Bezpečnostní střípky: marketingový gigant Epsilon, další velký datový průnik

11. 4. 2011
Doba čtení: 13 minut

Sdílet

Pravidelný pondělní přehled informací vztahujících se k problematice bezpečnosti IT. Z novinek právě uplynulého týdne vás upozorníme především na zprávy bezpečnostních firem, informace k bezpečnosti chytrých mobilů a také na doporučení k tomu, abyste se nestali další z mnoha obětí phishingu.

Přehledy

Byla vydána zpráva (společnosti Hewlett-Packard) – 2010 Top Cyber Security Risks Report. Komentář k této zprávě najdete na stránce Attack Toolkits, Web Plugins Top Cyber-Weapons in 2010: HP anebo zde – Top cybercrime weapon: Web exploit toolkits.

Symantec zveřejnil svou dvacetistránkovou zprávu (vychází každoročně, toto je již 16. pokračování) -Symantec Internet Security Threat Report. Trends for 2010. Komentář k ní najdete na stránkách:

Dále – byl vydán přehled HCCA: Data Privacy: How Big a Compliance Challenge. Pro přístup k němu je nezbytná registrace. Komentář k výsledkům přehledu najdete na stránce Data breach mistakes feared more than attackers.

Ze zprávy, kterou připravily PandaLabs vyplývá, že v průběhu prvních tří měsíců 2011 tvořily trojany 70 procent veškerého malware – Quaterly Report PandaLabs (January-March 2011). Komentáře k této zprávě si lze přečíst na stránkách:

Průzkum GFI Software říká, že polovina českých firem nevyužívá systematické sledování událostí v počítačových sítích – Průzkum GFI Software. Z úvodu: Riziko zneužití dat vlastními zaměstnanci podceňuje 55 % podniků a nutnost shody s průmyslovými a právními normami téměř tři čtvrtiny podniků. Mnoho českých podniků a organizací se vystavuje hrozbám vyplývajícím z nedostatečného sledování událostí v počítačových sítích. Specializované nástroje pro tzv. log management, tedy systémy pro správu logů, kam se denně zapisují miliony událostí generované jednotlivými zařízeními na síti, využívá jen polovina českých podniků…

Obecná a firemní bezpečnost IT

Hacked off: Protect your email from a breach aneb jak chránit svůj e-mailový účet před průnikem. Rik Ferguson zde formuluje několik doporučení (pozor na e-mailové adresy ze stránek, které byly předmětem průniku).

Počítačová válka by neměla být definována pomocí klasické vojenské terminologie – Cyberwars Should Not Be Defined in Military Terms, Experts Warn. Za chybu (které se často dopouští vojenští představitelé) to považuje Martin Libicki (Rand Corporation). Aktivity v kybernetickém prostoru mají svůj unikátní charakter a je třeba z toho vycházet.

Hacknuté telefony a uvěznění novináři z NoW (News of the World)- Former news editor and current chief reporter arrested after presenting themselves at separate London police stations. Tato informace říká, že Ian Edmondson a Neville Thurlbeck jsou podezíráni z konspirace vztahující se k odposlechům komunikace – hlasových zpráv.

Podvodníci hledají nové cesty pro verbování soumarů pro převod peněz – Money mule scam offers CAPTCHA-protected malware. John Leyden popisuje aktivity čehosi, co si říká Megatech Service Ltd. Zájemci mají podstoupit jakýsi psychotest, ve skutečnosti získají malware pro Windows (paradoxně chráněné pomocí CAPTCHA).

Izrael chystá elitní protikybertero­ristickou jednotku – Israel mulls creation of elite counter-cyberterrorist unit. Je určena k ochraně státních organizací i soukromých firem. Bude doplňovat aktivity Mossadu a dalších agentur.

Šéf Interpolu chce jednotný systém identifikačních karet pro migranty – Interpol chief calls for global electronic identity card system. Generál Ronald K. Noble k tomu vystoupil na akci Fourth Annual EMEA ID WORLD summit.

