Obecná a firemní bezpečnost IT
Proč se bezpečnostním profesionálům nedaří? Dan Lohrmann (i jako bývalý CISO) se pokouší v tomto problému rozebrat v článku na csoonline.com – Why Do Security Professionals Fail? Jako problém číslo jedna vidí fakt, že bezpečnostní profesionálové jsou známí jako potížisté (disabler). Doporučuje proto, být opakem, být aktivizujícím činitelem (enabler).
Země se připravují na kybernetickou válku – Report: Countries prepping for cyberwar. Článek je komentář Ellinor Millsové ke zprávě společnosti McAfee – Virtual Criminology Report 2009. Virtually Here: The Age of Cyber Warfare.
Viz také další komentář – McAfee Inc. Warns of Countries Arming for Cyberwarfare.
The Cyberwar Plan – Spojené státy již prostředky kybernetické války použily. Rozsáhlejší článek, jehož autorem je Shane Harris, se vrací k akcím NSA v Iráku v roce 2007. Je v něm dále také poukazováno na potenciál Ruska a Číny, který se vztahuje ke kybernetické válce.
Obama snad již brzy jmenuje bezpečnostního koordinátora Bílého domu – Obama said to be close again to naming cybersecurity chief. Jsou zvažována dvě jména – Frank Kramer a Howard Schmidt. Oznámení by mělo přijít nejpozději na den díkůvzdání (v USA je to čtvrtý čtvrtek v listopadu), snad?
Jak chytří jsou islámští teroristé? To je diskuze na Schneierově blogu k dokumentu Organizational Learning and Islamic Militancy (květen 2009, 146 stran) jehož autorem je Michael Kenney – How Smart are Islamic Terrorists?
Jak vypadá počítačová síť FBI, která bojuje s kybernetickou kriminalitou? Seznámit se s ní můžete z popisu, který zástupci FBI přednesli ve slyšení před americkým kongresem – An introduction to the FBI's anti-cyber crime network.
Evropská bezpečnostní agentura ENISA zpracovala studii (s názvem Benefits, risks and recommendations for information security) k bezpečnostním aspektům oblačných výpočtů (cloud computing) – Cloud Computing Security Risk Assesment. Komentář k obsahu této studie je předmětem článku Cloud computing security benefits, risks and recommendations.
Stránka The Cloud Security Survival Guide shrnuje celou řadu užitečných odkazů k problematice oblačných výpočtů (cloud computing). Průvodce připravil Bill Brenner.
Význam penetračních testů roste – Penetration Testing Grows Up. Kelly Jackson Higgins na stránkách DarkReading poukazuje na fakt, že metody penetračního testování se stávají nezbytnou součástí ochran a komentuje mimo jiné i komercializaci produktu Metasploit.
Top 5 Social Engineering Exploit Techniques, zde najdete top 5 technik sociálního inženýrství tak, jak je vidí Jamey Heary:
- Familiérní exploit
- Vytvoření nebezpečné (nepřátelské) situace
- Sběr a využití informací
- Nechat se zaměstnat
- Přečtení řeči těla
Pracovník NSA říká: tři základní kroky mohou pomoci odvrátit většinu počítačových útoků – 3 basic steps to thwart most cyberattacks, courtesy of NSA. Richard Schaeffer Jr. vystoupil před senátním výborem a prohlásil, že pokud jsou dodržovány nejlepší postupy (best practices), správné konfigurace a kvalitní monitoring sítě, lze takto odvrátit 80 procent možných útoků.
Několik doporučení k bezpečným online nákupům najdete v článku Safe online shopping tips. Tipy jsou jak pro kupující, tak i pro firmy. Svátky (v USA Cyber Monday – 30. listopad) se blíží…
Jak si zajistit soukromí na počítači v pěti krocích, doporučení pro běžné uživatele sepsal Radek Kubeš.
