- Hardware -

Poslední aktualizace 31.08.2017 10:49:08

Úvod  Kategorie  Podkategorie 0  1  2  3  4  5 

Datum

Název

Kategorie

Web

10.8.19

SWAPGS: bezpečnostní díra specifická pro x86 procesory - Cnews.cz 

Hardware

Cnews.cz

 


PŘEHLEDNĚ: Meltdown a Spectre změní procesory , jak ale útoky fungují?

9.1.2018 SecurityWorld Hardware
Bezpečnostní hrozba týkající se velké části v současnosti užívaných procesorů už pár dní hýbe technologickými médii. Týká se nejen stolních počítačů, ale také laptopů, chytrých telefonů, tabletů a dalších zařízení. Zranitelnosti se dělí na dva typy – Spectre a Meltdown.

Oba typy přibližuje společnost Red Hat a její ARM vývojář Jon Masters, který na odhalení a opravě zranitelností osobně pracoval.

Spectre i Meltdown fungují na principu zneužívání tzv. spekulativního vykonávání, standardního jevu u fungování procesorů. Připodobněme si jej k lépe uchopitelné situaci z reálného světa.

Zákazník pravidelně navštěvuje oblíbenou kavárnu a objednává si stále tu samou kávu; obsluha si postupem času „zvykne“ na toto pravidelné chování a začne mu kávu připravovat předem. Jednoho dne však zákazník svou objednávku změní a obsluha musí uvařit kávu jinou a novou.

Teď si k tomu přidejme prvek, že na zákazníkově kelímku, do kterého mu obsluha kávu připravuje, je napsáno jeho jméno. Když mu spekulativně připravují jeho kávu, ale zákazník si tentokrát objedná něco jiného, musí popsaný kelímek s kávou vyhodit; v tu chvíli je však informace na kelímku viditelná pro kohokoliv, kdo by jej potenciálně sledoval.

Jde o příklad spekulativního vykonávání: obsluha neví jistě, zda si zákazník objedná to, co obvykle, ale soudě podle předchozích zkušeností učiní kvalifikovaný odhad. Podobně spekulace se během našeho dne dějí běžně, protože jsou efektivní a často pravdivé. Téměř stejně fungují i naše počítače: spekulativní vykonávání umožňuje uskutečnit některé operace a procesy ještě předtím, než je zcela jasně známo, že budou potřeba. Jde o časovou úsporu.

Moderní procesory spekulativní vykonávání využívají často a jejich algoritmy se neustále zdokonalují; často dosahují až 99% přesnosti ve svých odhadech.

Potenciální zrychlení využitím spekulativního vykonávání je značné: čipy dokáží poměrně spolehlivě předpovídat, zda nastane možnost A, nebo zda budou muset vykonat jinou činnost a tím zvyšují rychlost procesů. Jde o jednu z klíčových optimalizací posledních několika dekád.

A tím se dostáváme ke zdroji zranitelností Spectre a Meltdown: pokusy o další optimalizaci spekulativního vykonávání způsobily problémy, protože vývojáři předpokládali, že celý proces je „černá skříňka“, neviditelná pro třetí stranu, a tedy i útočníky.

To se však ukázalo jako nepravda a útočníci mohou do „spekulativního okna“ proniknout a systémem následně do jisté míry manipulovat. Masters z Red Hat očekává, spolu s dalšími odborníky, že objevené zranitelnosti snadno mohou zapříčinit proměnu procesu výroby čipů do budoucna.

Meltdown je zranitelnost, při které útočník zneužívá spekulativního okna tak, aby mohl na data, která jím prošla, nahlédnout. Útok spoléhá na běžně užívané principy, standardní pro celý průmysl. Problémem je paralelní kontrola povolení k přístupu a načítání dat z mezipaměti, která není nijak řešena, neboť, jak je psáno výše, nikdo neočekával, že by na proces spekulativního vykonávání mohl někdo „nahlížet“.

Meltdown jde výrazně omezit už nyní, problém je ovšem z toho plynoucí zpomalení systému.

Spectre je o něco složitější druh zranitelnosti, princip jeho zneužití je však obdobný: útočník může z cache čerpat citlivá data. Velice náročnou záležitostí bude Spectre omezit natolik, aby již pro uživatele nemohl být hrozbou; dopad na výkon zařízení je totiž ještě výraznější; Red Hat mluví o zpomalení, které „není nevýznamné“.

Masters zdůrazňuje, že jde o zcela nové kategorie systémových zranitelností: není jasné, jak se v následujících měsících situace vyvine.


Intel: většina novějších čipů s chybami Meltdown a Spectre dostane opravu do týdne
9.1.2018 Lupa.cz
Hardware
Šéf firmy Intel Brian Krzanich na veletrhu CES v Las Vegas znovu ujišťoval, že jeho firma i další výrobci procesorů dělají všechno pro to, aby opravili nedávno zveřejněné chyby v zabezpečení svých čipů. Zranitelnosti známé pod jmény Meltdown a Spectre teoreticky umožňují útočníkům přistupovat k datům v paměti počítače či mobilního zařízení.

Podle Krzaniche Intel nemá žádné informace o tom, že by chyby někdo už v praxi zneužil. To samo o sobě samozřejmě není informace, která by mohla uživatele uklidnit. Důležitější je, že Intel by měl do týdne vydat opravné balíčky pro své procesory, které by měly chyby opravit u asi 90 % čipů vyrobených v posledních pěti letech. Zbytek novějších čipů se má opravy dočkat do konce ledna, prohlásil šéf Intelu.

Kdy (a zda vůbec) se opravy dočkají i starší procesory, zatím není jasné. Krzanich mluvil i o možných dopadech patchů na výkon procesorů. Zopakoval stanovisko Intelu, že jsou závislé na druhu jejich vytížení a Intel se do budoucna bude snažit propady ve výkonu co nejvíce omezit.

Své první opravy postupně vydávají také výrobci operačních systémů. Apple v pondělí vydal iOS 11.2.2, který obsahuje opravy pro prohlížeč Safari a jeho renderovací jádro WebKit. Svůj patch pro Windows uvolnil i Microsoft a někteří uživatelé s procesory AMD podle serveru Computerworld hlásí, že po jeho instalaci mají problémy s nastartováním systému.


V čem spočívají Meltdown a Spectre? Zneužívají optimalizací procesorů
9.1.2018 Root.cz
Hardware
O útocích Meltdown a Spectre hovoří snad všechna světová média. Jedná se vlastně o celý nový princip postihující moderní procesory. V čem ale přesně spočívají a jak je možné je zneužít? Existují dostatečně účinné záplaty?

Volně přeloženo z textu What are Meltdown and Spectre? Here’s what you need to know, jehož autorem je Jon Masters ze společnosti Red Hat. Vydáno se svolením autora.

Všechna média mluví o nově objevených bezpečnostních hrozbách, které zahrnují i napadení vlastností moderních procesorů, které pohánějí naše počítače, tablety, telefony a další přístroje. Tyto útoky se nazývají „Meltdown“ a „Spectre“ a přitahují hodně pozornosti. Lidé se (oprávněně) obávají a je samozřejmě velmi důležité aplikovat všechny dostupné softwarové záplaty, které byly pečlivě vytvořeny a zveřejněny. Přední technologické firmy, včetně Red Hatu, pracují společně na tom, aby minimalizovaly potenciální riziko útoku.

V Red Hatu jsme pracovali na zmírnění dopadů případných útoků pod standardním bezpečnostním embargem, takže jsme cíleně vytvářeli malé týmy vybavené minimálními nutnými informacemi, abychom byli připraveni ještě před veřejným odhalením celého problému. Měl jsem to štěstí, že jsem mohl být mezi těmi, kteří vedli naše snahy o řešení problémů Meltdown a Spectre, které jsou také známé jako varianty 1, 2 a 3 celé rodiny útoků, kterou Google Project Zero zveřejnil 3. ledna. V rámci našich snah jsme ve svých laboratořích reprodukovali Meltdown (variantu 3) a prozkoumali další varianty. Mezi tím jsme spolupracovali s našimi hardwarovými partnery na řešeních.

Rozumíme velmi dobře těmto chybám a máme k dispozici nejnovější analýzy i záplaty zmírňující potenciální dopad. Pokračujeme ve spolupráci s našimi partnery, zákazníky a výzkumníky při řešení této situace. Zároveň bychom rádi ostatním pomohli v pochopení těchto komplexních potíží, ideálně tak, abychom použili jazyk a pojmy, které po čtenáři nevyžadují, aby rozuměl problematice tvorby počítačových procesorů.

Pokud vás zajímají technické detaily, původní studie a související publikace jsou dostupné na webech meltdownattack.com a spectreattack.com. Mějte ale na paměti, že většina z jejich tvůrců jsou lidé s akademickým vzděláním týkajícím se architektur počítačů. Minimálně jeden z nich má v této oblasti titul Ph.D. Nebuďte tedy nešťastní z toho, že vám bude trvat dlouho, než proniknete do všech technických detailů – je to velmi komplexní a složitá problematika.

Spekulativní provádění instrukcí
Abychom mohli pokračovat, musíme pochopit něco o spekulativním provádění instrukcí. Použijeme k tomu každodenní analogii.

Představte si běžného zákazníka, který navštěvuje denně stejnou kavárnu a objednává si každé ráno stejný nápoj. V průběhu času si jej baristé zapamatují a budou znát jeho obvyklou objednávku. Protože chtějí nabídnout špičkové služby (a případně ušetřit svému zákazníkovi čas ve frontě), mohou se baristé rozhodnout, že začnou připravovat obvyklý nápoj, jakmile zákazníka uvidí vejít do dveří a zamávat na pozdrav. Jednoho dne ale zákazník změní svou objednávku. V takovou chvíli musí barista vylít v předstihu připravenou kávu a udělat novou podle zákazníkova přání.

Pojďme ještě o krok dále a představme si, že barista zná zákazníkovo jméno. Když v předstihu připraví obvyklý nápoj, rovnou fixou na kelímek jméno napíše. Pokud se zákazník výjimečně rozhodně pro změnu, celý kelímek i se jménem je vyhozen do koše. V tu chvíli je ale jméno i obsah viditelný pro kohokoliv, kdo se právě dívá.

Scénář s kavárnou zavádí spekulaci. Zaměstnanci neví jistě, zda si daný zákazník chce dát latte nebo Americano. Z historických dat ale ví, co si daný zákazník obvykle dává a mohou tak učinit kvalifikovaný odhad, aby zkrátili čas vyřízení objednávky. Podobné spekulativní odhady používáme každý den, protože se obvykle ukáží být správné a ve výsledku tak za stejný čas stihneme udělat víc.

Stejné je to s našimi počítači. Ty používají techniku zvanou „spekulativní provádění instrukcí“, aby provedly některé operace ještě dříve, než bude jisté, že budou potřeba. Předpokládá se přitom, že vše je založené na správných odhadech, které obvykle ušetří čas.

Koukáme pod ruce procesoru
V případě počítačů se toto spekulativní provádění používá k rozhodování při testech jako „pokud A, udělej toto; jinak udělej tohle“. Říkáme tomu testování podmínek a výsledkem je provádění kódu, kterému říkáme podmíněné větvení. Větev označuje část programu, kterou jsme se rozhodli provádět na základě výsledku rozhodování. Moderní procesory disponují sofistikovanými algoritmy schopnými toto větvení předvídat. Jsou tak schopné určit, jaký bude pravděpodobně výsledek rozhodovacího testu, ještě před tím, než bude skutečně proveden. V mezidobí pak spekulativně provedou kód ve větvi, kterou se bude pravděpodobně nutné za chvíli vydat. Pokud se odhad ukáže být správným, procesor zdánlivě poběží rychleji, než kdyby doopravdy čekal na dokončení testu. Pokud byl odhad špatný, procesor zahodí zpracované výsledky a běžným způsobem začne provádět kód v jiné větvi.

Algoritmy pro předvídání jsou obvykle úspěšné v 99 % případů, takže potenciální výkonnostní dopad spekulativního vykonávání kódu je významný. Ve skutečnosti jde jen o jednu z mnoha optimalizačních technik, které pomáhaly dramaticky zvyšovat výkon počítačů v posledních několika desetiletích. Pokud se správně implementuje, je zvýšení výkonu značné. Zdrojem nově objevených problémů je předpoklad, že spekulativní proces je černá skříň, do které nevidí vnější pozorovatel.

Celé odvětví se domnívalo, že cokoliv se děje během celé spekulace (proces se nazývá „okno spekulativního provádění“) je později buď potvrzeno nebo je to popřeno a bezpečně zahozeno. Ukázalo se ale, že existují způsoby, jakými mohou útočníci sledovat, co se během procesu dělo a na základě toho pak mohou se systémem manipulovat. Útočník může dokonce řídit chování předvídacích algoritmů tak, aby způsobil spekulativní spuštění těch částí kódu, které by procesor jinak nikdy neprováděl. Očekáváme, že tyto a další podobné chyby ovlivní to, jak budou procesory navrhovány v budoucnu – abychom mohli používat spekulativní provádění bez rizik.

Meltdown
Pojďme se na popsané útoky podívat podrobněji, začneme s Meltdown (varianta 3). Ten na sebe strhává více pozornosti, protože má širší dopady. Při provádění tohoto útoku je čip manipulován tak, že načte citlivá data během spekulativního okna, aby je později útočník mohl prozkoumat. Celé to stojí na běžné praxi, že je načítání dat z paměti odděleno od procesu kontroly oprávnění. Všichni doposud věřili, že je celý proces neviditelný, takže to vlastně nikomu nevadilo.

Během útoku Meltdown je pečlivě sestaven útočný kód, který bude spuštěn během spekulativního procesu. Tento kód načítá citlivá data, ke kterým za normálních okolností nemá proces přístup. Protože se ale vše provádí spekulativně, zároveň probíhá kontrola oprávnění, která není ukončena před doběhnutím daného spekulativního okna. V důsledku se do cache procesoru nahrají chráněná data. Poté se spustí druhá pečlivě připravená sekvence, která provede jinou operaci na základě získaných citlivých dat. Za normálních okolností by výsledky tohoto běhu nebyly nikdy vidět, protože by byly potichu zahozeny. Útočník ale může využít techniku známou jako analýza cache postranním kanálem a může z dočasné paměti vyčíst uložená data.

