Přehledy
Přehled společnosti CyberArk – Trust, Security and Passwords – říká, že externí rizika překonají v nejbližších létech rizika interních hrozeb. Tisková zpráva k této zprávě obsahuje shrnutí jejích podstatných výsledků. Viz také komentář – External attacks expected to supersede the insider threat in the next three years.
Obecná a firemní bezpečnost IT
Francie vyšetřuje počítačovou špionáž ve firmě pro obranné helikoptéry – France investigates cyber espionage at defence helicopter firm. Byla hacknuta počítačová síť firmy Turbomeca (pobočka firmy Safran) a ukradena byla data k pohonným systémům. Existuje podezření, že útočníkům pomáhal někdo zevnitř firmy.
Průšvihy okolo bezpečnosti sítí – příběhy z praxe najdete na stránce Network security blunders: Tales from the field. Michael Hamelin uvádí několik poučných historií. Souvisí s nevhodným požíváním firewallů, nevhodnými technologiemi, špatnou dokumentací, politikou, nevhodnými reakcemi v krizových situacích atd.
Příručku k bezpečnosti webů najdete na stránce 10 Important Facts About Website Security and How They Impact Your Enterprise. Jeremiah Grossman (společnost WhiteHat Security) zde rozebírá celkem deset bodů (existence zranitelností, chybná hodnocení vstupů atd.).
Nedávné průniky dat ukazují na nezbytnost existence vhodných odpovědí, říká Brian Prince – Recent Data Breaches Show Responses Matter. Mimo jiné se odkazuje na výsledky studie 2010 Annual Study: U.S. Cost of a Data Breach, Ponemon Institute. Rozebírá cesty, kterými mohou jít poškozené firmy.
Selling technology to cops, part 2 aneb jak prodávat technologie policii. To je druhá část zajímavého (ne tak tradičního) pohledu na obchodní strategie nabídek a prodeje bezpečnostních technologií. První část článku je zde:
Kladivo na francouzské uživatele: Pozor, nebezpečí úrazu!, Pavel Čepský na Lupě: Už nebude zapotřebí vymýšlet silná hesla. I tak by v extrému mohl skončit plánovaný návrh nového francouzského zákona, který nárokuje možnost získání citlivých údajů. Původní informace je pak zde – Net giants challenge French data law, také je k tomuto tématu diskuze na Schneierově blogu – New French Law Reduces Website Security.
Texas – milióny osobních informací nalezeny online – Texas exposes addresses, SSNs of 3.5 million residents. Osobní informace 3,5 miliónu občanů (jména, adresy, čísla sociálního pojištění a další údaje) byly nalezeny na veřejném serveru, kde byly online dostupné téměř celý rok. Viz – Security Alert and Safeguards. Snad však zatím tato data nebyla zneužita.
Guru Windows Mark Russinovich napsal thriller. Příběh, založený na útoku nulového dne, zaujal recenzenta a můžeme věřit, že nejenom jeho – Guns, babes, and rootkits: A Windows guru writes a thriller.
Americká policie stále více čte e-maily, IM – US Police Increasingly Peeping at E-mail, Instant Messages. Jeremy Kirk informuje o výsledcích studie The Law Enforcement Surveillance Reporting Gap. Podle jejího autora (Christopher Soghoian) má americká legislativa v tomto směru nedostatky (není znám rozsah takovýchto „odposlechů“).
The Day After aneb je americká vláda připravena na potenciální katastrofu? Zajímavý rozbor otázek národní bezpečnosti USA připravil Marc Ambinder.
Jak připravit a naplánovat bezpečnostní audit sítě – Network security audit guidelines: Inside the importance of audit planning. Tato příručka je rozdělena do několika oddílů:
- A guide to internal and external network security auditing
- Preparing for a network security audit starts with monitoring and remediation
- How to perform a network security audit for customers
- How to select a set of network security audit guidelines
Mělo by se něco udělat s fragmentací bezpečnostních řešení, říká autor článku Security fragmentation needs to end. Je to rozumný názor, sítě organizací, firem, ale i počítače jednotlivců dnes obsahují tucty ne-li stovky bezpečnostních řešení. Je ale odsud cesta ven?
