Útok typu „watering hole“
Čert a hacker nikdy nespí, to je dávno empiricky ověřený fakt. A aby dosáhl svého, mění svoji taktiku. V IE verze 8 a menší je díra, která umožní útočníkovi zneužít aplikaci pro spuštění vlastního kódu na Vašem počítači. A aby si ulehčil hledání vhodných obětí, použil k tomu taktiku, jakou běžně používají smečky lvů v období sucha. Místo shánění kořisti po širých vyprahlých pláních se rozloží do stínů poblíž napajedla a počkají, až k nim jejich kořist, hnaná žízní, sama připutuje.
Pro hackery v rámci této metafory jako napajedlo sloužily webové stránky organizace Council of Foreign Relations, tedy think-tanku pro zahraniční politiku USA. Podle reportu bezpečností společnosti FireEye tyto stránky ještě 21. prosince hostily nebezpečný malware, který útočil právě na výše uvedenou chybu prohlížeče Internet Explorer.
Kdy bude záplata?
Microsoft ve své tiskové zprávě uvádí, že na nápravě usilovně pracuje, nicméně neuvádí termín, kdy chybu opraví. Vzhledem k tomu, že mezi verzí 8 a následující verzí 9 je velký předěl ve zpětné kompatibilitě (například produkt HP Quality center ve verzi 9 a vyšší prostě nefunguje), existuje celá řada uživatelů, kteří musí prostě mít starou verzi IE. Těm doporučuje Microsoft vypnout Javascript a Flash až do vyřešení problému. Já osobně doporučuji přejít na jiný prohlížeč (ne výběr je celá řada, například Firefiox nebo Chrome) a Internet Explorer používat pouze v nejnutnější možné míře a to výhradně na bezpečné stránky.
Pro úplnost dodávám, že výše zmiňovaná chyba ve verzi 9 a vyšší je opravena, pokud se tedy chcete držet IE, proveďte co nejdříve upgrade na novější verzi.
Zdroj a další informace: http://phys.org/news/2013-01-microsoft-busy-hole.html
Internet přenášený laserovými satelity může nahradit podmořské kabely
Autor: Stanislav Mihulka (10.07.2023)
Jaký je světonázor konspirátorů, podle rozsáhlé analýzy textů?
Autor: Stanislav Mihulka (04.11.2022)
Vysokorychlostní laserový internet projektu Taara spojil vzduchem dvě města
Autor: Stanislav Mihulka (19.09.2021)
Realita poráží science-fiction: Nové zařízení generuje elektřinu ze stínů
Autor: Stanislav Mihulka (08.06.2020)
DARPA vs koronavirus: Vyvíjejí monoklonální protilátkový štít
Autor: Stanislav Mihulka (12.03.2020)
Diskuze:
Ja nevim, ze si ti lidi, kdyz uz pouzivaji ty
František Houžňák,2013-01-04 20:40:16
englicke vyrazy, svoje vyplody neskouknou v nejakem slovniku nebo tak, kdyz uz je to neprasti do oci samotne. Tedy "watering hole", ze ano.
Liquid Oxygen,2013-01-04 09:02:33
Díry jsou v každém software, prohlížeči... Není ani tak podstatné jejich množství v daném sw jako to jak se k nim staví vývojáři, za jak dlouho se díra zalátuje když už je veřejně známá. Bohužel v tomhle je MS a jeho IE pověstný tím že některé známé díry jsou neskutečně dlouho bez opravy. Pamatuju jeden bug kdysi v IE6 který tam byl snad déle než rok.
patri-nepatri
Pavel Ondrejovic,2013-01-03 22:52:19
to je vec vkusu.
Horsie je, ze je mizerny. Pre lepsie pochopenie: je to clanok zhruba na urovni "nedavajte detom do troch rokov orechy, udusia sa".
Bezpecnostnych dier je vela. Vybrat si jednu z nich a spropagovat je akurat tak sirenie paniky. (len tak mimochodom, jeden z odporucanych browserov s tichymi updatmi mal nedavno bug, ktory odstavil relevantnu cast jeho funkcionality. Riesil to downgrade a vypnute automaticke updatovanie. Co je vyrazne horsie pre pouzivatela, ako tu propagovana bezpecnostna diera.)
