CDR.cz - Vybráno z IT

CDR SecUpdate 36 - Vědci: Uhodneme 50 % gest do Windows 8, nejsou dostatečně složitá

Do Windows 8 se lze mimo klasického textového hesla přihlásit také pomocí gesta na obrázku. Američtí vědci se podívali na principy, podle kterých gesta vytváříme a některé z nich odhalili.
win8-gesture

Chyby v softwaru

Zranitelná Java a Flash - mor poslední doby

Týká se: téměř jakákoliv neaktuální verze Javy a Adobe Flash

Že je Java a Flash oblíbeným prostředníkem hackerů pro útok na systém, není žádná novinka. Čas od času však neuškodí podložit nutnost aktualizací i z druhé strany a podívat se na nejnovější statistiky použití (ne)aktuálních verzí. Právě takový průzkum provedl během srpna Websense a minulý týden prezentoval světu výsledky. V tomto konkrétním případě mířil na zranitelné zásuvné moduly (plug-in) a různá rozšíření prohlížeče.

Oproti minulému testu se situace sice trochu zlepšila, ale aktuální verzi Javy má nainstalováno v enterprise segmentu pouze 19 % systémů založených na Windows. Více jak 40 % dotazů přichází z prohlížečů se starou Javou 6, suma sumárum celých 80 % Java requestů z enterprise segmentu přichází ze systémů zranitelných na chyby CVE-2013-2473 a CVE-2013-2463, na které existují exploity (kódy zneužívající zranitelnost) integrované do populárních exploit kitů (např. Neutrino). Přeloženo do lidštiny - čtyři z pěti sekretářek dostanou od hackerů co proto pouhým odkazem na nebezpečný web. I když zpětná vazba od vás čtenářů většinou zní "zakazuji Javu", ve světovém měřítku to není žádný trend, 83,86 % firemních prohlížečů internetu má Javu povolenou.

java-flash

Před několika lety byl místo Javy nejpopulárnější útok přes Flash. Od té doby se mnoho organizací poučilo z nebezpečí, ale situace stále není příliš růžová. Téměř 40 % uživatelů nepoužívá aktuální verzi Adobe Flash, 25 % má více než 6 měsíců starou verzi, 20 % téměř rok starou a 11 % dokonce starší než 2 roky.

Situace se tedy pomalu ale jistě zlepšuje (ze 70 % uživatelů na Javě 6 je jich dnes pouze 40 %), bohužel finančně motivovaný hacker sice postupuje jistě, ale rozhodně ne pomalu. Je tedy nutné mít co nejefektivněji nastavenou politiku aktualizací a hlavně se nespoléhat na v minulosti tradiční formy ochrany, jako je antivir. Bez ochrany v reálném čase typu IDS, IPS, prostě vaše firma nebude schopná čelit aktuálním útokům, kola se jednoduše točí moc rychle a vlak ujíždí všem, je potřeba jej odklonit na bezpečnou kolej.

Novinky a Události

Téměř polovina obrázkových hesel na Windows 8 se dá uhodnout

Velmi zajímavý počin provedli výzkumníci z univerzit Arizona State, Delaware State a z firmy GFS Technology Inc. Průzkum publikovaný ve formě patnáctistránkového PDF se zaměřuje na bezpečnost přihlašování do systému pomocí obrázku (Picture gesture auth - PGA). I když má tento způsob řadu výhod, jako je rychlost přihlášení při teoretickém zachování variability gest, přesto má také nevýhody v čele s prostým faktem, že bezpečnost hesla je mnohem více v rukou člověka, než je tomu u textové alternativy.

Vědci provedli pokusy a dotazovali se více než 700 lidí mimo jiné na způsob výběru obrázku a princip, podle kterého lidé gesto tvoří. Lidé si vybírají na pozadí pro gesta obrázky podle tří hlavních kritérií: 1) obrázek je přívětivý: "Obrázek je pro mě speciální, takže se na něj při přihlašování rád dívám," 2) je jednodušší si na něm gesto zapamatovat: "Označování bodů na nějaké osobě je lépe zapamatovatelné," a 3) zabezpečí to heslo: "Obrázek je osobní, takže by mělo být mnohem těžší pro někoho jiného uhodnout heslo." Ostatní se naopak strachovali o své soukromí a preferovali jiné obrázky, protože "je to méně osobní, pokud někdo uvidí takový obrázek." Na scénu tak přichází například rodinné fotografie, u mladších studentů jsou oblíbené také postavy z počítačových her, což je jim pocitově blízké.

windows8-univerzální-gesto

Další oblast zájmu je tvorba gest. Obvyklé je tvořit gesta na známých fotografiích se speciálním zájmem v obličejových partiích (potvrzuje to i můj soukromý průzkum :), jako jsou oči (86 % gest), nos (45 %) nebo ústa. Nejčastější typ gesta je pouhé ťuknutí na místo (82 %) s propastným rozdílem oproti linkám (15 %) a kruhům (7 %).

Výzkumníci vyvinuli dokonce celý framework na testování bezpečnosti hesel a urgují nyní Microsoft, aby do Windows 8 přidal nějaký validátor síly gesta (třeba ten jejich).

Osobně považuji za ideální gesto v poměru jednoduchost/síla obrázek s mnoha prvky, kdy si dá uživatel práci se zapamatováním jednotlivých zvolených prvků a volí například lomenou čáru. Lidé nad tím však zatím z bezpečnostního hlediska evidentně nepřemýšlí (což je logické), protože výzkumníci měli prý s hádáním hesel téměř 50% úspěšnost.

Připomeňme si také letošní 1. duben:


Čtete týdenní bezpečnostní bulletin internetového magazínu CDR. Moderní trendy počítačové bezpečnosti a hlídací pes nově objevených kritických chyb ve vašem softwaru na jednom místě. 

To je pro dnešek vše, zůstaňte s námi a za týden nashledanou.

Minulé díly CDR Security Update

Díly CDR Security Update SPECIÁL

Zdroje: 

Jiří Moos (Google+)

Jirka Moos je redaktor CDR.cz a DIIT.cz, kreativec se smyslem pro humor a také blázen do zabezpečení IT systémů. Vede bezpečnostní týdeník CDR Security Update a v současné době řeší marketing a redakční spolupráce CDR/DIIT.

více článků, blogů a informací o autorovi

Diskuse ke článku CDR SecUpdate 36 - Vědci: Uhodneme 50 % gest do Windows 8, nejsou dostatečně složitá

Pondělí, 9 Září 2013 - 10:52 | Chulda | Stará java v enterprise mě nepřekvapuje - vendor...

Zobrazit diskusi