Odstranění této chyby vyžaduje změnu ve správě paměti mezi aplikacemi a operačním systémem. Představili jsme novou technologii nazvanou KPTI, která odděluje paměť tak, že bezpečná data nemohou být načtena do interní cache, pokud běží uživatelem spuštěný kód. Vyžaduje to ale další kroky, které jsou prováděny vždy, když aplikace požádá o některou akci operačního systému (tomu říkáme „systémová volání“). Tím ale přicházíme o část výkonu, jejíž velikost je dána tím, jak často daný proces volá služby operačního systému.

Spectre
Útok Spectre má dvě části. První (varianta 1) porušuje kontrolu omezení. Opět, když se spekulativně provádí kód, čip může načíst nějaká data, která jsou pak použita k lokalizaci jiných dat. V rámci výkonnostních optimalizací se ale může procesor rozhodnout načíst rovnou druhou část dat, aniž by ověřil, že první část je v definovaném rozsahu hodnot. Pokud k tomu dojde, je možné sestavit kód tak, aby byl spekulativně vykonán a načetl citlivá data do cache procesoru. Odtud mohou být získána opět pomocí útoku postranním kanálem, jak bylo zmíněno dříve.

Abychom tento problém odstranili, musíme přidat okolo celého jádra něco, čemu říkáme „načítací oplocení“ (load fences). To zabrání spekulativnímu hardware, aby provedl druhé načtení založené na tom prvním. Vyžaduje to malé, triviální a ne příliš výkonově náročné změny ve zdrojovém kódu jádra. Náš tým vytvořil nové nástroje, které pomáhají odhalit místa, kam by tento plot měl být umístěn.

Druhá část útoku Spectre (varianta 2) je v mnoha ohledech tou nejzajímavější. Pracuje s trénováním předvídacího hardware, který pak při spekulativním provádění upřednostní jiný kód než je obvyklé. Běžnou hardwarovou optimalizací je založit rozhodování o daném větvení programu na základě adresy kódu dané větve v paměti. Bohužel způsob uložení této adresy není mezi aplikacemi a jádrem operačního systému unikátní. To umožňuje natrénovat algoritmus tak, aby spustil libovolný kód, který si bude útočník přát. Vhodným zvolením existujícího jaderného kódu, který má přístup k citlivým datům, může útočník tato data načíst do cache a poté pomocí známého útoku postranním kanálem tato data získat.

Jedním z největších strašáků tohoto útoku je možnost obejít hranice mezi jádrem operačního systému a hypervizorem nebo mezi různými virtuálními stroji běžícími na společném hardware. Algoritmy je totiž možné natrénovat tak, že je spekulativně spuštěn privilegovaný kód hypervizoru (nebo jiného virtuálního stroje), který načte data a útočníkovi je zpřístupní. To vytváří vážné riziko pro privátní i veřejná cloudová prostředí běžící na nezáplatovaných serverech.

Oprava druhé části Spectre vyžaduje, aby operační systém selektivně vypínal hardware pro předvídání, kdykoliv nějaký program zavolá operační systém (systémové volání) nebo hypervizor. V takové situaci nebude žádný pokus o trénování algoritmů předán do jádra, hypervizoru nebo mezi jednotlivými virtuály na stejném serveru. Toto opatření funguje dobře, ale přináší výkonnostní postih, který není zanedbatelný. Naše záplaty ve výchozím stavu tuto změnu implementují, ale dávají správcům možnost ji vypnout. Zároveň pracujeme s linuxovou komunitou na tom, abychom dopad snížili a našli alternativu k vypnutí předvídacích funkcí. Jedna z možností je známá jako „retpoline“ a jde o speciálně sestavený kód jádra, který brání nesprávnému spekulativnímu běhu.

Nepanikařte, řešení existuje
Doufám, že vám tento článek dal nahlédnout do hlubin těchto velmi sofistikovaných útoků. Jejich zneužití není triviální, záplatování je možné a přestože jsou už dostupné některé příklady používající Meltdown (varianta 3), velcí výrobci už začali distribuovat záplaty. V průběhu času mohou být objeveny další související zranitelnosti a mohou se objevit příklady jejich zneužití. Je proto důležité sledovat bezpečnostní záplaty a aplikovat je, jakmile budou dostupné.

Je důležité mít na paměti, že tento nový druh bezpečnostních chyb byl objeven teprve před několika dny. Takže se v průběhu času mohou měnit doporučené postupy i způsoby řešení těchto problémů. Budeme i nadále spolupracovat s velkými společnostmi i open-source komunitou, abychom ochránili své zákazníky před těmito a dalšími známými zranitelnostmi a učinili Linux ještě robustnějším vůči útokům typu Meltdown a Spectre. V následujících měsících zveřejníme další informace o této činnosti. Pro více informací navštivte access.redhat.com.


Bezpečnostní chyby v procesorech Intel otevírají dveře útočníkům

6.1.2018 SecurityWorld Hardware
Před nedávnem odhalená chyba se týká velké části dosud užívaných čipů, sahá přibližně do posledních deseti let. Na opravě se podle Intelu a dalších zúčastněných firem již pracuje, některé aktualizace na hlavní operační systémy jsou již dostupné. Zprávu původně přinesl server The Register.

Ve zveřejněné zprávě Intel přibližuje rozsah škod a také opravuje některé první informace, které se dostaly na internet. Popisuje, že zneužití chyby má potenciál sbírat citlivá data z počítačů, ale že „nemá potenciál ničit, upravovat nebo mazat data“.

Zmiňuje, že zranitelnost není omezena pouze na produkty Intelu, jak původně média sdělovala. Podle analýz firmy jsou ohroženy procesory a operační systémy různých výrobců; v dokumentu se také píše o tom, že na opravě společnost spolupracuje i s AMD a ARM, tedy svými úhlavními konkurenty v oblasti procesorů.

To je však logický krok. Podobně masivní zranitelnost je špatná pro všechny a vyřešit ji je nutné co nejrychleji.

Brzké aktualizace slibuje Microsoft, Apple i některé linuxové distribuce; oprava zabraňující zneužití zranitelnosti s názvem Meltdown (o ní více na konci článku) vyšla 4. ledna pro Windows 10, dočkají se jí i Windows 7 a 8. Androidy s nejnovějšími bezpečnostními aktualizacemi jsou podle Googlu chráněny, stejně jako jeho webové služby; Chromebooky na aktualizaci teprve čekají. Prohlížeč Chrome se má opravy až dočkat 23. ledna.

Zda jsou ohroženy iPhony a iPady jasné není, laptopy a stolní PC Applu se však aktualizací dočkají. Cloudové služby pro podniky jako AWS nebo Google Cloud Platform jsou z většiny již chráněny, zbytek se oprav dočká brzy.

Spectre, druhý typ zranitelnosti, je údajně těžší na opravu a žádná dosud není všeobecně dostupná.

„Intel začal poskytovat softwarové a firmwarové aktualizace, které mají snížit účinek případného zneužití,“ píše firma. Dopady aktualizací na výkon zařízení by měly být podle firmy pro uživatele nepříliš významné, byť uznává, že závisí na konkrétním zařízení a na pracovním vytížení stroje.

Někteří experti však podle britského serveru BBC hovoří až o 30% zpomalení výkonu strojů.

Intel dále zmiňuje, že spolu s dalšími společnostmi chtěla o zranitelnosti referovat příští týden, až budou k dispozici dodatečné aktualizace; média jej však předběhla. O chybě se podle informací BBC vědělo přinejmenším šest měsíců.

To je poměrně neobvyklá situace – zjištěné bezpečnostní problémy se standardně nejprve řeší v soukromí mezi společnostmi, kterých se zranitelnost týká, a až pak se se vším jde na světlo světa. Jde o ochranné opatření, aby zločinci neměli čas zranitelnost zneužití.

Ten však nyní mají, pokud tedy přijdou na to, o jakou zranitelnost se vlastně jedná. To zatím naštěstí není přesně známo, byť již zranitelnost byla rozdělena na dva různé typy: Meltdown („roztavení“) a Spectre („přízrak“)

Meltdown se dotýká laptopů, stolních počítačů a internetových serverů s čipy Intelu; Spectre je pak problémem pro čipy všech tří hlavních výrobců a je hrozbou pro smartphony, tablety i počítače.

Dosah obou zranitelností by byl v případě zneužití drastický, dosahoval by více než 90 % stolních počítačů a laptopů a značného množství dalších elektronických zařízení.

Zločinci by měli možnost přečíst si data uložená v počítači, získat by mohli například informace o heslech nebo údajích kreditní karty.


Intel: Bezpečnostní bug se týká procesorů všech výrobců. AMD a ARM: Nás ani ne…
5.1.2018 Novinky/Bezpečnost CDR.cz
Hardware
Společně s vyjádřením výrobců k bezpečností slabině se začaly objevovat různé spekulace, kterých produktů se problém týká a kterých ne. Přehlednosti situace nepřispěly některá vágní vyjádření výrobců…

Zmatek trochu souvisí i s tím, že při popisech problémů používá každý výrobce trochu odlišnou terminologii a navíc i fakt, že diskutované slabiny jsou ve skutečnosti tři a nikoli jedna. Když poté jeden z výrobců prohlásí „tento problém se nás netýká“ a jiný „tento problém se týká všech“, může ve skutečnosti každý hovořit o něčem trochu jiném a mít tedy svůj kus pravdy, byť by se mohlo zdát, že se vyjádření různých stran vzájemně vylučují.

Úvodem nebude na škodu, pokud se velmi stručně podíváme, kde se vzala nejzásadnější část problému. Moderní procesory, aby byly rychlé, používají tzv. spekulativní provádění instrukcí. Odhadují, co po nich bude v následujících taktech žádáno a to provedou s předstihem. Pokud se ukáže, že byl odhad správný, výsledek se použije (nebo ve výpočtu pokračuje) a úloha je hotová dříve = procesor je výkonnější. Pokud je odhad chybný, výsledek se zahodí.


To se samo o sobě nezdá být nějak zneužitelné, ale lze na tom dále stavět. Pokud je totiž uživatelem vyžádáno provedení kódu, ke kterému je vyžadována vyšší úroveň oprávnění, pak je při provedení první instrukce, u které je zjištěn přístup k datům s vyšší úrovní autorizace, kód zablokován a zahozen. Jenže na úrovni spekulativního provádění mohl kód běžet dál, provést ještě další instrukci (či instrukce) a pozůstatky po těchto úkonech zůstávají ležet v cache procesoru, dokud nejsou přepsány. Protože cache nižší úrovně nebo operační paměť funguje pomaleji než cache vyšší úrovně, existuje určitý čas k těmto datům, ke kterým neměl mít uživatel přístup, přistupovat a případně si je zkopírovat a dál je využít.

Stručně řečeno, obecné využití této myšlenky je označováno jako Spectre (po onom datovém reziduu v cache) a zcela konkrétní způsob využití, který můžeme chápat jako konkrétní prvek množiny Spectre, jehož možnost využití (respektive zneužití) byla prokázána a v praxi vyzkoušena, je označován jako Meltdown.

Protože spekulativní provádění instrukcí podporují všechny moderní procesory, je otázka Spectre relevantní ve vztahu ke všem moderním procesorům. Konkrétní bezpečností slabina v podobě Meltdown ovšem byla prokázána pouze u procesorů Intel.

Proto Intel může oprávněně tvrdit, že „Podle aktuálních analýz je mnoho typů výpočetních zařízeních s procesory mnoha různých výrobců […] citlivých k těmto způsobům zneužití.“ a zároveň AMD může oprávněně prohlásit: „Nulová zranitelnost procesorů AMD z důvodu odlišné architektury procesorů AMD.“

Vždy je třeba důsledně vyhodnotit kontext. AMD (podle rozdělení zavedeného Googlem) vysvětluje, jak to je s jednotlivými typy bezpečnostních slabin, které odhalil a dokumentuje Google v rámci svého projektu Zero, během něhož došlo k jejich odhalení.

Bounds Check Bypass - (Vy)řešeno aktualizacemi softwaru a operačních systémů. Výkonnostní dopad těchto řešení je zanedbatelný. [Tento bod, který lze chápat spíše jako slabinu v softwaru než jako slabinu hardwarů, mohl být využit (zneužit) na veškerém moderním hardwaru (AMD, ARM, Intel), ale byl již vyřešen a nemá citelný dopad na výkon.]
Branch Target Injection - Odlišnost architektury AMD znamená téměř nulové riziko zneužitelnosti tohoto postupu. Doposud se nepodařilo demonstrovat, že by varianta 2 byla využitelná (zneužitelná) na procesorech AMD. [Bod z množiny Spectre.]
Rogue Data Cache Load - Nulová zneužitelnost na hardwaru AMD z důvodu odlišné architektury. [Slabina Meltdown, která se týká Intelu.]
Toto rozdělení mimo jiné vysvětluje, proč se zároveň objevují zprávy, které ve vztahu k hardwaru Intelu hovoří o zcela minimálním výkonnostním dopadu záplat stejně jako o možných výkonnostních propadů dosahujících v krajních případech i nižších desítek procent. Obojí se totiž týká řešení jiného bodu.


První bod, jak je uvedeno, je už v řadě operačních systémů zazáplatován; došlo k tomu ještě před zveřejněním informace o možném zneužití této slabiny, aby nebyla využita nějakými protispolečensky smýšlejícími živly.

Body dva a tři si bude muset pořešit především Intel a v případě bodu dva je otázkou také ARM. Bod tři je podle dosavadních informací skutečně jen specialitou Intelu a je otázkou, jak jej zvládne Intel zazáplatovat, tedy především s ohledem na to, jaký výkonnostní dopad záplata přinese.

Samotná ARM se vyjádřila velmi stručně: „Tato metoda vyžaduje lokální běh škodlivého kódu a může vyústit v přístup k datům v privilegované paměti. Našich Cortex-M procesorů, které převažují v úsporných IoT zařízeních, se to netýká.“ Nezodpovězena zůstává otázka: „A co ostatních řad?“

Co se týče způsobu distribuce záplat, očekává se, že u všech tří bodů bude řešení zahrnuto do aktualizací operačního systému, přičemž u bodu dva bude nutný i zásah do firmwaru.