Mr. Tuma by si mal premysliet comu sa nadstandardne rozumie a pisat clanky o tom.
Chyby v prohlizecich
Martin Tůma,2013-01-07 16:16:00
1. Chyby v prohlizecich, stejne jako v jinych programech byly, jsou a budou.
2. Toto neni sireni paniky. Jde mi o upozorneni na novy pristup hackeru. Doposud se takovy malware vyskytopval na pomerne "zavadnych" strankach. Takze porno, warez atd, tam s tim clovek musel pocitat. Ted ale zmenili taktiku, hackli pro uzivatele zajimavy web a malware dali tam.
3. pisu i o jinych dirach u jinych prohlizecu, nicmene clanek mel byt motivaci jit vyse s verzi nebo prejit na jiny prohlizec, uz proto, ze IE8 je na pokraji podpory. Bouzel ale existuji produkty, ktere prozatim v IE 9 proste nefunguji, proto varovani, aby se IE8 pouzival jenom v nejnutnejsi mozne forme.
4. chyba a downgrade - porovnejte, jak rychle to bylo opravane a jak rychle se opravuje IE. kdyz je nejaky produkt podle Secunie zranitelny 51 tydnu z 52, je neco spatne.
Jan Jaroš,2013-01-07 21:45:01
Tahle "taktika" se používá už hezkých pár let. Sice ne tak často, jako u zmíněných porno/warez serverů, protože na to je nejprve potřeba někomu hacknout web, popřípadě propašovat malware do reklamního systému, ale případů už bylo dost. Popřípadě se používaly špatně ošetřené vstupy v diskusích, škodlivý kód se pak umístil do diskusního příspěvku pod článkem, třeba na hojně navštěvovaných denících. O ochraně před XSS útoky se na odborných webech píše snad deset let. Nic nového pod sluncem...
Proč by to sem nepatřilo?
Petr Flosman,2013-01-03 14:19:56
Jsem rád za každý článek a nechápu, proč by sem tento článek neměl patřit? V hlavičce stránky je "objective source e-learning", nic o popularizaci vědy tam není. Já se něco nového skutečně dozvěděl, zdroj v článku také nechybí, tak kde je problém?
Martin Plec,2013-01-03 15:34:31
Podle mne má tento článek několik vad:
* Vyvolává dojem, že uvedená bezpečnostní chyba je nějak výjimečná, a že oproti jiným bezpečnostním chybám by se o ní měli uživatelé zajímat víc.
* Vyvolává dojem, že Microsoft či jeho prohlížeč trpí oproti konkurenci nějak významně vyššími problémy s bezpečností.
Přitom se jedná jen o jednu z nespočetného množství podobně kritických chyb, kterých Microsoft i jiní výrobci programů musí každoročně opravit mnoho, a které hackeři aktivně využívají.
Když si nainstalujete program Secunia PSI (https://secunia.com/vulnerability_scanning/personal/) nebo nějaký podobný, tak vás bude průběžně informovat o bezpečnostních problémech vašeho počítače. Hned po jeho instalaci vám vstanou vlasy hrůzou, jakmile zjistíte, kolik závažných bezpečnostních problémů na svém počítači máte (včetně těch hackery aktivně zneužívaných) a jak naivně bezstarostný jste byl.
Martin Plec,2013-01-03 15:39:09
Možná kdyby článek byl více obecný a třeba podrobněji rozebral inovativní(?) způsob útoku...
exproler
Daniel Konečný,2013-01-03 17:49:30
myslim, ze nejake vyvolavani dojmu o horsi bezpecnosti exproleru by nemusel nikomu vadit, on je to totiz fakt
David Benedeki,2013-01-03 22:58:15
Prave od verze 8 s Internet Explorer vyrovnal ostatnim prohlizecum v oblasti bezpecnosti. Verze 9 byla dokonce oznacena jako nejbezpecnejsi bezne pouzivany prohlizec.
