Týden v bezpečnosti - 22. týden

(31. 5. 2013) Po týdenní odmlce vám přinášíme další souhrn událostí v internetové bezpečnosti. 

Čeští uživatelé ohrožování "MMS" útokem

Uživatelé českého internetu jsou ohrožování e-maily se zavirovanou přílohou, které se vydávají za přeposlanou MMS zprávu od mobilního operátora. Upozornění na útoky vydal CSIRT.CZ (Computer Security Incident Response Team) na svých webových stránkách.

Zprávy se tváří jako odeslané jedním z domácích mobilních operátorů; použita byla například adresa noreply@t-mobile.cz či o2.com. Příloha zprávy má název ve tvaru "MMS_IMG 70909542.zip" a po rozbalení získáte soubor "MMS_IMG 03276311.jpg.exe". Ten však není obrázkem, jak by se mohlo zdát, ale aplikací. Uživatel virus spustí v domnění, že otevírá fotku, a nainstaluje si do počítače kód útočníka. Podobným způsobem se šíří i závadné soubory přes Skype.

Doporučujeme pamatovat na pravidla bezpečného používání e-mailu a neotvírat přílohy, které neznáte, nebo neočekáváte. Zejména zaslané archivy.

Drupal hacknut, resetuje hesla uživatelských účtů 

Server The Register zprávou Drupal hacked, resets passwords after millions of accounts exposed informuje o pravděpodobném hackutí Drupalu a uživatelských účtů. 

Drupal Association potvrdila, že jedinec či skupina získali neautorizovaný přístup k uživatelským datům, včetně uživatelských jmen, informací o zemi uživatele a hašovaným heslům. V reakci na toto zjištění provedli reset hesel všech uživatelů, a jelikož předpokládají, že stejné heslo mohli uživatelé použít i jinde, doporučují stejné heslo nepoužívat u jiných účtů a služeb.

Stránek využívajících systém Drupal se problém netýká. V souvislosti s tímto problémem se pravděpodobně objeví phishingové zprávy žádající o zaslání osobních údajů nebo aktuálního hesla; samozřejmě to bude podvrh.

Google bude veřejně "udávat" neopravené zranitelnosti

Internetový gigant Google tento týden oznámil novou strategii boje proti bezpečnostním dírám a zranitelnostem, která vyvolala rozporuplné reakce. Důvodem je údajná laxnost, s jakou ostatní společnosti na varování reagují. Zprávu přinesla prakticky všechna hlavní média, včetně živě.cz a jejich článku Google výrobcům: Pokud neopravíte chybu, uděláme vám ostudu.

Inženýři Googlu se při práci setkávají s různými zranitelnostmi v softwaru jiných společností. Některé softwarové produkty jsou pro ně zásadní, jelikož je využívají samotné produkty Googlu, například prohlížeč Chrome. Současnou praxí je upozornění autora softwaru na chybu a lhůta 60 dnů na její odstranění. Nyní Google lhůtu zkracuje na týden. Pokud během této doby chybu neopraví, je Google odhodlán zranitelnost zveřejnit.

Indonésie vytváří obrannou vojenskou IT jednotku

Článek Indonesia to build crack IT-trained military unit to deflect attacks informuje o zajímavém nápadu ministerstva obrany čtvrtého nejlidnatějšího státu.

Oficiální indonéské zdroje uvádí, že země byla v minulých třech letech cílem 36 milionů útoků. V důsledku toho nepřekvapí snaha o vytvoření národního centra kyber-bezpečnosti, který by zajistilo obranu citlivých cílů. Nová jednotka má být vycvičena z armádních příslušníků a má být řádně vyškolena v oblasti bezpečnosti a hackingu.

Pokud bude nápad realizován, nebude se jednat o první jednotku tohoto zaměření. Podobné má i Čína a USA.

Přejeme vám krásný víkend.

Další aktuality z oblasti bezpečnosti naleznete na našem blogu opět v pátek.