Novinky

1 2 

Obejití Cross-Site Scripting filtru v MS IS8

Důležitost: Kritická

Microsoft Internet Explorer verze 8 ubsahuje zranitelnost, která umožňuje obejít Cross-Site Scripting filtr. Stačí vyrobit speciálně upravené URL, které obejde Cross-Site Scripting filtr.

Doporučení: Nainstalujte záplaty, které Microsoft vydal jako součást hromadných updatů pro Internet Explorer.

Obcházení ochran v produktech Apple

Důležitost: Kritická

V produktech iPhone a iPod touch bylo nalezeno několik zranitelností, které dovolují obejít některé zabudované bezpečnostní mechanismy. Důsledkem může být dokonce i únik citlivých dat.

Doporučení: Updatujte na 3.1.3 operačního systému iPhone OS pro obě platformy.

Krádeže zdravotních dat se týkají téměř šesti procent Američanů

Důležitost: Informativní

Zloději identity se dnes zajímají nejen o čerpání finančních prostředků, ale také o identifikační a zdravotní údaje. Zloději zdravotních dat získávají s číslem zdravotního pojištění nejen údaje o zdravotním stavu obětí, ale také informace o všech zdravotních prohlídkách, zákrocích a jejich cenách. Podle nového výzkumu, který prováděli experti ze renomované společnosti Ponemon Institute se obětí krádeží stalo zhruba 5,8% dospělých Američanů což je v absolutních číslech 1,42 milionu dospělých Američanů.

Doporučení: Se svými osobními údaji je nutné zacházet opatrně a dobře zvážit, komu je poskytneme.

Překonání ochrany DEP a ALSR ve Windows

Důležitost: Kritická

V novějších systémech Windows jsou implementovány ochrany DEP (Data Execution Prevention) a ASLR - address space layout randomization). Nutno dodat, že Microsoft na tyto ochrany hodně spoléhal a zatím plnily svůj úkol. DEP brání ve spuštění škodlivého kódu v sekcích paměti, které nejsou určeny pro spuštění kódu, a je obranou proti, mimo jiné, útoky založené na přetečení zásobníku. ASLR pak náhodně míchá pozice klíčových oblastí paměti, takže je mnohem obtížnější pro hackery předpovědět, zda je jejich kód exploitu skutečně spustit. Softwarový inženýr ze společnosti Google Berend-Jan Wever, který v letech 2006 - 2008 pracoval jako softwarový inženýr pro společnost Microsoft zveřejnil Proof of Concept, kterak tyto ochrany překonat. Vzhledem k tomu, že zveřejnil i kód, dají se v brzké době očekávat nové exploity překonávající tyto ochrany.

Doporučení: Na toto bohužel žádná universální rada neexistuje. Snad jen zvýšená pozornost a dodržování obecných bezpečnostních zásad. Doporučujme sledovat naše bezpečnostní zpravodajství a dobře si zabezpečit svůj počítač, neopomíjet žádné bezpečnostní bezpečnostní komponenty a především mít svůj systém stále aktualizovaný.

Reakce na vyjádření představitelů státu na problémy spojené s Datovými schránkami

Důležitost: Kritická

Projekt Datových schránek má zcela zásadní bezpečnostní problémy, na které naše společnost upozornila již v říjnu roku 2009. Ministerstvo Vnitra České Republiky na naše upozornění reagovalo až po třech týdnech, kdy se o celý problém začala zajímat média a odpověděli nám, že o naší nabízenou a bezplatnou pomoc nemají zájem, protože mají své smluvní partnery. Celou zranitelnost jsme demonstrovali live na tiskové konferenci v listopadu a protože situace je stále stejná, úspěšně presentovali jsme (opět na praktické ukázce) na konferenci Security 2010 17.2.2010 před odbornou veřejností, kdy jsme bez větších obtíží získali přihlašovací údaje oběti. Tento příspěvek vyvolal vášnivou debatu v panelové diskusi. Nejsmutnější na celé věci je, že Ministertvo Vnitra České Republiky, potažmo Česká Pošta, s.p. implementovali již tři další "bezpečnostní prvky", které ve skutečnosti nic neřeší a které jsme všechny překonali. Nyní jsou z pohledu uživatele Datové schránky nedostatečně zabezpečeny a NEEXISTUJE způsob, kterým by se uživatel proti útoku mohl efektivně bránit. Reakce na všechna zavádějící tvrzení obhájců projektu si můžete přešíst zde, nebo je možné nás kontaktovat mailem na adrese ds@4safety.cz

Doporučení: Doporučení pro uživatele bohužel neexistuje. Doporučení pro obhájce Datových schránek je následující. Nevymýšlejte další dodatečné ochrany, které z principu nemohou pomoci, dokud bude přetrvávat základní problém, kterým je absence "chain of trust". Pro řešení celého problému stačí na straně státu investovat částku nižší než 10.000 Kč ročně za certifikát důvěryhodné certifikační autority se sídlem v EU. K tomu je třeba, aby si kompetentní lidé uvědomili, že rozhodnutí EU má přednost před našimi zákony, které říkají, že lze využít pouze certifikát vydaný Českou certifikační autoritou. Dle nařízení EU jsou kvalifikované certifikáty platné v celé EU bez ohledu na zemi vystavení, pokud je tato země v EU

1 2