Pokud jde o názvosloví, je v případě popsaných slabin obtížné najít takovou terminologii, která by byla krátká a navíc zcela korektní. Výstižnější než „bug procesoru“ je totiž označení „postup, kterým lze zneužít moderní architektonický prvek procesorů“. Nelze totiž naprosto jednoznačně říct ani to, že jde o bug procesoru, ani to, že jde o bug operačního systému. Každý má svůj podíl. Jaká názorné srovnání můžeme brát kapesní krádeže v městské hromadné dopravě. Když MHD neexistovala, neexistovaly ani krádeže v MHD. Můžeme ale jen proto tvrdit, že krádeže MHD jsou „bug MHD“? Opět jde o záležitost, která je částečně o MHD, ale částečně také o systému. Lze ji řešit na úrovni jednoho (řidič každého cestující po nástupu sváže), lze ji vyřešit druhým (vyhlásí se zákaz vstupu do MHD s čímkoli odcizitelným), ale optimální bude řešení, na kterém se budou podílet obě strany takovým způsobem, který nepřinese příliš citelné zásahy do efektivity a komfortu fungování.

Kritičtěji by ovšem bylo možné hodnotit konkrétní slabinu procesorů Intelu (Rogue Data Cache Load), k níž se poměrně ostře vyjádřil Linus Torvalds. Konstatoval, že kompetentní procesorový inženýr by zajistil, aby se spekulativní provádění isntrukcí nemohlo odehrávat napříč ochrannými doménami a tím by byl problém vyřešen. Nelichotivě se také vyjádřil k přístupu Intelu, který jedná ve stylu „není to problém jen našich procesorů“, přestože nejzásadnější a experimentálně prokázaná slabina se týká právě jich.


Z materiálů Intelu

Pokud jde o možné dopady řešení ve vztahu ke stávajícímu hardwaru, objevují se různá čísla i různé názory. Prozatím nemá smysl předjímat, jak situace dopadne. Konkrétně ve vztahu k procesorům Intelu panuje podle zdrojů webu The Verge názor, že procesory Intelu starší než Skylake budou co do výkonu penalizovány výrazněji; Skylake a novější zanedbatelně.

Protože tato bezpečností slabina je podle dosavadních zjištění zneužitelná jen lokálně (nikoli po síti) a riziko spočívá v možném získání šifrovacích klíčů a hesel, je otázkou, zda záplaty pro starší procesory, kde by mohlo dojít k vyššímu výkonnostnímu propadu, budou plošné, nebo se rozhodnutí ponechá na libovůli uživatele. Běžného domácího uživatele s Haswellem či Broadwellem asi hypotetické riziko místního útoku bude trápit méně, než jistý výkonnostní propad ve hrách a aplikacích.


První odhady byly příliš opatrné. Počítače kvůli chybě zpomalí až o polovinu

4.1.2018 Novinky/Bezpečnost Hardware
Nově objevená chyba v procesorech Intel bude mít daleko větší dopad na celkový výkon počítačů, než se původně předpokládalo. První testy naznačovaly, že rychlost procesorů poklesne v určitých početních úkonech až o 17 %. Nyní se však ukázalo, že v některých případech může být pokles výkonu až poloviční. Upozornil na to server ZDNet.
Nejrůznější testy procesorů od Intelu – a toho, jak se chovají před a po instalaci bezpečnostní aktualizace – doslova zaplavily internet. Prakticky všechny se shodují v tom, že úbytek výkonu není plošný, ale projevuje se jen při určitých pracích na počítačích.

Například při práci s videem a různými šifrovacími programy zaznamenal server Computerbase pokles výkonu pouze v řádu jednotek procent, což běžný uživatel nemá v praxi příliš šanci postřehnout.

Například při práci s databázemi však je již propad výrazně citelnější – zpravidla testy pojednávají o propadu okolo 20 %. Serveru Grsecurity však v některých testech vyšly propady výkonu pod operačním systémem Linux až o 51 %.

Sluší se připomenout, že chyba objevená v samotném jádře procesorů se týká prakticky všech desktopových platforem, tedy vedle zmiňovaného Linuxu také Windows a macOS.

AMD dává od kauzy ruce pryč
Zpráva serveru Grsecurity je zajímavá také tím, že podle ní se chyba týká i konkurenčních procesorů od AMD. A propady výkonu jsou po úpravách operačního systému stejně výrazné jako v případě Intelu.

Softwarový inženýr AMD Tom Lendecky však opakovaně prohlásil, že čipy tohoto podniku využívají zcela jinou architekturu než Intel, díky čemuž se jich aktuální problémy vůbec netýkají. Procesory totiž pracují jinak s pamětí a jádrem, a nemohou být tedy útočníky zneužity.

Lendecky však připustil, že AMD také vydalo nedávno bezpečnostní aktualizaci pro procesory. Ta se však k problémům Intelu nevztahuje.

Intel mlčí. Zatím
Na problém ve středu upozornil server The Register. V několika posledních generacích procesorů Intelu byla podle něj odhalena hardwarová chyba. Podobný bezpečnostní problém se vyskytl i u čipů platformy ARM, které využívá většina mobilních telefonů. 

Kvůli chybě mohou, zjednodušeně řečeno, počítačoví piráti propašovat virus přímo do procesoru, aniž by se před ním mohl uživatel jakkoli chránit. Intel zatím drží všechny informace k chybě pod přísným embargem, v opačném případě by jen napomohla ke zneužití kritické bezpečnostní chyby.


Chyba v procesorech. Většina počítačů na světě se zpomalí

4.1.2018 Novinky/Bezpečnost Hardware
Prakticky celý svět žije v posledních týdnech kauzou týkající se úmyslného zpomalování chytrých telefonů iPhone od společnosti Apple. Jenže nový rok přinesl ještě daleko větší problém, který se dotkne drtivé většiny počítačů na světě – kvůli hardwarové chybě se zpomalí.

Že společnost Apple úmyslně zpomaluje iPhony, vyšlo najevo krátce před Vánocemi. Americký počítačový gigant od té doby tvrdí, že to „dělá v zájmu uživatelů“. Pokud je baterie příliš stará, snižuje se uměle výkon jablečných smartphonů, aby nedocházelo k neočekávaným chybám. [celá zpráva]

A jak se nyní ukazuje, problémy se zpomalováním svých systémů bude řešit také společnost Intel – největší výrobce procesorů pro stolní počítače, notebooky a tablety na světě. Podle serveru The Register totiž byla v několika posledních generacích procesorů tohoto výrobce odhalena hardwarová chyba, která má dalekosáhlé následky.

Při pohledu na technickou stránku věci je chyba opravdu kritická. Kvůli bezpečnostní trhlině se může dostat škodlivý kód do adresního prostoru, který byl vyhrazen pouze pro jádro systému. Řeč je tedy o prostoru, ke kterému neměl uživatel jinak přístup.

Antiviry by nemusely pomoci
Zjednodušeně řečeno tak kvůli chybě mohou počítačoví piráti propašovat virus přímo do procesoru, aniž by se před ním mohl uživatel jakkoliv chránit. S adresním prostorem totiž nemohou pracovat například ani antivirové programy.

V současnosti jsou uživatelský prostor i ten pro jádro systému v procesoru mapovány společně, oprava chyby však vyžaduje jejich oddělení. A to je podle serveru The Register ten největší problém, protože po implementování záplaty dochází k citelnému zpomalení celého systému.

Vzhledem k tomu, že procesory společnosti Intel využívá více než 80 % počítačových systémů na světě, jde skutečně o problém obrovských rozměrů. Všem uživatelům – domácím i firemním – se kvůli tomu totiž sníží výkon jejich sestav.

Společnost Intel zatím drží všechny informace o chybě pod přísným embargem. Dokud nebudou záplaty nainstalované na všech počítačích, pomohlo by zveřejnění všech detailů hackerům v plánování útoků, aby mohli chybu skutečně zneužít v praxi.

Výkon nižší téměř o pětinu
Podle serveru The Register se nicméně problémy týkají procesorů Intel Core šesté, sedmé a osmé generace. Dále pak trhlina postihuje čipy Xeon v5, v6, Xeon-W a také procesory Pentium a Atom z nižších řad Apollo Lake.

Různé zahraniční servery, které se specializují na testování hardwaru, začaly okamžitě zkoušet výkon svých sestav před a po instalaci záplaty. A výsledky jsou alarmující. V některých případech totiž výkon poklesne klidně až o 17 %, tedy téměř o pětinu, což je již opravdu výrazná ztráta.

Postiženy všechny systémy
Pokles výkonu se týká především situací, kdy jsou procesory nasazeny ve firemním sektoru, například v serverech, na kterých běží nejrůznější databáze. Problém se přitom týká všech nejpoužívanějších operačních systémů, tedy Windows, macOS i linuxových distribucí, které jsou nasazovány v serverové sféře.

Velké podniky již kvůli tomu nahlásily odstávky svých systémů, aby mohly nainstalovat potřebné záplaty. Amazon své virtualizační služby vypne na několik hodin ještě tento týden, Microsoft má stejný proces údržby naplánovaný na příští středu.

Stejně tak budou postupně nuceni provést aktualizace i běžní uživatelé, neboť v opačném případě vystavují své systémy možnému riziku. Zda bude společnost Intel úbytek výkonu svým zákazníkům nějak kompenzovat, není v tuto chvíli jasné.

Týká se problém i dalších výrobců?
Jak upozornil server Grsecurity, bezpečnostní aktualizaci vydala pro své procesory také konkurenční společnost AMD. Ta však v oficiálním prohlášení tvrdí, že možnost zneužitelnosti objevené trhliny je prakticky nulová a že její procesory by neměly po instalaci trápit ztráty výkonu.

Vzhledem k tomu, že procesory AMD jsou nainstalovány jen na minoritní části počítačů, testy se soustředí především na čipy od konkurenčního Intelu. Na podrobnější výsledky si tak budeme muset ještě nějakou dobu počkat.

Podobná chyba nicméně byla objevena i u čipů platformy ARM, které využívá většina mobilních telefonů. Společnost ARM oznámila, že již poskytla nástroje k odstranění bezpečnostních nedostatků.


Intel má velký problém s procesory, oprava kritické chyby povede k jejich zpomalení
3.1.2017 Živě.cz
Hardware
Intelu hrozí velký průšvih, obsahují kritickou chybu na hardwarové úrovni
Umožňuje přístup k paměťovému prostoru pro jádro systému
Softwarový oprava bude znamenat snížení výkonu
Na herní výkon nemá zavedení KPTI vliv. Takto vypadá před a po jeho aktivaci v CS:GO.A takto v F1 2012.Při dalších operacích může dojít ke snížení výkonu při práci s archivy.Pokles byl zaznamenán i při práci s SSD. Takto vypadaly rychlosti před aktualizací……a takto po ní. Není ale jasné, zda rozdíl opravdu souvisí s KPTI.
O zpomalování procesorů se v posledních týdnech hovoří především v souvislosti s Applem a jeho iPhony. Jenže nyní to vypadá, že tahle minikauza bude brzy zapomenuta, mnohem větší průšvih totiž může postihnout Intel a většinu z jeho procesorů několika posledních generací. Za vše může chyba při práci s paměťovým systémem.

Nejdřív zkrácená verze pro ty, které nemají zájem o technické pozadí. Web The Register přinesl informace o chybě na hardwarové úrovni, která způsobuje, že se zpracovávaný kód může dostat do adresního prostoru, který je vyhrazen čistě pro jádro systému. Nyní jsou oba prostory, jak uživatelský tak pro kernel mapovány společně a přístup k nim je řízen pomocí privilegií.

Díky tomu je zrychlena práce s pamětí při přepínání mezi operacemi na uživatelské a systémové úrovni. Oprava chyby ale bude vyžadovat jejich oddělení v jádře systému, což sníží celkový výkon. U operací, které se týkají především serverového použití to může být pokles až o třetinu výkonu.

Vzhledem k tomu, že je většina informací pod embargem a zveřejněné opravě v linuxovém jádře chybí jakákoliv dokumentace, nemáme podrobné informace o samotné chybě v procesorech a stejně tak nevíme, zda se nebude týkat i AMD. Podle dosavadních indicií by se však mělo jednat pouze o procesory Intelu. Konkrétně se hovoří o modelech Core 6., 7. a 8. generace, procesorech Xeon v5 a v6, Xeonech-W a nižších řadách Apollo Lake (Atom, Pentium).

Linux, Windows i macOS
The Register vycházel primárně z reportu na LWM.net, který informuje o zavedení KPTI (kernel page-table isolation) do jádra Linuxu na konci října. Jde právě o izolaci obou adresních prostorů pro práci se systémovým a uživatelským kódem.

Aktuálně jsou oba v paměti namapovány společně a asociativní buffer TLB tak může uchovávat informace o přiřazení virtuální paměti k fyzické adrese pro oba prostory. Pokud se tedy vykonává uživatelský kód, CPU má v TLB ihned k dispozici adresování na fyzickou paměť a stejně tak když přijde na řadu kód na úrovni systémového jádra.

Jenže hardwarová chyba v procesorech vyžaduje opravu zavedením již zmíněné izolace. V takovém případě je třeba buffer TLB vyprázdnit při každé změně paměťového prostoru. Pokud CPU pracuje s programem, je v TLB uloženo adresování uživatelské části paměti, jestliže ale začne pracovat třeba s diskem, což si vyžádá volání na systémové úrovni, bude potřeba TLB vyprázdnit.

Izolace adresních prostorů bude zavedena do všech systémů. V Linuxu již je a do jádra Windows se dostane velmi brzy. V případě, že využíváte testovací program Insider Preview, pak je již dostupná v aktualizaci s označením 17063. Stejně tak se oprava zamíří do macOS.

Až o 30 % nižší výkon
Na webu se začaly objevovat první testy, které demonstrují dopad zavedení KPTI při konkrétním využití. Pro běžné koncové uživatele se toho příliš nezmění – testy na webu Phoronix ukazují, že i s opatchovaným systémem je výkon ve hrách totožný.

Klepn%C4%9Bte%20pro%20v%C4%9Bt%C5%A1%C3%AD%20obr%C3%A1zek

Klepn%C4%9Bte%20pro%20v%C4%9Bt%C5%A1%C3%AD%20obr%C3%A1zek
Na herní výkon nemá zavedení KPTI vliv (zdroj: Phoronix)
Na Computerbase potom otestovali procesor Core i7-7700K při běžných scénářích, které vídáme v obvyklých srovnávacích testech. Výraznější rozdíl byl zaznamenán pouze při práci s archivy. Stále však jde o nízké jednotky procent.

