Týden v bezpečnosti - 3. týden
Vítejte v souhrnu událostí v internetové bezpečnosti za uplynulý týden.
Java má problémy, stala se nedůvěryhodnou
Java je jedním z nejpoužívanějších programovacích jazyků a je používána pro programy, které mají pracovat na různých platformách. Využití Java nachází na čipových kartách, mobilních zařízeních, na našich počítačích a ve velkých distribuovaných systémech. Vzhledem je svému rozšíření je Java oblíbeným terčem kyberútočníků.
Již tak nechvalná pověst z pohledu bezpečnosti byla opět narušena. V článku Oracle patches Java 0-day, goes to Defcon 2 informuje The Register o zranitelnosti nulového dne, která byla Oraclem opravena. Oracle zvýšil výchozí úroveň nastavení bezpečnosti Java doplňku pro prohlížeče na vysokou. Uživatel tudíž musí potvrdit každé použití tohoto doplňku a spuštění Java pluginu, což přispěje k jeho bezpečnosti a omezí spuštění nechtěných appletů.
Americké Ministerstvo národní bezpečnosti však označilo opravu za nedostatečnou a doporučilo Javu v prohlížeči (plugin) zcela vypnout, což je závažné doporučení a důvěru v Javu jistě neposílí. Článek Latest Java patch is not enough, warns US gov: Axe plugins NOW také cituje názor zakladatele společnosti Metasploit pana Moora, podle kterého bude Oraclu trvat nejméně další dva roky, než problémy v Javě vychytá.
Doporučujeme aktualizovat Javu na vaší platformě na vezi 7 update 11, ve které má být zranitelnost opravena. Nepovolujte také spuštění appletů, které jste nevyžádali a které neznáte.
Kaspersky odhalil malware Red October (Rudý říjen)
Ruský výrobce antivirů Kaspersky informoval o svém senzačním objevu malwaru, který špehoval vlády různých zemí, zejména však státy Ruska a státy východní Evropy. Malware podle jeho geografického zaměření pojmenoval Red October (Rudý říjen).
Článek Operation Red October : Cyber Espionage campaign against many Governments popisuje fungování malwaru. Sloužil jako špionážní síť po celém světe a získával důležitá data z nejvyšších úrovní, například vládní, diplomatické, výzkumné, obchodní, jaderné i zbrojní.
Útočníci se zaměřovali na různá zařízení, jako například prvky podnikových sítí nebo mobilní zařízení (Windows Mobile, iPhone, Nokia) a data též kradli z výměnných disků, poštovních klientů Outlook nebo poštovních serverů. Šíří se přílohou e-mailu (Excel, Word) a po otevření a spuštění skodlivého kódu nainstaluje hlavní komponentu obsluhující komunikaci s kontrolním serverem, který malware ovládá.
Podle bezpečnostních expertů je Rudý říjen stále aktivní a funguje od roku 2007.
Efektivita antivirů klesá, tvrdí AV-Test.org
Německý server AV-Test.org, který se zabývá testováním antivirových řešení, tvrdí, že efektivita současných antivirů klesá. Tyto závěry uvádí The Register v článku Today's antivirus apps ARE 'worse at slaying hidden threats'. V listopadu a prosinci 2012 bylo testováno 25 produktů pro domácnosti a 8 korporátních. Při testování útoků nulového dne (tedy těch, které antivir nezná, ale má je rozpoznat sám) bylo zablokováno pouze 92 % z nich. To znamená, že každý desátý útok má šanci na úspěch.
Z 25 testovaných produktů dostalo 22 certifikaci a na výsledky se můžete podívat na oficiálním webu AV-test.
90 % hesel, které používáte, je zranitelných, tvrdí Deloitte
Článek Your Password Isn't Safe: 90% Are Vulnerable to Hacking, Says Report přináší komentář k nedávno vydané zprávě Deloitte, která tvrdí, že 90 procent vašich hesel je zranitelných vůči hackerům.
Za silné heslo je obecně považováno heslo delší než 8 znaků a obsahující kombinaci písmen, čísel a symbolů. Podle zprávy jsou však i tato hesla zranitelná. Heslo složené ze všech 94 znaků dostupných na klávesnici je jednou kombinací z 6.1x 1024 možných. Podle Deloitte by průměrnému PC z roku 2011 trvalo rok, než by na tuto kombinaci přišel. Protože však naše hesla obsahují stále více symbolů, je těžké si je pamatovat. Nakonec proto používáme skoro totožné kombinace, které už není tak těžké prolomit.
Deloitte též tvrdí, že opakujeme stále stejné postupy při tvoření hesla. Velké písmeno je téměř vždy první a jako symbol se používá nejčastěji vykřičník. Ve zprávě též citují studii, ve které bylo otestováno 6 milionů uživatelských hesel a 10.000 nejčastějších kombinací tvořilo 98 % z celkového počtu. Problémem je tedy zejména nízká variabilita a podobnost hesel. Zpráva též uvádí, že průměrný uživatel má 26 hesel k online službám, ve kterých však používá pouze pět kombinací.
Závěrem zprávy uvádí Deloitte doporučení použít více vrstev ověření, například po zadání přihlašovacích údajů poslat heslo SMS zprávou. Podobný postup nabízí například Gmail nebo herní klient Steam. Více vrstev autentizace doporučujeme používat i pro běžné služby, nejenom pro internetové bankovnictví.
Přejeme Vám krásný víkend a za týden na shledanou.
Další aktuality z oblasti bezpečnosti naleznete na našem blogu opět za týden.
Ing. Jindřich Zechmeister
Specialista pro bezpečnostní SSL certifikáty
Certifikovaný Symantec Sales Expert Plus
e-mail: jindrich.zechmeister(at)zoner.cz
Přidat komentář
Přehled komentářů
Napište první komentář!