Zero Day Weekly: Mozilla smash Flash, FireEye's pain, americký účet za krádež identity

Vitajte v Nultý deň týždňa v bezpečnosti, náš súhrn dôležitých bezpečnostných správ za týždeň končiaci 17. júla 2015. Zahŕňa správy a podnikanie; je alergický na tlačové správy: Enterprise, kontroverzie, správy a ďalšie.

• Tím podpory Mozilly sa rozhodol blokovať všetky verzie prehrávača Flash Player z prehliadača Firefoxkým spoločnosť Adobe nevydá opravu. Blok, ktorý oznámil vedúci podpory Firefoxu Mark Schmidt, prichádza v reakcii na nedávny objav dvoch kritických zero-day chýb v prehrávači Flash Player.

• Táto správa o Mandiant's FireEye stážista je pribitý v masívnom Darkode žihadle FBI je bolestivé vzhľadom na to, že miláčik ministerstva vnútornej bezpečnosti je prvým, kto si nárokuje certifikáciu SAFETY Act. Potom, čo bol FireEyeov (teraz bývalý) chlapík, vytváral a predával malvér Dendroid
  prichytený pri globálnom policajnom bodnutí Operation Shrouded Horizon, ktorá vymazala fórum o kyberzločine Darkode – spolu s celkom 70 administrátormi a členmi z 20 krajín.

• Deväť amerických zákonodarcov podporuje návrh zákona, ktorý by, ak by bol schválený poskytovať bezplatné pokrytie doživotnej ochrany proti krádeži identity obetiam porušenia ochrany údajov Úradu pre personálny manažment (OPM). Zákon RECOVER, ktorý zaviedla Rep. Eleanor Norton (D-D.C.) začiatkom tohto týždňa by zahŕňalo poistenie krádeže identity pre straty až do výšky 5 miliónov dolárov.

• Salesforce zavádza a nová sada služieb platformy Salesforce1 navrhnuté tak, aby zákazníkom v podniku ponúkali nástroje na zabezpečenie a dodržiavanie predpisov. Služba, ktorá je teraz všeobecne dostupná, ponúka vstavané, združené služby, ako je archivácia, monitorovanie, šifrovanie a audit pre aplikácie postavené na platforme Salesforce1. Salesforce hovorí, že nástroje drag-and-drop odľahčujú bežnú záťaž pre podnikové IT oddelenia, čo je dodržiavanie interných zásad riadenia a priemyselných predpisov v prostredí cloudových aplikácií, ktoré je rýchle inovácie.

Hej, weboví vývojári? Nerob to. Nezakazujte vkladanie do polí hesla. Odrádza od silných, generovaných hesiel. pic.twitter.com/4n3QqXvgff

-- Ryan Joy (@atxryan) 7. júla 2015

• Dva Zakladatelia OKCupid vyzbierali 10,8 milióna dolárovpre ich nový podnik, Keybase, kryptografický „hobby projekt“, ktorý si začal žiť vlastným životom. "Stali sme sa ambicióznejšími," napísali zakladatelia OKCupid Max Krohn a Chris Coyne v blogovom príspevku v stredu. "Máme nový cieľ: priniesť kryptomeny s verejným kľúčom každému na svete, dokonca aj ľuďom, ktorí tomu nerozumejú."

• Sprievodným projektom VMware k Project Photon je Project Lightwave (Lightwave). Lightwave zahŕňa jednotné prihlásenie, autentifikáciu, autorizáciu a certifikačnú autoritu a služby správy kľúčov certifikátov na zabezpečenie kontajnerových aplikácií. Tento projekt je nielen bezplatný a otvorený, je tiež pripravený na podnikanie.

• Nastal zmätok okolo a „falošná položka Kiosku“ pre iOS (z výpisu súboru HackingTeam): Táto aplikácia nezdá sa, že je pripravený na nasadenie. Ako je to práve teraz, jediný spôsob, ako to dostať do zariadenia so systémom iOS, je fyzický prístup k zariadeniu. Rozvinul sa aj Hacking Team aplikácia pre Android, ktorá by mohla dynamicky spúšťať užitočné zaťaženie škodlivého softvérua objavila sa v obchode Google Play ako neškodná spravodajská aplikácia.

Agentúra financujúca tento podvod je šokovaná, že moja hodina hackovania obsahuje „informácie o hackovaní“. Nie som si istý, či to dokážem opraviť.

-- Sam Bowne (@sambowne) 17. júla 2015

• Black Hat USA práve zverejnená, vôbec prvá výskumná správa o účastníkovi momentky priemyslu explodujúceho s rastom, ktorý stále nevyriešil svoje najpálčivejšie problémy. Správa z prieskumu takmer 500 špičkových bezpečnostných profesionálov – všetkých minulých účastníkov Black Hat USA – odhaľuje neustále problémy s náborom a sektor, ktorý priznáva, že sa necíti pripravený na cielené útoky.

• Tu je ďalší dôvod upgrade starého počítača so systémom Windows XP: Microsoft teraz má prestali poskytovať antivírusové podpisy pre operačný systém, ktorý nie je podporovaný. Dokonca aj po ukončení podpory pre ctihodný OS v apríli minulého roka spoločnosť Microsoft naďalej poskytovala svoje nástroj na odstránenie škodlivého softvéru a aktualizácie Microsoft Security Essentials – teda až do tohto týždeň.

Roztomilé: Urobte svoju aplikáciu pre Android „bezpečnou“, ale dynamicky sťahujte kód, stiahnite si lokálny priv exploit: http://t.co/dunIvoWW4K Škodlivý kód Google Play.

-- Nicholas Weaver (@ncweaver) 17. júla 2015

• Verizon vo štvrtok spustila na kľúč spravovanú bezpečnostnú službu, ktorá, ako dúfa, osloví podniky všetkých veľkostí. Podniková jednotka telekomunikačného giganta načrtla Unified Security Services (USS). Služby budú dostupné v troch úrovniach a sú navrhnuté ako tím pre bezpečnosť IT v krabici. Verizon využije svoje sieťové znalosti na ochranu sietí a dát prúdiacich do podniku.

• In Kolo aktualizácií spoločnosti Microsoft na júl, spoločnosť vydala 14 aktualizácií oprava desiatok zraniteľností v mnohých produktoch spoločnosti Microsoft vrátane Windows a Office. Tri (MS15-065 pre Internet Explorer, MS15-070 pre Microsoft Office a MS15-077 pre Windows) sú aktívne zneužívané hackermi, uviedol Dustin Childs z HP na Twitteri.