální vysílaní na pevný disk. Zde ovšem vstupují do hry majitelé práv k vysílaným pořadům, a ti chtějí mít možnost rozhodovat o tom, zda daný pořad bude možno zaznamenat či jak dlouho bude nahrávka použitelná. Pochopitelně nahrávka bude použitelná pouze v přijímači, ve kterém byla pořízena.
Toto opět řeší systémy CA poskytovatelů. Digitální signál nese informaci pro smart kartu, zda je možno daný pořad nahrát, případně zda je nějaký limit použitelnosti nahrávky. Další krok je zajištění, aby nahrávka nebyla uložena v otevřené formě na disku. Zákazník by totiž mohl disk vyjmout a v jiném zařízení nahrávku získat a například sdílet na internetu.
Uložení přímo šifrovaného streamu není řešení, jelikož šifrovací klíče se poměrně rychle mění, a tudíž nahrávka by již po málo minutách byla nepoužitelná. Přijímač tedy musí nahrávku dekódovat pomocí aktuálního klíče a pak ji znovu zakódovat permanentním klíčem a tento uložit do karty pro pozdější přehrání. Tato funkcionalita v současné době není k dispozici ve variantě vloženého modulu CA do rozhraní CI z důvodu nedostatečné podpory zabezpečení nahrávek rozhraním CI.
Možnost nahrávání na pevný disk u jednoduchých přijímačů neumožňující příjem šifrovaných pořadů je poměrně obvyklá. Různí výrobci se staví k zabezpečení nahrávek různě. Někteří ponechávají nahrávky zcela volně přístupné, jiní používají speciální formát disku nečitelný běžnými prostředky. Jiní šifrují nahrávky, přičemž je umožňují přehrát pouze na stejném zařízení, kde byla nahrávka pořízena.
Další funkce je sledování pořadu s časovým posunem. Program je zde ukládán na disk, odkud je současně přehráván se zpožděním. Většinou je tato nahrávka nechráněna, což může být ve specifických případech použito k napadení zabezpečení a získání záznamu.
Ochrana virtualizovaných sítí vyžaduje změny
Virtualizace má obrovský vliv, což vyvolává i otázky o úloze fyzických zabezpečovacích zařízení ve virtuálním světě. Podle Gartneru do roku 2015 budou zhruba 40 % bezpečnostních kontrol v podnikových datových centrech budou dělat virtualizované systémy – v roce 2010 to přitom bylo jen 5 %.
Zabezpečení
Nedávno poskytl analytik Gartneru Neil MacDonald, jenž se zaměřuje právě na otázky zabezpečení a je mimo jiné obhájcem změn při vývoji základních síťových technologií, rozhovor pro IDG. V něm se zamýšlel nad budoucností ochrany dat ve virtualizovaném prostředí.
Aby se těmto prostředím dodavatelé bezpečnostních produktů přizpůsobili , někteří z nich — přicházejí se softwarovými řešeními, o kterých prohlašují, že jsou optimalizované pro specifická prostředí jako například VMware.
Bylo však překvapivé, že si představitelé společnosti McAfee při ohlašování jejího nejnovějšího softwaru MOVE (Management for Optimized Virtual Environments) Antivirus 2.5 stěžovali, že přístup bez agentů není úplně vhodný.
Přitom jejich nový produkt podporuje ochrannou technologii VMware vShield, která ale řešení bez agentů vyžaduje.
Podle specialistů McAfee by bylo vhodné, kdyby VMware v případě vShieldu své názory na řešení bez agentů změnil. Zmínění experti dokonce tvrdí, že lepším řešením by bylo použití agentských systémů. Zdá se, že v této oblasti zabezpečení dat v současnosti panuje určité napětí. O co tedy vlastně jde?
S agenty, či bez nich? Představitelé McAfee tvrdí, že bezagentový přístup není tak dobré řešení jako spouštění těchto softwarových modulů uvnitř virtuálního stroje (VM). A něco pravdy na tom zřejmě je.
Ochrana proti přetečení bufferu a ochrana paměti – všechny tyto záležitost probíhající uvnitř VM nelze bez agenta zvládnout.
Není totiž k dispozici žádná behaviorální heuristika. Je možné otevřít soubor a zavřít soubor. Pomocí produktu MOVE 2.5 ale McAfee přidává i zpracování bez agentů. Samo McAfee pitom podporuje obě řešení – s agenty i bez agentů – a je vůči hypervizoru neutrální.
Jaký je tedy problém ohledně používání antivirového softwaru s agenty ve virtuálních strojích? Říká se tomu „A/V bouře“ a vytváří to další datové přenosy. Předpokládejme, že je vše nastaveno ke spuštění v poledne. Jako správce můžete řekněme nastavit spouštění „náhodně mezi 12. a 14. hodinou.“
Je to sice řešení, ale není zdaleka nejlepší. Proč opakovat skenování stejné bitové kopie? Rozhraní API VMwaru vám umožní skenovat jen jednou. Kaspersky to podporuje, ale Symantec zatím ne – jejich Symantec Endpoint Protection 12 používá jinou architekturu.
Práce VMwaru s bezpečnostními rozhraními vShield API se v průběhu let ukazuje jako poněkud diskutabilní. Vypadá to, jako by VMware měl zájem spolupracovat pouze s konkrétními dodavateli zabezpečení.
VMware vytvořil první sadu rozhraní API na vlastní pěst, aniž by to s dodavateli bezpečnostních produktů nějak komplexně řešil. Spolupracoval však úzce s firmou Trend Micro.
Výsledný model vzniklý jejich kooperací je inovativní a pro prvně jmenovanou firmu to dopadlo dobře — uzavřela spoustu dohod.
Rozhraní API navržená od zeleného stolu obvykle nefungují úplně dobře. Díky zaměření na několik dodavatelů VMware dosáhl většího úspěchu.
Existují výhody i nevýhody výše popisovaného přístupu bez agenta. Mezi pozitiva patří to, že se objevila off-line ochrana VM s lepším využitím zdrojů. Nevýhodou je ale potřeba rozšíření hypervizoru, je to řešení vhodné jen pro VMware, je nezbytné vlastnit příslušné licence, funguje to jen pro Windows, není to zcela „bez agenta“ a k dispozici je jen skenování proti malwaru.
Virtualizované firewally Rozhraní vShield API zajišťuje VMwaru schopnosti obvyklé u firewallu. V současné době podniky používají oddělené síťové rozhraní pro každou zátěž. Důvěřujete VMwaru v oblasti separace paměti, ale síťové přenosy ale přece jen raději zasíláte odděleně na fyzické firewally.
Je proto dalším logickým krokem virtualizace firewallu? Ten od VMwaru by to mohl dokázat. Základní segmentaci zvládá dobře.
Firmy Check Point, Juniper a Cisco už mají avé virtuální firewally. Firewall Check Pointu umí funkci IPS, kterou VMware nemá. Ten ale pro tuto funkcionalitu využívá partnerství s třetími stranami.
Ve virtualizaci to všechno znamená vzít kontrolu zabezpečení a vtáhnout ji dovnitř. Otázkou je, kdo je za to odpovědný. Musíte udržovat rozdělení povinností.
VMware má přístup na základě rolí, který k tomu lze použít. Stejně tak třeba řešení od firmy HyTrust.
Nemusíme nutně chtít, aby se o všechno starala jedna osoba – síťový firewall může mít na starost správce zabezpečení a zbytek administrátor VMwaru.
Ale budoucnost je hybridní – některé firewally budou virtuální a jiné hardwarové. Například firmu Palo Alto Networks znevýhodňuje, že hojně využívá proprietární hardware. Firewall této firmy v současné době není virtualizovaný, ale jednou, jak potvrzují její představitelé, bude.
Elektronický podpis a jeho platnost v čase
Co se děje s elektronickými podpisy, jak ubíhá čas? Stávají se po určité době neplatnými? Nebo se jejich platnost v čase nijak nemění – a mění se pouze naše schopnost tuto platnost ověřit? Tedy zjistit a prokázat?
Zabezpečení
Otázka v podtitulku dnešního dílu reaguje na zřejmě nejčastější omyl kolem elektronických podpisů a jejich platnosti. Tím je představa, že platnost elektronických podpisů je nějak časově omezena a že se tyto podpisy po určité době stávají neplatnými. To ale není pravda.
Skutečnost je taková, že právní řád nezná nic jako „podpis na dobu určitou“. Tedy takový, jehož platnost by byla nějak apriorně omezena, tak aby platil jen po nějakou konkrétní dobu a pak už nikoli. Nemůžete tvrdit něco jako: „tento podpis byl ještě minulý týden mým podpisem, ale dnes už mým podpisem není.“ Jakmile jste se jednou platně podepsali, je to „napořád“ a už to nikdy nezměníte. A to platí pro všechny druhy podpisů bez rozdílu. Tedy jak pro vlastnoruční na „papírových“ dokumentech, tak i pro elektronické na elektronických dokumentech.
Nepleťme si to ale s právními úkony, které svým podpisem stvrzujete. Ty samozřejmě již mohou být různě časově omezeny a mohou být i odvolávány, resp. „brány zpět“. Ale ne samotné podpisy. Chcete-li třeba vzít zpět nějaký právní úkon, který jste učinili a stvrdili svým podpisem, musíte učinit nový právní úkon (o zpětvzetí) a ten také stvrdit dalším svým podpisem.
O co přicházíme s tokem času? Jinou věcí je ale to, zda jsme či nejsme schopni ověřit platnost nějakého konkrétního podpisu. Tedy nejenom zjistit, zda je či není platný, ale také toto své zjištění prokázat někomu, kdo o něm nebude přesvědčen či o něm bude přímo pochybovat. To už je věc, která se v čase mění.
V případě vlastnoručních podpisů (na „papírových“ dokumentech) se mění proti naší vůli tím, jak inkoust bledne, papír se rozpadává atd. Tedy v důsledku „samovolných“ dějů, kterým můžeme kontrovat vhodnými metodami péče o samotné dokumenty, jejich konzervací atd. Rozhodně to ale není tak, že by u vlastnoručních podpisů někdo programově říkal: chci, aby po době XY již nebylo možné jejich platnost ověřit.
U elektronických dokumentů je ale situace diametrálně odlišná. Zde je naopak vše zařízeno tak, aby se po jisté době jejich platnost nedala ověřit. Tedy pokud v mezidobí – přesněji před koncem řádné doby platnosti podpisového certifikátu – nejsou provedena vhodná opatření, která možnost ověření prodlouží. Protože jinak možnost ověření končí právě okamžikem, kdy končí řádná doba platnosti certifikátu, na kterém je podpis založen.
Časová razítka jako ochrana proti kolizním dokumentům Důvod, kvůli kterému je možnost ověření platnosti elektronických podpisů omezována v čase, je velmi racionální. Jde o strach z toho, že by ke konkrétnímu podepsanému dokumentu někdo dokázal najít (přesněji vypočítat) tzv. kolizní dokument. Tedy dokument, který je sice jiný co do svého obsahu, ale má stejný otisk (tzv. hash), a tím i tentýž elektronický podpis. Protože pak by bylo možné vzít samotný podpis z původního dokumentu, připojit jej ke koliznímu dokumentu a ten vydávat za původně podepsaný dokument. A ono by to prošlo, protože podpis na kolizním dokumentu by „seděl“ – a může tedy být ověřen jako platný.
Opatřením, kterým lze kontrovat hrozbě „podstrčení“ kolizního dokumentu, je přidání časového razítka. To si můžeme představit jako určitý trezor, do kterého je elektronicky podepsaný dokument uzavřen, tak aby „vydržel“ odolávat kolizním dokumentům o něco déle. Díky tomu je také možné prodloužit dobu, po kterou se dá platnost podpisu ověřit (díky jistotě, že v mezidobí nebyl původní dokument nahrazen kolizním dokumentem). Nikoli ale navěky, a proto je i účinek časového razítka časově omezený, typicky na několik málo let – a než skončí, je třeba přidat další časové razítko. Tedy vlastně zavřít podepsaný dokument i s prvním razítkem do dalšího, ještě silnějšího trezoru. A tak dále: vždy, než skončí možnost ověření daná posledně přidaným časovým razítkem, je nutné přidat další časové razítko.
Jinými slovy o své elektronické dokumenty se musíme aktivně starat přidáváním časových razítek. Nemůžeme je nechat jen tak někde ležet v šuplíku.
Posuzovaný časový okamžik Časové razítko, přesněji to kvalifikované, ale plní ještě jeden velmi důležitý úkol. Umožňuje nám ověřovat platnost podpisu „co nejblíže“ době jeho vzniku.
To je důležité pro posuzování podmínek nutných pro platnost elektronického podpisu. Tedy pro volbu tzv. posuzovaného okamžiku. Jde například o platnost certifikátu a jeho eventuální zneplatnění. Potřebujeme vědět, zda k posuzovanému okamžiku podpisu byl certifikát ještě platný (ve smyslu řádné doby své platnosti) a zda nebyl k tomuto okamžiku zneplatněný (revokovaný).
V praxi ale okamžik vzniku podpisu neznáme dostatečně spolehlivě na to, abychom se na něj mohli spoléhat. Proto splnění příslušných podmínek posuzujeme alespoň k nejstaršímu okamžiku, ke kterému máme jistotu, že podpis již existoval. A tuto jistotu nám dává právě (kvalifikované) časové razítko. Případně to nejstarší, pokud jich je více a pokud jsme schopni ověřit jeho platnost. Posuzovaným okamžikem je pak čas uvedený v nejstarším (kvalifikovaném) časovém razítku.