Ve Francii proběhne soud ohledně záměrů vlády uchovávat rok osobní data uživatelů – Net giants challenge French data law. Záměry se dotýkají nejméně 20 firem, mezi nimi jsou i Google a Facebook.

Americká vláda hodlá varovat před terorem i prostřednictvím Facebooku a Twitteru – U.S. to issue terror alerts on Facebook, Twitter. Tyto akce mají být součástí nového systému varování, který by měl fungovat po 27. dubnu 2011.

The true scale of the insider threat aneb interní hrozby – jaká je jejich škála? Článek informuje o výsledcích přehledu, který byl proveden ve Velké Británii (LogRhythm).

Anonymous

Velká debata o hackingu, jedná se o případ Anonymous vs. Sony – The Great Hacking Debate. Nedávno vyhlášená Operation Sony přitáhla pozornost médií – pochopitelně.

Skupina Anonymous hackla stránky Sony pro PS3 – Anonymous hacks Sony PS3 sites. Několik těchto stránek bylo nepřístupných (DDoS útok). Viz komentář – Sony´s ´in for a hell of a wake-up call,´ Anonymous says.
Novější informace hovoří o zastavení útoku – Anonymous Halts PSN Attacks To Avoid Inconveniencing Gamers

Software

Attack hijacks sensitive data using newer Windows features, protokol IPv6 může být použit jako hackovací nástroj? Útok popsal Jack Koziol (Program manager, InfoSec Institute).

Prohlížeč Chrome a jeho nová vlastnost Safe Browsing API – Protecting users from malicious downloads. Safe Browsing API se opírá o Googlem průběžně aktualizovaný blacklist stránek podezřelých z toho, že jsou vázány na malware a phishing.

Pro útočníky jsou stále nejlepším zdrojem staré zranitelnosti – Attackers find old vulnerabilities are still the best. Článek je komentářem ke zprávě 11 Top Cybersecurity Risks Report společnosti Hewlett-Packard.

Populární open source DHCP program je otevřený pro útoky hackerů – Popular open source DHCP program open to hack attacks. Internet Systems Consortium doporučuje aktualizovat. Viz také komentář – DHCP client allows shell command injection.

Na světě jsou keyloggery pro iOS – Keystroke loggers now available for iOS?. Podle této informace jsou nyní nástroje tohoto typu dostupné pro zařízení iPhone/iPad/iPod Touch. Zmiňován je nástroj iKeyGuard.

Malware

Fuzzy Hashing je jednou z možných cest obrany před malware – Fuzzy hashing helps researchers spot morphing malware. Jeho možnosti ve vztahu k morfujícímu malware rozebírá Michael Kassner.

SpyEye, tento mobilní bankovní trojan útočí ve stejném scénáři jako Zeus – SpyEye mobile banking Trojan uses same tactics as ZeuS. Sofistikovaný útok typu man-in-the-mobile, bankovním zákazníkovi je vnucován „nový digitální certifikát“.
Další podrobnosti jsou na stránce TrojanSymbOS/Spit­mo.A.

Zeus, jeho zdrojový kód je nyní prodáván (online) za pět tisíc dolarů – Zeus source code now available for $5,000, as predictions made that its cost will continue to drop. Existují obavy, že brzy bude volně kolovat.

Viry

Výběr antiviru: Které funkce potřebujete? Ondřej Bitto: Jestliže nechcete skončit v digitální pasti moderních online útočníků, představuje jednu z obran pořízení vhodného antiviru. Jaké funkce nabízejí a proti čemu ochrání?

Hackeři

Útok na systém reputací Google je v zásadě možný – Google Reputation Attack. Marco Ramilli v článku vysvětluje, jaké cesty takovýto útok umožňují. Google o problému již ví a pracuje na jeho odstranění.

Ještě k útoku LizaMoon se vrací článek New cyber attack compromises hundreds of thousands of websites. Podle této informace našel vyhledávač Google jeden a půl miliónu webů s odkazem na tutéž url, jakou měl původní útok. Přiložené informační video stojí za zhlédnutí.