Klepn%C4%9Bte%20pro%20v%C4%9Bt%C5%A1%C3%AD%20obr%C3%A1zek
Testy Core i7-7700K před a po aktualizaci na verzi 17063 s aktivní KPTI. Nepatrný rozdíl je pouze při práci s archivy (zdroj: Computerbase)
Zároveň si na Computebase všimli většího rozdílu při práci s SSD, kdy s novou aktualizací klesnuly přenosové rychlosti o několik desítek MB/s. Tady ale není možné určit, zda za propad opravdu může zavedení KPTI nebo jiná změna v systému.

Klepn%C4%9Bte%20pro%20v%C4%9Bt%C5%A1%C3%AD%20obr%C3%A1zekKlepn%C4%9Bte%20pro%20v%C4%9Bt%C5%A1%C3%AD%20obr%C3%A1zek
Takto se liší přenosové rychlosti úložiště SSD po instalaci aktualizace (zdroj: Computerbase)
Problém značných rozměrů by ale mohl nastat v případě serverového použití a to především na straně obřích poskytovatelů jako je Microsoft, Google nebo Amazon. Právě při práci s databázemi nebo virtualizaci jsou zaznamenávány nejvyšší propady ve výkonu.

Jeden ze značně znepokojujících reportů vydali vývojáři databázového systému PostgreSQL. Ti otestovali běh databáze na procesoru Intel Core i7-6820HQ. Při aktivní izolaci adresního prostoru byl výkon nižší v nejlepším případě o 17 procent. Při nejhorším scénáři potom došlo k propadu výkonu dokonce o 23 procent. Pokud se takové výsledky potvrdí po nasazení do reálného provozu, pro většinu poskytovatelů cloudových služeb to bude znamenat velké problémy. A to nejen technické, mohou si vyžádat značné investice do hardwaru.

Velké záplatování
Že se nejedná o výstřel do prázdna, je patrné nejen z dosavadního embarga prakticky na jakékoliv informace, ale i z reakce velkých poskytovatelů. Amazon rozeslal zákazníkům využívající virtualizační služby EC2 e-mail o tom, že v noci z pátku na sobotu bude probíhat údržba, na kterou si vyhradil čtyrhodinové okno, během něhož dojde k restartování služeb a virtuální instance nebudou dostupné.

Podobný zásah potom čeká i uživatele služeb Microsoft Azure. V tomto případě bude patchování a restartování strojů probíhat od půlnoci 10. ledna.

Klepn%C4%9Bte%20pro%20v%C4%9Bt%C5%A1%C3%AD%20obr%C3%A1zekKlepn%C4%9Bte%20pro%20v%C4%9Bt%C5%A1%C3%AD%20obr%C3%A1zek
Amazon na chvíli vypne svoje virtualizační služby ještě tento týden, u Microsftu bude údržba probíhat příští středu
Tady je potřeba zdůraznit, že údržba tohoto rozsahu je naprosto výjimečná. Jen v ojedinělých případech je potřeba restartování, které způsobí nedostupnost cloudových služeb, tady virtualizačních.

Výhra pro AMD. Snad…
Na zprávy o problémech celkem logicky muselo zareagovat AMD a prvním výstupem se stal publikovaný komentář jednoho z linuxových vývojářů z AMD. Podle něj žádný z procesorů společnosti touto chybou netrpí a KPTI tak není potřeba zavádět.

Je tedy pravděpodobné, že na procesory AMD se nebude opatření v podobě izolace adresních prostorů vztahovat. Pokud by totiž vývojáři systému tuto výjimku v kernelu nezavedli, na AMD by KTPI dopadlo mnohem výrazněji než na samotný Intel. To ukazuje test na webu Grsecurity, kde serverový procesor Epyc po aktivaci KTPI přišel o 51 procent výkonu.

Klepn%C4%9Bte%20pro%20v%C4%9Bt%C5%A1%C3%AD%20obr%C3%A1zek
Nahoře výkon procesoru Epyc bez KPTI, dole po jeho aktivaci. Rozdíl až 51 % (zdroj: Grsecurity)
Žádného oficiálního vyjádření od Intelu jsme se zatím nedočkali, jistě však bude muset přijít. A to i kvůli investorům. Cena akcií AMD rychle vyskočila o 5 %, naopak u Intelu můžeme sledovat opačný trend. S úsměvem rovněž můžeme číst zprávu z před dvou týdnů o tom, že se CEO Intelu Brian Krzanich zbavil všech akcií, které mohl prodat. Utržil za ně 11 milionů dolarů a ponechal si pouze minimum, které musí na své pozici držet. Vypadá to na zajímavý start roku 2018.


Sophos nabízí UTM s podporou sandboxingu i pro malé firmy

27.4.2016 Hardware
Novou variantu svého UTM řešení – verzi 9.4 – rozšířil Sophos o technologii sandboxingu a zpřístupňuje ji tak i malým či středním firmám. Kromě toho se v UTM 9.4 objevují i funkce jako WAF, VPN a také nové hardwarové možnosti příslušného zařízení.

Ačkoliv je tradiční zabezpečení proti malware stále klíčovou součástí první linie obrany, není již nadále pro ochranu před moderními útoky dostatečná.

Většina řešení sandboxingu nové generace navržených k odhalování neznámého malware je prý ale příliš složitá a drahá na to, aby o ní mohly malé a střední podniky uvažovat.

Sophos ale představil nástroj Sandstorm, který se dodává formou předplatného. Jde o cloudové řešení, které zajišťuje ochranu proti cíleným útokům, vizibilitu a analýzu právě prostřednictvím technologie sandboxingu.

Další vylepšené funkce firmwaru Sophos UTM 9.4 podle výrobce:

WAF Persistent Session Cookies zvyšuje uživatelský komfort při práci s firemními aplikacemi, které jsou chráněny řešením Sophos UTM s omezením opakovaných výzev k přihlášení.
STAS (Sophos Transparent Authentication Suite) zajišťuje uživatelům sítě spolehlivé a transparentní ověření identity SSO bez nutnosti vlastnit klienta na koncovém bodě. STAS využívá aplikaci v rámci Microsoft Active Directory Server, která sleduje a ukládá případy autentifikace a vyměňuje si tyto informace s UTM, což uživatelům usnadňuje stanovení a vynucování bezpečnostních zásad.
IPv6 SSL VPN Support přidává u řešení UTM podporu konektivity s IPv6 VPN.


Ochráníme i těžko přístupné průmyslové IT systémy, slibuje Check Point

14.7.2015 Hardware
Bezpečnostní bránu 1200R, řešící zabezpečení průmyslových řídicích systémů (ICS) provozovaných v nejnáročnějších podmínkách, představil Check Point.

ICS využívají různé elektrické, dopravní a vodní systémy, takže útok, ať už fyzický nebo virtuální, má potenciál ochromit celý region nebo vypnout rozvodnou síť země a narušit kritické systémy a výrobní linky.

Model 1200R je podle výrobce specializovaná bezpečnostní brána určená pro nepřístupná a drsná prostředí a vzdálené nasazení, jako například v odlehlých elektrických rozvodnách nebo v závodech pro výrobu elektrické energie.

Doplňuje tak další produkty Check Pointu pro ICS a SCADA dodávaných formou softwarových bladů Firewall a Application Control a přes 200 specifických IPS signatur pro SCADA systémy.

Check Point nabízí komplexní informace o SCADA provozu i formou specializovaných zpráv o hrozbách v rámci řešení Next Generation SmartEvent.

Podle Gartneru bude „nadále docházet k narušení kybernetické bezpečnosti kritických průmyslových infrastruktur, což bude mít za následek po celém světě do roku 2019 ekologické události za více než 10 miliard dolarů, katastrofální ztráty na životech – a také bude potřeba přijmout nová nařízení.“

V roce 2014 zaznamenal ICS-CERT 245 nahlášených incidentů spojených s průmyslovými řídicími systémy v odvětvích, jako jsou výroba, energie, voda a doprava. Více než polovinu těchto incidentů způsobily pokročilé přetrvávající hrozby (APT) nebo sofistikované formy útoků.

Průmyslové řídicí systémy jsou typicky hůře zabezpečené a velmi zranitelné. Problémem je stárnutí softwaru a operačního systému, navíc obvykle nedochází k pravidelným aktualizacím a záplatám. Pokud dojde k aktualizaci, fixační záplaty ICS systémů vytváří dlouhé okno, někdy i roky, kdy jsou tyto systémy otevřené útokům.

„Jakmile kyberzločinci získají přístup k řídicímu systému, je škoda nevyhnutelná. Následky narušení bezpečnosti ICS budou drtivé. A není to otázka ‚jestli se to stane‘, ale ‚kdy se to stane‘, “ říká Dorit Dorová, produktová viceprezidentka společnosti Check Pointu.

Klíčové vlastnosti 1200R podle dodavatele:

Plně vybavená bezpečnostní brána s porty 6x1GbE a propustností firewallu 2Gb/s
Široká podpora specifických protokolů pro ICS/SCADA na trhu, včetně Modbus, MMS, DNP3, IEC 60870-5-104, IEC 61850, ICCP, OPC, BACnet, Profinet, Siemens Step7 a mnoha dalších
Kompaktní forma, bez ventilátorů a bez pohyblivých částí konstrukce překonává běžné standardy a přináší i extrémní rozsah provozních teplot od -40°C do 75°C
Brána je v souladu s těmi nejpřísnějšími předpisy: IEC 61850-3, IEEE 1613 a IEC 60068-2


Sophos prý jako první nabízí UTM s podporou Wi-Fi 802.11ac

26.5.2015 Hardware
Wi-Fi standardu IEEE 802.11ac integroval do svých UTM firewallů Sophos. Dokáže tak podle svých slov jako první chránit před hrozbami i uživatele těchto sítí.

Podpora se zabudovala do nových UTM modelů – SG 125w a SG 135w (modely SG 105w a SG 115w zůstávají u podpory 802.11n). Podle dodavatele to usnadní implementaci nového bezdrátového standardu v prostředí menších i středních firem.

Nové přístupové body značky Sophos jsou postavené na čipových sadách určených pro podnikové zákazníky a podle výrobce se pyšní speciálně navrženými anténami, vyšším výpočetním výkonem i větší pamětí než předchůdci.

Například nový přístupový bod AP 100 pro protokol 802.11ac je k dispozici za srovnatelnou cenu jako jeho předchůdci, ale nabízí třikrát vyšší výkon.

Sophos rozšířil své portfolio přístupových bodů o dva nové modely ze série AP 55 v provedení desktop/pro montáž na strop, v konfiguraci 2x2 MIMO a s dvojicí rádiových jednotek. Dále o tři nové modely ze série AP 100 určené pro podniková prostředí a splňující standard 802.11ac v konfiguraci 3x3 MIMO a s dvojicí rádiových jednotek, přístupový bod AP 100 v provedení desktop/pro montáž na zeď, přístupový bod AP 100X určený pro venkovní použití a odolný podle třídy krytí IP67 a konečně přístupový bod 100C v podobě detektoru kouře určený pro montáž na strop.

Integrované i samostatné přístupové body lze navíc spravovat přímo ze zařízení řady SG.


Seagate Surveillance HDD nabízí odtahové služby
9.10.2014 Hardware
Seagate vydala specializované monitorovací HDD Seagate představovat záchranných služeb. Navrženo speciálně pro dozor a video analytických aplikací, Surveillance HDD je disk, který používá služby pro obnovu dat, jejichž cílem je obnovit data z zlomyslnosti nebo náhodné selhání, udržet systémy v oblasti delší dobu a snížit náklady na poštovní nasazení.

Rychlý a snadný proces obnovy, Seagate Záchranné služby lze obvykle obnovit data do dvou týdnů v závislosti na typu vymáhání, se až do více než 90 procent úspěšnosti v záchraně dat. aktivována v okamžiku nákupu, záchranný plán stanoví tři roky obnovy dat na zlomek toho, co by stálo obnovení dat ztracených v důsledku cokoli od počítačových virů na přírodní katastrofy a další. "Více než 50 procent uživatelů, kteří měli nehodu s jejich úsilí zažili ztrátu dat," řekl Balaji Thangaraj, viceprezident pro výzkum v Boston Analytics. "Seagate Surveillance HDD Seagate se záchrannými službami, nabízí spotřebitelům a systémové integrátory podobně s kritickým spolehlivost, kterou očekávají v jednoduché, cenově dostupné řešení, které jim umožní získat jistotu, že jejich obsah je chráněn." sedmé generace optimalizované sledování HDD, pohon nyní expanduje kapacitou až 6 TB a je možné uložit až 600 hodin HD obsahu dělat to nejvyšší kapacita disku v oboru, navržený speciálně pro bezpečnostní aplikace. Navrženy tak, aby měřítko ukládání videa, disk obsahuje také možnosti pro rotační vibrace (RV), senzory, které umožňují, aby spolehlivě provádět v systémech s až 16 disků, takže je ideální pro malé až střední podniky, které obvykle nemají IT podporu, ale pokud se skladuje volně ložený pro HD video a zálohování jsou velmi ceněny. určen na podporu nahrávky dohledu z několika kamer, bez ohledu na jejich požadavky rozlišení Surveillance HDD podporuje až 32 kanálů a snadno zvládá vyšší zátěže zápisu vyžadované sledovacích systémů. Pohon podporuje velké streaming zátěže po delší čas schůzky průmyslu archivních a rozlišením požadavků. Tyto vlastnosti, spolu s volitelnými R / V senzorů a záchranné služby Seagate, zvýšit výkon jednotky v multi-pohonů a systémů RAID a zvyšovat hodnotu dohledu Údaje podle přináší nejvyšší integritu dat možné. Chlouba špičková spolehlivost Kontrolní HDD má 1000000hodina MTBF (střední doba mezi poruchami), který umožňuje, aby byl výrobek uchováván v oboru déle a zároveň snížit náklady na nasazení v terénu a udržování udržení zákazníků. Pohon je také navržen pro nízkou spotřebu energie a emise tepla umožňuje poskytovatelům řešení, větší flexibilitu návrhu.