V opačném případě, pokud elektronický podpis není opatřen žádným časovým razítkem, nemáme žádné vodítko ohledně toho, kdy podpis již existoval, a splnění podmínek jeho platnosti proto musíme hodnotit k aktuálnímu časovému okamžiku. Posuzovaný okamžik tedy musíme nastavit na aktuální časový okamžik, ve kterém provádíme samotné ověření. Pak ale často narazíme na to, že podpisový certifikát v mezidobí již expiroval. Tedy že k aktuálnímu časovému okamžiku již skončila řádná doba jeho platnosti. Pak ale celé ověřování musí skončit neúspěchem – konstatováním, že platnost podpisu již není možné ověřit, a že o ní tudíž nic nevíme.
Schvalovacím procesem App Store může projít malware
Tým výzkumníků z Georgijského technického institutu odhalil způsob, jak schvalovacím procesem aplikací pro Apple App Store propašovat malware.
Viry | Zabezpečení
Svůj výzkum pojmenovali „Jekyll apps“ a představili ho na 22. bezpečnostím symposiu USENIX v americkém hlavním městě. Zprávu také zveřejnili online jako PDF s názvem Jekyll na iOS: Když se neškodná aplikace stane zlou (Jekyll on iOS: When Benign Apps Become Evil).
„Naše metoda útočníkům umožňuje spolehlivě ukrýt zákeřné chování, které by jinak způsobilo zamítnutí aplikace během vstupního procesu,“ vysvětlil pětičlenný tým.
„Klíčovou myšlenkou je vytvořit aplikaci tak, aby se dala zneužít na dálku, změnit kód a dodatečně představit zákeřné řídící toky. Vzhledem k tomu, že nové řídící toky během schvalovacího procesu neexistují, mohou takové aplikace od Applu jednoduše získat schválení k distribuci pomocí App Store. Naši pokusnou aplikaci Jekyll jsme úspěšně zveřejnili na App Store a poté jsme na kontrolované skupině zařízení vzdáleně spustili útok. Výsledky ukazují, že nehledě na to, že byla aplikace uvnitř iOS sandboxu, mohla úspěšně provést mnoho zákeřných útoků – tajně rozesílat tweety, fotit, krást identifikační údaje nebo dokonce zneužít zranitelnosti jádra systému.“
Výzkumníci použili soukromé API, aby mohli zpřístupnit data uživatelů, třeba obsah jejich adresáře.
Jekyll byl založen na zpravodajské open source aplikaci News:yc, kterou výzkumníci doplnili o zranitelnosti a zákeřný kód a nastavili ji k připojení na jimi kontrolovaný server. Apple aplikaci schválil a vydal v březnu 2013 na dost dlouho, aby ji tým mohl stáhnout na svá vlastní zařízení. Poté ji rychle výzkumníci z obchodu stáhli, aby ji nenainstaloval někdo jiný.
Tom Neumayr, mluvčí Applu, řekl, že Apple na zprávu již reagoval a provedl potřebné změny. Aktualizace obsahující bezpečnostní vylepšení vydal Apple již v půlce března, tvůrci Jekylla však pochybují o tom, že by to bylo v reakci na jejich zneužití.
Takto škodlivé aplikace by podle nich nebylo možné rozpoznat bez důkladného prozkoumání zdrojového kódu.
Podle výzkumníků Applu zabralo pouze pár vteřin, než aplikaci zkontroloval a schválil k distribuci přes svůj obchod s aplikacemi. To vyvolává otázku, jaký jiný malware by se do App Storu mohl dostat, nebo jaký tam již je.
Apple oznámil, jak aplikace testuje. Standardní metodou by bylo spustit strojovou „dynamickou analýzu,“ při které je kód spuštěn ve virtuálním zařízení a zkontrolován.
Konkurenční Android čelí problémům s malwarem v Google Play celkem často, podle bezpečností společnosti Trend Micro bude na Androidu do konce roku k dostání milion zákeřných aplikací.
Novinka, že ani Apple není úplně neomylný při schvalovacím procesu, může podpořit hackery, aby se na tento OS zaměřili více, společnost tak bude muset svou bezpečnost vylepšit.
Běh Snort na ESXi pomocí Distributed Switch
20.8.2013 Zabezpečení
Toto je hostem deník přispěl Basil Alawi V předchozím deníku jsem psal o spuštění odfrkl na VMware ESXi [1] . I když to nastavení by mohlo být vhodné pro malé instalace s jedním zařízením ESXi, může být nevhodný pro větší implementace s více vSphere hostitelů. V tomto deníku se budu zabývat nasazením Snort na větším provedení s SPAN / zrcadlo portů.
SPAN porty vyžadují VMware Distributed Switch (dvSwitch) nebo Cisco Nexus 1000V. VMware dvSwich je k dispozici s VMware vSphere Enterprise Plus, zatímco Cisco Nexus 1000V je třetí strana add-on. Obě řešení vyžaduje vSphere Enterprise Plus a VMware vCenter.
Zkušební laboratoř
Zkušební laboratoř se skládá z VMware ESXi 5.1 jako hostitele VMware vCenter 5.1, Kali Linux, bezpečnostní cibuli a Metaspoitable VM. ESXi 5.1 bude hostitelský systém a Kali VM bude útok serveru, zatímco Metaspoitable bude cíl a bezpečnostní cibule poběží Snort instance. (Obr. 1).
Obrázek 1
Obrázek 1 (Test Lab)
Konfigurace dvSwitch:
VMware VDS rozšiřuje sadu funkcí přepínače VMware normy, a zároveň se zjednoduší zajišťování sítě, sledování a řízení prostřednictvím získávána, jeden Distributed Switch zastoupení více VMware ESX a ESXi serverů v datovém centru VMware [2] .
Chcete-li konfigurovat SPAN portů na VMware dvSwitch:
1.. Přihlaste se do vSphere Client a zvolte sítě zásob názor
2.. Klepněte pravým tlačítkem myši na vSphere Distributed Switch v inventáři panelu a vyberte možnost Upravit nastavení (obr. 2)
Obrázek 2
Obrázek 2
3 - Na kartě Port Mirroring, klepněte na tlačítko Přidat
Obrázek 3
4 Zadejte název a Popis pro relaci zrcadlení portů
Obrázek 4
5 - Ujistěte se, že umožní normální IO na políčko cílový port není vybraná Pokud nevyberete tuto možnost, bude zrcadlit provoz povoleno se na cílové porty, ale žádný provoz bude
Umožněno palců
6 Klepněte na tlačítko Next
7 - Vyberte, zda chcete používat tento zdroj k vniknutí nebo Egress provozu, nebo zvolte vniknutí nástupu / výstupu použít tento zdroj pro oba druhy dopravy .
8-Type zdrojový port ID a klepněte na tlačítko >> přidáte zdroje k relaci zrcadlení portů.
9 - Klepněte na tlačítko Další .
Obrázek 5
10 - Vyberte typ cílového portu ID.
11 - Typ identifikátory cílový port a klepněte na tlačítko >> přidáte cíl do relace zrcadlení portů
12 - Klikněte na Next
13 - Zkontrolujte, zda je uveden název a nastavení nové relace zrcadlení portů jsou správné
14 - Klikněte na tlačítko Povolit tento port zrcadlení relace pro spuštění relace zrcadlení portů okamžitě.
15 - Klikněte na Dokončit .
V tomto cvičení provoz bude metaspoitable VM bude zrcadlo eth1 na serveru Onion bezpečnosti.
Běh cvičenými na eth1 může potvrdit, že zrcadlo konfigurace funguje tak, jak by mělo být:
tcpdump-NNI eth1
Obr. 7
Testování Snort
První test je snímání otisků prstů metaspoitable VM nmap a Snort zachytili úspěšně zkoušen.
nmap-O 192.168.207.20
Obrázek 8
Druhý test se snaží hovado nutit metaspoitable heslo uživatele root pomocí hydra
hydra-l root-P passwords.txt 192.168.207.20 ftp
Obr. 9
Třetí pokus byl pomocí Metasploit využít metaspoitable:
Panda Security uvádí na trh 2014 maloobchodní linku
Publikováno dne 16. srpna 2013 Zabezpečení
Panda Security zahájila Panda Global Protection 2014, Panda Internet Security 2014 a Panda Antivirus Pro 2014.
Navrženy tak, aby kompletní ochranu s minimálním dopadem na výkon počítače, nové Retail 2014 řešení využívají všechny výhody cloud-based zabezpečení řešit všechny typy hrozeb z digitálního světa: viry, hackery, online podvody a krádežemi identity, v Kromě známých a neznámých hrozeb. Všechny produkty v nové sestavě jsou snadno použitelné, bezpečné, spotřebuje minimální PC zdrojů a jsou postaveny na kolektivní Panda Security Intelligence systému, kterou se prodlužuje jeho multiplatformní pokrytí. "Během Prvních šest měsíců roku 2013 bylo 17 procent více vzorků malwaru vytvořena než ve stejném období loňského roku, takže situace není jen nebezpečná, ale stupeň nebezpečnosti se zvyšuje každý měsíc, "vysvětluje Luis Corrons, technický ředitel PandaLabs v Panda Security . "V poslední době, Panda Security zaznamenal postupný nárůst útoků na mobilní platformy. Ačkoli tam jsou výrazně méně, než proti PC, Android se stal preferovaným Cyber-podvodníci" mobilní operační systém. Existuje stále více a více trojské koně a malware obecně, které se Výhodou těchto typů zařízení k infikování počítače při připojení k nim, "dodal Corrons. Hlavní inovace obsažené v 2014 Panda Security Retail škálu řešení patří multiplatformní ochranu, kterou Panda Global Protection 2014 for Windows (XP, Vista, Windows 7 a Windows 8). Mac, Apple mobilní zařízení (iPad, iPhone a iPhone Touch) a Android (tablety, smartphony a dokonce i Smart TV) Určen pro uživatele s pokročilými potřebami, Panda Global Protection 2014 rozšiřuje vlastnosti, díky nimž Řešení jeden z nejlepších bezpečnostních balíků na trhu tím, že poskytuje vyšší ochranu proti neznámým malwarem a zvýšení stupně dezinfekce agresivního malwaru, jako ransomware nebo nepoctiví, která únosu počítače nebo osobní soubory. Identity Protection, anti-spam, rodičovskou kontrolu, zálohování, vzdálený přístup, optimalizace, šifrování souborů a modul pro správu hesel byly také optimalizovány. Panda Internet Security 2014 a Panda Antivirus Pro 2014 zvýšit své schopnosti před viry, hackery a dalšími hrozbami. Kromě těchto funkcí, Panda Internet Security 2014 také nabízí možnosti k ochraně rodiny, uživatel je identifikovat a uživatelská data pomocí rodičovské kontroly, vzdálený přístup, odstranění spamu a zálohování se soubor obnovení a další funkce. Panda Antivirus Pro nabízí rychlé a intuitivní prostředí a obsahuje firewall, virtuální klávesnice, domácí sítě, správa záchranný kit a multimediální možnosti a další funkce.
Zapněte jakékoli zařízení iOS do zabezpečené mobilní platby řešení
Publikováno dne 16. srpna 2013. Mobil | Zabezpečení | Viry
SecureNet platební systémy zahájena Mobilní PayOS , nejnovější mobilní platební technologie zmocňuje obchodníky všech velikostí, které promění jakoukoli iOS mobilní zařízení do zabezpečené mobilní platební řešení. Mobilní PayOS umožňuje podnikatelům rychle a snadno přijímat platby a spravovat jejich podnikání on-the-go. Securenet mobilního řešení zahrnuje zdarma mobilní aplikace a plně šifrované čtečku karet, k dispozici pro mobilní iOS dnes, a brzy Android. SecureNet nabízí 24 / 7. živá, US-založené podporu a umožňuje rychlé a snadné pro obchodníky začít používat mobilní PayOS. Poskytovat podnikům více obchodních příležitostí, Mobilní PayOS dává obchodníkům možnost přijímat platby debetní a kreditní kartou a sledovat platby v hotovosti všude v USA, pomocí libovolného mobilního iOS zařízení. Přizpůsobitelné zásob, daňové, obchodní reporting a řízení personálu nastavení umožňuje majitelům firem nastavit svůj mobilní sklad přesně tak, jak si přejí. Securenet mobilní PayOS umožňuje majitelům podniků s více zaměstnanci a míst rychle zvládnout, synchronizaci a sdílení zásoby a obchodní nastavení na více mobilních zařízení a PayOS spát zdravě vědomím jejich data jsou zálohována v cloudu. In-app zprávy o prodeji a Business Analytics umožňují obchodníkům rychle získat celkový přehled o jejich podnikání, kde jejich obchodní požadavky. aplikace pomáhá urychlit proces vypůjčování s inteligentním zásob třídění, jedné z kohoutku prodeje vstupenek míst, přizpůsobit zvratu hodnot a Okamžitý e-mail s příjmy transakce geo-umístění. Mobilní PayOS umožňuje také obchodníci a zaměstnanci zahájit úplné i částečné, bezproblémové náhrady přímo z aplikace. Prostřednictvím jediného, full-service obchodní účet, můžete Securenet obchodníci bezpečně přijmout místě prodeje, online a mobilní platby jako jejich podnikání roste a potřebuje změnit. SecureNet škálovatelnou obchodní účty umožňují podnikatelům řídit všechny aspekty své činnosti z jednoho místa a odstranit účetních bolesti hlavy s komplexní zprávy a konsolidované účetní závěrky, které dělají usmíření hračkou. "Jako nové prodejní kanály se objeví, zákazníci mají neomezené možnosti zvolit si, kdy a kde chtějí nakupovat. Představením nových obchodních příležitostí a urychlení cash flow, mobilní PayOS umožňuje obchodníkům všech velikostí spravovat a rozvíjet jejich podnikání on-the-go, "řekl Brent Warrington, generální ředitel SecureNet. "Ať point-of-sale, eCommerce nebo mobilní, musí obchodníci vyvíjejí a rozšířit své podnikání splnit zákazníkům, kde jsou nákupy. Jak karta bez přítomnosti karty a současnost světy sblížit a nutí podniky k posunu směrem k Omni-kanálový obchodní model, bude SecureNet nadále vyvíjet inovativní řešení platební technologie, které pomáhají obchodníci růst jejich podnikání. "
Ukončení podpory pro Windows XP bude ráj hackerů
Experti si myslí, že hackeři s vypuštěním zranitelností a zero-day pro Windows XP počkají, dokud Microsoft zastaralému operačnímu systému neukončí v dubnu příštího roku podporu.
