- CIO Sweden:

Sommarens snackisar inom it-säkerhet

Av

Sida 1 / 2
Ett första steg mot att inte bli hackad är att hålla sig à jour med utvecklingen på säkerhetsområdet. På sommarens säkerhets- och hackarkonferenser Black Hat och Defcon i Las Vegas glunkades det om ett antal hot under uppsegling, mot båda data och fysiska tillgångar.

1. Säkerhetshål i Java

Den största snackisen på Black Hat-konferensen är nolldagarsattacken mot Java som kopplats samman med hackargruppen Nitro i Asien. Det säger Anup Ghosh, vd på säkerhetsföretaget Invincea.

Javakoden använde en så kallad spjutfisketeknik, alltså riktat nätfiske. Flera olika nolldagarsangrepp kombinerades i webbläsaren och Ghosh uppskattar att angreppet nu finns spritt på etthundra olika webbsajter. Det har även tagits upp i den välkända verktygslådan Blackhole för cyberbrottslingar.
– Angrepp mot Java spänner över flera plattformar. Det här är en sårbarhet som Oracle sägs ha känt till sedan april månad, men någon patch är inte planerad förrän i oktober, enligt ordinarie patchcykel, säger Ghosh.
Tunga säkerhetstyckare råder nu folk att avinstallera Java, säger han. Själv tycker Ghosh det är fel väg att gå.
– Det är fel väg att gå att avinstallera Java eller att över huvud taget börja stänga av funktionalitet. För om man börjar med Java, var slutar det då? Flash? Javascript? Html 5? Webbläsaren? Internet?

2. Bakdörr till nätverkskortet


Ett hårdvarurelaterat hot är också under uppsegling.

Steve Weis, en av grundarna av säkerhetskonsulterna Privatecore, säger att nätverkskort skulle kunna programmeras med en bakdörr som kan ge hackare åtkomst till företagsnätet. Den sortens åtkomst via det fysiska lagret skulle kunna gå runt dina säkerhetsåtgärder i mjukvarulagret. Experter på konferensen räknade till och med upp specifika tillverkare och kortmodeller – vilket vi av säkerhetsskäl inte ska göra här. Håll noga reda på din kedja av leverantörer och underleverantörer, råder Steve Weis.

3. Billigt hack mot gammalt VPN

En intressant nyhet är att ett gammalt hack plötsligt har blivit mycket lättare att genomföra.

Sårbarheterna i MS-CHAPv2 (ett protokoll från NT4, Windows 95 och Windows 98) har varit kända i åratal. Tekniken kom redan 1999, men är fortfarande i bruk på sina ställen. Och även om den varit sårbar, har det hittills varit svårt att knäcka den: det har krävt rejält med både kompetens och datakraft.

Men på sommarens Defcon släpptes ett nytt verktyg, Chapcrack, som kan knäcka MS-CHAPv2 på 24 timmar till ett pris av bara 1 300 kronor.


Gratis nyhetsbrev -- Nyheter från CIO Sweden i din e-post varje vecka

Whitepaper: En kund - ett budskap - många kanaler


Vi håller just nu på att uppgradera våra kommentarsystem. Mer info om hur du kommenterar och kommer åt dina gamla kommentarer hittar du på vår FAQ: idg.se/faq

Artikelkommentatorerna ansvarar själva för sina inlägg.

OBS! Läs dessa regler som gäller vid postning av inlägg.

Regler för inlägg i artikelforumet

Kommentatorn ansvarar själv för sina inlägg. Inlägg som innehåller diskriminerande uttalanden, personliga påhopp eller språk som kan uppfattas som stötande, kommer att tas bort av tjänstgörande redaktör. Även datorkrigsinlägg och inlägg som är utanför ämnet, kan tas bort.

IDG förbehåller sig dessutom rätten att i varje enskilt fall bedöma huruvida ett inlägg ska tas bort, även om det inte faller under någon av reglerna ovan.

Upprepat postande av olämpliga inlägg kan medföra avstängning från artikelforumen.

Frågor? Mejla till redaktören, carl.grape@idg.se.

Läs mer om vår policy i diskussionsforum

Senaste nytt


Fler nyheter från CIO Sweden

- CIO Sweden:

Grönt it-center får EU-certifiering


- CIO Sweden:

Varannan anställd lämnar ut lösenord

Varannan anställd lämnar ut lösenord


- CIO Sweden:

Ny EU-kommission fokuserar på det digitala området


- CIO Sweden:

Här är CIO:ernas 12 bästa molntips

Här är CIO:ernas 12 bästa molntips


- CIO Sweden:

3 tips för bättre tidsplanering

3 tips för bättre tidsplanering


- CIO Sweden:

CMO:n missnöjd med it-miljön

Marknadschefer ofta kritiska till it-miljön


- CIO Sweden:

Så upphandlar du säkerhetsövervakning


- CIO Sweden:

15 appar för affärsresenärer


- CIO Sweden:

Jay Ferro, CIO, American Cancer Society.

CIO:er går samman i kampen mot cancer


- CIO Sweden:

Pär Eriksson, "Årets ledarutvecklare" 2013, författare till boken "Tio tankar om ledarskap"

"En bra chef är en chef som är äkta"


- CIO Sweden:

Robotar kan användas i kampen mot Ebola


- CIO Sweden:

Hon lär dig leda som Google


- CIO Sweden:

4 svarar: Hur värderar du data?

4 svarar: Hur värderar du data?


- CIO Sweden:

Digitala satsningar är viktigast i utbildningssektorn

Digitala satsningar är viktigast i utbildningssektorn


- CIO Sweden:

Ann-Marie Ovin

CIO utan traditionell it-bakgrund


- CIO Sweden:

”När förväntningar
föder frustration”


- CIO Sweden:

It-medarbetare kan ersättas av teknik

It-medarbetare kan ersättas av teknik


- CIO Sweden:

It-juristen om komplexa SLA-modeller: "Småputtande gör ingen glad"

It-juristen om komplexa SLA-modeller: "Småputtande gör ingen glad"


- CIO Sweden:

Pär Eriksson

10 tankar för ett bättre ledarskap


- CIO Sweden:

Investeringar i affärsprojekt går om traditionell it

Poddradio

Karriärpodden

Nästa event

CIO Awards 10 år

Nytt nummer ute nu

CIO Sweden 6/2014

Arena för IT

Månadens CIO

- CIO Sweden:

Ann-Marie Ovin

CIO utan traditionell it-bakgrund

Annons: Partnerkrönikor


”Hur 1+1 blir 3”

CIO Lägesrapport

Bio med CIO

Krönikor

- CIO Sweden:

Forskning vs. praktik


- CIO Sweden:

Tar robotarna våra jobb?


- CIO Sweden:

KTH & CIO Sweden presenterar 2014-års EA Symposium

CIO-bloggat

Mest läst just nu


CIO överallt

CIO Sweden på:           

Artikelarkivet

CIO överallt


Håll koll med våra nyhetsbrev – CIO-brevet, Ledarskap & Styrning och SOA/EA. Anmäl dig här!

Köp CIO Sweden som PDF i IDG Shop.

Följ oss på:           





Aktuella event

Rekryterar just nu

CS Kalender

Event för it-proffs -
anmäl ditt event här
Har du synpunkter på sajten? Kontakta sajtansvarig Alexandra Heymowska.

Kontakta CIO Sweden
  Adress: Karlbergsvägen 77, 106 78 Stockholm.
Telefon: 08-453 60 00 [Karta
  Om cookies, personuppgifter & copyright

Copyright © 1996-2012 International Data Group