Software
Jsou bezpečnostní nástroje Microsoftu dostatečné pro bezpečnost Windows? Lifehacker v Stop Paying for Windows Security; Microsoft's Security Tools Are Good Enough rekapituluje současnou situaci s bezpečnostními nástroji, které Microsoft dává uživatelům.
K problémům bezpečnosti webových aplikací odpovídá na otázky Robert Abela – Q&A: Web application security. V tomto interview je diskutována současná podoba útoků na webové aplikace – jako jsou útoky Cross Site Scripting a další hrozby.
Firewall ve Windows 7 – ve znamení pokroku, Josef Vavřina: Firewall se ve Windows 7 dočkal oproti starším verzím několika vylepšení. Postupně dozrává v plnohodnotné softwarové firewall řešení, které už není nutné nahrazovat jinou aplikací, a ohlasy napovídají, že se Microsoft opravdu nemá za co stydět.
Nový útok na SSLv3/TLS může být i nebezpečnější než se původně předpokládalo. Matt Wood v krátkém komentáři SSLv3/TLS Renegotiation Stream Injection vysvětluje proč. Viz také – Researcher busts into Twitter via SSL reneg hole. Yes, it´s a serious vuln.
Podrobnosti z různých pohledů na aktuální útoky man-in-the-middle na SSL jsou obsaženy v třídílném seriálu Aluna Jonese:
- My take on the SSL MITM Attacks – part 1 – the HTTPS attack
- My take on the SSL MITM Attacks – part 2 – clarifications
- My take on the SSL MITM Attacks – part 3 – the FTPS attacks
Na stránkách Offensive Security lze nalézt určitou databázi exploitů – The Exploit Database.
Stručný přehled systému přístupových práv pro Unix najdete v článku Understand basic Unix file permissions. Pět úrovní správy popisuje Chad Perrin. Pokračování je pak v článku – Managing default Unix file permissions with adduser and umask.
Vydána byla verze 3.3 pro Metasploit Framework – Metasploit Framework 3.3 released – vývojovou platformu pro bezpečnostní nástroje a exploity.
Desítku rozšíření Firefoxu, která vylepší jeho bezpečnostní vlastnosti, najdete na stránce – 10 Firefox extensions that enhance security. V poslední době se objevují kritické připomínky k bezpečnostním vlastnostem Firefoxu. Michael Kassner posbíral informace o rozšířeních, která pomohou tuto kritiku otupit.
NSA pomáhala při formování ochran Windows 7 – National Security Agency beefed Win 7 defenses. O tomto partnerství informoval pracovník NSA Richard Schaeffer. Viz jeho vystoupení před senátním výborem:
Další informace říkají – NSA helps Apple, Sun and Red Hat harden their systems .
10 Lessons Google Must Learn About OS Security aneb co se Google musí naučit o bezpečnosti operačních systémů. Don Reisinger shromáždil skutečnosti, kterým musí Google čelit se svým novým operačním systémem.
Malware
Hacknutou aktivaci Windows 7 bude brzy následovat trojan – Trojans likely to follow Win 7 activation hack. John Leyden komentuje varování společnosti Sunbelt software.
Joan Goodchild v The Botnet Hunters popisuje zkušenosti odborníků z praxe (lovcú botnetů), jako jsou Santorelli, DiMino, Weafer a další. Tito lidé tráví nekonečné hodiny skenováním, sledováním, vyhledávají takto známky, které vypovídají o činnosti botnetů.
Výsledky vyhledávače Google jsou význačně otrávené – Google Search Results Significantly Poisoned.
Britská policie oznámila zatčení vztahující se k bankovnímu malware Zeus – UK police reveal arrests over Zeus banking malware. Je to první zatčení v tomto směru, zatčeni byli dvacetiletí muž a žena.
Tři kroky pomohou k tomu, abyste se nestali součástí botnetu – 3 Basic Steps to Avoid Joining a Botnet . Joan Goodchild rozvádí tato jednoduchá doporučení:
- Počítače v práci i doma pravidelně aktualizujte záplatami a antivirovým SW.