Hrozby | Zabezpečení
Jason Fossen, expert na zabezpečení Microsoftu v úterý poznamenal, že je to ukázka ekonomiky v praxi. „Průměrná cena zranitelnosti na Windows XP se na černém trhu pohybuje kolem 50 až 150 tisíc dolarů. Je to relativně nízká cena, ve které se odráží přístup Microsoftu k opravám,“ řekl Fossen. Pokud se totiž ve Windows XP nějaká zranitelnost objeví, Microsoft ji začne okamžitě vyšetřovat a brzy vydá aktualizaci pro všechny uživatele. To se však v dubnu změní.
Microsoft přestane aktualizace pro Windows XP pro většinu uživatelů vydávat a nové záplaty tak získají pouze organizace, které za ně zaplatí.
„Pokud dnes někdo objeví spolehlivou zranitelnost v XP, která lze provést pomocí vzdáleného přístupu a vypustí ji dnes, Microsoft ji bude mít opravenou za pár týdnů,“ poznamenal Fossen. Když však počkají, cena se pravděpodobně zdvojnásobí.“
Pokud má Fossen pravdu, mělo by se to projevit v prudkém poklesu zveřejněných a použitých zranitelností během poslední čtvrtletí roku 2013 a začátkem roku 2014. Fossen zdůraznil, že mají hackeři k trpělivosti silnou motivaci.
Žádný příklad z minulosti, který by Fossenova slova potvrdil či vyvrátil, neexistuje. Když Microsoft ukončil v roce 2010 podporu pro Windows 2000, byl tento operační systém pouze na čtyřech desetinách procenta všech počítačů. XP mají podíl podstatně vyšší. Podle současných odhadů bude Windows XP v době ukončení podpory na 34% osobních počítačů.
Fossen je přesvědčen, že se Windows XP stanou lákavým a snadným cílem. Spekuluje také o tom, zda se tím Microsoft nedostane do takové pozice, kdy bude muset ze svého ultimáta vycouvat a aktualizaci přeci jenom vydat.
„Pokud si hackeři počkají a vypustí několik zero-days krátce za sebou, mohlo by to vytvořit takové problémy, že uživatelé budou aktualizaci vyžadovat opravdu hlasitě,“ řekl.
Mezi analytiky však panuje shoda v tom, že Microsoft ze svého rozhodnutí neustoupí. Nejen, že by to vytvořilo nevítaný precedent, navíc by si tím odstranil všechny páky, jak opozdilce přesvědčit k aktualizaci operačního systému na Windows 7 nebo 8.
Chraňte firemní e-mailové schránky
Zatímco firmy spoléhají na e-mailovou korespondenci čím dál více, zejména malé a střední společnosti se stávají čím dál zranitelnějšími vůči vzrůstající agresivitě a sofistikovanosti internetových hrozeb.
Zabezpečení
E-mail nebo elektronická pošta zásadně změnil způsob, jakým komunikujeme - a to jak k lepšímu, tak i k horšímu. Zatímco firmy spoléhají na e-mailovou korespondenci čím dál více, zejména malé a střední společnosti se stávají čím dál zranitelnějšími vůči vzrůstající agresivitě a sofistikovanosti internetových hrozeb. Moderní škodlivé programy neboli malware, včetně počítačových virů, červů, trojanů a spywaru, se přenášejí nejčastěji právě e-mailem.
Články v médiích nejčastěji mluví o spamu, který se šíří typicky prostřednictvím elektronické pošty. Jeho udávaný podíl na celkovém množství odeslaných emailů se liší v závislosti na zdroji a aktuální situaci, můžeme ale konstatovat, že přes 80 % veškerých e-mailů je nevyžádaná pošta obsahující pochybné obchodní nabídky, popřípadě rovnou škodlivé přílohy s viry nebo spywarem.
Pro malé a střední firmy takové množství spamu znamená zásah do každodenní produktivity zaměstnanců. A to i přesto, že jeho největší část je odfiltrována, aniž by to uživatel vůbec zaznamenal. Standardní ochranu před těmito hrozbami představují antispamové a antimalwarové programy instalované na koncové stanice, přičemž většina firem taková opatření mylně považuje za dostatečná.
V současnosti se bohužel na základní softwarovou ochranu nelze spoléhat na 100 %. Svět počítačového zločinu se neustále mění. Kyberzločinci se přestávají orientovat na velké firmy, jejichž zabezpečení často odpovídá rizikům souvisejícím s možností napadení. Místo toho se útočníci raději zaměří na více menších cílů, u kterých není potenciální zisk tak velký, zato zde ovšem mají mnohem vyšší šance na úspěch.
Nejčastější e-mailové hrozby
Nejčastějšími nástrahami pro firmy do 100 zaměstnanců jsou klasické spamové útoky, nevyžádaná pošta s infikovanými přílohami nebo závadnými odkazy, a také phishing, jehož prostřednictvím se útočník snaží vymámit z uživatele citlivé údaje a hesla prostřednictvím falešných webových stránek nebo metod sociálního inženýrství.
Relativně stále neprobádanou a velice zákeřnou metodou je pak cílená forma phishingu, zaměřená na konkrétní osoby s přístupem k těm nejcennějším datům a informacím. Takové útoky jsou koncipovány za účelem krádeže osobní identity nebo získání kontroly nad počítačem. Přístup k němu zločincům slouží jako prostředek k napadení celofiremní sítě.
Dobře známé jsou také tzv. útoky DHA (Directory Harvest Attack), tj. získávání e-mailových adres prostřednictvím masivní vlny e–mailů s běžnými jmény, jež spamerům odhalí ty opravdu funkční. Nelze zapomenout ani na DDoS útoky, kterými mohou hackeři narušit e-mailovou komunikaci ve firmě pomocí bombardování e-mailových serverů tunami nevyžádané pošty.
Potenciální škody způsobené těmito hrozbami přesahují tradiční nepohodlí a snížení produktivity zaměstnanců, které si spojujeme s běžným spamem. Naopak mohou snadno přerůst ve vážné problémy, jako jsou úniky dat, finanční ztráty, zneužití informací o zákaznících nebo poškození dobrého jména značky.
Důležitou bariérou před kybernetickými útoky je ochrana serverů, na nichž se nacházejí nejdůležitější elektronická aktiva firmy. Právě pro ně je určen produkt ESET Security pro Microsoft SharePoint Server, jenž dokáže ochránit servery a soubory v reálném čase. Jsou tak zabezpečeny před kybernetickými hrozbami, včetně těch, které se zaměřují na přístup k systémovým souborům.
Technologie ESET navíc přináší ověřenou ochranu, aniž by zatěžovala systémové prostředky důležité pro plynulý chod prioritních úloh serveru. Firmy různých velikostí tak mohou efektivně chránit své SharePoint Servery.
ESET Security pro Microsoft SharePoint Server nabízí antivirovou a antispywarovou ochranu, filtrování založené na pravidlech, plynulou identifikaci operací a funkcionality ESET SysInspector a ESET SysRescue. Řešení lze vzdáleně spravovat prostřednictvím nástroje ESET Remote Administrator.
Produkt, který je k dispozici i v české jazykové verzi, umožňuje administrátorům aplikovat komplexní bezpečnostní politiku, provádět v reálném čase nepřetržité hloubkové skenování celého datového úložiště SharePoint v rámci databáze, a to podle plánu nebo na vyžádání.
PayPal odvážně používá rozpoznávání tváře
V Londýně od vás přijmou paypalovou platbu a stačí vám k tomu jen váš obličej. Což ovšem někteří bezpečnostní odborníci nepovažují za příliš rozumné řešení.
Zabezpečení | Ochrana | Biometrika
PayPal začíná na hlavních třídách Londýna používat pro identifikaci platebních technologii rozpoznávání tváří, metodu, kterou řada bezpečnostních expertů označuje za rizikovou.
Na firemním blogu PayPal prohlásil: „Vaše profilové fotografie byly vždy branami do vašeho online sociálního světa, ale nyní vám otevírají cestu k platbám ve světě fyzickém.“ Podle tohoto giganta elektronických plateb se obchody v Richmondu, jihozápadní části Londýna, pustily do bitvy, jejichž výsledkem může být odsouzení peněženek na smetiště dějin.
Obchodníci umožňují zákazníkům zaplatit pouze pomocí jejich mobilního telefonu a jejich fotografie. V mobilní aplikaci PayPalu přibyla záložka nazvaná „Místní“, kterou lze použít pro vyhledání obchodů a restaurací poblíž uživatelovy pozice, které akceptují mobilní platby PayPalu. Vlastník konta se potom může přihlásit stejně, jako by to udělal na sociálních sítích Facebook nebo Foursquare, a okamžitě zaplatit přímo z aplikace.
Jakmile se zákazník přihlásí, jeho jméno a fotografie se objeví na obrazovce pokladny obchodu a obsluha zúčtování odsouhlasí dotekem na obrázek nakupujícího. Prakticky ve stejný okamžik na telefon zákazníka dorazí zpráva o tom, kolik bylo zaplaceno, a přes email je zaslána standardní elektronická faktura PayPalu.
Mezi obchody v Richmondu, které systém využívají, zatím patří Cook & Garcia, The Farmery, The Tea Box, The Bingham Hotel, Revolution, Caffé Paolo, The Cedar Coffee Shop, Urban Diner, Pier 1 Fish and Chips, Noble Jones, Hill Café a Knot Coffee and Pretzel. Samozřejmě lze očekávat, že stejné obchodní řetězce v pobočkách v jiných městech i zemích budou opět první, kteří novou službu do dané lokality přinesou.
Podle Roba Harpera, ředitele retailových služeb PayPalu, jde pro místní obyvatele o zcela novou životní zkušenost. „Nyní mohou nechat peněženky doma a vyrazit bezstarostně nakupovat. Navíc tak jde o velkou pomoc pro místní obchody bez ohledu na jejich velikost, které nemusí přijít o žádný prodej, který se nezrealizuje jen proto, že zájemce u sebe nemá dostatečnou hotovost.“
Méně nadšeni jsou ovšem odborníci na bezpečnost. Například podle Andyho Kemshalla, technického ředitel bezpečnostní firmy SecurEnvoy, která se specializuje na vícefázové ověřování: „Nový systém PayPalu je první ve Velké Británii, který k autorizaci plateb využívá fotografií zákazníků. Proběhnutí transakce závisí na prodavačích, kteří porovnávají tváře s fotografií. Jde o riskantní metodu, kde může velmi snadno dojít k chybě, ať už úmyslné či neúmyslné. Jiné principy ověřování na mobilních zařízeních, jako je například potvrzování přes SMS, jsou bezpečnější a cenově efektivnější. Bezpečnostní technologie musí mít spolehlivé na 99,9 procent a současná biometrie se k této míře spolehlivosti ani zdaleka nepřibližuje.“
Uchraňte aplikace před selháním
V současné době si žádná firma závisející na on-line zákaznících a procesech nemůže dovolit zhroucení svých klíčových aplikací.
Zabezpečení
Pokud dojde k jednohodinovému výpadku u programu důležitého pro základní firemní procesy nebo obrat, jako je například webový server firmy, může to způsobit ztrátu stovek tisíc dolarů.
Oddělení IT potřebují mít k dispozici jednoduché způsoby, jak zajistit, aby problémy s aplikacemi nepřerostly v závažnější selhání. Je také nezbytné mít plán pro zvládnutí významnějších výpadků.
Jsou to však nejhorší možné scénáře, a přestože jsou důležité, měli by dodavatelé aplikací věnovat čas a prostředky především na vypracování plánu, který by zajistil očekávanou funkci systémů během rutinního firemního provozu.
Takový plán ale musí počítat i s očekávanými špičkami požadavků, jako je například uzavírání účetních knih finančního oddělení na konci každého čtvrtletí nebo uvádění nějakého nového výrobku na trh. Stejně tak je důležité brát v úvahu neočekávané události, které mohou způsobit neobvyklou zátěž aplikací, databází a serverů.
Přinášíme tipy nejúčinnější prevence pro udržení kritických podnikových aplikací v nejlepší kondici.
1. Definujte firemní hodnotu potřebného výkonu softwaru a vytvořte s jeho provozovateli plán řízení výkonu aplikace Sestavte tým složený z pracovníků IT a zainteresovaných osob z provozních částí firmy a dejte jim za úkol definovat obchodní priority či metriky a vytvořit klíčové ukazatele výkonnosti (KPI), případně smlouvy o úrovni služeb (SLA) pro všechny aplikace, lokality a technologické vrstvy.
Znamená to také stanovení prahových hodnot a metrik pro intervenci, nastavení alarmů a nepřetržitý monitoring celé infrastruktury – počínaje sledováním samotného uživatele či transakce až po místo na disku.