TRUSTe uvádí na trh nové posouzení ochrany osobních údajů
29.7.2014 hardware

TRUSTe rozšířila svou Ochrana osobních údajů Management Platform zahrnuje důvěryhodné hodnocení, nové řešení pro posouzení ochrany osobních údajů, která se zaměřuje na potřebu specializovaných nástrojů k hodnocení rizik dat. důvěryhodného Posouzení takto komplexní a osvědčené multi-krokem procesu pomoci organizace adresa použitelné soukromí regulační a průmysl standardy, stejně jako jejich vlastní vnitřní politiky. . Sdílí několik kroků společných Soukromí | Podmínky certifikace, ale může analyzovat shodu na širší okruh právních a interních požadavků, jakož i poskytovat další funkce, jako je mapování dat a analýzy rizik Mezi klíčové funkce patří:

Vlastní Zásnubní Stanovení rozsahu
Sběr dat a Discovery
Digitální Nemovitosti Skenování a analýza
Mapování dat
Soukromí Zjištění zprávy & Gap Analysis
Analýza rizik
Doporučení a Probíhající orientační.
Příklady konkrétních případů užití pro důvěryhodné posouzení zahrnovat dvě rychlé potřebám rostoucího trhu: Ochrana Posouzení dopadů (PIA) zaměření na posouzení konkrétní produkt, program nebo mobilní aplikace, identifikovat a minimalizovat rizika pro soukromí. V závislosti na konkrétním rozsahu projektu, výstupy mohou zahrnovat mapu popisující životní cyklus dat a počáteční návrhy klíčových politických dokumentů (např. interních směrnic na ochranu soukromí a vnější ochrany osobních údajů), včetně doporučených smluvních úvah pro výrobce / partnery a další relevantní dokumenty. Safe Harbor EU pro HR Datové posouzení připravuje firmy na ověření shody s US-EU a US-Swiss Safe Harbor Framework. TRUSTe pomáhá identifikovat relevantní datové toky zaměstnanec, hodnotit politiky a praktiky vůči rámce a analyzuje veškeré otázky týkající se dodavatelů a poskytovatelů služeb, jako jsou mzdy a výhody služeb. Vyzbrojeni našimi analýzy mezera a sanačních doporučení, TRUSTe mohou pomoci při vývoji politik, vzdělávacích programů, a které vám pomohou připravit se na self-certifikačního procesu s americkým ministerstvem obchodu.


Linksys uvádí na trh Pro Series Wireless Access Point
24.6.2014 Hardware
Linksys oznámil první Pro Series Wi-Fi přístupový bod s uvedením na Wireless-AC Dual Band Access Point (LAPAC1750PRO). Nový Pro přístup Series bod nabízí pokročilé funkce vybavit malým a středním podnikům s více možnostmi správy a lepší výkon za přijatelnou cenu.

Nový model podporuje správu clusteru zjednodušit správu více přístupových bodů z jednoho rozhraní a plně přizpůsobitelné zajetí portál pro podniky přivítat návštěvníky značkového prostředí. implementovány funkce Captive Portal umožňuje bezpečné hosta Wi-Fi připojení k internetu, které je plně přizpůsobitelné, aby společnost potřebuje. Úvodní stránka hotspot může být plně značkové firmy v livreji, firemní logo a obrázek na pozadí pro více profesionální vzhled a pocit. Nová Linksys Pro přístup Series bod obsahuje dva ethernetové porty - jeden obzvláště postavený pro agregace, který pomáhá spojit více sítí připojení, které vám pomohou zvýšit propustnost a redundanci v případě, že jeden z připojení se nezdaří. Přístroj podporuje AP clustering zjednodušit správu více přístupových bodů v síti. Klastr poskytuje jediný bod správy pro až 16 přístupových bodů a umožňuje správcům zobrazení, nasadit, konfigurovat a zabezpečit bezdrátovou síť jako jeden celek, spíše než série samostatných bezdrátových zařízení. AP podporuje nejnovější 802.11ac technologie, který poskytuje až trojnásobek * zvýšení výkonu z 802.11n. Vylepšení, jako například širší 80 MHz kanály poskytují větší šířku pásma dat při práci v méně zaplněném pásmu 5 GHz prostoru. S tímto nárůstem Wi-Fi připojení na svobodě, může bezdrátový klient zažít vyšší rychlost při současné maximalizaci jejich výkonu v rozsahu a dosahu. Linksys Business Wireless-AC Dual Band Access Point chrání a zabezpečuje bezdrátovou síť s business-class bezpečnostních prvků, včetně Wi-Fi Protected Access (WPA/WPA2), ověření v síti 802.1x Authentication (ověříte, že váš AP je důvěryhodný AP v síti - lze omezit nepoctiví AP přístupu všech nebo části sítě), MAC-based ACL, Rouge AP detekce, SSID, to-VLAN mapování a Wireless Scheduler.


Plaintext Supermicro IPMI pověření Exposed
21.6.2014 Hardware
Hodně bylo napsáno o nejistotě protokolů IPMI přítomných uvnitř vestavěných řídicích systémů řízení baseboard (BMCs). Závažné zranitelnosti lze zneužít k získání dálkového ovládání přes velké servery se systémem BMCs, a to zejména v hostitelských prostředích, kde kontroloři pomáhají administrátorům vzdálenou správu klíčových průmyslových funkcí, například. A to i přes upozornění a varování významných osobností v oblasti počítačové bezpečnosti, jako je Dan Farmer a HD Moore, a záplaty od dodavatelů, novinky čím dál horší.

Tým bezpečnostní incident odpověď na San Diego bázi cloud-based poskytovatele hostingu CARI.net včera přiznal, že soubor ukládání hesel ve formátu prostého textu je otevřeno přes port 49152 . Blízko 32000 zranitelné systémy reagoval na dotaz GET / PSBlock na SHODAN hledání Motor na portu 49152; více než 9,8 milionu počítačů reagoval celkem.

"Můžete si doslova stáhnout soubor s hesly BMC z jakéhokoliv UPnP Supermicro základní deska běží IPMI na veřejném rozhraní," řekl Zachariáš Wikholm, vedoucí bezpečnostní inženýr s CARI.net.

Soubor s hesly PSBlock se nachází v souboru XML uloženého v určitém adresáři, Wikholm řekl a dodal, že oznámený Supermicro o této problematice v listopadu bezvýsledně. Wikholm řekl něco uloženo v telefonním seznamu, včetně server.pem souborů, wsman admin hesla a netconfig souborů, jsou k dispozici.

"Když jsem se pokusil oslovit Supermicro, standardní odpověď dostal bylo, že otázka UPnP už byla oprava s nejnovější verzí IPMI BIOS."
"Když jsem se pokusil oslovit Supermicro, standardní odpověď dostal bylo, že otázka UPnP už byla oprava s nejnovější verzí IPMI BIOS. Nicméně, blikající systém není vždy možné, "řekl Wikholm.

Na problémy s IPMI a BMCs nabral na obrátkách téměř před rokem, kdy farmář objevil půl tuctu kritické zranitelnosti, včetně problematiky autentizace bypass a zranitelnosti UPnP, které by mohly vést ke kořenové kompromisů. Rapid7 ČSÚ a Metasploit tvůrce HD Moore spolupracoval s Farmer provádět internetové skenování pro IPMI, se dozvěděl, že stovky tisíc serverů a zařízení byly vystaveny, některé chybí šifrování, jiní se výše uvedené slabiny ověřování.

BMCs je zapojen do základní desky nebo je add-on kartu zapojen do konektoru BMC nebo PCI slotu. V listopadu, sedm nula den zranitelnosti ve Supermicro IPMI firmware byly hlášeny Moore a byly záplatované prodejcem.

V poslední době, Farmer ujali opět s vydáním zprávy výzkumu, v němž bere velký server prodejcům úkol pro ignorování závažnosti těchto zranitelných míst .

"Mnohé z těchto problémů by bylo snadné opravit, pokud je protokol IPMI prodělal vážnou bezpečnostní prověrku, nebo v případě, strávil vývojáři moderní BMCs trochu více úsilí v kalení své produkty a poskytovat svým zákazníkům nástroje k zajištění svých serverů," Farmer napsal ve svém článku " Sold Down River . "" V tomto okamžiku, to je příliš pozdě uskutečnit významnou změnu. "

Z 9,8 milionů přístrojů, které odpověděly, že ne všechny z nich jsou Supermicro zařízení. Většina z nich jsou Embedded Linux zařízení, jako jsou domácí routery a IP kamer, a mnoho z nich běží na vložený software UPnP, řekl Wikholm. Moore odešel do skvělého detailu o zranitelnosti v UPnP , které vystavují embedded zařízení do jiného světa otázek. Wikholm řekl, že dočasná oprava je možná tím, že využívá skutečnosti, že většina systémů ovlivněných tímto problémem vystavit svůj shell od SMASH příkazového řádku.

"Pokud se přihlásíte do SMASH přes ssh a spustit příkaz" shell sh, "můžete přetáhnout do funkčního SH shell. Odtud se můžete skutečně zabít všechny "UPnP" procesy a jejich související děti, které poskytuje funkční opravu, "řekl. "To je samozřejmě, dokud systém je zcela odpojen od napájení a znovu, během kterého bude modul IPMI restartovat."

Situaci ještě více frustrující je skutečnost, celková slabost kombinací hesla vystavené na 32.000 zařízení, 3296 z nich jsou standardní uživatel kombinace jméno-heslo, včetně použití slova "heslo" jako pověření.


WatchGuard integruje kabelové a zabezpečení bezdrátové sítě
9.6.2014 Hardware
WatchGuard oznámila, že její UTM a NGFW zařízení umožňují uživatelům nasadit, konfigurovat a spravovat i kabelové a zabezpečení bezdrátové sítě pomocí jediného zařízení v "jedné tabule skla" pohledu.

Tato zvýšená funkce bezdrátové - možné uvolněním Fireware 11,9 operační systém WatchGuard -. Eliminuje potřebu dalších řešení bezdrátové řízení sítě a poskytuje IT profesionálům jednotné webové rozhraní pro správu a sledování jejich sítě v reálném čase WatchGuard Fireware 11.9 poskytuje odborníkům v oblasti IT schopnost mapovat bezdrátové přístupové body a pokrytí, změnit drátových i bezdrátových bezpečnostní politiky současně a prosazovat standardy provozu, pokrytí a bezpečnosti v rámci celé síťové infrastruktury. organizace může také vyhodnocovat provoz a kanálů konflikty, identifikovat zranitelnosti, řídit šířku pásma priorit a dokonce Mapa všech bezdrátových činnost na sousedními sítěmi, které sdílejí stejnou frekvenci. To zajišťuje, že všechny dopravní a bezpečnostní problémy jsou zřejmé a mohou být řešeny v reálném čase, včetně nepoctiví AP, které mohou napodobovat ostatní na síti. verze 11.9 z Fireware operační systém WatchGuard zahrnuje další best-of-breed služby, jako jsou: AntiVirus, AntiSpam , Application Control, ATP a DLP. Fireware také integruje WatchGuard rozměr, oceněnou velkou viditelnost dat nástroj společnosti, a to prostřednictvím jakéhokoli správu hrozeb WatchGuard zařízení.


Výkonný firemní firewall s minimální latencí nabízí Fortinet

28.5.2014 Hardware
Vysoce výkonný podnikový firewall FortiGate-1500D nové generace (NGFW, next-generation firewall) s podporou dalších bezpečnostních funkcí uvedl na náš trh Fortinet.

Novinka nabízí plné řízení síťového provozu na úrovni obsahu, aplikací, uživatelů i zařízení a podporuje i behaviorální analýzu.

Produkt je vybaven i novým operačním systémem FortiOS 5, který podporuje řízení přístupu a klíčové technologie pro ochranu před hrozbami. Zesiluje i ochranu před pokročilými hrozbami (APT, advanced persistent threats) -- díky platformě APT Framework.

Nově tak nabízí detekci pokročilého malwaru, odhalování zneužití, reputační systém založený na cloudu či engine, který umožňuje nasazovat bezpečnostní politiky na úrovni uživatelů a zařízení napříč různými službami a protokoly.

Samotný firewall má propustnost až 80 Gb/s, při využití IPS (intrusion preventiv system) a při řízení aplikací podporuje rychlost až 11 Gb/s. Navíc nabízí velmi nízká latenci o hodnotě 3 mikrosekund, takže nezpomaluje firemní síť ani neovlivňuje dostupnost služeb.

Doplňkové služby FortiGuard Subscription Services zase v reálném čase poskytují automatizovanou a aktuální ochranu i proti nejnovějším hrozbám.

FortiGate-1500D obsahuje 8 portů pro deseti gigabitový Ethernet (rozhraní SFP+) a 32 portů pro gigabitový Ethernet. Zařízení je navrženo jako úsporné i z hlediska velikosti (výška 2U).


