Hlavní navigace

Bezpečnostní střípky: IE8 do vašich počítačů

Jaroslav Pinkava 4. 5. 2009

Pravidelný pondělní přehled informací vztahujících se k problematice bezpečnosti IT. Z novinek tohoto týdne lze upozornit třeba na článek k bezpečným aktualizacím, článek k hackování chytrých mobilů a také na informace o dalších přípravách americké legislativy v oblasti bezpečnosti IT.

Přehledy a konference

Užitečný přehled – 10 hlavních témat konference RSA připravili SHAUN NICHOLS a IAIN THOMSON – Top 10 themes from RSA Security Conference. V přehledu se objevují taková témata jako např. Conficker, sociální inženýrství, bezpečnost end-to-end, bezpečnost aplikací, cloud computing a ekonomika.

V úterý 28. dubna proběhlo zahájení Infosecu, největší evropské obchodní akce zaměřené na bezpečnost IT – Infosec opens in new venue. Některé odkazy:

A také na Infosecu: provokativní označení stánku Elcomsoftu vzbudilo nevoli PGP – ElcomSoft poster provokes PGP apoplexy. Na stánku byl text „The only way to break into PGP“ (foto).

Obecná a firemní bezpečnost IT

Seven burning security questions, sedm žhavých bezpečnostních otázek, to je název článku, ve kterém známá komentátorka pro IT bezpečnost ELLEN MESSMER shrnuje výsledky odpovědí na otázky, které byly nedávno zaslány řadě odborníků.

Jak připravit efektivní bezpečnostní program pro koncové uživatele – Security training 101. LYNN HABER říká, bezpečnostní povědomí uživatelů nelze dále podceňovat. Připravila proto několik témat, podle jejího názoru klíčových. Za zmínku stojí přiložený seznam  – Ten Steps to Security Safety – např.:

  • Provádějte celková vyhodnocení existujících zranitelností
  • Zpracujte politiku pro používání internetu a pro akceptovatelné chování uživatelů
  • Vychovávejte a informujte všechny, kteří mají něco společného s informačními aktivy či jsou zapojeni do infrastruktury
  • Uvědomte si, jak rozpoznat, že existuje problém a jak s ním zacházet
  • Bezpečnostní povědomí uplatňujte v každém dni

Stalo se: Pražská deklarace za bezpečnější Internet, to je článek Jiřího Peterky na Lupě: Pražská deklarace, přijatá u příležitosti ministerské konference k bezpečnějšímu Internetu pro děti, narýsovala nový přístup EU k zajištění bezpečného online prostředí. Chystá se ale už i směrnice, která by měla „nový přístup“ učinit závazným. A to včetně povinného blokování konkrétního obsahu na Internetu. V Německu obdobný zákon připravili již v předstihu.

Současné americké kroky k aktivní digitální obraně, jsou obsaženy v rozsáhlejším popisu problematiky, autory tohoto popisu jsou DAVID E. SANGER, JOHN MARKOFF a THOM SHANKER – U.S. Steps Up Effort on Digital Defenses.

Šedesát dva procent organizací bylo obětí bezpečnostního průniku v posledních 12 měsících. Vyplývá to z výsledků průzkumu společnosti Forrester Consulting. Příčinou je využívání (zneužívání) zranitelností SW. Přehled byl zpracován na základě odpovědí 200 respondentů (USA a UK) – 62% of companies experienced security breaches in critical applications. Jiné zajímavé poznatky:

  • Bezpečnost jako součást vývojové ho procesu není široce praktikována. Pouze 34 procent firem má v rámci vývojového procesu (SDLC – software development life cycle) integrovánu problematiku bezpečnosti aplikace.
  • Více než polovina firem používá outsourcing, ale jen třetina firem přitom požaduje rigorózní bezpečnostní testy.
  • Pouze 13 procent firem zná bezpečnostní kvality aplikací kritických pro jejich podnikání.

Online středisko bude pomáhat obětem kybernetické kriminality – First online center to assist victims of cybercrime. Cybercrime Response Unit – toto středisko vzniklo díky společnosti McAfee. Má napomoci uživatelům zjistit, zda se stali obětí kybernetické kriminality a poradit jim, jaké mají učinit další kroky.

Americká akademie věd se také vyjádřila ke stavu kybernetické bezpečnosti v USA – US military's cyberwar rules ‚ill-formed,‘ says panel. And ‚undeveloped.‘ And ‚highly uncertain‘. Článek je komentář k rozsáhlé zprávě, jejíž shrnutí si lze přečíst na tomto odkazu.

Working with INTERPOL to fight cybercrime – tématem článku je boj proti počítačové kriminalitě a spolupráce s Interpolem. ALLAN TAN v něm popisuje rozhovor s Kathy Bostick (Senior Director, Legal and Corporate Affairs, Microsoft Asia Pacific), který se týkal spolupráce Microsoftu s Interpolem.

Software

Jak bezpečně aktualizovat svůj software – Master the Software Updating Process to Keep Your PC Safe and Stable. ROBERT VAMOSI zde radí, jak postupovat u nejdůležitějších aplikací (včetně Windows).