Plánování zahrnuje i určení priorit archivace. Nevyužívané nebo jen zřídka používané aplikace a data by neměly spotřebovávat drahé zdroje infrastruktury. Plán by měl obsahovat mapování nejvýkonnějších komponent pro aplikace, které vyžadují nejrychlejší odezvu.
2. Vytvořte profil samotné aplikace Znalost chování aplikace a jeho zdokumentování do profilu pomáhají určit prahové hodnoty aplikace a okamžik případné potřebné intervence. To, jak organizace definuje selhání aplikace ve svých základních systémech, se bude určitě lišit, takže je důležité přizpůsobit tyto profily potřebám zákazníků, požadavkům oboru či legislativy a dalším parametrům definovaným podnikovými divizemi.
Společnosti potřebují mít k dispozici monitorovací řešení udržující přehled o průměrné době odezvy konkrétní aplikace včetně dokumentace základního výkonu a výkonu aplikace během špiček a běžného provozu.
3. Otestujte výkon a vytvořte srovnávací hodnoty Testování výkonu je při plánování výkonu aplikací velmi důležitým krokem, ale při snaze rychle zprovoznit novou aplikaci nebo službu se na něj někdy zapomíná. Pokud oddělení IT vynechá tuto zkoušku, která zajišťuje, že aplikace splňuje základní SLA před zpřístupněním pro uživatele, neexistuje způsob jak zjistit, jestli příslušná aplikace zvládne nárůst požadavků nebo změnu způsobu využívání.
Aplikace možná funguje dobře s 200 uživateli, ale co když jich s ní bude pracovat 500? Automatizační nástroje mohou rychle simulovat scénáře rozsáhlého využívání. Testování výkonu může také poskytnout srovnávací hodnoty metriky výkonu aplikace, což znamená normální časy průměrné odezvy.
4. Monitorujte výkon během reálného provozu Výkon nikdy není konstantní. Vzory využívání a celkové prostředí aplikací se budou měnit bez předchozího upozornění. Aktivní end-to-end monitoring výkonu aplikací během reálného provozu znamená, že problémy ovlivňující zákazníky a způsobující porušení SLA mohou spustit alarmy, takže je personál IT může rychle vyřešit.
Schopnost určit přesné místo a důvod slabého výkonu (prvotní příčinu) v úplném aplikačním toku je životně důležitá, aby mohlo dojít k rychlé reakci. Konečným cílem je automaticky reagovat na problémy s výkonem pomocí přidávání kapacity nebo prováděním změn konfigurace.
5. Povzbuzujte spolupráci mezi týmy aplikací a infrastruktury Manažeři aplikací a infrastruktury nemusí vždy dostatečně spolupracovat. Vývojáři se zaměřují na nové funkce a zlepšení uživatelské zkušenosti, zatímco provozní tým se stará o zajišťování serverů, optimalizaci úložišť a o síťovou architekturu.
Propojení těchto dvou skupin však může odvrátit mnoho aplikačních problémů. Vývojáři by měli provoznímu týmu oznamovat všechny připravované změny v aplikaci.
Elektronický podpis – Není platnost jako ověření
Když ověřujeme elektronický podpis, je to proces složený z určitého počtu kroků. Pokud se nám podaří úspěšně provést všechny tyto kroky, můžeme konstatovat, že elektronický podpis byl ověřen.
Zabezpečení
Je to důležitá informace, která ale ještě neříká nic o výsledku: ověřili jsme podpis jako platný? Nebo jako neplatný? A co když se nám ověření nepodařilo?
Problematika ověřování platnosti elektronických podpisů je poměrně komplikovanou záležitostí. Její složitost přitom začíná už u správného vnímání základních pojmů, ke kterým patří termíny jako ověřování či ověření a platnost či neplatnost elektronického podpisu, elektronické značky či časového razítka. Mezi nimi je totiž zcela zásadní, až principiální rozdíl.
Ověřování je proces, platnost je výsledek Důležité je uvědomit si, že ověřování je proces, který někdo či něco vykonává, zatímco platnost či neplatnost jsou možné stavy elektronického podpisu. A obě tyto věci jsou na sobě nezávislé. Ten, kdo ověřuje elektronický podpis, se snaží dozvědět, jaký je stav elektronického podpisu (či značky nebo razítka). Pokud se mu to podaří, dozví se, že podpis je platný, nebo naopak že je neplatný. Ale může to dopadnout i tak, že se nic nedozví – že se mu nepodaří vykonat všechno, co je nutné k tomu, aby se spolehlivě dozvěděl, jaký je stav příslušného elektronického podpisu. Pak o něm ale nemůže tvrdit vůbec nic. Ani že je platný, ani že je neplatný.
Pamatujme si tedy, že naše zkoumání platnosti elektronického podpisu (jeho ověřování) může dopadnout třemi různými způsoby:
ověření se podařilo – a výsledkem je pozitivní zjištění, že podpis je platný
ověření se podařilo – a výsledkem je pozitivní zjištění, že podpis je neplatný
ověření se nezdařilo.
Takovéto zkoumání (ověřování) obvykle neděláme ručně, ale dělají jej za nás programy, které používáme pro práci s elektronickými podpisy. A tyto programy nám vždy nějak signalizují, kterým z výše uvedených způsobů ověření dopadlo. Ukažme si to na příkladu programu Adobe Reader (a stejně tak i Adobe Acrobat). Zelená „fajfka“ signalizuje zjištění, že podpis je platný. Červený křížek naopak ukazuje zjištění, že podpis je neplatný. Konečně žlutý trojúhelník s vykřičníkem signalizuje třetí možnost: kdy se ověření nezdařilo, a o platnosti či neplatnosti příslušného podpisu tudíž nic nevíme. Můžeme si to představit jako jakési pokrčení rameny: program neví (nedokázal ověřit podpis), a tak na nás krčí rameny.
Pro nás to musí znamenat, že se na takovýto podpis, o jehož platnosti nic nevíme, nemůžeme spoléhat. Nemůžeme jej považovat za platný a jednat podle toho. Tedy například provádět nějaké právní úkony opírající se o platnost takovéhoto podpisu. Pamatuje na to dokonce i zákon (č. 227/2000 Sb., o elektronickém podpisu), ve svém paragrafu 5, který říká, že pokud by tím vznikla nějaká škoda, půjde na vrub toho, kdo neprovedl vše potřebné pro zjištění stavu podpisu, a přesto jednal, jako kdyby podpis byl platný.
Stejně tak ale nemůžeme považovat takový podpis za neplatný. Pokud nejsme schopni zjistit, zda je či není platný, ještě nás to neopravňuje k tomu, abychom se k němu chovali, jako kdyby byl neplatný. Tedy například rušili dříve platně uzavřené smlouvy a požadovali vrácení do původního stavu. Již jen proto, že někdo jiný může být šikovnější a může se dopátrat toho, že podpis je platný. Třeba díky tomu, že má v ruce jiný exemplář elektronicky podepsané smlouvy, ke které bylo včas připojeno časové razítko (a tím byla prodloužena možnost ověření toho, že podpis je platný).
Jeden program, jeden podpis, tři různé výsledky Na závěr ještě jedna veledůležitá věc. Některým programům, jako třeba právě Adobe Readeru a Acrobatu, lze zakázat kontrolu některých z uvedených podmínek. Pak jejich splnění vůbec neověřují a jednají, jako kdyby splněné byly. To ale způsobuje, že jeden a tentýž program může stejný podpis na tomtéž dokumentu vyhodnotit diametrálně odlišně, v závislosti na svém nastavení. A samozřejmě také v závislosti na možnostech svého fungování.
To je ostatně i příklad dnešních tří obrázků. Správný výsledek je ten, který konstatuje neplatnost podpisu (protože je založen na již revokovaném certifikátu). Pokud ale měl Reader zakázáno revokaci kontrolovat, dospěl k závěru, že podpis je platný. A pokud revokaci kontrolovat měl, ale nedokázal tak učinit (protože neměl přístup k internetu), skončil s výsledkem „nevím“ (platnost podpisu je neznámá).
Jak zvládnout počítače na tělo ve firmách
V současné době se začínají čím dál více rozmáhat chytrá zařízení, která si jde obléct na sebe – ať už hodinky či brýle. Jaká rizika však představují pro vaši společnost?
Zabezpečení | IT
O standardu BYOD (používání vlastních zařízení zaměstnanci) se debatuje v řadě organizací, které chtějí ušetřit, již delší dobu. Pravdou je, že BYOD je ve firemním prostředí v současné době trendem, jenž nejde zastavit, a podle analytiků se dá spíše očekávat, že se bude ještě dále rozšiřovat. Opravdovou hrozbou pro firmy, které potřebují chránit své duševní vlastnictví, jsou rizika, která přinášejí nové technologie. I když snadno dostupné cloudové řešení pro ukládání dat může představovat určitou hrozbu, průniky do nich nejsou příliš časté.
Společnosti by měly aktivně vytvářet svou bezpečnostní politiku a regulovat množství procesů uvnitř organizace, aby všechna možná rizika co možná nejvíce zredukovaly. V dnešní době se pomalu začíná rozmáhat nový trend - chytré hodinky či high-tech brýle typu Google Glass (technologie na tělo, wereable technologies). Tato zařízení v sobě mají připojení k internetu, software a umí toho čím dál více. Jejich využívání v organizaci může vyvolat obavy z porušení soukromí ostatních pracovníků nebo krádeže dat a mělo by proto být patřičně regulováno.
Zakázat používání nové a rozvíjející se technologie nejspíše nebude příliš efektivní. Měli byste však začít tím, že spolu s technologiemi se bude vyvíjet i vaše interní bezpečnostní politika a zaměstnanci se budou patřičně vzdělávat.
Ve své firmě byste proto měli zvážit tyto body: 1. Nejde o problém, který by mělo řešit vaše odděleníIT Oddělení IT nemá žádnou reálnou kontrolu nad tím, kdo si přinese na pracoviště které technologie a jak je využívá. Jde o organizační problém, který vyžaduje organizační řešení. Kromě manažera IT nebo ředitele pro informatiku by danou věc měla řešit i další výkonná osoba.
2. Ovlivněte nenápadně chování zaměstnanců Poptávka po užitečných, inovativních spotřebitelských technologiích nikdy nekončí. Ti zaměstnanci, kteří se o danou věc ze světa IT budou zajímat a se svými spolupracovníky o ní mluvit, mohou v rámci organizace ostatní náležitě ovlivňovat.
3. Nezaměřujte se na technická, ale systémová rizika Je asi dobré ujistit se, že manažeři ve vaší organizaci chápou klíčový rozdíl mezi systémovým (je třeba řešit komplexně procesy uvnitř organizace) a technických rizikem.
Závěrem lze jen opět zdůraznit, že technologie, které si lze obléci na sebe (ať už půjde o hodinky, brýle či náramek) se začínají teprve rozmáhat a je potřeba, aby organizace tomuto trendu porozuměly a nespoléhaly se pouze na řešení oddělení IT jen proto, že tato zařízení využívají internet.
Ochrana soukromí: Po digitálních stopách
Jedním z nejnovějších trendů v on-line komunikaci je sledování uživatelů – jejich digitální stopy. Co na webu dělají, jaké mají zájmy, kdo jsou, co dělají, co hledají, co je baví… Jak si hlídat vlastní digitální stopu?
Zabezpečení
Všudypřítomná reklama se na internetu snad ani nedá přehlédnout. Pokud se pohybujete ve webovém světě častěji a navštěvujete různé stránky, možná už jste si také všimli, že vám na různých stránkách vyskakují stále stejná nebo velmi podobná reklamní sdělení. Velmi často se stává, že jsou „jako by šitá na míru“ – mužům se objevují reklamy na auta, adrenalinové zážitky, ženám zase informace o dietách a slevách na boty. Tato cílená reklama je jedním z důsledků sbírání dat o uživatelích.
Každý uživatel po sobě na webové stránce zanechává otisk, svoji stopu, podle které se dá poznat, co ho zajímá, zda se chystá na dovolenou, zda hledá nové bydlení, dá se odhadnout, kolik mu je přibližně let, jeho pohlaví apod. Dnes je opravdu běžné, že webová stránka sbírá data o svých uživatelích. I když nemusí jít o nic špatného, některé stránky sdílejí uživatelská data s někým dalším.
Uživatelé i tvůrci pravidel on-line soukromí se proto o tyto praktiky čím dál více zajímají. Tato forma sledování umožňuje například právě zadavatelům reklamy sledovat uživatele na internetu a doručovat jim cílené reklamní obsahy přes různé stránky způsobem, kterého si uživatelé nejsou vědomi.
Nejde tedy o to, že by kradli uživatelům hesla, přístupové kódy nebo data z internetového bankovnictví, „jen“ sbírají jejich digitální stopy, o čemž uživatelé mnohdy ani nevědí. A to není vše.
Existují i další on-line technologie, které sledují aktivity na internetu, jde například o tlačítka na sociálních webech nebo webovou analytickou službu, která poskytuje data o návštěvnících webových stránek vlastníkovi stránek.
Neúmyslné přivedení na stopu Poskytnout někomu možnost sledovat virtuální stopu může tedy uživatel naprosto neúmyslně. Například jako vedlejší efekt některé technologie, kterou využívá, nebo prostřednictvím dat, jež stáhl do počítače a která umožňují takové sledování.
Jaké prostředky má uživatel k dispozici, když chce zjistit, zda a kdo sleduje jeho digitální stopu? První možností, kterou zvládne i méně zkušený uživatel, je nainstalování internetového bezpečnostního softwaru, který nabízí službu „do not track“ – funkci, jež poradí, jak blokovat přístup třetích stran, které uživatele sledují.
