facebook
Aktuality -> Hardware - 23. 1. 2018 14:10

Hardwarové klíče na USB tokenech jsou zranitelné

Kaspersky LabZpozorněte, pokud ve vaší firmě používáte software, který je chráněný pomocí hardwarového klíče na USB flash disku. Experti z Kaspersky Lab totiž upozornili na to, že našli řadu vážných zranitelností v systému správy licencí hardwarových zařízení HASP (Hardware Against Software Piracy). Tyto USB tokeny běžně používá řada firem pro ověření softwarových licencí. USB token po vložení do počítače potvrdí, že se jedná o licencovaný software.


Soutěž - reproduktory Trust

Po prvním vložení tokenu do počítače nebo serveru stáhne operační systém Windows softwarové ovladače ze serverů dodavatele. Tím zajistí, že hardware tokenu a počítače budou spolupracovat. Jindy se ovladač nainstaluje spolu se softwarem třetí strany, který používá výše zmíněny systém ochrany licencí HASP. Odborníci Kaspersky Lab ovšem zjistili, že po své instalaci tento software zařadí počítačový port 1947 do seznamu výjimek windowsového firewallu a tím počítač vystavuje zvýšenému riziku vzdáleného útoku. Uživatele přitom na tuto akci nijak neupozorní.

Útočníkům v takovém případě stačí pouze provést sken dané sítě a najít otevřený port 1947. Ten jim umožní získat vzdálenou kontrolu nad infikovaným počítačem. Port navíc zůstává dostupný i po odpojení tokenu. Proto i v zabezpečeném a pravidelně aktualizovaném firemním prostředí útočníkům stačí pouze jednou nainstalovat software za pomoci HASP řešení nebo připojení tokenu, aby mohli následně provést vzdálený útok.

„Systémy správy licencí s využitím HW klíčů jsou velmi rozšířené, a proto nově objevené zranitelnosti mohou postihnout velké množství firem. Tokeny navíc nepoužívají jen běžné komerční společnosti, ale také organizace začleněné do kritické infrastruktury s přísnými pravidly pro vzdálený přístup. Jejich sítě by tak kvůli těmto zranitelnostem mohly být snadno vystaveny zvýšenému riziku vzdáleného útoku,“ varuje Vladimir Dashchenko z Kaspersky Lab.

Odborníci z Kaspersky Lab uživatelům USB klíčů doporučují následující opatření:


 
POINT.X
  

- Inzerce -

Implementoval GDPR za 2 dny!

Manažer e-shopu říká – to zvládnete také


xGDPR ExpressCelá řada menších firem v těchto dnech řeší jak zavést do praxe nové nařízení o ochraně osobních údajů, známé pod zkratkou GDPR. Nařízení je platné k 25. 5. 2018.

  

- Inzerce -

Roboti, chatboti, blockchain a štíhlé IT

Nenechte si ujít nové vydání časopisu IT Systems


IT Systems 1-2/2018Do nového roku vstupujeme jako obvykle dvojčíslem, do kterého jsme opět připravili pestrou nabídku témat, mezi nimiž bych chtěl upozornit především na chatboty. Aplikace, které dokáží autonomně komunikovat se zákazníkem nebo například uchazečem o práci, se totiž velmi rychle prosazují v mnoha odvětvích.