D-Link představuje přenosný 11AC router a nabíječky
9.3.2014 Hardware
D-Link oznámila, že se nyní prodává na světě první přenosné 11AC router, Wi-Fi AC750 Portable Router a nabíječka (DIR-510L). Tento nejnovější přírůstek do rodiny D-Link o řešení konektivity umožňuje mobilním uživatelům rychle a snadno vytvořit Wi-Fi hotspot z existujícího připojení k internetu, ať už je to 3G/4G, Wi-Fi nebo Ethernet, zatímco on-the-go. Přenosný Wi-Fi Router je také vybaven vysokokapacitní dobíjecí baterie 4000 mAh, který dokáže nabíjení mobilních zařízení. Navíc se zdarma mydlink SharePort mobilní aplikace, mohou uživatelé nahrávat, stahovat a streamovat multimédia a dokumenty na paměťovou jednotku připojenou k jednomu ze dvou portů USB přenosný routeru z libovolného místa na světě. Začlenění nejnovější technologií Wireless AC750, Wi- Fi Portable Router a nabíječka nabízí uživatelům vysokou rychlost a řadu pokročilých funkcí, zajišťující vynikající rozsah a přenos dat do a z připojených zařízení. Využití technologií duálního pásma, aby se vyhnula radio přetížení a rušení, DIR-510L lze dodat celkem 750Mbps využití kombinovaných propustnost svých 2,4 GHz a 5GHz pásma. Kromě toho, každá skupina může fungovat jako samostatná Wi-Fi sítě, poskytuje možnost přizpůsobit síť podle potřeby připojení a dokonce nakonfigurovat jako host zónu poskytnout přístup k internetu pro návštěvníky bez poskytnutí přístupu ke zbytku sítě. DIR -510L poskytuje okamžité sdílení jakéhokoliv internetového připojení s vyšší zabezpečení brány firewall při připojení k sdílené veřejné připojení, a nabízí následující vlastnosti výrobku:
 

Vysoká kapacita baterie - Vestavěná nabíjecí baterie 4000mAh udrží gadgets nabitá a připravená k použití, včetně tablet
Dva porty USB - Umožňuje současné sdílení souborů a připojení modemu 3G/4G/LTE, zapojte do 3G/4G/LTE USB modem pro sdílení připojení k Internetu nebo použít USB flash disk pro přenos obsahu na různých mobilních zařízeních
mydlink SharePort - umožňuje uživatelům streamovat obsah z připojeného USB disku na více mobilních zařízení pomocí bezplatné mobilní aplikace
Snadné nastavení - Automaticky detekuje typ připojení - broadband router, mobilní směrovač, hotspot - pro optimální rychlost a úspory, uživatelsky přívětivé rozhraní ukládá informace o připojení, které pomohou udržet všechna zařízení připojit automaticky
Universal Plug and Play (UPnP) a vestavěný DLNA Server - Streams multimediální hladce a bezpečně přes přístrojů a zařízení, včetně chytrých televizorů, herních konzolí a mediálních PC
Wi-Fi AC750 Portable Router a nabíječka (DIR-510L), je nyní k dispozici na Amazon.com, Frys.com, a celé sítě D-Link maloobchodní a e-tail prodejen za $ 99.99.


Enterprise-level UTM pro domácnosti a malé kanceláře
7.3.2014 Hardware
WatchGuard Technologies oznámila, že řešení WatchGuard Firebox T10 Unified Threat Management (UTM), síťové zabezpečení zařízení, které umožňuje podnikům rozšířit výkonné zabezpečení sítě pro malé a domácí kanceláře (SOHO) prostředí.

70 procent zaměstnanců s vysokou přidanou hodnotou práce doma, alespoň jednou týdně, nové řešení umožňuje správcům sítě, aby zajistila robustní ochranu zaměstnanců, kteří jsou často spravují nejkritičtější duševního vlastnictví společností. Firebox T10 nabízí WatchGuard je cloud-based RapidDeploy schopnost, která okamžitě self-konfiguruje a začne hlásit zpět do středové konzole správce pouhým připojením přístroje. Podle nedávného globálního WatchGuard průzkumu IT odborníků, více než 82 procent umožnit zaměstnancům přístup k podnikové síti z malé kanceláři nebo Poloha domácí kancelář. Nicméně, téměř 30 procent nevyžadují bezpečnostní brány zařízení. Pro ty, kteří to pouze 23 procent vyžadují použití bezpečnostních produktů podobné těm, které používají v podnikové centrále, s funkcemi, jako je Intrusion Prevention, AntiVirus, Data Loss Prevention, kontrolu aplikací, antispam, a další. (Klikněte zde pro zobrazení kompletní SOHO bezpečnostní infographic.) V téže studii, WatchGuard také zjistil, že 56 procent cítí základní přístup VPN poskytuje potřebnou ochranu proti dnešním SOHO hrozeb. ředitel WatchGuard bezpečnostní strategie, Corey Nachreiner, říká, že přístup k VPN není kompletní zabezpečení. "Přístup k VPN již dlouho standardem pro ochranu komunikace pro zaměstnance z domova," řekl Nachreiner. "Nicméně, pokud je váš koncový bod zařízení není chráněno na stejné úrovni jako váš podnik síti VPN tunel pouze poskytuje otevřené okno do vašeho podnikání. Musíte se chránit jak a Firebox T10 navržena tak, aby, že jednoduché a nákladově efektivní . " Jak Firebox T10 valí ven na trhu, WatchGuard předpokládá malý, cenově efektivní řešení bude také apelovat na zákazníky, kteří chtějí plnou ochranu UTM pro mobilní kiosků a vozíky, takový jak ti používali v maloobchodních a zdravotnických prostředích, které se pravidelně zpracovávají kreditní karty a osobní údaje -., a musí splňovat stejné přísné PCI a dodržování standardů HIPAA jako větších kanceláří a podniků řešení přináší nejen stejné výkonné UTM možnosti jako větší modely společnosti, včetně funkčnosti RapidDeploy, ale také nabízí společnost je Nové řešení viditelnosti, WatchGuard rozměr. Tato nulová instalaci, cloud-ready nástroj poskytuje v reálném čase bezpečnostní informace, a umožňuje administrátorům mají výhled na big-data-stylu z klíčových hrozeb a použití horní webu přes celé uživatelské základny. Plus, WatchGuard UTM řešení mají plné verze best-of-breed technologií v tomto odvětví, včetně:. Antispam, antivir a filtrování URL Konečně, s Firebox T10 a plnou UTM apartmá na místě, uživatelé nebudou zažít zpoždění obvykle způsobené backhauling provoz důkladné firemní servery pro zajištění ochrany. řešení je nyní k dispozici. Ceny začínají na 395 dolarů USD (cen se může lišit v závislosti na regionu a regulace) - včetně jednoho celého roku ochrany UTM.


D-Link představuje přenosný 11AC router a nabíječky
9.3.2014 Hardware
D-Link oznámila, že se nyní prodává na světě první přenosné 11AC router, Wi-Fi AC750 Portable Router a nabíječka (DIR-510L). Tento nejnovější přírůstek do rodiny D-Link o řešení konektivity umožňuje mobilním uživatelům rychle a snadno vytvořit Wi-Fi hotspot z existujícího připojení k internetu, ať už je to 3G/4G, Wi-Fi nebo Ethernet, zatímco on-the-go. Přenosný Wi-Fi Router je také vybaven vysokokapacitní dobíjecí baterie 4000 mAh, který dokáže nabíjení mobilních zařízení. Navíc se zdarma mydlink SharePort mobilní aplikace, mohou uživatelé nahrávat, stahovat a streamovat multimédia a dokumenty na paměťovou jednotku připojenou k jednomu ze dvou portů USB přenosný routeru z libovolného místa na světě. Začlenění nejnovější technologií Wireless AC750, Wi- Fi Portable Router a nabíječka nabízí uživatelům vysokou rychlost a řadu pokročilých funkcí, zajišťující vynikající rozsah a přenos dat do a z připojených zařízení. Využití technologií duálního pásma, aby se vyhnula radio přetížení a rušení, DIR-510L lze dodat celkem 750Mbps využití kombinovaných propustnost svých 2,4 GHz a 5GHz pásma. Kromě toho, každá skupina může fungovat jako samostatná Wi-Fi sítě, poskytuje možnost přizpůsobit síť podle potřeby připojení a dokonce nakonfigurovat jako host zónu poskytnout přístup k internetu pro návštěvníky bez poskytnutí přístupu ke zbytku sítě. DIR -510L poskytuje okamžité sdílení jakéhokoliv internetového připojení s vyšší zabezpečení brány firewall při připojení k sdílené veřejné připojení, a nabízí následující vlastnosti výrobku:
 

Vysoká kapacita baterie - Vestavěná nabíjecí baterie 4000mAh udrží gadgets nabitá a připravená k použití, včetně tablet
Dva porty USB - Umožňuje současné sdílení souborů a připojení modemu 3G/4G/LTE, zapojte do 3G/4G/LTE USB modem pro sdílení připojení k Internetu nebo použít USB flash disk pro přenos obsahu na různých mobilních zařízeních
mydlink SharePort - umožňuje uživatelům streamovat obsah z připojeného USB disku na více mobilních zařízení pomocí bezplatné mobilní aplikace
Snadné nastavení - Automaticky detekuje typ připojení - broadband router, mobilní směrovač, hotspot - pro optimální rychlost a úspory, uživatelsky přívětivé rozhraní ukládá informace o připojení, které pomohou udržet všechna zařízení připojit automaticky
Universal Plug and Play (UPnP) a vestavěný DLNA Server - Streams multimediální hladce a bezpečně přes přístrojů a zařízení, včetně chytrých televizorů, herních konzolí a mediálních PC
Wi-Fi AC750 Portable Router a nabíječka (DIR-510L), je nyní k dispozici na Amazon.com, Frys.com, a celé sítě D-Link maloobchodní a e-tail prodejen za $ 99.99.


Enterprise-level UTM pro domácnosti a malé kanceláře
7.3.2014 Hardware
WatchGuard Technologies oznámila, že řešení WatchGuard Firebox T10 Unified Threat Management (UTM), síťové zabezpečení zařízení, které umožňuje podnikům rozšířit výkonné zabezpečení sítě pro malé a domácí kanceláře (SOHO) prostředí.

70 procent zaměstnanců s vysokou přidanou hodnotou práce doma, alespoň jednou týdně, nové řešení umožňuje správcům sítě, aby zajistila robustní ochranu zaměstnanců, kteří jsou často spravují nejkritičtější duševního vlastnictví společností. Firebox T10 nabízí WatchGuard je cloud-based RapidDeploy schopnost, která okamžitě self-konfiguruje a začne hlásit zpět do středové konzole správce pouhým připojením přístroje. Podle nedávného globálního WatchGuard průzkumu IT odborníků, více než 82 procent umožnit zaměstnancům přístup k podnikové síti z malé kanceláři nebo Poloha domácí kancelář. Nicméně, téměř 30 procent nevyžadují bezpečnostní brány zařízení. Pro ty, kteří to pouze 23 procent vyžadují použití bezpečnostních produktů podobné těm, které používají v podnikové centrále, s funkcemi, jako je Intrusion Prevention, AntiVirus, Data Loss Prevention, kontrolu aplikací, antispam, a další. (Klikněte zde pro zobrazení kompletní SOHO bezpečnostní infographic.) V téže studii, WatchGuard také zjistil, že 56 procent cítí základní přístup VPN poskytuje potřebnou ochranu proti dnešním SOHO hrozeb. ředitel WatchGuard bezpečnostní strategie, Corey Nachreiner, říká, že přístup k VPN není kompletní zabezpečení. "Přístup k VPN již dlouho standardem pro ochranu komunikace pro zaměstnance z domova," řekl Nachreiner. "Nicméně, pokud je váš koncový bod zařízení není chráněno na stejné úrovni jako váš podnik síti VPN tunel pouze poskytuje otevřené okno do vašeho podnikání. Musíte se chránit jak a Firebox T10 navržena tak, aby, že jednoduché a nákladově efektivní . " Jak Firebox T10 valí ven na trhu, WatchGuard předpokládá malý, cenově efektivní řešení bude také apelovat na zákazníky, kteří chtějí plnou ochranu UTM pro mobilní kiosků a vozíky, takový jak ti používali v maloobchodních a zdravotnických prostředích, které se pravidelně zpracovávají kreditní karty a osobní údaje -., a musí splňovat stejné přísné PCI a dodržování standardů HIPAA jako větších kanceláří a podniků řešení přináší nejen stejné výkonné UTM možnosti jako větší modely společnosti, včetně funkčnosti RapidDeploy, ale také nabízí společnost je Nové řešení viditelnosti, WatchGuard rozměr. Tato nulová instalaci, cloud-ready nástroj poskytuje v reálném čase bezpečnostní informace, a umožňuje administrátorům mají výhled na big-data-stylu z klíčových hrozeb a použití horní webu přes celé uživatelské základny. Plus, WatchGuard UTM řešení mají plné verze best-of-breed technologií v tomto odvětví, včetně:. Antispam, antivir a filtrování URL Konečně, s Firebox T10 a plnou UTM apartmá na místě, uživatelé nebudou zažít zpoždění obvykle způsobené backhauling provoz důkladné firemní servery pro zajištění ochrany. řešení je nyní k dispozici. Ceny začínají na 395 dolarů USD (cen se může lišit v závislosti na regionu a regulace) - včetně jednoho celého roku ochrany UTM.


Miliony ukradené přes Bluetooth-umožnil skimming zařízení
31.1.2014 Hardware | Bezpečnost
Třináct osoby byly obviněny Manhattan okresního prokurátora pro krádež obětí bankovních informací s skimming zařízení na čerpacích stanicích po celé jižních Spojených státech, a používat tyto informace k ukrást, a pak vyprat, více než 2.000.000 dolar za použití bankomatů a bank na Manhattanu.

Obžalovaní jsou také obviněn z praní špinavých ukradené peníze tím, že vklady a výběry hotovosti z ukradených výnosů dolů $ 10,000 ve více než 70 různých bankovních účtech. Čtyři vedení obžalované - Garegin Spartalyan, 40, Aram Martirosian, 34, Hayk Dzhandzhapanyan, 40, a Davit Kudugulyan, 42 - jsou účtovány v rámci 426-počítat obvinění z praní špinavých peněz, držení kradeného majetku, krádeže ve velkém měřítku, držení padělání zařízení a kovaných nástrojů na druhého stupně. Mezi další obžalovaní jsou každý obviněn z praní špinavých peněz. Podle dokumenty předložené u soudu, použité kreditní karty skimming zařízení kopírovat připíše danou částku na čtyři nejlepší obviněných a čísla ATM, stejně jako čísla kolíčkovými jednotlivci používané při čerpacích stanic Raceway a Racetrac celém Texasu, Gruzie a Jižní Karolína. se sbíráním zařízení byly vnitřně nainstalován, a proto nezjistitelné obětem, kteří zaplatili u čerpadel. Zařízení bylo také Bluetooth, takže žalovaní neměli fyzicky odstranit skimming zařízení za účelem získání ukradené osobní identifikační informace. Tyto špičkové obžalovaní pak údajně zakódováno, že odcizení informace na padělané karty. Přibližně od března 2012 do března 2013 se používají tyto padělané karty vybírat hotovost z bankomatů v Manhattanu, a poté uložen že ukradené peníze na bankovních účtech v New Yorku, které se stanovenými. Ostatní členové systému pak u bank v Kalifornii a Nevadě ihned stáhl ty peníze. Každý z transakcí obviněných bylo pod $ 10,000. Oni byli údajně strukturovány takovým způsobem, aby se zabránilo jakékoli požadavky na podávání zpráv o peněžních transakcí vyplývajících z právních předpisů a zamaskovat povahy, vlastnictví a řízení výnosů z trestné činnosti obžalovaných. Ze dne 26. března 2012 k 28 březnu 2013, obžalovaní jsou obviněni z praní špinavých přibližně 2.100.000 dolar.