Dále může zkusit vyhledat rozšíření pro svůj prohlížeč s použitím klíčového slova „privacy“ – je zde mnoho užitečných plug-inů, které mohou pomoci minimalizovat sledování uživatelovy stopy. Poměrně jednoduchou záležitostí je i odstranění starých cookies z počítače – ovšem než to uživatel provede, měl by mít na paměti, že budou zapomenuta všechna data v nich uložená, a bude se proto muset znovu přihlašovat do různých systémů.
Existují dva typy služby „do not track“ – pasivní a aktivní. Pasivní funkce byla představena již na konsorciu World Wide Web (W3C), tato funkce je ovšem závislá na uživatelově dobrovolném používání. Servisní balíček W3C je součástí základního nastavení. Vzhledem k tomu, že je jeho dodržování dobrovolné, neposkytuje uživateli opravdovou kontrolu nad sběrem dat.
Naproti tomu aktivní prvek přináší aktivní kontrolu on-line soukromí pro většinového uživatele. Informuje ho a nabízí mu možnost blokovat sledování soustavně nebo ho zapínat a vypínat podle potřeby.
Elektronický podpis – revokace certifikátu
Pokud ztratíte svou platební kartu, měli byste co nejrychleji požádat příslušnou banku o její zablokování. Nechcete přece, aby si někdo platil nákupy z vašeho účtu. Pokud ztratíte kontrolu nad svým soukromým klíčem, měli byste co nejdříve požádat svou certifikační autoritu o revokaci příslušného certifikátu. Nechcete přece, aby se někdo podepisoval vaším jménem.
Zabezpečení
Ve světě elektronického podpisu mohou nastávat situace velmi podobné poměrům ze světa bankovnictví a platebních karet. Najednou zjistíte, že potřebujete zamezit něčemu, co dříve bylo možné a co jste sami běžně používali. Třeba když vám ukradnou platební kartu, je ve vašem zájmu nechat ji co nejdříve zablokovat, aby s ní nemohl platit někdo jiný.
Na něco takového se pochopitelně pamatuje, a tak banky mají mechanizmy, jak platební kartu zablokovat. A jelikož všechny platební transakce procházejí přes banku, která kartu vydala, může být takovéto zablokování stoprocentně účinné.
V případě elektronického podpisu je nebezpečné to, že někdo zjistí hodnotu vašeho soukromého klíče. Nemusí vám ho tedy nijak krást, což vlastně ani nejde vzhledem k nehmotné podstatě soukromého klíče. Stačí jej okopírovat či jinak zjistit jeho hodnotu – a rázem se dotyčný může podepisovat vaším jménem.
Pochopitelně i ve světě elektronického podpisu je dopředu pamatováno na takovouto možnost skrze existenci potřebných „blokačních“ mechanizmů. Ty ale musí fungovat trochu jinak než zablokování platební karty.
Hlavní odlišnost je v tom, že zatímco platby vždy nějak „procházejí“ přes banku, kde mohou být zastaveny, ověřování platnosti elektronického podpisu probíhá distribuovaně, přímo u subjektu, který ověření provádí. Jak tedy tento subjekt přinutit, aby už on sám zkontroloval, zda nedošlo k nějaké obdobě zablokování platební karty? A co by vůbec mělo být touto obdobou ve světě elektronického podpisu?
Certifikáty nedohledáte a nezměníte Ideálním řešením by bylo stáhnout z oběhu všechny certifikáty vystavené k soukromému klíči, jenž byl tzv. kompromitován, resp. nad kterým jeho oprávněný držitel ztratil výlučnou kontrolu. Protože právě certifikát je tím, co je nutné mít k dispozici, aby se nějaký elektronický podpis (či značka) vůbec mohl začít ověřovat.
Jenže certifikáty jsou volně šiřitelné a běžnou praxí je přikládat je ke každému jednotlivému podpisu. Takže nějak je „stáhnout všechny z oběhu“ není z principu možné, protože nemáte šanci je všechny dohledat.
Princip nástěnky Přesto existuje možnost, jak platnost konkrétního certifikátu ukončit ještě dříve, než skončí řádná doba jeho platnosti. Tedy jak jej – k určitému časovému okamžiku – předčasně zneplatnit, resp. odvolat či tzv. revokovat. Jen se to musí udělat jinak než jeho přepsáním.
Můžeme si představovat, že jde o jakousi nástěnku umístěnou u vydavatele certifikátu. Tedy u příslušné certifikační autority. A aby to bylo jednodušší, v každém certifikátu bývá uvedena přesná adresa této nástěnky (ve formě tzv. URL odkazu), a dokonce i adresa jejích záložních verzí.
Seznamy CRL Pro praktické fungování právě naznačené představy s nástěnkou je třeba ještě vyřešit řadu technických aspektů. Například to, jakým způsobem a v jakém formátu na ní budou příslušné informace zveřejňovány, jak často atd.
Zde existují dvě základní varianty. Jedna má „dávkový“ charakter a pracuje s prostým seznamem revokovaných certifikátů, který je průběžně aktualizován a ve své aktuální podobě „vyvěšován“ na nástěnku. Jde o tzv. seznam CRL (Certificate Revocation List neboli seznam revokovaných certifikátů).
Metoda legislativního biče Zastavme se ale ještě u dalšího aspektu: Jak přinutit toho, kdo ověřuje platnost nějakého konkrétního elektronického podpisu či značky (nebo časového razítka, kterého se vše týká také), aby se na příslušnou nástěnku skutečně podíval a pozitivně ověřil, zda nedošlo k revokaci (odvolání, předčasnému zneplatnění) příslušného certifikátu?
Zde se v praxi uplatňuje účinná metoda „legislativního biče“. V zákoně o elektronickém podpisu (č. 227/2000 Sb.), konkrétně v jeho paragrafu 5, je stanoveno, že pokud někdo neprovede všechny úkony potřebné k ověření platnosti elektronického podpisu, a přesto se na jeho platnost spoléhá a jedná podle toho, nese i případnou škodu, pokud z toho nějaká vznikne. Přitom právě kontrola toho, zda došlo či nedošlo k revokaci certifikátu, je jedním z těchto „úkonů, potřebných k ověření platnosti“.
Budoucnost elektronické platby: Smartphone autentizace a rozpoznávání obličeje 19. července 2013. Zabezpečení Výběru hotovosti z bankomatů pomocí debetní nebo kreditní kartou, nebo s ní platit v point-of-sale může brzy stát minulostí, protože několik výrobců prezentovány technologie, které umožňují uživatelům provádět stejné akce jednoduše pomocí jejich smartphone nebo dokonce jejich tvář. se sídlem v USA finanční self-servis a bezpečnostní společnost Diebold, která spolupracuje s mobilním Paydiant peněženka poskytovatele a vytvořil cardless Mobile Cash Access (MCA) řešení, které nejen eliminuje hrozbu karty skimming na bankomatu, ale také umožňuje finančním institucím poskytnout bezpečné mobilní peněženky řešení bez nutnosti instalace dalšího hardware bankomatů nebo point-of-prodeje (POS) terminály. "Řešení umožňuje spotřebitelům předstupeň hotovosti na smartphone zařízení vytváří kooperativní interakci s bankomatu . Na bankomatu, spotřebitelé ověřit sami skenováním unikátní QR kód, který signalizuje Bankomat obejít hotovosti přes šifrované spojení k mraku, "vysvětlili. Dalším řešením od stejné společnosti je jejich tisíciletá-inspiroval ATM, který se vyznačuje uživatele rozhraní, které umožňuje touch gesta běžně používané s chytrými telefony a tablety zařízení, jakož i propojení s mobilními zařízeními prostřednictvím cloudu. Tato nová ATM rozhraní umožňuje uživatelům (mimo jiné) vybírat peníze bez použití jejich smartphonů a vykonávat osoby na osoba plateb. "dokončit cardless stažení, zaregistrována banka zákazník skenuje Bankomaty QR kód pomocí svého smartphonu. Pokud zařízení synchronizovat přes mrak, transakce se objeví obrazovka telefonu, kde si zákazník vybere pro odstoupení od smlouvy částku. cloud Server pak odešle jednorázový kód telefonu, který zákazník vstoupí na obrazovce bankomatu k ověření transakce a přijímat peníze, "vysvětlila firma. rozpoznávání obličeje lze také použít namísto QR kódu. osoby na osobu platby popraven uživatelem zřízení předběžnou představeno transakce volbou množství a příjemce kontaktní informace, volitelný od uživatele smartphone seznamu kontaktů. Příjemce pak dostane jednorázový kód, který by mohl použít v bankomatu nebo bankovní pobočky vybrat peníze. Tyto bankomaty jsou naplánovány k dispozici pro použití do konce roku.
Finsko-based Uniqul zvolila rozpoznávání obličeje ve výchozím nastavení, a říká, že jejich řešení je transakce šestkrát rychlejší, snazší a bezpečnější. "Věříme, že jsme vyvinuli nejbezpečnější a pohodlný platební systém k dispozici," říkají s tím, že armádní algoritmy ujistěte se, že bezpečnost jejich systém je bez poskvrnky. Jak se uživatel přiblíží k pokladní, tablet provádí rozpoznávání obličeje pomocí zaznamenávání a zpracování jeho biometrické údaje, najít ten správný účet v naší databázi. Po koupili položky byly registrovány, jediná věc, kterou pro uživatele je, aby transakci schválit stisknutím tlačítka "OK". ale služba není zdarma: uživatelé, kteří chtějí používat systém v obchodech v 1 -2 km poloměr od zvolené oblasti je třeba zaplatit 0,99 € měsíční poplatek, ti, kteří by omezit své nákupy pomocí této metody do jejich města muset zaplatit 1,99 €, a mezinárodní zákazníci budou muset rozloučit s 6,99 € za měsíc pro potěšení . Tablety jsou dotčené v závěrečných fázích výroby, a brzy bude nasazen v oblasti Helsinek.
Hlavní zabezpečení v sadě Office zabezpečení a RFID systémů 19. července 2013. Zabezpečení Na konferenci Black Hat v Las Vegas budou vědci odhalí kritické chyby v mnoha světových nejpoužívanějších stavebních systémů zabezpečení a RFID systémů založených na kont.
Bishop Fox Senior Security Analytici Drew Porter a Stephen Smith a partner Fran Brown bude prezentovat dvě oddělené rozhovory, které předvést metody obcházení fyzických bezpečnostních systémů používaných v budovách, miliony po celém světě. Budou odhalit zranitelnost badging systémy široce používané pro řízení přístupu do budov a zabezpečených prostorách. Ve své řeči, Porter a Smith ukazují nedostatky v digitálních systémů a senzorů používaných více než 36 milionů kanceláři, budově a bezpečnostní systémy ve Spojené státy americké. Oba vědci se podat podrobný popis metod, které mohou být použity, aby se zabránilo vypnutí z běžně používaných senzorů ostraze budov, umožňuje útočníkovi obejít elektronické alarmy a kontrolních systémů pro přístup k zabezpečeným dveře bez spuštění poplachu. Pomocí těchto metod a nástrojů , útočník může snadno proniknout do každé domácnosti a mnoho podniků bez spuštění alarmu systémy instalované uvnitř. "Co je to naprosto děsivé o těchto chyb je, jak efektivní a poškození, pokud jsou využívány," řekl Porter. "Výzkum jsme udělali ovlivňuje miliony domů a budov." Metody Porter a Smith představí umožňují nezjistitelné skryté vstupu, takže žádný fyzický znamení kompromisu. Oba vědci se bude diskutovat o tom, jak mohou signály poplašný systém být zachyceny, bez varování a odeslaných místní alarmy byl zavřen. "Věříme, že tento výzkum by se měl změnit způsob, jakým podniky a majitelé domů prohlížení elektronické zabezpečovací systémy, a doufejme, že způsob, jakým výrobci stavět, instalovat a na trhu je," Porter řekl. Browna diskuse o hackingu RFID budou prezentovány jak na Black Hat USA a DEF CON konference. Brown bude demonstrovat metody zachycení a zneužití RFID proximity odznak informace, v podstatě umožňuje útočníkům přestrojit oprávněn účastníky abyste získali přístup k zabezpečené oblasti, která vyžaduje odznak RFID pro vstup. Systémy RFID bezkontaktních kont patří mezi nejoblíbenější a jsou používány v miliony budov a podniků po celém světě. "Náchylnost RFID systémů kont bylo známé na nějakou dobu, ale až nyní se útočník musel být v rámci centimetrů legitimní odznak, aby si svá data," vysvětluje Brown. "Budeme demonstrovat metodu dosažení odznak data z několika metrů daleko, ukazuje to lze provést bez oběti znalosti. Díky tomu je možné, aby někdo zkopírovat odznak pomocí mnohem širší škálu sociálního inženýrství taktiky, a pak se vrátit později se klonované odznak a získat přístup do zabezpečené oblasti. " Ve své řeči se Brown demonstrovat metody praskání vyšší privilegia- odznaky, aby se získat přístup k vysokými nároky na zabezpečení, jako jsou datová centra a klenbami. Bude také nastínit metody pro vytváření klonované karty a výsadbu fyzické backdoor přístroje do zabezpečené oblasti, takže útočník může přijít a jít na přání.
Bezpečnost komunikačních sítí v praxi: Pevné sítě (II.)
Koncový zákazník velmi často nemá žádné informace o možnostech zneužití hlasové služby přes paketová data v kabelových sítích a může být otázkou času, než bude nemile překvapen výší účtu či zveřejněním privátních informací.