Speciální zpráva – Special report: In cyberspy vs. cyberspy, China has the edge – říká: v soubojích kybernetické špionáže má Čína navrch. Tento přehledně zpracovaný a poměrně podrobný dokument je komentován také v článku China Holds the Advantage in Cyber Espionage Game.
Bezpečnost uživatelů online se odvíjí od použití zdravého smyslu – Social security begins with common sense. Článek obsahující rozhovor s Paulem Ducklinem (Paul Ducklin), který je věnován mj. phishingu na mobilních zařízeních a je zde také obsažena sada doporučení (jak k phishingu, tak i obecně k tomu, jak předcházet online podvody).
Počítačové války: EU a USA provedou společné cvičení koncem roku 2011 – EU and US agree to run joint cyberwar exercise in 2011. EU své první takovéto cvičení provedla v roce 2010 – Cyber Europe 2010 – zatímco USA jich provedly již řadu. Koncem roku také proběhne EU-US Summit ke kybernetické bezpečnosti. Má zde být aktualizována také práce společné EU-US Working Group on Cyber-Security and Cyber-Crime.
Vláda USA prezentuje svoji novu strategii: National Strategy for Trusted Identities in Cyberspace (NSTIC) – US Government Unveils New Strategy for Online Security and Privacy. NSTIC je partnerstvím mezi státním a soukromým sektorem a jejím cílem je zlepšit online bezpečnost a posílit důvěru spotřebitelů v internet. Avšak zatím je to jen strategie, vize…
Anonymous
Dopadli piráta, který se pochlubil v televizi – jeden z Anonymous? Z úvodu článku: Reportéři pořadu Complément d’enquete (volně by se dal česky nazvat například „Vyšetřování pokračuje“) televize France 2 ho nazývali „Carl“ a prozradili, že je mu méně než třicet let a prý studuje. Neukázali jeho tvář, pozměnili mu hlas. Viz také – French hacker and alleged Anonymous member arrested after bragging on TV.
Sociální sítě
Zlodějská aplikace na Facebooku infikovala nejméně 5 miliónů jeho uživatelů – Malicious Facebook app infects 5 million in 48 hours. Dokázala to během 48 hodin. Lidé se kliknutím na aplikaci dostanou na stránky, kde je „cílem lovu“ jejich digitální profil a osobní informace. V článku je vysvětleno, jak aplikace funguje a jak se chránit.
Bytaři vás vykradou podle Facebooku, z úvodu: Bytoví zloději začínají intenzivně slídit na Facebooku a dalších sociálních sítích, kde se snaží získat důvěru konkrétních lidí a zjistit jejich majetkové poměry, aby jim pak vybílili byt nebo dům.
Software
Pět volně dostupných nástrojů pro zašifrování disku (Linux) najdete na stránce 5 of the Best Free Linux Disk Encryption Tools. Ke každému z pěti nástrojů patří malý popis:
- loop-AES (Encrypt disk partitions, removable media, swap space and other devices)
- dm-crypt (Transparent disk encryption subsystem)
- cryptsetup (Configures encrypted block devices)
- SD4L (Hides complete file systems within encrypted regular files)
- TrueCrypt (Used for on-the-fly encryption)
Cain & Abel je v nové verzi 4.9.40. V článku Cain & Abel 4.9.40 released jsou popsány změny, které obsahuje tato nová verze Cain & Abel 4.9.40 nástroje pro rozkrytí hesel ve Windows.
Adobe varuje před novým útokem prostřednictvím zranitelnosti nulového dne Flash Playeru – Adobe warns of new Flash Player zero-day attack. V článku jsou vyjmenovány postižené verze. Podrobnosti jsou na stránkách společnosti Adobe – Security Advisory for Adobe Flash Player, Adobe Reader and Acrobat. Viz také komentář Briana Krebse – New Adobe Flash Zero Day Being Exploited?.
Next-Generation Firewalls: SonicWALL vs the Competition aneb firewally nové generace. Studie rozebírá devět kritických charakteristik těchto firewallů (NGFW – Next-Generation Firewalls).
Některé výsledky z provedeného testu firewallů najdete na stránce Hacker ‚handshake‘ hole found in common firewalls. Celá studie NSS Labs je za velké peníze, v článku jsou shrnuty některé poznatky.
