Přehledy
Zpráva společnosti Ponemon – Perceptions About Network Security. Survey of IT & IT security practitioners in the U.S. – mj. udává následující číslo: 90 procent společností říká, že bylo hacknuto. Údaj se váže k posledním dvanácti měsícům. Komentář k tomuto přehledu (má 25 stran, červen 2011) je na stránce 90% of companies say they´ve been hacked: Survey.
Obecná a firemní bezpečnost IT
Security Operations Metrics Definitions for Management and Operations Teams – více bezpečnosti při využití metrik, podklad k tomu nabízí osmistránková studie společnosti Arcsight. Jsou zde zmíněny různé metriky, měří efektivnost v rámci jednotlivých podnikatelských aktivit, operačních cílů, analytických procesů a bezpečnostních informací.
Materiál (doporučení) společnosti McAfee: Ten Steps to Protecting Your Sensitive Data v třístránkovém přehledu rozebírá tyto body:
- Take inventory of the regulations your business is subject to
- Identify known content risks
- Talk to stakeholders
- Know where your data is
- Set formal rules for creating and changing policies
- Put alerting and enforcement mechanisms in place
- Delegate controls and responsibilities
- Maximize existing IT investments
- Go with a platform approach
- Build your solution as needed
Security or convenience: Does it have to be a choice? aneb bezpečnost či pohodlnost, lze si vybrat? Rozhovor s odborníkem, kterým je Dr. Bryan Parno (Carnegie-Mellon University). Rozhovor se týká jeho práce Trust Extension as a Mechanism for Secure Code Execution on Commodity Computers. Je to část jeho doktorské dizertace, za kterou autor obdržel cenu (2010 Doctoral Dissertation Award for Security Work).
IT adminové: na kterou pětici filutů byste si měli dávat pozor – IT admins gone wild: 5 rogues to watch out for. Jmenovány a rozebírány jsou následující typy: crusader, entrepreneur, voyeur, spy a avenger. Autor článku uvádí několik užitečných doporučení.
Deset pohledů na vztahy FBI versus IT bezpečnost obsahuje článek 10 highlights of the FBI IT security record. Chad Perrin shromáždil deset odkazů vázaných k aktivitám FBI v této oblasti, jejich obsah komentuje.
O problému Dropboxu (4 hodiny byly data přístupné bez nutnosti použít heslo) informuje článek Dropbox Accidentally Turned Off Passwords on File Storage Service. U online ukládací služby tak byla ohrožena data 25 miliónů zákazníků.
USA: hackování vládních sítí bude těžkým zločinem – U.S. Congress Wants to Make Hacking Government Networks a Felony. O takovéto úpravě zákonů se diskutuje nyní v americkém senátu.
Americké plány uchovávat data evropských leteckých pasažérů po dobu 15 let považuje EU za nezákonné – US plan to hold EU passenger data for 15 yrs ‚unlawful‘. Staví se takto k tomu právníci pracující pro Evropskou komisi.
Také Austrálie zpřísňuje zákony ohledně kybernetické kriminality – Australia toughens cybercrime laws. Poskytovatelé internetových služeb budou muset poskytnout soukromá data uživatelů (jako jsou e-maily a textové zpráva) policii a autoritám i bez příkazu k domovní prohlídce – pokud to bude vyžadovat vyšetřování počítačové kriminality.
Data z britského sčítání lidu jsou v bezpečí – UK census data is safe. Potvrdil to úřad – The Office for National Statistics. Data nebyla hacknuta. Technologii pro sčítání poskytla firma Lockheed Martin, o hacknutí této firmy informace v médiích proběhly. Právě účast této firmy mohla vést k určitým obavám či fámám.
Americká armáda rozšiřuje arzenál svého kyberwarfare – U.S. Military Expanding Arsenal of Cyber-Warfare Capabilities. Fahmida Y. Rashid komentuje článek z Washingtom Post – List of cyber-weapons developed by Pentagon to streamline computer warfare a nedávná vystoupení některých amerických vládních činitelů (William Lynn, Charles Dodd, Ari Schwartz).
Teach, don't just learn, to build your security career – budujte svoji bezpečnostní kariéru. Michael Santarcangelo zprostředkovává své zkušenosti. Také učte jiné, nejenom sebe!
