CDR SecUpdate 13 - Blíží se konec podpory Windows XP, jak zůstat v bezpečí?
Chyby v softwaru
Televize Philips mají lehkovážně nastavené WiFi připojení
Týká se: podle ReVuln všechny modely SmartTV z roku 2013 (6, 7, 8, 9xxx)
Bezpečnostní firma ReVuln, původem z Malty, zveřejnila video informující o chybě v zabezpečení v chytrých televizích Philips. Problém je prý ve WiFi službě Miracast, která je ve výchozím nastavení zapnutá, obsahuje údajně nezměnitelné heslo a nevyžaduje potvrzení.
Prakticky kdokoliv v dosahu WiFi se tak může připojit k zařízení a získat z chytré televize mnohé uložené informace včetně cookies prohlížeče a souborů z připojeného USB disku. Útočník po připojení přes výchozí heslo "Miracast" může na zařízení pouštět vlastní video nebo měnit kanály televize bez vědomí uživatele.
Ve videu se výzkumníci z ReVuln nejprve připojí k televizi, ukradnou soubory z flashdisku a následně kompromitují cookie gmailu, které využijí k přístupu na účet ze svého systému. Podle ReVuln jsou takto nastavené zařízení SmartTV z roku 2013 na nejnovějším firmwaru QF2EU-0.173.46.0 a to již z výroby.
Novinky a Události
Windows XP končí - 5 tipů, jak přežít na nepodporovaném systému
Oficiální éra "ixpéček" je podle všeho u konce. 8. dubna končí podpora a služba pravidelných aktualizací systému od Microsoftu, přesto mnoho lidí plánuje na systému XP alespoň prozatím zůstat (podle naší ankety je to 31 % čtenářů SecUpdate). Nejen pro ně připravil web WeLiveSecurity 5 tipů, jak zůstat v relativním bezpečí i na oficiálně neaktualizovaném XP, ze kterého následující seznam vychází.
Jestli se vám vyplatí i přes rizika zůstat a investovat do nákladnější údržby nebo investovat do upgradu na nový software, to už je samozřejmě věc vaší firmy.
- Podle zpravodajské služby ESETu je první věc, kterou byste měli zajistit, zálohování. To však nezahrnuje pouhé pravidelné provádění záloh samotných, ale vyplatí se také několikrát ročně na jiném systému vyzkoušet, jestli lze zálohy úspěšně obnovit. To zajistí v případě katastrofy přístup k informacím na dalším zařízení.
- Druhým bodem je aktualizace systému. To je sice trochu problém, protože oficiální aktualizace od Microsoftu končí, ale zpětně je možné (a doporučené) je všechny doinstalovat. To souvisí i s novými verzemi ovladačů hardwaru, které získáte na webech jednotlivých výrobců nebo na webu Microsoft Windows Update.
- Stejně jako ovladače hardwaru, i softwarové aplikace je potřeba pravidelně aktualizovat. To se týká problémové Javy, Flashe, Adobe Readeru, aplikací od Microsoftu, jako je Office nebo Internet Explorer a samozřejmě prohlížečů internetu. V tomhle vám může pomoci například Secunia PSI, který hlídá aktualizace nainstalovaného softwaru a upozorňuje na zastaralé verze programů.
- Pokud nepotřebuje nutně systém připojení k internetu, odpojte nebo zakažte připojení, aby se mohl počítač připojit jen k dalším zařízením na lokální síti. To zajistí, že internetové hrozby nemohou útočit na systém přímo a také ztíží proces exfiltrace dat ze zařízení.
- Důležitý je také antivirový software, který zabezpečí systém. Existuje mnoho antivirových vývojářů, kteří se zaručili, že budou podporovat XP ještě určitě několik let dopředu, některé produkty jsou dokonce zdarma. ESET doporučuje na XP zajistit detekci na bázi signatur, stejně tak heuristickou analýzu, firewall a nějaký druh IPS. Dobré je myslet na ochranu proti exploitům, protože XP už Microsoft nebude dál záplatovat.
12 let XP zakončí Microsoft komorním setkáním právě v úterý osmého v lehce pohřebním duchu.
Americké DoJ se snaží zjednodušit zákonný hacking proti kyberkriminálníkům
V USA chce Ministerstvo spravedlnosti, aby měli strážci zákona jednodušší cestu k vydání soudního příkazu za účelem nabourání do systémů podezřelých po celé zemi. To jde ruku v ruce s nárůstem počtů porušení zákona souvisejících s počítačovou zločinností. Vyšetřovatelé požadují flexibilnější přístup k soudním příkazům garantujícím hacking, zejména v případech, kdy je zapojeno do kauzy více počítačů, nebo není jasné, kde se počítač fyzicky nachází, píše Wall Street Journal.
Americké Ministerstvo spravedlnosti
Dokument ministerstva vyvolal protesty v řadách ochránců soukromí, kteří říkají, že by vláda měla opravovat díry v softwaru místo toho, aby je zneužívala. Varují také, že by mohl spyware určený kriminálníkům skončit na systému nevinné osoby, a to zejména v případě, kdy není jasné vlastnictví počítače a softwaru.
V dokumentu mimo jiné probíhá diskuze nad užitím útočného softwaru proti podezřelým z distribuce dětské pornografie, kteří navštívili americké weby za použití anonymizační sítě Tor. Použitý software je velmi podobný tomu, jaký používají hackeři-kriminálníci. Vláda však nepopisuje tyto techniky jako hacking, ale používá umírněnější termíny "vzdálený přístup" a "síťové vyšetřovací metody".
Protože potřebují k přístupu na cizí počítač vyšetřovatelé soudní příkaz, není pro ně jednoduché vyšetřovat komplexnější případy botnetů, které mohou být navíc schované v anonymizačních sítích. Ministerstvo chce proto také jednodušší zisk příkazů pro přístup na několik systémů zároveň a také do přidružených úložišť, jako je e-mailová služba, cloudové schránky a sociální sítě, pokud do nich daný systém přistupuje.
Podle našeho názoru jde zejména o princip přístupu k softwarovým zranitelnostem. Můžeme se totiž brzy dostat do situace, kdy si budou vlády účelově chránit otevřené díry v softwaru pro přístup do systémů podezřelých z kriminální činnosti, a to možná není stav, který bychom si přáli.
Navíc je zde samozřejmě riziko různých zneužití pravomocí, kdy bude pro přístup do systému nevinného použit soudní příkaz na základě napadení jeho systému kriminálníkem. Když však vezmeme v úvahu vlastní odpovědnost za svoje chování (a možné nezáplatování vlastního problémového softwaru), lze vůbec říci, že je onen nevinný opravdu nevinný?
Čtete týdenní bezpečnostní bulletin internetového magazínu CDR. Moderní trendy počítačové bezpečnosti a hlídací pes nově objevených kritických chyb ve vašem softwaru na jednom místě.
To je pro dnešek vše, zůstaňte s námi a za týden nashledanou.
Minulé díly CDR Security Update
- Hackeři útočí na kritickou chybu v Microsoft Word 2010
Všechny velké prohlížeče podlehly hackerům v soutěži Pwn2Own