- Používejte poslední verze prohlížečů.
- Buďte opatrní při kliknutí na odkaz nebo přílohu.
Viry
Seznam deseti antivirových programů pro Windows 7 zpracoval Greg Shultz – 10 antivirus programs for Windows 7. Na prvním místě figuruje AVG.
Hackeři
Prasečí chřipka dělá milionáře z ruských hackerů – Swine flu fears making millionaires out of Russian hackers. Jejich síť (Partnerka) popisuje zpráva společnosti Sophos – THE PARTNERKA – WHAT IS IT, AND WHY SHOULD YOU CARE?.
Are nations paying criminals for botnet attacks? – Platí si státy počítačové kriminálníky za útoky botnetů? Ellen Messmer komentuje další části zprávy společnosti McAfee – Virtually Here: The Age of Cyber Warfare.
How To Hack A Brazilian Power Company aneb jak hacknout stránky brazilské energetické společnosti. Robert Graham popisuje slabiny stránek ONS, brazilského energetického operátora.
Kybernetičtí kriminálníci v roce 2009 pilně pracují – Cyber criminals worked furiously in 2009. Komentář k informacím na blogu Symantecu – Breadth of Security Issues in 2009 = Stunning. Tým Symantecu zde shrnuje „úspěchy“ kybernetické kriminality a hlavní bezpečnostní trendy roku 2009.
Hackeři útočí na čínské ministerstvo obrany – Hackers descend upon defense website. Informace tentokrát pochází z jiné poloviny zeměkoule.
Stoned Bootkit, Peter Kleissner z Vídně vyvinul podle svých slov speciální typ rootkitu, který:
- Se může šířit libovolnými medii.
- Bootuje se dříve než hlavní operační systém, zůstává pak skrytý v paměti.
- Je nezávislý na tom, který OS je používán.
V úvodu (a závěru) pdf dokumentu si autor stěžuje na soudy, které mu znepříjemňují práci na tomto projektu…
Hardware
Americká vláda využívá konzole PS3 k získávání přístupu k zašifrovaným souborům – Federal officers use video game console to catch child pornographers. U.S. Immigration and Customs Enforcement Cyber Crimes Center (C3) se s jejich pomocí dostává na stopu dětské pornografii (rozbíjí hesla k zašifrovaným souborům).
RFID
V Arkansasu vyvinuli technologii, která činí RFID čipy odolné proti klonování – ‚Fingerprinting‘ RFID Tags: Researchers Develop Anti-Counterfeiting Technology. Metoda se opírá o využívání individuálních znaků každého čipu.
Mobilní telefony
Úspěšné útoky (typu man-in-the-middle) proti chytrým mobilům, informaci o nich přináší článek Man-in-the-middle attacks demoed on 4 smartphones. Dancho Danchev v něm informuje o výzkumu pracovníků společnosti SMobile Systems – Study of MITM Attacks Against Smartphone Devices. Prostřednictvím nechráněné bezdrátové sítě a veřejně dostupného nástroje SSLstrip tool se podařilo odchytit komunikaci mobilů Nokia N95, HTC Tilt, Android G1 a iPhone 3GS.
Jak se vypořádat se zavirovanými mobily?. David Silmen: o chytré telefony je tu do budoucna jeden velký problém: Hackeři, kteří už se na ně se svými viry a nejrůznějším malware chystají. Na Georgia Institute of Technology teď řeší co s tím.
Spam
Pochopme oběti spamu: sedm principů systémové bezpečnosti – Understanding scam victims: seven principles for systems security. Zajímavá studie na rozhraní psychologie a IT bezpečnosti. Jeden z jejích autorů (Frank Stajano) komentuje okolnosti jejího vzniku na stránce The Real Hustle and the psychology of scam victims. Druhým autorem je Paul Wilson.