Sociální sítě
Podvod na Facebooku používá Obamu jako návnadu – Facebook Scam Uses Obama as Bait. Slibují s ním video (The president is finally taking charge!!). Zpráva obsahuje odkaz, který však vede na podvrženou stránku zdánlivě vypadající jako přihlašovací stránka pro Facebook. Pokud však vložíte váš e-mail a heslo, dostanou se podvodníci k vašemu účtu na Facebooku (popřípadě i jinam, pokud používáte jinde totéž heslo – což bohužel řada lidí činí).
Podvod na Faceboooku zprostředkovává odkaz na fotku „The Creator of LulzSec“. Pokud na nezaostřenou fotku kliknete, dostanete se na web, kde vám vnucují stáhnutí série toolbarů – LulzSec Hacker Arrest Scam Hits Facebook.
Software
K záplatám systémů SCADA, které pochází z Číny – SCADA Vulnerabilities Patched in Industrial Control Software From China. Systémy SCADA jsou zranitelné také proto, že původně byly navrhovány jako izolované systémy, avšak nyní jsou v řadě případů napojeny na internet.
Výsledek odborné analýzy zkonstatoval, že cloud Amazonu má vážné bezpečnostní díry – Researchers: Amazon cloud users leave security holes. Analýzu provedli němečtí odborníci (Center for Advanced Security Research Darmstadt (CASED) + the Fraunhofer Institute for Security in Information Technology (SIT) in Darmstadt, Germany). V článku jsou popsána jejich zjištění.
Rozšíření prohlížeče Google Chrome detekuje nebezpečné stránky – Google Chrome extension detects dangerous websites. Najdete zde popis nástroje DOM Snitch. Článek obsahuje i potřebné odkazy – Introducing DOM Snitch, our passive in-the-browser reconnaissance tool.
Firefox 5 opravuje bezpečnostní chyby, článek Firefox 5 fixes security and improves browsing obsahuje přehled změn.
K dispozici je volně dostupný bezpečnostní nástroj SSL Analyzer (od firmy Comodo) – SSL Analyzer: Free scanning tool. Nástroj (v beta verzi) oskenuje webovou stránku, zjistí její bezpečnostní charakteristiky.
O nových úpravách v prohlížeči Google Chrome informuje článek Google Moving to Force HTTPS on Its Sites. Autor popisuje některá opatření, která se objevila v minulém týdnu, např. využití nové normy HSTS (HTTP Strict Transport Security). Jedná se o verze prohlížeče 12 a 13beta.
John the Ripper, na světě je jeho aktualizovaná verze – Faster password hashes cracking based on the DES algorithm on CPUs. Openwall v tomto nástroji zabudoval několik nových optimalizací, pro crackování hashí by to mělo vést k zlepšení výkonu o 17 procent.
Malware
Brian Krebs říká: cracky k programům – výborná cesta k infikování vašeho PC – Software Cracks: A Great Way to Infect Your PC. Nesporně užitečné zamyšlení, stojí za přečtení.
Stuxnet: Anatomy of Virus – Stuxnet: anatomie viru. Australské video názorně vysvětluje problematiku související s tímto malware.
Odkazy na iCloud (získané jako výsledek vyhledávačů) vedou k falešným antivirům – Poisoned iCloud Search Results Lead to Fake Antivirus Pages. Službu iCloud chystá společnost Apple.
Uživatelé Wordpress se ocitli v nebezpečí díky pluginům s trojanem – WordPress users endangered by Trojanized plugins. Infikovány byly tři populární pluginy pro Wordpress – AddThis, WPtouch a W3 Total Cache. Pokud si někdo aktualizoval tyto pluginy v posledních dnech, existují rizika. Nyní je situace již urovnána, pluginy lze stáhnout v nové bezpečné verzi. Viz také komentář – Backdoor in popular WordPress plug-ins.
Hackeři a jiní počítačoví podvodníci
Malý přehled – nejvíce vážné hacky roku 2011 – najdete na stránce World’s Most Serious Hacking Attacks in 2011 . Jason Ford svůj krátký přehled doprovází fotografiemi. Za zmínku stojí také jeho starší článek Top 8 Notorious Hackers Worldwide.
K problému s hacknutím databáze společnosti Sega Corp. se obrací autor článku Sega’s saggy security. Jedná se o databázi jejího evropského webu. Ukradeny byly informace více než jednoho miliónu uživatelů. Ukradená data obsahovala e-mailové adresy, data narození a zašifrovaná hesla. Neměly být ukradeny osobní platební informace (Sega k platbám používá externího poskytovatele platebních služeb). V článku je citována skupina LulzSec: “@Sega – contact us. We want to help you destroy the hackers that attacked you. We love the Dreamcast, these people are going down.” Viz také – LulzSec says it was not responsible for Sega hack, as it marks 1,000 tweets with mission statements. Krátkou poznámku k LulzSec obsahuje stránka The Recent History of Hacker Organisation Lulz Security.