IE je dost specificky ve svem vykreslovacim enginu, ale bezpecnostne uz je na tom dobre.
Prave z tohoto duvodu spise souhlasim s nazory, ze tohle neni uplne ten clanek, ktery bych na Oslu cekal. I presto autorovi dekuji za snahu. :-)
Re: oznacena jako nejbezpecnejsi...
Rudolf Dovičín2,2013-01-04 00:46:38
... bezne pouzivany prohlizec.
Kopa vecí sa označuje všelijak a väčšina z toho nie je pravda.
Kto to označil? Na základe akých faktov?
Čo znamená "bezne pouzivany prohlizec"? Sú napr. predvolené prehliadače v OS Debian, stabilnej verzii, "bežné"?
Re: Rudolf Dovičín2
David Benedeki,2013-01-04 22:02:29
"bezne pouzivany prohlizec"
IE, Chrome, Firefox, Safari, Opera. Ty ktere maji nad 3%(pokud si spravne pamatuji) zastoupeni na webu. U mensich prohlizecu neni pro hackery prilis zajimave hledat a cilit na chyby. To uz je lepsi vyuzit chyby ve sdilenych komponentach jako Java nebo Flash.
Clanky o porovnani bezpecnosti prohlizecu jsem cetl on NSS a na ZDNet.
.
Palo Priezvisko,2013-01-03 12:27:45
Oleg Mankirsky: toto je nazor patriaci do 90tych rokov. dnes je kazdy pocitac napojeny na internet a musi byt koli bezpecnosti plne aktualizovany. co ale predsa nieje ziadny problem, staci mat dane funkcie v kazdom programe zapnute. v dobe ked sa na vacsinu typov programov da najst zdarma opensource alternativa nieje ziadny dovod drzat x rokov stare nebezpecne a polofunkcne verzie
Toto jsem opravdu nepatří
Pavel Máca,2013-01-03 11:30:57
Každý prohlížeč každé verze má bezpečnostní nedostatky a je pouze otázkou zda o tom někdo ví.
Problémy FireFoxu: http://www.google.cz/#hl=cs&tbo=d&sclient=psy-
ab&q=mozilla+firefox+security+beat&oq=mozilla+firefox+
security+beat&gs_l=hp.3...138367.147743.3.148674.16.16
.0.0.0.0.174.955.7j3.10.0...0.0...1c.1.nUB3ADZrsJs&pbx
=1&bav=on.2,or.r_gc.r_pw.r_qf.&bvm=bv.1355534169,d.d2k
&fp=66d4f1371a9cc396&bpcl=40096503&biw=1280&bih=906
Problémy Chrome: http://www.google.cz/#hl=cs&tbo=d&sclient=psy-
ab&q=google+chrome+security+beat&oq=google+chrome+secu
rity+beat&gs_l=hp.3...15759.17254.2.17788.5.5.0.0.0.0.
101.437.4j1.5.0...0.0...1c.1.sEIYGqGYhnE&pbx=1&bav=on.
2,or.r_gc.r_pw.r_qf.&bvm=bv.1355534169,d.d2k&fp=66d4f1
371a9cc396&bpcl=40096503&biw=1280&bih=906
Jediné opravdové řešení je jako vždy triviální - dodržovat základy bezpečnosti. Na SW opravdu z pohledu bezpečnosti nezáleží.
Na čem ale záleží
Radim Dvořák,2013-01-03 11:35:13
je míra integrace prohlížeče s operačním systémem...
Ako písať Google odkazy:
Rudolf Dovičín2,2013-01-03 22:36:37
Problémy FireFoxu:
http://Google.cz/#q=mozilla+firefox+security+beat
Problémy Chrome:
http://Google.cz/#q=google+chrome+security+beat
Ako si predstavujete dodržiavanie základov bezpečnosti, pri ktorom na bezpečnosti softvéru nezáleží? (To by musel byť počítač minimálne odpojený od Internetu.)
