CDR SecUpdate 36 - Vědci: Uhodneme 50 % gest do Windows 8, nejsou dostatečně složitá
Chyby v softwaru
Zranitelná Java a Flash - mor poslední doby
Týká se: téměř jakákoliv neaktuální verze Javy a Adobe Flash
Že je Java a Flash oblíbeným prostředníkem hackerů pro útok na systém, není žádná novinka. Čas od času však neuškodí podložit nutnost aktualizací i z druhé strany a podívat se na nejnovější statistiky použití (ne)aktuálních verzí. Právě takový průzkum provedl během srpna Websense a minulý týden prezentoval světu výsledky. V tomto konkrétním případě mířil na zranitelné zásuvné moduly (plug-in) a různá rozšíření prohlížeče.
Oproti minulému testu se situace sice trochu zlepšila, ale aktuální verzi Javy má nainstalováno v enterprise segmentu pouze 19 % systémů založených na Windows. Více jak 40 % dotazů přichází z prohlížečů se starou Javou 6, suma sumárum celých 80 % Java requestů z enterprise segmentu přichází ze systémů zranitelných na chyby CVE-2013-2473 a CVE-2013-2463, na které existují exploity (kódy zneužívající zranitelnost) integrované do populárních exploit kitů (např. Neutrino). Přeloženo do lidštiny - čtyři z pěti sekretářek dostanou od hackerů co proto pouhým odkazem na nebezpečný web. I když zpětná vazba od vás čtenářů většinou zní "zakazuji Javu", ve světovém měřítku to není žádný trend, 83,86 % firemních prohlížečů internetu má Javu povolenou.
Před několika lety byl místo Javy nejpopulárnější útok přes Flash. Od té doby se mnoho organizací poučilo z nebezpečí, ale situace stále není příliš růžová. Téměř 40 % uživatelů nepoužívá aktuální verzi Adobe Flash, 25 % má více než 6 měsíců starou verzi, 20 % téměř rok starou a 11 % dokonce starší než 2 roky.
Situace se tedy pomalu ale jistě zlepšuje (ze 70 % uživatelů na Javě 6 je jich dnes pouze 40 %), bohužel finančně motivovaný hacker sice postupuje jistě, ale rozhodně ne pomalu. Je tedy nutné mít co nejefektivněji nastavenou politiku aktualizací a hlavně se nespoléhat na v minulosti tradiční formy ochrany, jako je antivir. Bez ochrany v reálném čase typu IDS, IPS, prostě vaše firma nebude schopná čelit aktuálním útokům, kola se jednoduše točí moc rychle a vlak ujíždí všem, je potřeba jej odklonit na bezpečnou kolej.
Novinky a Události
Téměř polovina obrázkových hesel na Windows 8 se dá uhodnout
Velmi zajímavý počin provedli výzkumníci z univerzit Arizona State, Delaware State a z firmy GFS Technology Inc. Průzkum publikovaný ve formě patnáctistránkového PDF se zaměřuje na bezpečnost přihlašování do systému pomocí obrázku (Picture gesture auth - PGA). I když má tento způsob řadu výhod, jako je rychlost přihlášení při teoretickém zachování variability gest, přesto má také nevýhody v čele s prostým faktem, že bezpečnost hesla je mnohem více v rukou člověka, než je tomu u textové alternativy.
Vědci provedli pokusy a dotazovali se více než 700 lidí mimo jiné na způsob výběru obrázku a princip, podle kterého lidé gesto tvoří. Lidé si vybírají na pozadí pro gesta obrázky podle tří hlavních kritérií: 1) obrázek je přívětivý: "Obrázek je pro mě speciální, takže se na něj při přihlašování rád dívám," 2) je jednodušší si na něm gesto zapamatovat: "Označování bodů na nějaké osobě je lépe zapamatovatelné," a 3) zabezpečí to heslo: "Obrázek je osobní, takže by mělo být mnohem těžší pro někoho jiného uhodnout heslo." Ostatní se naopak strachovali o své soukromí a preferovali jiné obrázky, protože "je to méně osobní, pokud někdo uvidí takový obrázek." Na scénu tak přichází například rodinné fotografie, u mladších studentů jsou oblíbené také postavy z počítačových her, což je jim pocitově blízké.
Další oblast zájmu je tvorba gest. Obvyklé je tvořit gesta na známých fotografiích se speciálním zájmem v obličejových partiích (potvrzuje to i můj soukromý průzkum :), jako jsou oči (86 % gest), nos (45 %) nebo ústa. Nejčastější typ gesta je pouhé ťuknutí na místo (82 %) s propastným rozdílem oproti linkám (15 %) a kruhům (7 %).
Výzkumníci vyvinuli dokonce celý framework na testování bezpečnosti hesel a urgují nyní Microsoft, aby do Windows 8 přidal nějaký validátor síly gesta (třeba ten jejich).
Osobně považuji za ideální gesto v poměru jednoduchost/síla obrázek s mnoha prvky, kdy si dá uživatel práci se zapamatováním jednotlivých zvolených prvků a volí například lomenou čáru. Lidé nad tím však zatím z bezpečnostního hlediska evidentně nepřemýšlí (což je logické), protože výzkumníci měli prý s hádáním hesel téměř 50% úspěšnost.
Připomeňme si také letošní 1. duben:
Čtete týdenní bezpečnostní bulletin internetového magazínu CDR. Moderní trendy počítačové bezpečnosti a hlídací pes nově objevených kritických chyb ve vašem softwaru na jednom místě.
To je pro dnešek vše, zůstaňte s námi a za týden nashledanou.
Minulé díly CDR Security Update
-
Washington Post zveřejnil tajné detaily rozpočtu USA pro špionážní agentury
-
Kauza Snowden: Vzduchem létají harddisky, na Heathrow se zase nelétá
-
Aktuální bezpečnostní trendy v kostce: Češi jsou na tom podle očekávání dobře