Zabezpečení
Jakým způsobem je zabezpečena kabelová síť? První vrstva zabezpečení je zamezení fyzickému přístupu k médiu v místech před filtrem omezujícím distribuované kanály. To je důležité, aby nebylo pro neautorizované osoby možné vytvořit odbočku bez filtru, a tím získat přístup k analogové nabídce.
Tato forma zabezpečení již ovšem postupně pozbývá důležitosti s přechodem k digitálním technologiím distribuce signálu. Digitální kanály jsou většinou chráněny šifrováním již při vstupu na distribuční trasy a bez přístupové karty je velmi obtížné získat přístup k vysílání. Základní principy zabezpečení a distribuce digitálního vysílání budou tématem budoucích dílů seriálu.
Podobným způsobem jako televizní signál jsou distribuována i data, tedy internet, ovšem s tím rozdílem, že některé kanály jsou určeny pro přenos dat směrem k operátorovi. Dalším rozdílem je, že v určitém místě mezi zákazníkem a operátorem jsou datové kanály odbočeny z kabelu a převedeny na optické médium. Důvodem je nedostatek kapacity na páteřní síti, pokud by internet od všech zákazníků vedl pouze metalickým vedením. V některých zemích se začíná rozvíjet praxe přivedení optického vlákna přímo ke klientovi.
Jak napadnout datový přenos? Je nutno získat fyzický přístup ke kabelu a zařízení podobné kabelovému modemu, které z kabelu získá datový tok. Rychlost toku bude pravděpodobně velmi vysoká, a je tedy vhodné získat identifikátory toku pro zákazníka, jehož si přejeme napadnout, a tato data pak filtrovat např. pro pozdější analýzu.
Většinou je přenos dat v kabelovém vedení nešifrovaný. Celá akce je však poměrně náročná a ve velkém procentu případů je rychlejší a jednodušší napadnout špatně zabezpečené Wi-Fi připojení zákazníka, než se pokoušet o napadení kabelového média.
V kabelových sítích také velmi často běží telefonní služba. V principu jde o vyhrazení určité kapacity kabelového média pro přenos digitálních telefonních hovorů. Telefonní data jsou komprimována a přenášena v paketech (Voice over Packet – VoP) speciálně označených kvůli definici kvality přenosu. Jako u internetu nejsou telefonní data šifrována, a tedy je možné je odposlechnout, rozhodne-li se operátor data šifrovat, má k dispozici například DES nebo AES šifrování.
Tím jsme se dostali k poněkud hůře uchopitelné komunikační síti, a to k internetové telefonii neboli Voice over IP (VoIP). Snad nejznámější službou je Skype. V případě Skypu je celé zabezpečení proprietární a nejsou k dispozici žádné obsáhlejší informace. Skype indikuje zabezpečení komunikace ikonou, a pokud se pokusíme komunikaci analyzovat, zjistíme, že je použito šifrování. Dalo by se tedy říci, že komunikace pomocí Skypu je relativně bezpečná proti nezákonnému odposlechu.
SIP Další velkou skupinou je hlasová komunikace na bázi protokolu SIP. Zde se zastavme, jelikož jde o velmi oblíbenou variantu VoIP, hlavně vzhledem k otevřenosti protokolu a dostupnosti telefonů přímo podporujících SIP, takže není nutno používat počítač. Dalším důvodem oblíbenosti je dostupnost mnoha operátorů nabízejících přístup do veřejné telefonní sítě právě přes SIP z internetu.
Protokol SIP sám o sobě podporuje několik forem autentifikace uživatelů počínaje prostou kombinací jméno : heslo a konče párem veřejného a privátního klíče uloženým na čipové kartě. A právě zde začíná část problémů, se kterými se uživatelé setkávají. Převážná většina operátorů podporuje pouze nejjednodušší autentikaci jménem a heslem v nezašifrované formě.
Někteří operátoři se pokoušejí zabránit vysokým účtům za telefon například omezením hovorů do zahraničí pouze z předdefinovaných IP adres. Málokdo ovšem má odvahu sáhnout k vyšší formě zabezpečení přihlašování právě z důvodu nepodpory na straně koncových zařízení. Další částí komunikace přes VoIP a pomocí protokolu SIP je zabezpečení hovorových dat samotných. SIP je použitý pro sestavení, rozpad a řízení spojení a hovorová data jsou přenášena protokolem RTP.
Protokol RTP Při sestavení spojení je pomocí SIP přenesena informace o jednotlivých účastnících spojení, parametrech přenosu zvuku a případně obrazu a bodech na trase, kterými má spojení procházet. Součástí parametrů je také dohoda na šifrování spojení a zde je opět kámen úrazu. K přenosu hlasu lze použít bezpečnou variantu RTP protokolu jménem SRTP nebo zabezpečení TLS.
Ovšem výrobci koncových zařízení velmi často neimplementují žádnou formu zabezpečení přenášeného hlasu či videa. Hlavně levnější varianty koncových zařízení jsou ochuzeny o zabezpečení jak RTP, tak i SIP. Co z toho všeho plyne?
Jestliže se odhodláváme přejít na VoIP, pak hodně záleží, jak operátor přistupuje k zabezpečení SIP, zda jeho brána do telefonní sítě podporuje TLS nebo SRTP a hlavně jaké koncové zařízení zvolíme. Přecházíme-li s firmou, pak je nutné se na bezpečnost ještě více zaměřit. Od určitého počtu se již vyplatí zakoupení lokální SIP ústředny a její instalace na vnitřní síti. Tím zjednodušíme konfiguraci VoIP zařízení, jelikož ta potřebují být nějakým způsobem dosažitelná z veřejného internetu. Také zabezpečení přístupu ke koncovým zařízením ze sítě bude jednodušší, jelikož přístup bude potřebovat pouze SIP ústředna.
Jak snadno a rychle řešit řízený přístup do sítě – Enterasys Mobile IAM – BYOD
Podpora zařízení vlastněných zaměstnanci může zaměstnavateli přinést značné úspory, ale vyžaduje garanci uživatelské zkušenosti a nutí zaměstnavatele přemýšlet nejen o procesních, ale i bezpečnostních aspektech.
Zabezpečení
V dnešní době jsme svědky velkého rozvoje nejen počtu, ale i různorodosti komunikačních zařízení. Desktopy či notebooky a telefony nahrazují tablety, ultrabooky, chytré telefony, herní konzole a další novinky. Jejich uživateli jsou často zaměstnanci, kteří chtějí využívat vlastní zařízení jak pro soukromé, tak i firemní účely. Uživatelská zkušenost se stává základním parametrem při výběru či rozvoji komunikační strategie.
Podpora zařízení vlastněných zaměstnanci může zaměstnavateli přinést značné úspory (např. náklady na pořízení, provoz a správu těchto zařízení, odpovědnost za SW), ale vyžaduje garanci uživatelské zkušenosti a nutí zaměstnavatele přemýšlet nejen o procesních, ale i bezpečnostních aspektech. Musí tak řešit nejen problematiku MDM (Mobile Device Management), aby zabránil případnému úniku firemních dat z těchto zařízení, ale také ochranu vlastní sítě před možnými hrozbami z těchto zařízení. Je zřejmé, že bezdrátové připojení se stává hlavním a často i převažujícím způsobem připojení. Uživatelé však vyžadují kvalitní a rychlé připojení, aniž by chtěli být obtěžováni instalací nejrůznějších agentů, vyplňováním formulářů či nechat zařízení prověřit na příslušném IT oddělení. Nikdo nechce být obtěžován několika různými přihlášeními podle toho, z jakého zařízení či aplikace se připojuje, či různými SSID podle toho, jaké zařízení a v jakém místě právě používá. Zaměstnanec má své jméno a heslo, host pak přístup po registraci (s možností sponzorské) s odsouhlasením podmínek v rámci přihlašovacího portálu. Je na síťové infrastruktuře, aby přidělila následně práva v síti podle identity zařízení a role uživatele v organizaci.
Základní myšlenkou řešení Enterasys Mobile IAM (Identity and Access Management) je poskytnout komplexní BYOD řešení, které poskytuje kompletní bezpečnost, plnou kontrolu IT a předvídatelné chování sítě a aplikací pro všechny uživatele. Mobilní IAM poskytuje celkovou viditelnost a kontrolu nad jednotlivými zařízeními, uživateli a aplikacemi, a to i ve smíšených infrastrukturách. Řešení poskytuje kompletní software pro správu identit, přístupu do sítě a správu aktiv (inventory management), prosazení síťových profilů na základě kontextu přihlašovacích informací, případně bezpečnostního auditu, end-to-end řízení z jediné, snadno ovladatelné aplikace pro správu, audit a reporting.
Autorizace zařízení do sítě je postavena podle zákazníkem definovaných pravidel. Ta mohou kombinovat atributy (až 50) jako jsou např. místo, operační systém, typ zařízení, čas, členství ve skupinách LDAP, bezpečnostní stav.. V návaznosti na takto definované podmínky je autorizace buď zamítnuta, nebo povolena. V případě povolení je aplikován bezpečnostní profil, který udává například VLAN, prioritu (802.1p i DSCP/ToS), omezení rychlosti, L2-L4 filtrační pravidla, L2-L4 pravidla pro QoS, zrcadlení provozu, topologii atd. Řešení poskytuje příjemné grafické prostředí, podporu pro operátory helpdesku, reporty pro doložení shody s regulativy.
Hlavní výhody
Profilování přístupového zařízení na více úrovních – až 50 atributů včetně např. automatické detekce operačního systému, fyzického typu zařízení, MAC adresy, lokace, čas a historie připojení, důvod, bezpečnostní stav po auditu…
Integrace s MDM (MobileIron, Sybase a další), ale i VoIP (Avaya, Siemens a další), energy efficient systémy, videokonferenčními systémy, správu virtualizace (Vsphere, Microsoft HyperV, Citrix XenServer)
Kontrola zdravotního stavu – bezagentová (síťová) i agentová
Flexibilní nasazování – místo týdnů či měsíců řádově dny
Škálovatelnost řešení od 500 až po 100 000 identit, možnost redundance řešení včetně plně virtualizovaného řešení
Otevřené řešení, kompatibilní se sítěmi jiných výrobců (podpora RFC 3580) - implementováno u několika zákazníků i v ČR
Jednotná databáze – hosté, uživatelé, typ zařízení, operační systém, lokace, stav
Nástroje pro helpdesk
Velké množství reportů, včetně možnosti vytvářet a upravovat je
Přehledný dashboard
Možnost přístupu přes mobilní zařízení včetně integrace se sociálními sítěmi typu Facebook, LinkedIn, Twitter
Bezpečnost komunikačních sítí v praxi: Pevné sítě
Pevné sítě jsou v současné době v mírném útlumu. Ovšem v přístupu k datovým službám hrají s převahou prim. V pevných sítích se nic nepřenáší vzduchem, ovšem v některých případech je snadnost napadení k neuvěření.
Zabezpečení
Pevné sítě v dnešní době užíváme k přenosu jak hlasových služeb, tak dat. Obojí lze přenášet jak v analogové formě, tak i digitálně. V současnosti se v našich končinách již analogový přenos dat vyskytuje velmi sporadicky, ovšem v oblasti hlasových služeb v pevných sítích je analogová forma přenosu stále oblíbená.
Pevnou sítí v kontextu tohoto seriálu jsou myšleny následující čtyři sítě. Analogová telefonní síť, tzv. POTS (Plain Old Telephone System), nyní provozovaná majoritně společností Telefónica O2, jejímž hlavním určením je přenos hlasových služeb. Také je možno na této síti přenášet data za použití tzv. modemu, ovšem pouze ve frekvenčním rozsahu vyhrazeném hlasovým službám, a tedy nepříjemně pomalu. Typickými zástupci přenosu dat v pásmu hlasové komunikace pevné telefonní sítě jsou fax a dříve obvyklý telefonní analogový modem.
Dalším typem sítě je síť ISDN. V tomto případě jde o digitální variantu podporující různé typy služeb a v našich krajích podporuje dvě různé konfigurace. BRI, jenž definuje dva digitální B kanály o rychlosti 64 kb/s a jeden signalizační D kanál 16 kb/s, přičemž frekvenční pásmo vyhrazené pro tento typ komunikace je o málo širší než v případě POTS. Obě pásma se však překrývají, a tudíž na jedné přípojce neboli jednom metalickém vedení lze provozovat standardně pouze jedinou z technologií POTS nebo ISDN-BRI.
Druhý typ konfigurace je ISDN PRI, která podporuje 31 datových kanálů (B kanál) o rychlosti 64 kb/s a jeden signalizační datový kanál (D kanál) o rychlosti také 64 kb/s. Zde je šířka pásma pochopitelně větší. U obou typů ISDN je shodně zásadní rozdíl mezi vlastnostmi datových kanálů a signalizačního kanálu.
Elektronický podpis, tak jak jej dnes známe a používáme, je založen na principech asymetrické kryptografie a na použití certifikátů. Důvěra v tyto certifikáty, a jejich prostřednictvím i důvěra v konkrétní elektronické podpisy, je odvozována od certifikačních autorit, které certifikáty vydávají. Certifikačních autorit je v praxi více a společně vytvářejí celou infrastrukturu veřejného klíče.