Odborníci našli chybu v systémech pro online obchodování – How to Shop for Free Online. Security Analysis of Cashier-as-a-Service Based Web Stores. Autory studie jsou Rui Wang, Shuo Chen, XiaoFeng Wang, Shaz Qadeer (Indiana University Bloomington a Microsoft Research), rozebírají problém, který vzniká při využití třetích stran (jako jsou PayPal, Amazon Payments, Google Checkout) pro platby.
Nedostupnost administrátorských práv sníží zranitelnosti Microsoftu – Lack of admin rights mitigates most Microsoft vulnerabilities. V článku jsou komentovány výsledky, se kterými přišel BeyondTrust na základě analýzy zranitelností. Pro Windows 7 se to týká například 75 procent zveřejněných zranitelností.
Open source nástroj sqlmap pomůže při penetračních testech – sqlmap – automatic SQL injection and database takeover tool. Nástroj automatizuje proces detekce a využití chyb umožňujících SQL injection.
VLC Media Player je nyní ve verzi 1.1.9 – VLC Media Player 1.1.9 closes security holes. Jsou odstraněny některé nedávno oznámené bezpečnostní problémy.
Microsoft Issues Monster Patch Update – to je komentář k obřímu množství záplat Microsoftu z minulého týdne. Řada z nich byla bezpečnostního charakteru (devět bylo označeno slůvkem kritické). Brian Krebs popisuje jejich význam. Viz také – Microsoft fixes serious Internet Explorer, SMB flaws in record Patch Tuesday.
Desítka utilit, které byste měli mít v malých sítích – 10 must-have utilities for small networks. Užitečný seznam, i když bezpečnosti se dotýká jen okrajově. Kompletní seznam odkazů (odkud lze zmíněné utility stáhnout) najdete na stránce 10 Must-Have Utilities for Small Networks.
Sedm volně dostupných bezpečnostních nástrojů pro Linux najdete zase na stránce Seven free security tools for Linux. Katherine Noes vybrala následující tradiční nástroje:
Malware
Jak odstranit malware ve Windows – příručku věnovanou tomuto problému najdete zde – Malware Removal Guide for Windows . Je to přehledně zpracovaný materiál, navíc s řadou dalších užitečných odkazů. Opírá se o využití celé řady volně dostupných nástrojů (CCleaner, TDSSKiller, MalwareBytes' Anti-Malware, SuperAntiSpyware Portable,Hitman Pro a volně dostupné antiviry).
Nové ransomware zamkne Windows, požaduje sadu telefonátů k jejich aktivaci – Ransomware squeezes users with bogus Windows activation demand. A tvrdí, že telefonáty jsou zdarma (cha, cha) a že jsou Microsoft. Viz také – Ransom Trojan locks Windows. Telefonáty (na různá čísla) sdělí nakonec ten samý aktivační kód – 1351236.
Americké ministerstvo spravedlnosti a FBI získali povolení k likvidaci botnetu Coreflood – DOJ gets court permission to attack botnet. Zatím bezprecedentní krok umožnil vládním agenturám rozeslat kód programu, který zabrání infikovaným počítačům v dalším šíření „viru“ Coreflood a provést další kroky.
Viz také komentáře:
- In a first, feds commandeer botnet, issue ´stop´ command
- U.S. Targets Computer Network Used in ´Massive´ Hacker Fraud
K zastavení botnetu Coreflood napsal komentář také Brian Krebs – U.S. Government Takes Down Coreflood Botnet. Tento botnet se objevil před deseti lety, kdy mezi jeho cíle patřilo shození zvolených webů offline. Postupně začal být botnet využíván k tomu, aby vlastníky počítačů-obětí okrádal o bankovní informace. Další komentáře:
- FBI Shuts Down Coreflood Botnet, Zombies Transmitting Financial Data
- Američané rozprášili obří gang počítačových pirátů (bohužel, jak se v našich zprávách občas stává, titulek příliš neodpovídá obsahu informace)
- Friendly takeover: FBI controls bot PCs
Mark Russinovich je autorem článku Analyzing a Stuxnet Infection with the Sysinternals Tools, Part 1 (Analýza červa Stuxnet nástroji Sysinternals Tools, část 1). Nepochybně zajímavá analýza od jednoho z předních odborníků na systémy Windows obsahuje také řadu dalších souvisejících odkazů.