Bývalý zaměstnanec firmy Gucci byl obviněn z hackingu – Former Gucci Employee Charged in Computer Hacking Case. Dálkově shazoval servery a mazal e-maily. Předtím než z firmy odešel, vytvořil si účet fiktivního zaměstnance, který pak používal pro přístup do firemní sítě. Rozsah škod je odhadován na 200 000 dolarů.

Australští zákazníci firmy Dell se stali obětí datového průniku Dell Australia customer details stolen in major global data breach. Jedná se o osobní informace (celá jména a e-mailové adresy) tisíců zákazníků této firmy.

Ruský prezident vystoupil proti „vlasteneckým“ hackerům – Russian President Blasts Online Attacks on Opposition Blogs. Jeho vystoupení je reakcí na dva týdny trvající DDoS útok na stránky LiveJournal (na konci tohoto období se útok dotkl i blogu samotného Medvěděva).

Epsilon

Bank customers warned after breach at Epsilon marketing firm – v USA byl oznámen průnik do e-mailového systému marketingového giganta Epsilon. Předpokládá se, že mohlo dojít ke kompromitaci miliónů jmen zákazníků a jejich e-mailových adres.

Tento průnik byl umožněn díky použití cíleného phishingu – Epsilon Breach Raises Specter of Spear Phishing. I když prozrazeny byly jen e-mailové adresy, vzhledem k jejich množství (milióny) je průnik považován za velmi vážnou událost.

Viz také:

Bohužel nedávné „úspěchy“ cíleného phishingu povedou k jeho širšímu využívání hackery, shodují se odborníci (Spearphishing worries follow Epsilon breach). Podrobné objasnění toho co se stalo:

Epsilon se nyní obává, že přijde o svůj byznys – Epsilon worries it may lose business after major data breach. Seznam 57 průnikem ovlivněných organizací je součástí tohoto článku.

V návaznosti na průnik k datům Epsilonu je rozebíráno – jak cenné jsou e-mailové adresy? Zamýšlí se nad tím Larry Dignan – Epsilon data breach: What's the value of an email address? Jeho shrnutí:

  • e-mailové adresy nevedou k identifikaci jejich majitelů
  • Epsilon nepochybně na základě tohoto průniku přijde o zákazníky
  • Náklady na oznamování něco stojí postižené firmy

Bruce Schneier – „že by to byl hack století? Pochybuji“ – Epsilon Hack. Na druhou stranu se v komentářích objevují i zamyšlení typu, co mohou hackeři s těmito adresy dělat a je poukazováno na to, že jim to může napomoci šířeji využívat cílený phishing, metodu, která slaví úspěchy v posledních měsících.
Můžete si přečíst i omluvné dopisy postižených společností – ´We regret to inform you´: The Epsilon breach letters you don´t want to see.

Na světě je asi první post-Epsilon phishingový podvod – Chase Bank Phish Emails May Be First Post-Epsilon Scam. Týká se Chase Bank, mail jakoby pocházející od této banky sděluje klientům, že pokud neprovedou jistou akci (je třeba kliknout na odkaz), bude jejich účet smazán. Nebylo však potvrzeno, že je to v návaznosti na útok na Epsilon.

RSA a Comodo

Jak vlastně bylo provedeno hacknutí RSA? The RSA Hack: How They Did It – společnost RSA dlouho zachovávala mlčení. Teprve minulý pátek zveřejnila na svém blogu některé informace – Anatomy of an Attack : jednalo se o phishing, excelovský soubor v příloze obsahoval exploit, neopatrný zaměstnanec otevřel zadní vrátka umožňující kompletní přístup k počítači,…

Comodo hacker říká, že protestuje proti politice USA. V článku Comodo hacker says he's protesting U.S. policy jsou citována některá jeho vyjádření.