Hackers claim 177K e-mails from Sony Pictures France – nový útok na Sony, přihlásila se k němu skupina Idahc. Útočníci tvrdí, že z webu Sony Pictures France ukradli 177 172 e-mailů, zveřejnili jich pouze 70.
Vyšetřování Ryana Cleary pokračuje, obviněn byl z útoku na britskou policii (SOCA) – UK man charged with attack that shut down SOCA site. Celkem proti němu již bylo vzneseno pět obvinění. Viz také komentář:
Pomoc FBI vedla k uvěznění dvou lotyšských producentu scareware – FBI hits Latvian scareware peddlers who infected 1 million. Podíleli se na infikování 1 miliónu počítačů, na kterých vyskakovala podvržená hláška o infekci počítače (a nezbytnosti zaplatit 100 dolarů za cosi, o čemž si oběť měla myslet, že je antivir). Po zaplacení hláška zmizela, ale oběť pak obvykle měla problém s účtem své platební karty.
Channel 4 News – hackeři jsou nyní více nebezpeční než Al-Kajda. Článek obsahuje rozhovor s bývalým hackerem (odseděl si ve vězení v USA svoje).
Uskutečněn byl zásah proti gangu, který vydělal 72 miliónů dolarů na scareware – $72M Scareware Ring Used Conficker Worm. Oklamaní uživatelé kupovali falešné antiviry. K podvodu byl využit červ Conficker. Zásah policie byl proveden současně v USA a sedmi dalších zemích. Na odhalení bandy spolupracovala FBI mj. s ukrajinskou službou SBU. Brian Krebs ve svém komentáři popisuje i další případy, ve kterých červ Conficker figuroval. Viz také komentář – FBI and DoJ seize servers in scareware crackdown.
Next Generation of Cybercrime aneb přicházející generace počítačové kriminality, to je téma studie společnosti Dell. V materiálu (11 stran) je popsáno několik generací počítačové kriminality. V odstavci věnováném nastávající generaci je rozebíráno několik typů počítačové kriminality (Next Gen Pay-Per-Install, Malware Tech Support, „Point-and-Click” Cybercrime, APT: Advanced Persistent Threats). Materiál je uzavřen několika doporučeními adresovanými na podnikatelský management.
Na základě provedeného praktického pokusu bylo zjištěno, že hackování není zase tak obtížnou záležitostí, dokáží to i lidé s minimem technických znalostí – Extent of online hacker tutorials revealed. Potřebné informace se dají bez problémů najít online. V tomto směru někteří zvažují, že tyto příručky by se na internetu objevovat neměly. V závěru článku je uvedeno několik doporučení pro ochranu svých informací před hackery.
Hacknuty byly stránky NATO (a to služby eBookshop) – Bookshop opened. Stránky neobsahují utajované informace. Kdo je za tímto útokem, se zatím neví.
O jiném dalším hacku informuje článek ´Highly sophisticated´ hacker attack hits Electronic Arts – Technology – NZ Herald News.
LulzSec
Co se týká útoku na Sega Corp, LulzSec nabízí, že hackery vysleduje a pomstí se – Sega attacked, hacker group offers to take revenge.
Vzniká operace AntiSec – bude to spolupráce Anonymous a LulzSec? Minulou neděli se objevilo provolání hlásající, že: „Top priority is to steal and leak any classified government information, including email spools and documentation. Prime targets are banks and other high-ranking establishments“ a dále „We encourage any vessel, large or small, to open fire on any government or agency that crosses their path. We fully endorse the flaunting of the word "AntiSec“ on any government website defacement or physical graffiti art. We encourage you to spread the word of AntiSec far and wide, for it will be remembered." Viz komentáře, ve kterých jsou mj. zmiňovány čerstvé útoky na britskou policii a americkou FBI:
- LulzSec teams up with Anonymous for Operation AntiSec
- LulzSec, Anonymous announce hacking campaign
- LulzSec launches anti-government crusade, takes down U.K. police site
- Lulzsec teams up with Anonymous
- Hackers bring down British police website
- Hackers release manifesto for web war against British, US Governments
Zřejmě falešná informace hovořila o úniku dat z britského sčítání lidu, za který měla odpovídat skupina LulzSec – All your citizens are (not) belong to us. Na základě této informace:
se objevily různé spekulace. Jestliže totiž by bylo totiž pravdou tvrzení, že LulzSec má k dispozici kompletní údaje z britského sčítání, pak osobní data každého britského občana by byla v rukou této hackerské skupiny. Viz komentáře:
- Has UK gov lost the census to Lulzsec?