Mordie
Vojta Bilovsky,2013-01-03 09:35:49
Taky mam "osmičku". Můžete mi někdo doporučit nějaký prohlížeč, který se nebude muset často obnovovat?
Díky
Obnovovat?
Vojtěch Kocián,2013-01-03 10:49:29
Jestli myslíte aktualizace, tak žádný takový nenajdete, všechny budou potřebovat čas od času aktualizovat, protože žádný není bez chyb a každý výrobce chce svůj produkt vylepšovat. Většina prohlížečů však není vázána na určitou verzi operačního systému a update na vyšší verzi provádějí většinou jen s jednoduchým potvrzením uživatele nebo dokonce zcela za jeho zády.
Nejjednodušší na používání bude asi Chrome nebo Opera, Velkou variabilitu nabízí Firefox a jeho klony. Řešením je také přejít na vyšší verzi IE, ale pro verzi 9 je potřeba Vista nebo Windows 7 a pro verzi 10 Windows 8. Konkrétní prohlížeč doporučovat nebudu, musíte si vybrat podle svého vkusu. Vkus je ostatně pro naprostou většinu lidí mnohem důležitější než případné bezpečnostní díry. Na ty přestanou myslet do pěti minut od dočtení podobného článku, ale na nepohodlné klávesové zkratky a špatné vykreslení stránky budou nadávat pořád.
Aktualizace
Radim Dvořák,2013-01-03 11:36:18
Operační systém a antivirovou ochranu také aktualizujete, tak v čem je problém?
časté obnovovanie
Marek Fucila,2013-01-03 20:16:37
Ak sa obávate, že vás bude prehliadač často obťažovať s tým, že je potrebné stiahnúť a nainštalovať novú verziu, tak toto už dnešné prehliadače nerobia.
Aspoň Chrome a Firefox (iné nemám overené) majú pri inštalácii predvolené automatické obnovovanie. Vy si ani nemusíte všimnúť, že od posledného použitia máte novú verziu.
Tiež sa prikláňam k názoru nainštalovať si ich viac, vyskúšať, a po čase odstrániť tie, ktoré nebudete používať.
Zmatený článek, který na Osla nepatří
Radim Dvořák,2013-01-03 02:30:18
1) Co to má společného s vědou a její popularizací?
2) Co je to "kompaktibilita"? Stlačitelnost?
3) Zmiňovaná chyba není ve verzích IE >=9 opravena, ale jsou naprogramovány jinak, tedy se v nich nevyskytovala.
4) Stará verze IE (max. 8) je spjata např. s rozšířeným operačním systémem Windows XP. Jsou ve fázi rozšířené podpory (viz http://windows.microsoft.com/en-us/windows/products/lifecycle), kdy již do nich nejsou implementovány nové technologie, tedy ani nové verze IE.
5) Normální člověk používá moderní a standardy respektující prohlížeč, vždy v aktuální verzi. Na výběr jich je několik. Pokud takový člověk používá IE, tak většinou jen na testy nebo na přístup na špatně či velmi zastarale naprogramované stránky, často různé podnikové intranety apod.
Naopak,! Moc děkuji.
Oleg Mankirsky,2013-01-03 03:38:56
Rád bych se autora zastal. Nejsem zrovna počítačově gramotný a fanda nejnovějších verzí softvare natolik, abych inovoval veškeré programy, jakmile vyjde jejich nová verze. Rád používám ty, na něž jsem si zvykl a které mi spolehlivě slouží. A jak jsem právě po přečtení tohoto článku zjistil, přes explorer osmičku se na svém počítači právě dívám na Osla. Dosud jsem žil v představě, že je všechno vpořádku. Nebýt jeho, nic bych o hrozícím nebezpečí ani netušil.A ani neřešil.... takže díky za echo! Kolegyně, mající službu se mnou, je na tom podobně, takže mám poděkovat za oba. A vlastně všechny "nenormální", kteří si prohlížeč neinovují tak často.
Diskuze je otevřená pouze 7dní od zvěřejnění příspěvku nebo na povolení redakce