RSA nechce s úplnou pravdou ven, schovává se za NDA (non disclosure agreement) – RSA detailing SecurID hack to customers sworn to secrecy. Takto současnou situaci komentuje Ellen Messmer. Podle ní se velké firmy dostanou k podrobnějším informacím, pouze však, pokud podepíší NDA.

Hardware

V tomto článku – ‘Predator’ Smart Camera Locks Onto, Tracks Anything … Mercilessly – najdete informaci k sledovací kameře Zdeňka Kálala, studenta (PhD) University of Surrey (Velká Británie). Viz také – Surrey student hailed as computer technology pioneer. Systém dokáže sledovat zvolený objekt, umí se i učit z chyb.

Omluva Samsungu – Apology to Samsung: We blew it. M.E. Kabay vysvětluje okolnosti případu, kdy bylo vzneseno obvinění, že notebooky Samsungu obsahují spyware (keylogger).

Naštvaný hráč (Xbox) hacknul účet šéfa bezpečnosti pro Xbox – Disgruntled Gamer Hacks Xbox Security Chief’s Account. Viz přiložené video. Ovšem – hacker může očekávat méně příjemné dopady své aktivity.

Notebooky a jiná elektronika mohou být zabaveny při přechodu hranic USA – Laptops and Other Electronics May Be Seized on Entry to U.S.. Je proto třeba si dobře rozmyslet, zda si je budete brát sebou. Mohou být totiž odebrány a zaslány k forenzní analýze, o situaci nás informuje Ned Smith.

Mobilní telefony

Android Malware Threat Highlights Risks to All Smartphones aneb malware pro Android a současná rizika vyplývající z hrozeb pro chytré mobily. Wayne Rash zde kometuje nedávná zjištění – Android Trojan Highlights Risks of Open Markets.
Viz také článek – Rogue Android app sent personal info to legit version´s deve­loper, claims AVAST.

11 bezpečnostních aplikací pro chytré mobily (iPhone, Android a BlackBerry) najdete v slideshow – Security: 11 Security Apps to Protect Your iPhone, Android, BlackBerry Smartphone. Některé jsou zdarma, jiné zdarma v základní verzi, ceny ostatních nejsou přemrštěné. Naopak v tomto článku Pandora´s mobile app transmits ´mass quantities´ of user data najdete varování před jednou aplikací (Pandora).

Bezpečnost chytrých mobilů, k této problematice byl zpracován přehled společnosti Kaspersky – Smartphone users feel more secure than PC users. Zdrojem pro přehled bylo 1600 uživatelů z Velké Británie, Francie, Italie a Španělska. V článku jsou uvedena některá čísla získaná v tomto přehledu. Zajímavý je názor uživatelů ve vztahů k srovnání bezpečnosti chytrých mobilů a PC, chytré mobily jsou považovány za bezpečnější.

Rychlé záplaty mobilů jsou stále jen fantazií – Fast phone patching still a fantasy. Přitom výzkum umí zranitelnosti aktivně vyhledávat, průmysl a výroba však zůstávají někde v devadesátých letech a nepřišly s vhodnými prostředky, říká v úvodu svého článku Robert Lemos.

Elektronické bankovnictví

Komentář k výsledkům studie 2011 Business Banking Trust Study je na stránce Bank Fraud Continues To Plague Businesses, Study Says
(viz také – 75% Of SMB Banking Fraud Occurs Online – bankovní podvody se nyní dějí téměř výhradně pouze online).
Pokud se týče bankovnictví, které souvisí s podnikáním – stále zde existuje řada problémových momentů, materiál uvádí příslušná čísla. Studii zpracoval Ponemon Institute.

Česká spořitelna varuje před podvodnými maily, lákajícími z lidí citlivé údaje, Česká spořitelna během úterý (5.4. 2011) zaznamenala zvýšený výskyt podvodných e-mailů, které lákají z klientů internetového bankovnictví citlivé údaje o jejich platebních kartách. Finanční ústav to uvedl v tiskové zprávě.