- LulzSec nabs UK 2011 census data. Updated: ´No evidence so far´ says 2011 Census office
- Lulzsec Claims to Have Stolen Entire 2011 Census
- LulzSec hacker group denies it has stolen UK census
Rik Ferguson (Trend Micro) pak vydal tento komentář, charakterizující celkovou situaci
O zatčení Ryana Cleary (jeho role a vztah ke skupině LulzSec jsou předmětem vyšetřování) informovala řada médií, např.:
Zřejmě jako důsledek soupeření mezi skupinami hackerů se objevilo vyhlášení nizozemských hackerů. Chtějí jako odvetu zveřejnit osobní data členů skupiny LulzSec – LulzSec members to be outed by hacking group.
LulzSec mezitím zaútočil na dva brazilské vládní weby. Viz:
- Brazilian government, energy company latest LulzSec victims
- LulzSec Hackers Launch Large-Scale Government Attacks
- LulzSec: Doing it more for the money than the lulz?
A podle zprávy z konce týdne LulzSec napadl policejní soubory v Arizoně – Hacker Lulzsec Intrudes Into Arizona Police. Lulz Security zveřejnil některé dokumenty arizonského Department of Public Safety – manuály, e-maily a zprávy z vyšetřování a osobní data. Zdůvodnil to svým protestem proti zákonu tohoto státu (SB1070 law). Viz také články:
O motivacích skupin Anonymous a LulzSec hovoří Tim Greene, autor článku Anonymous, LulzSec bring bragging rights back to hacking, CTO says.
Jak nejlépe ocharakterizovat aktivity skupiny LulzSec ? Možná napoví článek – Are LulzSec hacktivists or cybercriminals? [poll].
Celkovou situaci (ve vztahu k hackingu) zase hodnotí článek Hack Attacks Escalating? Here´s a Reality Check.
V páte 24. června pak článek LulzSec's leader, Sabu, revealed? přišel s informací, že zřejmě byl odhalen šéf LulzSec Sabu. Údaje k němu se objevily na Twitteru. Jestli jsou tyto údaje relevantní, teprve se ukáže. Viz také – Hacker claims to reveal identity of LulzSec leader. Třicetiletý Xavier Kaotico žije v New Yorku.
Hardware
Vaše barevná laserová tiskárna vás prozradí – Why You Can't Print Counterfeit Money on Your Color Laser. Nepatrné značky, žluté tečky pokrývající stránku, umožňují jednoznačnou identifikaci tiskárny.
Mobilní telefony
NSA chce naprostou bezpečnost chytrých mobilů a tabletů – NSA wants bulletproof smartphone, tablet security. NSA funguje také jako schvalující orgán pro zařízení používaná ve vládních a armádních složkách. NSA modifikuje různá komerční zařízení tak, aby byly dosaženy požadované bezpečnostní vlastnosti.
Nový trojan pro Androida zasáhl americké chytré mobily – New Android Trojan Hijacks American Smartphones. Trojan GGTracker umí provést zápis oběti k předplacené službě textových zpráv bez jejího vědomí.
Jak se u aparátů s Androidem bránit únikům dat sledujících vaše aktivity – Want to keep Android apps from spying on you?. Dan Goodin vysvětluje, co umí aplikace Whisper Core (zatím ve verzi 0.5).
Spykey pro iPhone – iPhone app remotely spies on Windows computers, je to vlastně keylogger pro Windows, který přenáší každý stisk na tuto spornou špionskou iPhone aplikaci.
Spam
Nenechte se nachytat, na Amazonu prodávají své „knihy“ i podvodníci – Spam e-books plague Amazon's Kindle store. Bohužel, tak jak je to nyní nastaveno, na Amazonu může své knihy prodávat kdokoliv a spammeři to využívají.
Elektronické bankovnictví
Brusel sděluje bankám: připravte se na přísnější pravidla ohledně datových průniků – Brussels to banks: Prepare for tougher data breach rules. Nový zákon by se měl objevit na podzim. Viz také komentář EU to compel banks to admit „serious“ data breaches.