Zabezpečení
Připomeňme si z předchozích dílů tohoto seriálu, že dnes používaný elektronický podpis využívá existenci párových dat neboli soukromého a veřejného klíče. Pomocí soukromého se podepisuje, neboli vytváří samotný podpis, zatímco pomocí veřejného klíče se ověřuje platnost již vytvořeného podpisu. Přitom to, že oba klíče jsou vzájemně „do páru“ a fungují právě takto, je dáno samotnou podstatou tzv. asymetrické kryptografie. Ta ručí i za to, že soukromý klíč může zůstat skutečně soukromý a není nutné jej dávat z ruky, zatímco veřejný klíč lze dávat na potkání komukoli, kdo o něj bude mít zájem. Nebo jej dokonce proaktivně rozvěsit na každém rohu v on-line světě. Když už tedy máte v ruce nějaký veřejný klíč, s jehož pomocí si ověříte konkrétní podpis, získáte tím jistotu, že podpis mohl vytvořit jen držitel odpovídajícího soukromého klíče. Jenže pak nastává problém: jak poznáte, o koho jde? Tedy komu veřejný klíč skutečně patří? Nejjednodušší je to v případě, kdy vám veřejný klíč dá z ruky do ruky přímo dotyčný (či dotyčná) a prohlásí jej za svůj. Jenže co v ostatních případech, kdy veřejný klíč získáte nějak zprostředkovaně, a nikoli přímo? A co když má navíc patřit někomu, koho osobně neznáte? No ještě že máme certifikáty. Připomeňme si z minulého dílu, že certifikát je v podstatě jakási obálka, do které je vložen něčí veřejný klíč, dále lísteček s popisem identity držitele tohoto klíče – načež je obálka zalepena a podepsána tím, kdo ji naplnil (kdo certifikát vystavil). Fajn. Ale kdy a jak můžeme tomuto certifikátu věřit? Kdy se můžeme spolehnout na to, že jeho obsah odpovídá skutečnosti? Že veřejný klíč vložený do certifikátu skutečně patří tomu, kdo se vydává za jeho držitele?
Pavučina důvěry Jednou z možností je to, že certifikát si vystaví sám držitel veřejného klíče: vezme svůj veřejný klíč, k němu připíše údaje o své identitě, vše vloží do obálky a podepíše svým soukromým klíčem, který je „do páru“ s právě vloženým veřejným klíčem. Takovýto certifikát je pak označován jako certifikát s vlastním podpisem, anglicky self-signed. Právě proto, že si ho jeho držitel vydal a podepsal sám. Pokud vám takovýto certifikát s vlastním podpisem předá z ruky do ruky někdo, koho osobně znáte, není s tím problém. Víte, že tomuto certifikátu můžete důvěřovat. Jenže co když jej získáte od někoho jiného? Zde se dostáváme znovu ke stejnému problému jako se samotným klíčem. Ale teď už máme k dispozici i určité řešení. Představte si třeba, že se vám za tento nový certifikát zaručí někdo jiný, koho už dobře znáte. Že vám řekne, že tento certifikát skutečně patří tomu, kdo je v něm uveden jako jeho držitel. A na znamení toho dotyčný certifikát sám podepíše, neboli opatří svým vlastním podpisem. Pokud to takto udělá více lidí, kteří dotyčného znají a důvěřují jeho certifikátu, vzniká kolem tohoto certifikátu určitá „pavučina důvěry“. Ta může mít i více úrovní, když původní certifikát podepíšou – na znamení důvěry – i další lidé, kteří držitele certifikátu sice neznají, ale znají a důvěřují někomu, kdo ho zná a kdo certifikát již podepsal. Pavučina důvěry budovaná kolem původního certifikátu tak postupně houstne a bobtná. Výsledek lze připodobnit k jakési soustavě reputací. Čím více lidí svým podpisem vyjádří certifikátu důvěru, tím lépe. Důvěra v konkrétní certifikát je pak odvozována od míry a kvality jeho reputace neboli od hodnocení ostatními uživateli. Takto to funguje například u podpisů na bázi PGP (Pretty Good Privacy).
Kerio Control nabízí automatickou zálohu konfigurace
Novou verzi svého bezpečnostního UTM řešení Control představilo Kerio. Varianta 8.1 správcům poskytuje mj. snadný způsob zálohy konfigurace.
Zabezpečení
Nyní je nastavení serveru automaticky zálohováno na Samepage.io, platformu pro sociální spolupráci od Keria. Správci sítě se mohou zaregistrovat a získat uživatelský účet Samepage zdarma nebo použít svůj stávající účet a ukládat své nastavení každý den.
Kerio Control 8.1 je nástroj vhodný zejména pro organizace, které vyžadují rozsáhlou a stabilní ochranu sítě, analýzu síťové komunikace a informace a statistiky tříděné podle uživatele.
„Někteří dlouhodobí uživatelé zdokonalují nastavení svého produktu i několik let, aby vyhovoval jejich specifickým požadavkům. Nyní mohou být bez obav, protože veškerá nastavení jsou bezpečně ukládána na Samepage,” říká Chris Peluso, vice president of platform and business development ve společnosti Kerio Technologies.
Další funkce nové verze podle výrobce:
Řešení pro zachování připojení přes VPN tunel v případě výpadku spojení - VPN tunely zpravidla využívají jedno internetové připojení, a proto může snadno docházet k výpadku spojení. Díky této nové funkcionalitě lze k dosažení spolehlivějšího připojení zadat i více jmen nebo IP adres hostitele.
Podpora protokolu Simple Network Management Protocol (SNMP) – umožňuje získat přístup k důležitým informacím o stavu firewallu přes standardizované rozhraní protokolu SNMP. Na trhu existuje celá řada bezplatných nebo komerčních SNMP monitorovacích nástrojů jako je ConnectWise, Labtech, Kaseya či Zabbix.
Ochrana před hádáním hesel – vlastnost, která chrání proti hackerům tím, že při častých neúspěšných pokusech o přihlášení z jedné IP adresy dočasně znemožní přístup.
Cena serverové licence Control začíná na 5 300 Kč za 5 uživatelů. Za 520 Kč na uživatele lze v balíčcích po pěti dokoupit další licence. Ceny hardwarového zařízení včetně antiviru Sophos a doplňku Control Web Filter se pohybují od 19 700 Kč za Control Box 1110 pro 5 uživatelů.
Eset vylepšuje NOD32 i Smart Security
Beta verze svých klíčových bezpečnostních řešení pro domácnosti představil Eset – jde o varianty Smart Security 7 a NOD32 Antivirus 7.
Zabezpečení
Nové produkty se podle výrobce vylepšenou ochranou před novým a dosud neznámým malwarem. Technologie Advanced Memory Scanner dokáže zastavit složitě šifrované hrozby, které byly vytvořeny tak, aby se vyhnuly detekci.
Vylepšené čištění pomáhá uživatelům odstranit komplexní rootkity, které bylo možné dosud odstranit pouze pomocí speciálních nástrojů.
„Počítačoví zločinci používají při tvorbě malwaru pokročilé techniky, s jejichž pomocí se snaží vyhnout detekci antivirových programů. Díky nové technologii, s níž přicházíme v betaverzi našich vlajkových produktů NOD32 Antivirus a Smart Security, to budou mít mnohem těžší," říká Palo Luka, technologický ředitel společnosti Eset.
Vlastnosti novinek podle výrobce:
Advanced Memory Scanner (Pokročilý skener paměti) zastavuje složitě šifrované hrozby, které byly vytvořeny tak, aby se vyhnuly detekci. Díky vylepšené schopnosti analyzovat rozšifrované soubory přímo v paměti se dokáže software účinně bránit novým a neznámým útokům škodlivého softwaru.
Vulnerability Shield (Štít zranitelností) - dostupný jen v Smart Security nabízí robustní ochranu při pokusech o zneužití zranitelnosti sítě.
Avast Secure Line zabezpečuje Wi-Fi sítě
Avast Software oznámil, že uvedl na trh SecureLine, virtuální privátní síť (VPN), službu, která umožňuje zákazníkům šifrovat jejich komunikaci zatímco jsou připojeni do nezabezpečených WiFi sítí.
Zabezpečení
V celosvětovém průzkumu více jak 340 000 respondentů AVAST zjistil, že používání nezabezpečených WiFi sítí je obvyklý problém na celém světě.
“Vyvinuli jsme SecureLine vzhledem k rostoucí poptávce našich zákazníků,” řekl Vincent Steckler, generální ředitel Avast. “Polovina uživatelů PC v USA přistupuje k nezabezpečeným WiFi sítím a asi jedna třetina z nich provádí bezpečnostně citlivé operace – online nákupy, bankovní transakce, nebo cokoliv, co vyžaduje heslo – navzdory riziku, že hackeři mohou zachytit jejich důvěrné informace.”
Avast SecureLine používá zabezpečený protokol (SSL), šifrování a bezpečnostní klíče/ certifikáty k zabezpečení internetové komunikace v jinak nezabezpečených WiFi sítích. Když se uživatel připojí k nezabezpečené WiFi síti, obdrží zprávu, která ho upozorní na nebezpečí použití veřejných a nezabezpečených WiFi připojení, a zároveň jim nabídne volbu bezpečného připojení prostřednictvím VPN připojení s avast! SecureLine. Zákazníci jsou poté směřováni do uživatelského rozhraní, kde VPN může být kdykoliv proaktivně aktivována uživatelem.
“Integrovali jsme SecureLine do antiviru avast!, jak do verze zdarma, tak i do placcených verzí, takže stačí pouze jedno kliknutí a je možno ji začít používat,” řekl Ondřej Vlček, technický ředitel AVAST.
Rostoucí používání SSL snižuje výkon firewallů
Pokles výkon je způsoben navýšenou zátěží vinou operací nezbytných pro dešifrování datových paketů a jejich opětovné šifrování.
Zabezpečení
Díky neustálým skandálům ohledně odposlechů dat narůstá zájem a používání kryptografického protokolu SSL (Secure Sockets Layer). Ovšem jeden z primárních důvodů, proč na straně poskytovatelů jakéhokoli obsahu (jako je Google či Facebook) docházelo k váhání s jeho nasazováním, byly výrazně zvýšená zátěž na servery. Zatímco ovšem velké firmy mohou jít cestou různých akcelerátorů SSL, pro jejich klienty to z důvodů současných vysokých cen podobných zařízení není možné.
V současnosti SSL podle zprávy NSS Labs představuje asi 25 až 35 procent typické komunikace klientů v korporacích (u komunikace mezi servery či od serverů směrem ke klientům je tento podíl pochopitelně – či doufejme – výrazně vyšší). Očekává se, že zabezpečená komunikace by měla výrazně narůstat, nejméně o 20 % ročně po několik následujících let.
Společnost NSS Labs ovšem vypracovala analýzu, podle které se výrazně zhoršuje výkon současných moderních firewallů, jakmile se zašifrovaná komunikace vyšplhá k 50 %. Během testování sedmi špičkových produktů, které jsou dnes v prodeji, se ukázalo, že chování zařízení jednoznačně odpovídá kvalitě šifrování. V případě provozu využívajícího 512- nebo 1024bitové šifrování schopnost firewall zpracovávat příchozí pakety klesla o 74 %, v případě 2048 bitů dokonce o 81 %. Současný průmyslový standard je sice 1024 bitů, ale ke konci roku se zdvojnásobí na 2048.
Podle Johna Pirce, viceprezidenta výzkumu v NSS Labs, je zvýšená zátěž způsobená požadavky na kontrolu paketů, každý paket je třeba před bezpečnostní analýzou dešifrovat a potom znovu zašifrovat. Testy sice probíhaly pouze na různých modelech firewallů, ale stejné chování lze očekávat i u systémů na detekci průniků.
Firewally použité ve studii nepatřily do nejlevnější kategorie, pocházely od výrobců jako je Juniper Networks, Stonesoft, Palo Alto Networks, Sourcefire, Check Point, Dell SonicWall a Fortinet. Pokud se bezpečnostní zařízení nemají stát nejslabším článkem komunikačního řetězu, budou muset větší společnosti nasazovat jejich clustery nebo investovat do výrazně výkonnějších (a samozřejmě dražších) systémů.
Podobné chování ovšem vychází z inspekce paketů uvnitř šifrované komunikace SSL. Pokud se ovšem zabezpečená komunikace pouze posílá dál, k výrazné degradaci výkonu nedochází. Takové chování je typické pro domácí zařízení, i když to se samozřejmě může postupně změnit.
Eset ochrání SharePoint v reálném čase
Bezpečnostní řešení pro ochranu SharePoint Serveru začal prodávat Eset. Dostupné je i v češtině.
Zabezpečení
Produkt Eset Security pro Microsoft SharePoint Server nabízí antivirovou a antispywarovou ochranu, filtrování založené na pravidlech, plynulou identifikaci operací a funkcionality jako SysInspector nebo SysRescue. Řešení lze vzdáleně spravovat prostřednictvím nástroje Remote Administrator.
Novinka umožňuje administrátorům aplikovat komplexní bezpečnostní politiku, dělat v reálném čase nepřetržité hloubkové skenování celého datového úložiště SharePoint v rámci databáze, a to podle plánu nebo na vyžádání.
„Bez dodatečné vrstvy zabezpečení mohou uživatelé nedopatřením uložit na SharePoint Server infikovaný soubor, a ohrozit tak celou databázi. Nová verze tohoto produktu je postavena na stejném základu jako File Security pro Microsoft Windows Server, disponuje však speciálním ochranným doplňkem služby SharePoint,“ vysvětluje Ignacio Sbampato, obchodní a marketingový ředitel společnosti Eset.
Vlastnosti novinky podle výrobce:
Antivirus a antispyware – Eliminuje různé typy hrozeb včetně virů, rootkitů, červů a spyware. Nabízí skenování dat uložených na serveru v reálném čase, včetně všech nástrojů pro ochranu serverů, rezidentního štítu a skenování na vyžádání. Řešení provádí manuální i plánované skenování jednotlivých částí obsahu uloženého ve struktuře databáze SharePoint. Self-defense zabraňuje malwaru a neoprávněným uživatelům ohrozit bezpečnost systému.