RSA (nyní bezpečnostní divize EMC) nabízí bezplatně toolkit pro šifrování – RSA Offers Encryption Toolkit Free To Developers. Je to nesporně užitečný krok, který může napomoci řadě vývojářů.

Byly nalezeny další dvě zranitelnosti pro Adobe Acrobat Reader – Two New Vulnerabilities in Adobe Acrobat Reader. F-Secure i proto nadále doporučuje používat některou z alternativ k Acrobat Readeru. Viz také:

Také MICHAEL KASSNER se rozebírá v aktuálním problému okolo oznámené zranitelnosti – Adobe Alert: Sure enough, another vulnerability.

Microsoft upouští od funkce Autorun  – Microsoft retires AutoRun (kinda, sorta). Windows 7 již nebudou Autorun zobrazovat při připojení přenositelných médií. Důvodem jsou častá zneužití, tedy bezpečnost. Viz také – Microsoft doctors AutoRun in Windows 7 to stymie Conficker.

Byl vydán Microsoft Office 2007 SP – Microsoft Office 2007 SP2 released. Mimo jiné Office nyní podporuje i takové formáty jako PDF a ODF.

IE8 je šířen pomoci Windows Auto Update – Microsoft Pushing Out IE8 Through Auto Update. Všimněme si zejména funkce SmartScreen Filter. Pokud se týká blokace stránek, uživatelé se nyní budou setkávat s tím, že na některé stránky bude přístup ztížený (podle nastavení IE8, např. musel jsem změnit prvotní nastavení tak, abych se vůbec dostal na svoji e-mailovou schránku na Atlasu).

Malware

Swine Flu Spam and Phishing Attacks aneb prasečí chřipka a aktivity typu phishing, malware a spam, TONY BRADLEY zde uděluje několik jednoduchých rad a uvádí pak v této souvislosti pár užitečných odkazů.

Facebook a iPhone, to jsou nové cesty pro malware, říká JOHN EDWARDS, když komentuje současný vývoj – Malware's New Frontier.

Viry

Virus Conficker.E má údajně autodestruktivní podobu, článek MARTINA NOSKY na Computerworldu: Počítačový virus Conficker již řadu měsíců sužuje internet a neustále přichází s novými podobami. Poslední verze, označovaná písmenem E, má v sobě mít podle řady výzkumných pracovníků sebedestruktivní kód, který se zaktivuje v úterý, 5. května.

IAIN THOMSON a SHAUN NICHOLS připravili široce okomentovaný přehled virů, které se vryly do paměti počítačových odborníků a uživatelů – Top ten worst viruses (desítka nejhorších počítačových virů).

Hackeři

Jak je možné ukrást mobilní připojení? Hijacking Mobile Data Connections – tento útok bude prezentován na konferenci Black Hat Europe 2009:

Francouzský hacker získal přístup k administrátor­skému panelu pro Twitter – French hacker gains access to Twitter's admin panel. Twitter tento neautorizovaný přístup potvrdil (podstatou úspěchu hackera bylo úspěšné sociální inženýrství ve vztahu k jednomu ze zaměstnanců Twitteru).

Hackeři stále častěji využívají vyhledávačů (e). DAVID SILLMEN: Internetová kriminalita je na postupu a dostává nové formy. Hackeři si v poslední době oblíbili zejména zmanipulované a škodlivé stránky, které uživatelům vyjedou klasicky ve vyhledávačích.

Americký kongres chce ustavit tým hackerů, jehož úkolem by byla aktivní penetrace vládních sítí – US Congress wants hack teams for self-penetration. While girding power grid. Hovoří o tom připravovaná legislativa. Viz také komentář:

Hardware

Obamovo BlackBerry je bezpečnější, pomohlo NSA  – Obama to Get Back BlackBerry at Last, Toughened by NSA.

Britové chtějí kontrolovat dodávky IT z Číny pro British Telecom – Blunkett to press for cyberwar probe of BT's Chinese kit. Kill button fear. Důvodem návrhovaného programu testů je pochopitelně kybernetická bezpečnost. Britové také chtějí zabezpečit průběh olympiády v roce 2012.

Mobilní telefony

Tři jednoduché kroky stačí k hacknutí chytrého mobilu – 3 Simple Steps to Hack a Smartphone (Includes Video). JOAN GOODCHILD popisuje obsah svého setkání s firmou Trust Digital, Která se specializuje na mobilní bezpečnost. Je zde přiloženo také video, kde Meir Machlin (Trust Digital) demonstruje, jak pomocí SMS lze chytrý mobil hacknout. Meir Machlin říká, stačí mi jenom vizitka s číslem mobilu. Z napadeného mobilu lze získat v něm uložené informace či měnit jeho nastavení.

Spam

Z ukradených účtů Webmailu je rozesílán spam – Spam From Hijacked Webmail Accounts. Jeho obsahem je inzerce stránek čínských obchodníků s elektronikou.