Viry
Policie odhalila v počítači okradeného muže 3800 virů a trojských koní, z úvodu: Německá policie při vyšetřování internetového podvodu nalezla v počítači oběti na 3800 virů, trojských koní a dalších škodlivých programů. O mimořádném objevu v úterý informovala agentura DPA.
Hackeři
K útoku na stránky americké pošty byl použit soubor nástrojů označovaný jako Blackhole Exploit Kit, který byl vyvinut v Rusku – Blackhole Exploit Kit Behind USPS Attack.
Britská policie uvěznila tři muže kvůli malware SpyEye – UK Police Arrest Three Men Over ‚SpyEye‘ Malware. Cílem těchto výtečníků byla (jak jinak) krádež bankovních dat. Ale – SpyEye Arrests Don´t Touch High-Level Trojan Developers.
Informace o uvěznění jiných „šikulů“ – Corrupt bank worker jailed over Trojan-powered tax scam.
Oznámen byly také útok na Wordpress a byly při něm kompromitovány citlivé části zdrojového kódu – WordPress.com Hackers Stole Sensitive Bits of Source Code. Útok na několik serverů Wordpress.com proběhl na úrovni rootu. Problém se dotýká blogů VIP zákazníků (CNN, CBS, Flickr a TED). Viz také – WordPress.com hack exposes confidential code.
Barracuda
Hacknuta byla další bezpečnostní firma – Yet Another Security Firm Breached: Employee Email, User Accounts Leaked. Jako by toho nebylo již dost. Hackeři zveřejnili data zaměstnanců, partnerů a zákazníků společnosti Barracuda. Stránky firmy byly hacknuty prostřednictvím útoku SQL injection. Podle Michaele Perone (výkonného viceprezidenta firmy) to zavinil okamžik, kdy byl špatně nastavený firewall pro webové aplikace. Viz také:
- Hacker breaks into Barracuda Networks database
- Hack attack spills web security firm´s confidential data
- Data theft at network security firm
Epsilon
Americký kongres požaduje, aby Epsilon zveřejnil více informací o svém průniku – Congress Demanding Epsilon Release More Details About Data Breach. Epsilon zatím odmítá zveřejnit, kolik e-mailových adres bylo ukradeno. Také jsou požadovány další informace ohledně časového průběhu útoku a jsou postrádána doporučení poškozeným zákazníkům.
Epsilon, tento průnik vede i k dalším problémům, nejen k phishingu, Websense upozorňuje na podvržené stránky Epsilonu, kde netušící uživatel je lákán, aby si stáhnul tzv. Epsilon Secure Connect Tool – Epsilon breach leads to more than just phishing.
Hardware
Nová metoda umožňuje lokalizovat počítač s přesností do 690 metrů – Internet probe can track you down to within 690 metres. Přišel s ní Yong Wang (University of Electronic Science and Technology, Čína) se svými kolegy z Northwestern University (Evanston, Illinois). Metoda byla prezentována na akci Usenix Symposium on Networked Systems Design and Implementation. Viz také diskuzi na Schneierově blogu – Pinpointing a Computer to Within 690 Meters.
Sony a George Hotz se dohodli – Sony and George Hotz settle. Všechny podrobnosti dohody zveřejněny nebyly, některé jsou v článku zmíněny.
Společnost RSA chystá změny v procesech přípravy a dodávání SecurID – RSA readies changes to SecurID delivery processes in wake of APT attack. Není to tak, že produkt obsahuje neopravitelnou chybu, není to tak, že dvoufaktorová autentizace je mrtvá a RSA musí přijít s něčím jiným – říká podle článku zdroj blízký společnosti RSA.
VoIP
Skype pro Android prozrazuje citlivé aplikace zlodějským aplikacím – Skype for Android Exposes Sensitive User Data to Rogue Apps. Je to díky cestě, kterou tyto informace Skype ukládá lokálně v uživatelově zařízení.
Mobilní telefony a zařízení
Britové říkají, že nejbezpečnější je BlackBerry – GCHQ division CESG says BlackBerrys are the safest phones for sensitive Government data, as it offers smartphone security guidance. GCHQ doporučila BlackBerry jako jediný chytrý telefon pro práci s citlivými údaji britské vlády.
