CDR SecUpdate 25 - I nevinné online informace mohou útočníka nasměrovat
Chyby v softwaru
Heslo na hotspot v iOS můžete ve výchozím nastavení cracknout
Týká se: pravděpodobně iOS 6
Pánové z německé University of Erlangen přišli na určitou systematiku v technologii generování hesel. S výpočetním výkonem pár grafických karet (konkrétně čtyři Radeony HD 7970s) cracknete heslo za méně než minutu. Podle výzkumu Apple používá kombinaci slovníku krátkých slov (těch by mělo být cca 52 500) a čísel. Údajně se prý dokonce zhruba dva tisíce slov častěji opakuje než ostatní, což celý proces ještě zrychlí.
Novinky a Události
Facebook ztrácí důvěru uživatelů
Největší sociální síť v minulém týdnu odhalila informace o softwarové chybě, která může způsobit zveřejnění skrytých osobních informací z účtu uživatelů Facebooku. Díra v soukromí se týká oficálního nástroje Download Your Information (DYI), který umožňuje uživatelům stáhnout kompaktní balík informací o svém účtu. Podle všeho však výsledný soubor obsahoval více informací, než by teoreticky měl včetně skrytých telefonních čísel a e-mailů dalších uživatelů.
Jelikož Facebook "bere soukromí velmi seriózně", chybu údajně během jednoho dne opravil a vystavil omluvný dopis uživatelům, ve kterém se kaje za své chyby a slibuje, že udělá všechno pro to, aby k nim již v budoucnu nedocházelo. Aby zuckerbergova internetová velmoc dokázala světu, že vlastně o nic nejde, ujistila své uživatele, že ve většině případů prý měl přístup k informacím jeden, maximálně dva lidé a ještě to byli vaši Facebookoví "přátelé". A mimochodem se to týkalo zhruba šesti miliónů lidí - to jen tak aby řeč nestála.
Pod vyjádřením se zdvihla vlna nevole proti přístupu Facebooku k ochraně osobních údajů a desítky lidí vybízí ke smazání účtu a odhlášení ze sociální sítě. Lidem rychleji dochází trpělivost zvláště v době, kdy se otevřeně mluví o špehovacím projektu PRISM, do kterého byl Facebook jako největší veřejná databáze lidí logicky také namočen.
Informace - smrtící prostředek dnešní doby
V poslední době se často mluví o cílených počítačových útocích na firmy, organizace i soukromé osoby. Může a nemusí jít o tzv. Advanced Persistent Threats (APTs), což je pojem často skloňovaný avšak stále ne zcela přesně definovatelný. Z významu spojení se jako APTs většinou označují pokročilé persistetní hrozby, které často fungují delší dobu samostatně a mají schopnost setrvat na daném místě nějaký čas včetně šíření dalších modulů a derivátů. Samostatnost vyžaduje práci s více platformami najednou, ovládání mnoha technologií a efektivní a bezchybnou rozhodovací schopnost. Podobný systém je často konstruován také pro dodatečnou instalaci nových modulů a ovládacích prvků a to za běhu.
Avšak tyto hrozby stojí velké peníze a ve většině případů se nevyplatí. Obvykle je totiž jednodušší pracovat pouze z informacemi, které jsou jednoduše dostupné, stačí je jen správným způsobem pospojovat. Čím více informací, tím jednodušší práce, tím větší úspěšnost akce. Pár hodin hledání, pár hodin spojování, dalších pár hodin hledání a spojování a útočník má data pro útok s několikanásobně vyšším potenciálním úspěchem akce. Většina informací je dostupná zdarma pro všechny online nebo velmi levně.
Z výše uvedeného plyne, že názory typu "nebudu si chránit e-mail/notebook, stejně tam nic nemám," jsou ve většině případů liché až nebezpečné. I tzv. "e-mailové schránky pro spam" o majiteli prozradí minimálně oblasti zájmu, které mohou být prostředkem pro úspěšné sociální inženýrství.
Pozor co propojujete do cloudu!
Cloud z principu sdílí informace a umožňuje přistupovat k datům odkudkoliv. Přistupovat můžete přímo vy prostřednictvím softwaru nebo přistoupí za vás nějaké zařízení - například androidí telefon ke Google účtu. Často však není úplně transparentní, co přesně se do cloudu ukládá a co ne. Pokud znáte rizika, je váš přístup čistě vaše věc. Jsou lidé, kteří berou cloud jako veřejný prostor - co bych nesdílel na Facebook, nesdílím ani do cloudu. Druhý extrém je používat cloud jako další klasický diskový prostor, často i něco víc - data jsou přece dostupná odkudkoliv, co kdybych je jednou potřeboval…
Co si o informační bezpečnosti myslíte vy? Jste příznivci nebo odpůrci cloudů?
Security Update Speciál - Checkpointí UTM appliance pro střední a malé podniky
Léto přináší nové speciální díly našeho bezpečnostního týdeníku, čekají vás dohledové IP kamery, ale nejdříve se podíváme na novinkuv oblasti unified threat management řešení - Checkpoint 600 appliance. "Za pár korun" byste podle Checkpointu měli dostat enterprise-grade securitu, necháme se překvapit :-)
Čtete týdenní bezpečnostní bulletin internetového magazínu CDR. Moderní trendy počítačové bezpečnosti a hlídací pes nově objevených kritických chyb ve vašem softwaru na jednom místě.
To je pro dnešek vše, zůstaňte s námi a za týden nashledanou.
Minulé díly CDR Security Update
-
Důkazy o špehování uživatelů: Google, Facebook, Apple, Yahoo, Skype...
-
Praxe zlodějů platebních karet - rozhovor s profesionálním hackerem