Byl zatčen šéf ruské platební společnosti. Najal si hackera na konkurenci – ChronoPay Co-Founder Arrested. 32letý Pavel Vrublevskij, spolumajitel platební společnosti Chronopay (největší zpracovatel online plateb v Rusku), již dříve zřejmě měl různé aktivity, které byly, jak se říká, na hraně. Byl zatčen na letišti v Šeremeťjevu, když se vracel z Malediv.
Hackeři při svém útoku na Citigroup vydělali 2,7 miliónu dolarů – Citigroup hackers made $2.7 million. Peníze mizely celkem z 3400 účtů. Banka však oznámila, že zákazníci za ztráty nejsou odpovědní.
Autentizace, hesla
Bezpečnost hesel zůstává nejslabším článkem dokonce i po velkých průnicích – Password Security Remains the Weakest Link Even After Big Data Breaches. Fahmida Y. Rashid v tomto článku komentuje názory několika odborníků – Mike Yaffe (Core Security), Josh Shaul (Application Security), Troy Hunt, Ken Hunt (Vasco Data Security) a Ray Wizbowski (Gemalto). Organizace by měly používat složitější přístupy k bezpečnosti, v několika vrstvách. Spoléhat pouze na hesla je v dnešní době riskantní.
Storing passwords in uncrackable form aneb jak bezpečně ukládat hesla. Operátoři webů obvykle využívají hashovací funkce. Autor popisuje existující techniky, které jsou z těchto postupů odvozeny a jsou poněkud složitější. A – uživatelé by neměli zapomínat – používat totéž heslo v různých systémech není rozhodně bezpečné.
Systémy pro správu hesel, jak je porovnat a jak používat – Password management systems: How to compare and use them. Autor článku (Beth Schultz) uvádí příklady z praxe a na nich ukazuje, které postupy a proč jsou výhodnější než jiné.
Elektronický podpis
Nedávný problém izraelské certifikační autority StartCom je diskutován v článku Web authentication authority suffers security breach. Autorita (jako důvěryhodnou ji charakterizují prohlížeče Microsoft Internet Explorer, Google Chrome a Mozilla Firefox ) přestala vydávat certifikáty (až do odvolání). Zřejmě se stala obětí útoku, obdobného, jako byl útok na Comodo.
Normy a normativní dokumenty
Americký NIST vydal v minulém týdnu následující tři dokumenty:
- NIST Interagency Report (NISTIR) 7693, Specification for Asset Identification 1.1.
- Draft NIST Interagency Reports: 7695, Common Platform Enumeration: Naming Specification Version 2.3
- Draft NISTIR 7696, Common Platform Enumeration : Name Matching Specification Version 2.3
Dálebyl na stránkách NISTu zveřejněn návrh na nový mód blokových šifer (tzv. autentizované šifrování) – EAX. Technické informace jsou na stránce (je zde i uveden přehled řady dalších návrhů z posledních let):
Kryptografie
Potvrzen „první“ exploit týkající se kvantové kryptografie – First Exploit On Quantum Cryptography Confirmed. V krátké informaci je obsažena řada potřebných odkazů. Připojena je široká diskuze. A – problém je opět v implementaci (nikoliv v principech kvantové kryptografie). Tomuto nedávno zjištěnému problému kvantové kryptografie se věnuje také článek Quantum crypto felled by ‚Perfect Eavesdropper‘ exploit. Dan Goodin informuje o technice (tzv. Perfect Eavesdropper), která umožňuje odposlech kvantového kanálu bez toho, aby tento odposlech byl zjištěn.
Životní cykly hashovacích funkcí jsou zobrazeny na stránce Lifetimes of cryptographic hash functions. Viz také diskuzi na Schneierově blogu – The Life Cycle of Cryptographic Hash Functions.
Špioni mohou zasílat zprávy skryté ve výsledcích vyhledávače Google – Spies can send messages hidden in a Google search. Jak – to vysvětluje Wojciech Mazurczyk z varšavské univerzity, odborník na steganografii. Ross Anderson má však k těmto postupům výhradu – provoz bude podezřelý.
Efektivní implementaci párovacího schématu popisuje studie On the Effcient Implementation of Pairing-Based Protocols. Párování díky své bohaté struktuře dává možnost řešit řadu problémů, které tradiční kryptografie s veřejným klíčem řešit neumí, říká úvod studie.
Různé
JPG Necítíte se také tak?
Přehled vychází z průběžně publikovaných novinek na Crypto – News.