D-Link záplaty Backdoor v routerech

3.12.2013 Hardware | Zranitelnosti

D-Link má oprava backdoor dárek v řadě svých směrovačů, která byla zveřejněna před necelými dvěma měsíci a mohla útočníkovi umožnit vzdáleně přistupovat administrativní panel na hardware, spustit kód a provést libovolný počet změn.

Den díkůvzdání přehlídka oprava řeší problém v řadě postižených směrovačů, většina z nich se staršími verzemi, které jsou stále v oběhu a do značné míry nedotčené spotřebitelů zejména.

Účastnické zařízení , jako jsou bezdrátové směrovače, Modemy a ostatní set-top zařízení představují skutečný problém zabezpečení, protože opravy vyžaduje aktualizaci firmwaru, které jsou často ignorovány. Je tu spousta výzkumu také, že zkoumá rizika, která představují nejen kočárku routery, ale jiné domácnosti a malé firmy síťové zařízení.

S využitím dostupných nástrojů a on-line vyhledávačů, jako je Shodan, snadno útočníci mohou najít na Internetu čelí vybavení, které je zranitelné, a zaměřit se na ty krabice s libovolným počtem využije nebo skriptů se zaměřením na slabých nebo výchozí pověření, takže někdo vzdálený přístup k zařízení.

Problém D-Link je mnohem závažnější vzhledem k přístupu, že si může dovolit vzdálenému útočníkovi. Výzkumník Craig Heffner hlášeny najít chybu v říjnu, řekl, že útočník používá určitý řetězec "xmlset_roodkcableoj28840ybtide" by přístup k webovému rozhraní řady různých směrovačů D-Link bez pověření.

D-Link směrovače DIR-100, DIR-120, DI-624S, DI-524UP, DI-604S, DI-604UP, DI-604 + a TM-G5240, spolu s Planex routery BRL-04R, BRL-04UR a BRL -04CW také použít stejný firmware, řekl Heffner. Revize firmwaru vydané minulý čtvrtek jsou pro DI-524, DI-524UP, DIR 100 a DIR-120 routery D-Link uvedl ve svém poradenství.

"Různé routery D-Link umožňuje administrativním interetové akce, pokud žádost HTTP obsahuje zvláštní User-Agent řetězec," řekl originální poradenské společnosti. "Tento backdoor umožňuje útočníkovi obejít autentizaci heslem a přístup k administrativní webové rozhraní routeru."

Backdoors v hardwaru, jako je síťové zařízení jsou obvykle pro účely vzdálené správy. Výzkumník Travis Goodspeed řekl Heffner, že tento trojan je určitým binárním používá ve firmwaru umožňuje správci použít tento konkrétní řetězec, aby se automaticky překonfigurovat nastavení zařízení.

"Můj odhad je, že vývojáři si uvědomili, že některé programy / služby potřebné, aby bylo možné automaticky měnit nastavení zařízení, uvědomil si, že webový server již má k dispozici všechny kód změnit toto nastavení, se rozhodli, že stačí poslat žádost na webový server, kdykoliv oni potřebovali něco změnit, "napsal Heffner. "Jediný problém byl, že webový server vyžaduje uživatelské jméno a heslo, které koncový uživatel mohl změnit."


Bezpečné Dropbox dat pomocí hardwarového zabezpečení tokenu
23.11.2013 Hardware | Zabezpečení
Vnitřní ID povolený Saturnus , což je aplikace, která umožňuje podnikům chránit digitální aktiva uložené a sdílené na Dropbox.

S Saturna, soubory jsou zašifrovány před tím, než opustí přístroj a nahrát do cloudu. Šifrovací klíče jsou generovány a spravovány uvnitř (USB) hardware tokenu zabezpečení zapojen do zařízení uživatele. Co odlišuje řešení Saturnus je, že bezpečnost je v řízení koncového uživatele a zakotvena jak v hardwaru a softwaru prostřednictvím soukromých a místních klíčů. Saturnus je ideální pro podniky, jak to dělá bezpečný přístup k datům snadno spravovat a provádět . USB tokeny mohou být předány zaměstnanci, stejně jako odznak pro vstup do budovy. To umožňuje file-by-souboru šifrování a sdílení, takže uživatelé mohou vybrat konkrétní data, která chcete zabezpečit. Saturnus využívá hardwarové technologie pro jiskrovou bezpečnost (HIS) bylo vyvinuto a patentováno Jiskrová-ID. HIS technologie chrání tajné klíče, používané Saturna a přidává další vrstvu ochrany. Namísto udržování klíče v pouze software, bezpečnost je zakotvena v hardwaru. Tajné klíče jsou extrahovány z hardwarových vlastností čipové karty čipu v USB tokenu, jako `elektronického otisku prstu" slouží k ukotvení cloudu data s fyzickým zařízením se. Vzhledem k tomu, že klíče nejsou přítomny, když je přístroj vypnutý, je dosaženo velmi vysoké úrovně zabezpečení. HIS technologie přichází s referenčními pověření a prověřenými ve smart karty, vládních, automobilový průmysl, sítí a telekomunikací. "S miliardy souborů každý den synchronizovat přes Dropbox, průmysl je jasně přechodu na "sync a podíl" model, který poskytuje větší flexibilitu a jednoduchost použití, ale také představuje větší bezpečnostní rizika, "řekl Pim Tuyls, generální ředitel Jiskrová-ID. "Náš oznámení bere tuto pracovní paradigma na novou úroveň tím, že zabezpečení bezproblémové část rovnice. S naším řešením, mohou uživatelé snadno "zajistit, synchronizace a sdílení" svá data a podniky si mohou být jisti, že data jsou v bezpečí. " Saturnus Promotion Bundle je k dispozici pro podniky na 59,99 EUR (bez DPH). Balíček obsahuje jeden USB tokenu a tříletou licenci softwaru Saturnus. V současné době oba Android 4.x a Windows XP / 7 zařízení jsou podporovány.


SafeToGo USB 3.0 flash disk hardwarovým šifrováním propuštěn

12.11.2013 Šifrování | Hardware

Cardwave spolupracuje s BLOCKMASTER vyrábět novou generaci vysoce zabezpečených USB disků kompatibilních 3.0 Flash. Nové zařízení bude obvykle pracovat na 2 až 3 krát rychleji než konvenční zařízení USB 2.0.

SafeToGo splňuje požadavky na zabezpečení pro organizace, které používají USB flash disky pro přepravu důvěrných dat. Nabízí podnikové třídy bezpečnosti se 100% hardwarové šifrování a ochranu heslem. Přístroj může být také plně spravované prostřednictvím serveru SafeConsole BLOCKMASTER, který byl inovován, aby zahrnovala podporu pro ShieldShare -. Bezpečné sdílení souborů řešení pro firmy "Bezpečnost dat by mělo být nejvyšší prioritou, když zaměstnanci manipulaci a cestování s citlivými informacemi. To se stává samozřejmostí přečíst o závažných případů ztráty dat nešifrovane jsou USB zařízení v omyl pracovníky a organizace jsou vystaveny nejen komerčně poškození únikem informací, ale významné pokuty, které mohou být tisíce liber, "říká Paul Norbury, Cardwave CEO. Jeho komentář přišel poté, co se některé články v posledních letech podrobně Katastrofální důsledky porušení v oblasti bezpečnosti dat a důsledek nepoužíváte šifrované USB disky. "Organizace mohou ztratit kontrolu umístění a zabezpečení svých dat velmi rychle. Z tohoto důvodu je nezbytné, aby společnosti nasadit správné řešení a využití hardwarové šifrované flash disky, které se opírají o komplexních bezpečnostních strategií, "uvedl Norbury.


Huawei: Chceme být otevření a transparentní

3.11.2013 IT | Hardware
Čínská společnost Huawei chce být transparentnější, aby svět přesvědčila o tom, že se nesnaží sledovat globální komunikaci pro čínskou vládu.

Společnost založil bývalý vojenský důstojník Žen Čeng-fej v roce 1987 a celých 25 let držel většinu obochodních operací v tajnosti, ale nyní se společnost rozhodla, že začne být otevřenější. „Chceme být otevření a transparentntí a chceme, aby lidé rozuměli tomu, kdo jsme,“ řekl Skott Sykes, vedoucí oddělení pro mezinárodní mediální styk. „Oproti nedávné minulosti je to velká změna.“

Huawei se doposud soustředil na porozumění obchodním výzvám, na výzkum a na vývoj nových produktů. „Mysleli jsme, že se všechno ostatní vyřeší samo, ale to mohlo být trochu naivní,“ přiznal.

Společnost sídlící v Šen-čenu měla za minulý rok obrat 35,4 miliard dolarů. Obvykle své výrobky prodává operátorům, ale nedávno se začala soustředit i na firmy, což znamená, že je pod větším tlakem společnosti.

„Je důležité, aby lidé věděli, kdo jsme a jaké jsou naše záměry,“ dodal Sykes a vysvětlil, že je pro Huawei kvůli čínskému sídlu transparentnost důležitější než pro ostatní.

Huawei publikuje své roční finanční výsledky již od roku 2000. Tento rok má však výsledky pro audit KPMG mnohem detailnější, zpráva má více než 100 stran.

„Dnes uveřejňujeme informace, o kterých by veřejná společnost ani nepřemýšlela, a to i přesto, že k tomu nejsme nikým nuceni a nemáme takovou povinnost, vzhledem k tomu, že jsme soukromá společnost,“ dodal Sykes.

Nejvíce problémů má Huawei ve Spojených státech, které se obávají, že čínská firma svá zařízení vylepšuje zadními vrátky, které může využít čínská vláda ke špehování americké komunikace.

„Pokud ukončíme obchodní vztah s USA, důvodem bude jejich protekcionismus,“ řekl Sykes. „Samozřejmě je to o něco komplikovanější. Mohla by se k tomu přidat i politika a možná sinofóbie, ale hlavním důvodem je obchodní protekcionismus. Jsme připraveni, ochotni a dostupní sloužit operátorům a zákazníkům ve Spojených státech, ale pravdou je, že v dohledné budoucnosti nevidíme žádnou významnou obchodní příležitost.“

I přesto však Huawei věří, že se časem přístup USA změní. „Jednoho dne snad vyhraje pragmatizmus,“ řekl. „ Žádné jednoduché řešení této výzvy neexistuje.“

Huawei ve středu oznámil, že zajistil smlouvu za 700 milionů dolarů. Nahradí výbavu dánského mobilního operátora TDC (kterou dosud zajišťoval konkurenční Ericsson) svými vlastními výrobky.

Zda snaha o transparentní přístup něco změní, se teprve uvidí, ale cíl společnosti – dosáhnout ročního obratu 60 miliard do roku 2017 – na tom pravděpodobně závisí.


Arbor Networks zlepšuje jeho sítě intelligence
6.10.2013 Hardware | Software

Arbor Networks oznámila, škálovatelnost a výkon vylepšení Peakflow SP. Mnoho z předních světových poskytovatelů služeb a největších provozovatelů podnikové sítě spoléhají na Peakflow platformě Arbor SP aktivně pomoci odrazit pokročilé hrozbám, jako botnety a objemová a aplikační vrstvě DDoS útoků , čímž by se posílila dostupnost a kvalitu svých služeb. Arbor Peakflow SP platforma zahrnuje dvě hlavní složky, Peakflow SP a Threat Management System (TMS). Peakflow SP kombinuje celou síť detekce anomálií a dopravní inženýrství s carrier-class TMS je zvládání hrozeb, která automaticky detekuje a odstraňuje útočit pouze provoz při zachování jiné obchodní provoz. Nové funkce a výhody Peakflow SP 6.0: Flexibilní licencování a virtuální nasazení

Nezávislá platforma a softwarových licencí, podpora pro virtuální stroje.
Nižší náklady na kapitálové výdaje, levnější nákup a expanze, menší minimální hardware.
Rychlejší nasazení a aktualizace a nižší celkové náklady na vlastnictví.
Škálovatelnosti a zlepšení výkonu
5X zvýšení počtu směrovačů podporuje na kolektoru proudění Arbor a za Peakflow nasazení SP, umožňuje zákazníkům rozšířit zákazníka okrajů jejich síti.
3X zvýšení NetFlow sbírky (toky za sekundu), což umožňuje lepší viditelnost a detekce infiltrace.
2X nárůst počtu spravovaných objektů, což umožňuje zákazníkům spravovat více zákazníků na nasazení.
5X nárůst počtu uživatelů, zvyšuje dosah řízených služeb DDoS.
Útok zmírnění zlepšení
Nový TMS 2300, což je software upgradovat z 1Gb na 10 Gbps na zmírňování kapacity.
Nový útok protiopatření a vylepšené Cloud Signalizace funkčnosti "cloud signalizace."
Až 4 TB celkové kapacity na zmírnění nasazení


Vedle IP kamer chce Axis ovládnout i přístupová řešení

27. září 2013. Hardware
Axis představil síťovou dveřní jednotku A1001 s vestavěným webovým rozhraním a podle svých slov tak vstupuje na trh přístupových systémů.

Jednotka A1001 je prý prvním neproprietárním ovladačem přístupu založeným na otevřeném IP protokolu. Je základem pro dvě různá řešení – prvním je Entry Manager (AXIS A1001 s vestavěným softwarem), jenž je vhodný pro malé až střední provozy – jako například kanceláře, malé firmy a obchody – s typicky 10 dveřmi a základními požadavky na kontrolu přístupu.

Druhé je určeno pro větší podnikové systémy, kdy je A1001 vhodná díky otevřenému rozhraní pro programování aplikací. To umožňuje partnerům Axisu pro vývoj aplikací (ADP – Application Development Partners) plnit různé požadavky konkrétních zákazníků na funkcinalitu.

V první fázi se do vývoje řešení, jež zahrnují integraci videa a vyspělé funkce pro řízení kontroly přístupu zapojili tito partneři: Aimetis, Genetec, IMRON, Milestone, NextLevel a OnSSI.