Hrozby malware a mobilní zařízení, v této slideshow jsou demonstrovány současné hrozby vašim mobilním zařízením – Mobile Device Security: Inside Mobile Malware Threats.
Objevily se služby nabízející odemknutí iPhone bez jeho hacknutí – Websites now offering hack-free iPhone unlocking. Autor článku přesto doporučuje opatrnost. Apple může mít prostředky, kterými tyto cesty odemknutí iPhone dokážou zjistit.
Spam
Spam obsahující neidentifikované zamítnutí vede na falešný antivir – „Request rejected“ spam campaign leads to fake AV. Zdá se, že setkat se s takovýmto typem podvodu není nyní velkou vzácností. V článku jsou uvedeny technické podrobnosti. Informaci o obdobném podvodu si můžete přečíst na odkazu – ´My Naked Pic´ Scam Spreads Across Internet.
Elektronické bankovnictví
Podvodníci a hacknutí bankomatu, Brian Krebs nás seznamuje z dalšími triky „šikulů“. Tentokrát se věnuje podvodům takového typu, kdy originální části bankomatu jsou zaměněny podvrženými, ale stejně vyhlížejícími – ATM Skimmers: Hacking the Cash Machine.
Australská firma TrustDefender přichází s novou technologii, která slouží k obranám proti bankovním podvodům – TrustDefender debuts web-page fingerprinting in bank fraud fight. Specializovaný software vystopuje bankovní trojany, které manipulují s komunikací s bankovními weby. Věřím, že to může pomoci. Bohužel zároveň se pohybujeme v trendu, kdy přibývá a přibývá různých variant bezpečnostního SW.
Peněžní soumaři mají dnes vlastní infrastrukturu – Inside the The Mule Network. Idan Aharoni rozebírá dnešní situaci na tomto „odvětví“ bankovních podvodů.
Autentizace, hesla
Identity theft: Businesses are at risk aneb co se týká krádeží ID, kde jsou rizika? Michael Kassner se ve svém článku pokouší definovat body, kde je třeba být opatrným.
Phishing
Phishing jako umění, Noa Bar-Yosef vysvětluje, jak počítačová kriminalita dosahuje v tomto směru svých úspěchů – The Art of Phishing – How Cybercriminals Conduct Successful Phishing Attacks.
Elektronický podpis
Je SSL beznadějně rozbito? Zamysleme se – How is SSL hopelessly broken? Let us count the ways. Zajímavý přehled o historii SSL a problémů s ním souvisejících připravil Dan Goodin. Samozřejmě se dotýká nedávného problému společnosti Comodo. Zmiňuje také inciativy, které by měly pomoci nasměrovat další vývoj tohoto nástroje.
SSL a budoucnost autentizace, to je také hezký rozbor, jehož autorem je známý (white) hacker Moxie Marlinspike – SSL And The Future Of Authenticity. Připojena je neméně zajímavá diskuze.
Normy a normativní dokumenty
Open Group vydala normu Open Information Security Management Maturity Model (O-ISM3). Komentář k ní najdete na stránce Maturity model for information security management. Tato norma by mj. měla pomoci optimalizovat finanční investice do informační bezpečnosti a to i v návaznosti na požadavcích na shodu s řadou známých bezpečnostních norem.
Kryptografie
Šifra, s kterou přišla FBI, stále odolává – FBI wants public to help break murdered man's code. A to přestože již přišlo více než 1000 různých tipů.
Různé
Dubnové číslo indického e-zinu najdete na odkazu ClubHack Magazine. Z jeho obsahu:
- Tech Gyan – Mozilla Firefox Internals & Attack Strategies
- Tool Gyan – FireCAT
- Mom's Guide – Being Invisible on the Internet
- Legal Gyan – The Information Technology Rules, 2011
- Command Line Gyan – Configuring Apache SSL
- Matriux Vibhag – Introduction Part 2
- Poster of the month – Happy and Safe Surfing.
Starší čísla najdete na stránce CHMag.
Přehled vychází z průběžně publikovaných novinek na Crypto – News.
ČLÁNKY DO MAILU