Autentizace, hesla

Vědci zkoumají nové přístupy k přihlašování, mají eliminovat slabiny přihlašování heslem – The weak password problem: chaos, criticality, and encrypted p-CAPTCHAs. Samotné přihlášení bude rozděleno do dvou částí. V první z nich uživatel použije zapamatovatelnou část hesla klasickou cestou, v druhé pak (tu si pamatuje stránka, do které se uživatel přihlašuje) bude fungovat jakási „zašifrovaná“ dynamická CAPTCHA. Viz komentář Net boffins plot password alternatives.

Jinou cestou jdou autoři dokumentu Pico: no more passwords, chtějí využít HW token.

Phishing

Pětice doporučení k tomu, abyste se nestali obětí phishingu, formuluje Joan Goodchild (5 tips to avoid getting phished):

  • Stavte se skepticky ke všem příchozím e-mailům
  • Opatrně s přílohy
  • Ignorujte příkazy a požadavky na akce
  • Prověřujte odkazy
  • Používejte telefon

Viz také doporučení Briana Krebse – After Epsilon: Avoiding Phishing Scams & Malware a jiná obdobná doporučení (Tracy Kitten) 7 Tips to Avoid e-Mail Compromise.

Phisherské podvody oklamou nejaktivnější uživatele online – Phishing scams dupe the most active online users. Tito dostávají tolik e-mailů, že při jejich prohlížení nemají čas zvážit jejich případná nebezpečí. Tato skutečnost je konstatována v univerzitní studii, o jejích výsledcích nás informuje Tim Greene.

Elektronický podpis

Návrhy, týkající se budoucnosti digitálních certifikátů – Proposals for the future of certificates – byly předneseny na konferenci IETF, která proběhla v Praze – March 27 – April 1, 2011. Philip Hallam-Baker zde prezentoval mechanizmus, který má zabránit zneužití certifikátů.

Vyšla kniha o elektronickém podpisu, je zdarma ke stažení, finální verzi knihy v elektronické podobě si lze zdarma stáhnout na adrese Edice CZ.NIC.

Útoky typu man-in-the-middle jsou možné díky tomu, že SSL certifikáty jsou vydávány i pro „nekvalifikovaná“ jména – MITM attacks made possible by SSL certs issued for unqualified names. A to jako jsou např. mail, webmail, intranet atd. Poukázal na to Chris Palmer (EFF's Technology Director). Doporučuje takovéto certifikáty nevydávat.

EFF našla 37 244 digitálních certifikátů s „nekvalifikovanými“ jmény – EFF Uncovers Evidence Of Certificate Authority Apathy. Analýza poukazuje na tuto skutečnost jako na projev neopatrné apatie certifikačních autorit.

Normy a normativní dokumenty

V uplynulém týdnu byl oznámen následující dokument:

Kryptografie

FBI je zahlcena odpovědmi s náměty, jak luštit šifru související se starou vraždou – FBI Flooded With Tips on Encrypted Notes From 1999 Murder Mystery. Je obrovské množství e-mailů a telefonátů, které do FBI v této souvislosti přichází a FBI nemá kapacity pro jejich vyhodnocování.

„Zapomenuté“ osobnosti z dějin československé kryptologie připomíná RNDr. Jozef Krajcovic (díky!) – Naše dve „zabudnuté“ osobnosti z dejín kryptológie . Jednak jsou to životní osudy a pracovní činnost významného slovenského kryptologa Karola Cigáňa. Napsal také tento článek Dešifrovaný šifrovač, který je věnovaný jiné významné osobnosti – Vladimíru Krivossovi.

bitcoin školení listopad 24

Efektivnějším SW implementacích binárních eliptických křivek je věnována studie Software implementation of binary elliptic curves: impact of the carry-less multiplier on scalar multiplication. Na základě výsledků dosažených v posledních létech ve výzkumu algoritmů pro práci s aritmetikou eliptických křivek uvádí autoři nové efektivnější implementace eliptických křivek dle norem NIST (náhodné binární křivky a Koblitzovy křivky).

Různé

Přehled vychází z průběžně publikovaných novinek na Crypto – News.

Autor článku