Na trhu se jednotka objeví ve 4. čtvrtletí 2013, a to nejprve ve Spojených státech. Daslší země budou následovat. Podle analytické firmy IHS má celosvětový trh se systémy pro kontrolu fyzického přístupu hodnotu přibližně 3 miliardy dolarů (2012) a do roku 2017 jeho hodnota vzroste zhruba na 4,2 miliardy, což představuje průměrný roční nárůst ve výši 7 procent.

„Posunutí inovace produktů do oblasti kontroly fyzického přístupu je ve vývoji Axisu přirozeným krokem vzhledem k tomu, že mezi kontrolou přístupu a dohledovým videem existuje velmi silné propojení. Trh s produkty pro kontrolu fyzického přístupu nyní dospěl na práh, kdy dojde k jeho posunu k otevřené IP technologii,“ řekl Ray Mauritsson, prezident a CEO společnosti Axis Communications.

Další vlastnosti síťové dveřní jednotky A1001 podle výrobce:

Otevřená architektura, která umožňuje snadnou integraci video systémů, detekce narušení chráněného prostoru a dalších systémů.
Podpora pro napájení přes datovou síť (protokol Power over Ethernet) s cílem snížit nutnost používat oddělené napájecí a datové kabely.
Údaje o držitelích karet a konfigurace systémů se automaticky ukládají a synchronizují mezi jednotlivými ovladači a jednotky je možné administrovat z jakéhokoli počítače v rámci systému.
Lze využít jako „samostatné“ řešení s jednou jednotkou pro každé dveře a s pevnou cenou na jedny dveře. Umožňuje libovolnou rozšiřitelnost a není nutné používat tradiční centrální ovladač, který obsluhuje vždy více dveří najednou - 4, 8, 16 nebo 32 dveří.
Podpora pro většinu stávajících protokolů čteček a jejich typů a pro standardní IT a bezpečnostní zařízení, jako jsou například dveřní zámky a senzory polohy dveří.
Průvodce instalací a barevně odlišené konektory pomáhají uživatelům provést instalaci snadno a ověřit, zda jsou dveřní zámky, čtečky a další zařízení připojena správně.
API rozhraní je vytvořeno tak, aby splňovalo specifikace ONVIF Profile C, což umožní vzájemnou spolupráci klientských míst a zařízení systémů pro kontrolu fyzického přístupu (PACS – physical access control systems) a IP video systémů.


Výzkumníci: Neviditelný hardwarový trojský kůň možný

19.09.2013 Viry | Hardware | KyberSecurity
Tým bezpečnostních výzkumníků z USA a Evropy zveřejnil pojednání ukazující na to, jak mohou být integrované obvody v počítačích i armádním vybavení během výrobního procesu napadeny pomocí neodhalitelných změn na úrovni tranzistorů.

Pojednání jako příklad účinnosti této metody popisuje, jak by mohla být použita k upravení a oslabení generátoru náhodných čísel na procesoru Ivy Bridge.

Tento výzkum je prvním, který popisuje možnost vložení hardwarového trojského koně do procesoru bez dodatečných obvodů, tranzistorů či jiných zdrojů, popsal Christof Paar, vedoucí fakulty informačních technologií na německé Rúrské univerzitě.

Podle Paara jsou hardwarové trojské koně předmětem výzkumu již od roku 2005, kdy americké ministerstvo obrany vyjádřilo znepokojení nad tím, že se armáda spoléhá na integrované obvody vyráběné v zahraničí.

Jednotlivé bloky obvodu v jediném mikročipu často navrhuje několik různých subjektů, vyrábí je jedna zahraniční firma, druhá je balí a třetí distribuuje, což podle pojednání vedlo k problémům s důvěrou a k obavám o bezpečnost.

V průběhu let věnovali výzkumníci pozornost spíše nacházení způsobů, jak tyto zákeřné součásti v hardwaru, které byly do čipu záměrně umístěny během výrobního procesu, nalézt a odstranit, především v případech, kdy mají čipy sloužit například armádě. Celkem překvapivě se však mnohem méně pozornosti věnovalo tomu, jak by mohl někdo hardwarového trojského koně v první řadě sestavit a implementovat.

Předchozí výzkumy popisovaly hardwarové trojské koně skládající se z malých až středních integrovaných obvodů přidaných do procesoru během vytváření vrstvy jazyka popisu hardwaru. Poslední výzkum oproti tomu ukazuje, jak může být trojský kůň umístěn v pozdější fázi výroby, a to změnou dopování v několika tranzistorech.

Dopování je proces, který modifikuje elektronické vlastnosti křemíku přidáním různých „nečistot“, například boru, fosforu nebo galia, jeho přepnutím přestanou části integrovaného obvodu fungovat tak, jak by měly.

Změny se odehrávají na úrovni atomů a podle Paara je opravdu těžké něco takového zpozorovat. „Opticky nelze poznat rozdíl,” řekl. Trojský kůň je tak odolný proti většině detekčních technik.

Kryptolog a bezpečnostní výzkumník Bruce Schneier nazval sabotáž, kterou výzkumníci ve své práci popisují, jako „nerozpoznatelnou funkčními zkouškami ani vizuální prohlídkou“. Nejhorším zneužitím této techniky je podle Schneirera úprava generátoru náhodných čísel. „Tato technika by mohla snížit množství entropie v hardwaru ze 128bitové na 32bitovou, aniž by to vestavěné testy zaznamenaly.“ Takže zatímco by uživatel předpokládal, že generátor náhodných čísel produkuje silné 128bitové šifrovací klíče, ve skutečnosti by generoval pouze snadno prolomitelné 32bitové.


Self-healing zabezpečení systému BIOS od HP
18. září 2013. Zabezpečení | Hardware
Společnost HP oznámila, HP biosféry s SureStart techniky, sebeléčení řešení zabezpečení vytvořen s cílem pomoci organizacím lépe spravovat rizika a chránit uživatele a produktivitu IT. HP biosféry s SureStart technologie byla vyvinuta s HP Labs, společnost je centrální výzkumná rameno a může automaticky obnovit Systém BIOS počítače již dříve bezpečného stavu v případě napadení nebo je poškozen. Toto bezešvé schopnost přináší "budoucnost," technologický průlom k HP EliteBook zákazníky tím, že konečný PC BIOS obranu. Společnost HP přidala HP SureStart řešení jeho vícevrstvého HP Client Security portfolia řešení s cílem poskytnout zákazníkům ještě silnější bezpečnostní protokol, který brání proti neoprávněný přístup k systému. IT se neustále za úkol chránit důvěrné informace, včetně zaměstnanců identit a údaje o zákaznících napříč různými zařízeními. To je třeba opravit celou řadu lidí s různými pracovními styly celé organizace dělá neočekávané podnikové IT bezpečnostních hrozeb trvalou výzvu. "bezpečnostní situace se stala složitější, neboť hrozby stále rafinovanější a zaměstnanců vyžadují flexibilitu zařízení se shoduje s jejich měnící se pracovní prostředí , "řekl Lorri Jefferson, ředitel, tablety a Software Strategie společnosti HP. "Tato nabídka průlom zabezpečení jsou jednoduché, bezešvé řešení, které by řešily tyto sbíhající se trendy přináší podnikovým zákazníkům Ultimate Fighting mechanismus pro zmírnění rizika, hrozby a negativní obchodní výsledky." biosféra HP s technologií SureStart je prvním řešením svého druhu, aby prakticky bez přerušení produktivita pro podnikové uživatele tím, že zabrání korupci a poskytování samoléčbu před malwarem nebo nepravděpodobný neúspěšných aktualizací systému BIOS počítače. Bez ohledu na důvod, úmyslné nebezpečný útok, neznámé příčiny, nepodařilo aktualizace nebo jiné náhodné příčiny HP SureStart obnoví PC BIOS pro další uživatele produktivity a snížení IT help desk požadavky. S HP SureStart zákazníci již nebudou muset starat o bezpečnost jejich PC Aktualizace systému BIOS. Bezpečnost a spolehlivost vylepšení jsou dodávány přímo zákazníkovi, přes web nebo zákazníka interní webové stránky. Tento out-of-the-box řešení je založeno na biosféře HP, HP špičkové firmware ekosystému, který zahrnuje HP BIOS a zabezpečený integrovaný řadič. Biosféra HP umožňuje jak HP Client Security a klienta obûti řešení pro řízení tím, že automatizuje ochranu dat, stejně jako robustní konfigurovatelnost a možnosti správy pro obchodní počítačů HP. HP SureStart technologie poskytuje maximální ochranu před útoky škodlivého softwaru z PC BIOS, prevenci uživatele prostoje a IT podpora požadavků. V kombinaci s HP BIOS Protection, (2) roztok zjistí, zabraňuje, zprávy a umožňuje automatické obnovení pokročilých perzistentních hrozeb (Apts). To udržuje vládní a obchodní profesionály v bezpečí před cybercrimes zvyšující produktivitu a zároveň získat klid.


Vědci vytvořit nezjistitelné layout úrovni hardwaru trojské koně
17. září 2013. Viry | Hardware
Skutečnost, že většina počítačového hardwaru je produkována mimo USA a Evropě je již dlouho představila starost vlád těchto zemí, a pro podniky a korporace se sídlem v nich. jsou především obavy o bezpečnost integrovaných obvodů používaných ve vojenských zařízeních, průmyslové řídicí systémy, zdravotnické a jiné důležité zařízení, a jsou si vědomi, že možnost hardwarových trojské koně jsou integrovány v nich během výrobního procesu není vůbec přehnané. Skupina výzkumníků z několika univerzit v USA, Švýcarsku, Nizozemí a Německo se nedávno zveřejnila dokument zabývající se právě této možnosti, a navrhly za "velmi nenápadný přístup k realizaci hardwaru trojské koně pod úrovni hradel". "Často okruh bloky v jednom IC jsou navrženy různými stranami, vyrábí externí a případně off-shore slévárna, baleny samostatné společnosti a dodává nezávislý distributor. Toto zvýšené využívání out-sourcing a agresivním používání globalizace ve výrobě okruhu dala vzniknout několika otázky důvěry a bezpečnosti, neboť každý ze zúčastněných stran potenciálně představuje bezpečnostní riziko, "poukázali, a dodal, že hrozba hardwaru trojské koně se očekává pouze s časem zvyšovat, a to zejména s nedávným obavám kybernetická válka. Jejich Není to první výzkum do vytvoření hardwarové Trojan, ale je mezi prvními ty, které místo přidání další obvody pro konstrukci IC je již soustředěna na změnu příměsí polaritu několik jeho tranzistorů. "doping" tranzistor se provádí zavedením nečistot do své struktury za účelem změny jeho elektrické vlastnosti. Předchozí výzkumy se podařilo, aby se jim nepodaří před tím, než by měl mít, ale tato skupina se podařilo, že ochrana poskytovaná Intel generátor náhodných čísel (RNG), slabší, než bylo zamýšleno, a vytvářet skryté boční kanál do implementace AES sbox v aby unikat tajné klíče. Ale nejdůležitější ze všeho je, jejich modifikace zmást řadu společných metod Trojan testování, které je součástí optical inspekce a kontroly proti "čipy zlatých" (tj. konečné, ověřené příkladem toho, jak by měl vypadat, že čip a být) . "Pro našeho nejlepšího vědomí, naše dopant bázi trojské koně jsou nejprve navrhoval, provedeno, testovány a hodnoceny layout-level hardware trojské koně, které mohou dělat více, než působí jako denial-of-service trojských koní založených na účinkům stárnutí", které uzavřena.

pdf


Americké úřady pootevírají dveře zařízením Samsung

Samsung se snaží prosadit v úřadech, které dříve akceptovaly pouze BlackBerry. Je to počátek nové éry pro výrobce mobilů i pro interní oddělení IT.

IT | Hardware

Platforma společnosti BlackBerry (dříve Research in Motion) byla donedávna jediná, která splňovala striktní požadavky na bezpečnost. Tato luxusní pozice se ale začala v posledních letech otřásat. V říjnu minulého roku Pentagon oznámil plány umožnit i jiným výrobcům nabízet své platformy. To byla těžká rána pro BlackBerry, kterou v té době pronásledovaly problémy se zaostávajícím softwarem a zařízeními.

Imigrační úřad USA byl první, který ke změně platformy mobilů skutečně přikročil, když loni svá BlackBerry začal nahrazovat iPhony. Samsung od té doby nechal projít bezpečnostními testy a certifikacemi svá zařízení rodiny Galaxy a podle nepotvrzených zpráv v současné době Samsung jedná o velké zakázce s FBI a americkým námořnictvem.

Podle komentátorů současné dění ukazuje, že Apple i Google dohonily BlackBerry a vyrovnaly se s bezpečnostními standardy, které BlackBerry kdysi pomáhal nastavovat. Současně se oddělení IT jednotlivých agentur konečně „vyrovnávají“ s myšlenkou rovnocenné podpory více mobilních platforem.

Jedním z důvodů, proč se Pentagon vůbec snaží otevřít vůči jiným výrobcům, je přístup k novým a inovativním aplikacím. Mobilní svět již léta zažívá přechod od zařízení orientujících se na maily k ekosystémům postaveným na množství specializovaných aplikací.

Principiálně lze data chránit na úrovni zařízení nebo jednotlivých aplikací. Ochrana na úrovni telefonu je nejpohodlnější pro IT, ale výsledkem bývá značná režie a zatížení prostředků malého zařízení. Požadavky vládních agentur na bezpečnost také značně přesahuji běžnou praxi korporací. Je to pochopitelné, hlavním cílem firem je nabídnout svým uživatelům nástroje pro zvýšení produktivity a bezpečnost bývá kompromisem s ohledem na tento cíl. Vládní agentury a úřady musí na druhé straně trvat na maximálním zabezpečení dat a kompromisy nejsou možné.

Samsung sází na své řešení KNOX, které integruje do bezpečnostně optimalizované instalace Androidu. Obsahuje aplikační kontejner, který umožňuje správcům oddělit osobní aplikace a data od citlivých údajů a korporátních aplikací. Současně souborový systém využívá šifrování AES-256 a jednotlivé aplikace si mohou spouštět vlastního klienta VPN.

Taková řešení představují značný pokrok mobilního světa za poslední desetiletí, ale stále ještě je nelze považovat za dozrálá a ověřená řešení srovnatelná se svými protějšky ve stolních počítačích a serverech.