Elektronické bankovnictví
V souvislosti s únikem citlivých dat k platebním kartám ve Španělsku jsou v řadě evropských bank (včetně českých) prováděna některá opatření:
- Spanish payment breach prompts huge German card recall
- ČSOB blokuje karty, masivní vlna podvodů zasáhla i Česko
- Karty 100 tisíc Čechů jsou ohroženy. Banky mají poplach
- Máte blokovanou kartu? Počkáte si. Bankám chybí PINy
- Útok na karty: Expert radí, jak chránit své peníze
V Německu již bylo blokováno více než 100 000 karet, masivní vlna podvodů se týká zejména německých Volksbank a Raiffeisenbank. Československá obchodní banka (ČSOB) na tuto hrozbu reagovala zablokováním karet vybraným klientům.
Bankomaty v seconhandu obsahují citlivá data – Second-hand ATM trade opens up fraud risk. Dají se přitom koupit na eBay či prostřednictvím Craigslist. Původní majitelé si nedávají práci s tím, aby smazali uložená data.
Warning for online money mules aneb varování online soumarům. SOCA (Serious Organised Crime Agency) infomuje nyní o stránkách, které rekrutují tyto online soumary a kteří jsou takto vlastně zástěrkou pro praní ukradených peněz.
Phishing
Jak rozpoznat phisherský mail (FAQ)? Elinor Mills (vychází mj. z nedávného přehledu APWG – Global Phishing Survey: Trends and Domain Name Use in 1H2009) shrnuje informace o současných podobách phishingu a vysvětluje, jaké známky e-mailu svědčí o jeho phisherských cílech. Uvádí pak celou sadu doporučení – FAQ: Recognizing phishing e-mails.
Normy a normativní dokumenty
NIST vydal nový draft ke správě rizik ve federálních informačních systémech:
Kryptografie
Whitfield Diffie odchází po 18 letech ze SUNu – Crypto pioneer and security chief exits Sun. Známý odborník, pionýr kryptografie s veřejným klíčem bude učit v Londýně ( Royal Holloway, University of London).
Různé
Ve středu 17. 11. skončila Podzimní soutěž o ceny v luštění šifer, kterou pravidelně každý podzim pořádá e-zin Cyrpto-World.
Všechny úlohy letos vyřešilo celkem 16 řešitelů. Soutěž byla doprovázena, jak se již stalo pravidlem, zajímavým příběhem, který nás tentokráte zavedl do padesátých let.
V poslední úloze museli soutěžící dešifrovat text zašifrovaný šifrátorem ŠD-2, který se v tehdejším Sovětském svazu skutečně používal. Za tímto účelem si ovšem mohli stáhnout ze stránky soutěže příslušný simulátor. Celý příběh, včetně popisu použitých šifer a řešení všech úloh je dostupný v e-zinu Crypto-World 11/2009 .
Bruce Schneier action figure – kupte si Bruce Schneiera (jeho figurku)! Jsou nabízeny různé jeho podoby. Komentář k tomu si můžete přečíst na stránce – Official Bruce Schneier action figure steps onto market.
Vyšel (IN)SECURE Magazine (číslo 23, listopad 2009), z obsahu:
- Microsoft´s security patches year in review: A malware researcher´s perspective
- A closer look at Red Condor Hosted Service
- Report: RSA Conference Europe 2009, London
- The U.S. Department of Homeland Security has a vision for stronger information security
- Q&A: Didier Stevens on malicious PDFs
- Protecting browsers, endpoints and enterprises against new Web-based attacks
- Mobile spam: An old challenge in a new guise
- Report: BruCON security conference, Brussels
- Are you putting your business at risk?
- Why out-of-band transactions verification is critical to protecting online banking
- Study uncovers alarming password usage behavior
- Q&A: Noise vs. Subversive Computing with Pascal Cretain
- Elevating email to an enterprise-class database application solution
- Ask the social engineer: Practice
- Report: Storage Expo 2009, London
- Jumping fences – the ever decreasing perimeter.
Přehled vychází z průběžně publikovaných novinek na Crypto – News.
ČLÁNKY DO MAILU