Filtrování na bázi pravidel – Umožňuje administrátorům uplatnit a vyladit ochranu nastavením pravidel na základě názvu souboru, jeho velikosti nebo skutečného formátu. Umožňuje monitorovat a modifikovat uživatelská práva při nahrávání specifických souborů do databáze Sharepoint.
Nízké nároky na systém – Ověřená ochrana ponechává více systémových prostředků pro důležité úlohy serveru.
Plynulý provoz a identifikace uživatelských účtů spuštěných při infiltračních pokusech – přináší také heslem chráněné odinstalování, které automaticky chrání kritické soubory serveru, rozeznává serverový software jako SQL Server a IIS, a detekuje role serveru. Výsledkem je nižší zátěž při vyloučení kritických serverových souborů, jako jsou datové sklady a stránkovací soubory z on-access skenování.
SysInspector - vykonává hloubkovou analýzu systému a pomáhá identifikovat potenciální bezpečnostní rizika.
SysRescue - Umožňuje vytvořit automaticky bootovatelný obraz operačního systému s instalovanou ochranou pro čištění hluboce zakořeněného malwaru a obnovení provozu systému.
Změny normy pro bezpečnost PIN Transaction
07. června 2013. Zabezpečení
Dnes PCI Security Standards Council (PCI SSC) publikoval verzi 4.0 PIN Transaction Security (PTS) Point of Interaction (BZ) požadavky. Tyto požadavky, spolu s Hardware Security Module (HSM) požadavky poskytují standardy pro výrobce zařízení, aby obchodníci a jiní mají bezpečné zařízení pro příjem a zpracování platebních karet. okamžiku interakce (POI) zařízení, jako je zařízení, zadání čísla PIN, i nadále Primární metoda pro přijímání a zpracování kreditních karet a platebních terčem kriminálního útoku. Jako součást probíhajícího procesu tvorby norem, PCI Rada zveřejňuje aktualizace na základě potřeb odvětví a měnící se hrozby, s cílem zajistit nejsilnější technické normy pro platby:. Změny zavedené ve verzi 4.0 na PTS POI požadavky zaměřením na zvýšení odolnosti zařízení prostřednictvím lepších zkušebních postupů a zefektivnění procesů hodnocení a podávání zpráv pro obě zařízení prodejců a testovacích laboratoří. PTS POI požadavky jsou aktualizovány na tříletém cyklu, na základě zpětné vazby od komunity PCI. Vývojový proces také umožňuje menší aktualizace uvolňuje podle potřeby - v říjnu 2011, např. Rada vydala verzi 3.1 podporovat zavádění point-to-Point Encryption (P2PE) a mobilních technologií. Nová verze staví na těchto změnách zdůraznit použitelnost požadavků "k tradičním POI nasazení - včetně Point-of-Sale bezobslužné zařízení, stánky, mobilní dongles - a mnoho dalších druhů zařízení. Mezi hlavní změny patří: restrukturalizovaných otevřených protokolů modul - pomáhá zajistit POI zařízení nemají komunikační chyby, které lze vzdáleně zneužít k získání přístupu k citlivým údajům, nebo zdrojů v rámci zařízení. dokonalejší testování a logické bezpečnostní požadavky - požadavkem na přísnější dokumentace a posouzení všech rozhraních zařízení, pomůže zajistit, že žádné rozhraní může být zneužita nebo použita jako útoku. přidání recenze zdrojového kódu - další povinné hodnocení zdrojového kódu zvýšení robustnosti procesu testování. Zavedení dodavatele poskytované bezpečnostní politiku - poskytuje návod, který umožní realizaci schváleného POI zařízení v způsobem, který je v souladu s požadavky na POI, včetně informací o klíčových odpovědnost za řízení, správní odpovědnosti, funkce zařízení, identifikace a ekologických požadavků. Prodejci mají nyní možnost testování před verze 3.1 nebo verze 4.0. Od května 2014 verze 3.0 již nebude k dispozici pro nové hodnocení, může však být použit pro delta hodnocení.
Softwarové firewally Stonesoftu nabízí v Česku Comguard
Comguard začne v Česku distribuovat firewally, které získal McAfee akvizicí společnosti Stonesoft. Na rozdíl od dosavadních systémů od McAfee, které využívají aplikační proxy brany, je novinka koncipovaná jako software.
Zabezpečení
Řešení Stonesoftu zahrnuje firewall a VPN s podporou funkcí IPS (intrusion prevention systém), dále nabízí inspekci šifrovaného provozu pro SSL a TLS, a to jak pro klienta, tak i pro server, zabezpečení pomocí antiviru, antispamu a webového filtru.
Součástí produktu je i pokročilá správa provozu přes firewall a Quality of Service, přehled nad využívanými aplikacemi, nastavení bezpečnostních pravidel na základě uživatelů, skupin, typu provozu, zdrojové nebo cílové IP adresy, podpora IPv6 a 3G a integrovaná VPN.
Firewall Stonesoftu stojí na bázi Security Engine, součástí řešení je i bezpečnostní konzola Management Center.
Firewall /VPN má také mimo jiné certifikaci Common Criteria level EAL 4+.
Evernote a LinkedIn zvýšení zabezpečení s dvoufaktorovou autentizaci 31 květen 2013 03:55 PDT Zabezpečení Evernote a LinkedIn oba přidána možnost pro dvoufaktorové autentizace v několika posledních dní - dní po Twitter oznámil svůj volitelný dvoufaktorové bezpečnostní systém. Oba Evernote a Twitter se stal obětí high-profil narušení dat v minulém roce, se LinkedIn utrpení porušení v létě 2012. Evernote nutné se svými 50 milionů uživatelů resetovat jejich hesla na začátku tohoto roku poté, co hackeři získali přístup k detailům, včetně uživatelských jmen, e-mailových adres a zašifrovaná hesla. "" Většina internetových účtů, které stanou ohroženy jsou neoprávněně přistupovat z nového nebo neznámého počítače (nebo zařízení), "řekl LinkedIn v blogu. "Ověření ve dvou krocích pomáhá tento problém řešit tím, že vyžaduje, abyste zadejte číselný kód při přihlašování z neznámého zařízení poprvé. Tento kód bude zaslán na váš telefon prostřednictvím SMS. Pokud je povoleno, ověření ve dvou krocích ztěžuje neoprávněným uživatelům přístup k vašemu účtu, který vyžaduje, aby měli oba své heslo a přístup do vašeho mobilního telefonu. " Nové Evernote funkce byly vyhlášeny v blogu. Stejně jako dvoufaktorová autentizace (buď pomocí SMS zpráv nebo vyhrazený APP), stránky také nabízí přístup k historii a nové povoleném typu použití ovládací panel, který umožňuje uživatelům spravovat, které aplikace mají přístup k účtu Evernote. "Ověření ve dvou krocích, také známý jako dvoufaktorové autentizace, je navržen tak, aby váš účet zabezpečit i když někdo učí své heslo," řekl místo ve svém příspěvku. "To se obvykle stane, když se přihlásíte do Evernote webu nebo nainstalovat na nové zařízení. Co dělá ověření ve dvou krocích silný je šestimístný ověřovací kód. Tento kód je dodán svého mobilního telefonu prostřednictvím textové zprávy, nebo chcete-li, generované aplikace, která běží na vašem mobilním telefonu, jako je například Google Authenticator. Budeme také vám sadu jednorázových záložních kódů, když jste na cestách. " "Zplnomocněným Aplikace" panel umožňuje uživatelům zrušit app přístupu k účtu Evernote - bezpečnostní funkce navržena, stránky říká, pro chvíle, kdy uživatelé "ztratí telefon nebo počítač." "Chceme, abyste otevřít aplikaci Evernote a pak rychle dosáhnout svého úkolu," řekl místo ve svém příspěvku. "Aby to bylo možné, jsme málokdy vás požádat, abyste se přihlásit Nyní můžete zrušit jakoukoli verzi Evernote z vašich webových Nastavení účet Evernote. Po zrušeno, bude aplikace požadovat heslo při příštím ITS zahájena. "
Microsoft nabízí bezpečnostní systém v cloudu
Microsoft se aktivně zapojuje do boje proti sítím botnetů. Dalším krokem má být systém časného varování. Nabízí spojení s Azure, které zlepšuje schopnost šířit informace o hrozbách prakticky v reálném čase. Nepochybně skvělé, ale trochu samozřejmé...
Zabezpečení
Společnost Microsoft v úterý spustila program, který propojuje jejich informační systémy monitorující bezpečnost s cloudem Azure. Nová služba, nesoucí označení C-TIP (Cyber Threat Intelligence Program), nabídne podle Microsoftu provozovatelům internetových služeb (ISP) nebo oddělením reagujícím na počítačové hrozby (CERT – computer emergency response team) přístup k bezpečnostním informacím téměř v reálném čase. Podle blogu Microsoftu se uživatelé počítačů, zejména ti, kteří nepoužívají aktualizovaný a legitimní software a chybí jim adekvátní ochrana proti malwaru, stávají stále častěji obětí kriminálních gangů, které se snaží jejich počítače infikovat a proměnit v poslušnou součást obrovských armád známých jako botnety. Ty jsou po vybudování zneužívány k různým útokům online. Microsoft se v minulosti aktivně podílel na likvidaci mnoha botnetů vybudovaných pomocí malware Conficker, Waledec, Rustock, Kelihos, Zeus, Nitol a Bamital. Ale i po zrušení botnetů po nich na internetu zůstávají infikované počítače, které je třeba očistit. To už je ale na týmech, které mají nad jednotlivými počítači nějakou moc, ať už je to příslušný ISP, který má pod kontrolou jejich připojení k Internetu, nebo pracovníci IT nesoucí za příslušné počítače zodpovědnost. Podle Jeffa Williamse, vedoucího bezpečnostních strategií divize Dell Secureworks, je sice zrušením řídícího centra botnetu z internetu odstraněna naprosto klíčová část fungování botnetu, ale je to jen první krok. „Pokud systémy zůstanou infikovány, umožní to zločineckým gangům vytvořit nový botnet. Je skutečně nezbytné, aby byla každá část botnetu odstraněna.“ K tomu dodává T. J. Campana, ředitel Centra pro kybernetickou kriminalitu společnosti Microsoft: „V současnosti Microsoft zpracovává stovky milionů bezpečnostních události na den. Očekáváme, že v dohledné době toto množství přesáhne desítky a možná stovky miliard.“ Cloud Azure, kde Project MARS (Microsoft Active Response for Security) zpracovávající tyto informace nyní běží, se díky možnosti elasticky alokovat potřebnou kapacitu s podobným zatížením dokáže bez problémů vyrovnat. A stejně tak bude schopen o existenci problémů a nezbytnosti akce informovat všechny příslušné organizace. Bezpečnostní analytici tyto kroky Microsoftu vítají. „Microsoft získává informace z milionů koncových zařízení. Bylo na čase, aby byl aktivnější. Ve skutečnosti něco podobného měl nabídnout už před lety,“ myslí si Avivah Litanová z Gartneru.
LinkedIn nasadil lepší zabezpečení uživatelů
LinkedIn se připojil k dalším velkým internetovým společnostem a zprovoznil dvoufázovou autorizaci, díky níž by uživatelé měli být lépe chráněni proti kybernetickým útokům.
30.5.2013 Zabezpečení
Uživatelé sociální sítě LinkedIn nyní mají možnost ke svým účtům přidat dvoufázový autorizační proces, díky kterému budou při přihlašování z nového nebo neznámého zařízení chráněni ještě jednou bezpečnostní vrstvou. Se zapnutou dvoufázovou autorizací budou uživatelé muset při přihlašování zadat speciální kód, který jim přijde textovou zprávou na telefon. Tato zpráva přijde pouze poprvé, když se člověk přihlásí z neautorizovaného počítače nebo zařízení. LinkedIn v pátek na svém oficiálním blogu uvedl, že většina účtů byla v minulosti napadena z nových počítačů nebo jiných zařízení. Počet případů, kdy se někdo neoprávněný s nekalým úmyslem přihlásil k účtu uživatele z jeho počítače, je údajně zanedbatelný. Dvoufázová autorizace může být zapnuta v nastavení účtu uživatele v kolonce Bezpečnost. Po jejím zapnutí LinkedIn odešle speciální kód na telefon pro každé zařízení, z něhož se uživatel bude chtít přihlásit. Změny v LinkedIn přicházejí jen týden poté, co dvoufázovou autorizaci představil Twitter v návaznosti na sérii hackerských útoků na účty známých firem. Bezpečnostní experti již dlouho poukazují na to, že zavedení lepší ochrany účtů je nutností. V minulém roce LinkedIn vyzval své uživatele, aby si změnili hesla poté, co se objevily na ruské hackerské stránce. Mezi další společnosti, které již lepší zabezpečení nasadily, patří mimo jiné Apple, Google nebo Facebook. Jak však upozorňují bezpečnostní experti, i když dvoufázová autentifikace přidá speciální vrstvu zabezpečení, nezaručuje 100% bezpečnost uživatelských účtů. Útočníci mohou například provést emailový phishingový útok, v rámci kterého zfalšují přihlašovací stránku služby tak, že uživatel do formuláře zadá kód, jenž mu přišel zprávou SMS. Google tento týden shodou okolností zveřejnil tipy na bezpečná hesla, jimiž by se uživatelé měli řídit. Společnost například doporučuje, aby uživatelé používali pro každou službu jiné heslo a kombinovali malá i velká písmena a číslice.