Elektronické bankovnictví

Je chystána nová norma pro šifrování dat přenášených z platebních karet – New standard for encrypting card data in the works; backers include Heartland. Normu chystá organizace Accredited Standards Committee X9. Nesporně k tomu přispěly i některé nedávné problémy (obchodních řetězců jako Heartland).

Autentizace, hesla

CAPTCHA – jaká je její budoucnost? Článek přináší zamyšlení CHRISE WILSONA – I'm Human, Computer, I Swear!.

Komentář k nedávno vydané příručce NISTu pro správu hesel v organizacích je obsahem článku Guide to enterprise password management drafted . MICH KABAY v něm upozorňuje na tuto příručku (je zatím v podobě draftu).

Phishing

Co se týká phishingu, jak poznám, zda nejsem na podvržené stránce? MICHAEL KASSNER zde vysvětluje, čeho je třeba si všímat – Phishing: Is that Web site real or not?.

Kryptografie

Computer hackers R.I.P. – making quantum cryptography practical aneb je zde rychlejší kvantová kryptografie. Článek se věnuje výsledku, který publikovali vědci z Toshiby a z Cambridgské university (Cavendish Laboratory) v New Journal of Physics (Practical gigahertz quantum key distribution based on avalanche photodiodes).

Na kvantové počítače je třeba se připravit s předstihem, PAVEL HOUSER k článku ze ScienceDaily – Fighting Tomorrow's Hackers: Keeping Encryption Safe From Future Quantum Computers. S poslední jeho poznámkou „Nakonec, i kdyby ale u kvantových počítačů opravdu došlo v příštím desetiletí k podstatnějšímu pokroku, skutečně je polynomiální výpočetní složitost faktorizace sama o sobě zárukou prolomení šifry RSA? (Pokud například stupeň polynomu bude vysoký…)“ ovšem nelze souhlasit. Shorův algoritmus je přeci jen o něčem jiném, viz třeba v článku citovaný odkaz na úryvky z knihy George Johnsona.

Různé

Přehled vychází z průběžně publikovaných novinek na Crypto – News.

Našli jste v článku chybu?

5. 5. 2009 7:38

Kaacz (neregistrovaný)
Klid, však v mém příspěvku nebyla výzva "pojďme je hacknout". Takové věci nemám rád.
Těžiště věty bylo v tom, že by ten smartphone měli mít - párkrát se bili v prsa za WinCE :-)

4. 5. 2009 18:45

Hackeři stále častěji využívají vyhledávačů - tak ta diskuze pod tím článkem mi hnula žlučí. Samí e-puberťáci. Zlatý root.
Vitalia.cz: Jak koupit Mikuláše a nenaletět

Jak koupit Mikuláše a nenaletět

Podnikatel.cz: Přivýdělek u Airbnb nebo Uberu? Čekejte kontrolu

Přivýdělek u Airbnb nebo Uberu? Čekejte kontrolu

Vitalia.cz: I církev dnes vyrábí potraviny

I církev dnes vyrábí potraviny

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Vitalia.cz: Žloutenka v Brně: Nakaženo bylo 400 lidí

Žloutenka v Brně: Nakaženo bylo 400 lidí

Měšec.cz: Kdy vám stát dá na stěhování 50 000 Kč?

Kdy vám stát dá na stěhování 50 000 Kč?

DigiZone.cz: Flix TV má set-top box s HEVC

Flix TV má set-top box s HEVC

Měšec.cz: U levneELEKTRO.cz už reklamaci nevyřídíte

U levneELEKTRO.cz už reklamaci nevyřídíte

Měšec.cz: Zdravotní a sociální pojištění 2017: Připlatíte

Zdravotní a sociální pojištění 2017: Připlatíte

Vitalia.cz: Baletky propagují zdravotní superpostel

Baletky propagují zdravotní superpostel

Vitalia.cz: 9 největších mýtů o mase

9 největších mýtů o mase

Měšec.cz: Finančním poradcům hrozí vracení provizí

Finančním poradcům hrozí vracení provizí

Root.cz: Vypadl Google a rozbilo se toho hodně

Vypadl Google a rozbilo se toho hodně

Podnikatel.cz: EET zvládneme, budou horší zákony

EET zvládneme, budou horší zákony

Podnikatel.cz: Prodává přes internet. Kdy platí zdravotko?

Prodává přes internet. Kdy platí zdravotko?

Vitalia.cz: „Připluly“ z Německa a možná obsahují jed

„Připluly“ z Německa a možná obsahují jed

Podnikatel.cz: Na poslední chvíli šokuje vyjímkami v EET

Na poslední chvíli šokuje vyjímkami v EET

120na80.cz: Pánové, pečujte o svoje přirození a prostatu

Pánové, pečujte o svoje přirození a prostatu

Vitalia.cz: Tesco: Chudá rodina si koupí levné polské kuře

Tesco: Chudá rodina si koupí levné polské kuře

Lupa.cz: Propustili je z Avastu, už po nich sahá ESET

Propustili je z Avastu, už po nich sahá ESET