Přehledy
Nová zpráva společnosti Imperva má název Hacker Intelligence Initiative, Monthly Trend Report #11. Je zaměřená na problematiky související s CAPTCHA: jaké postupy jsou používány a které techniky (a k čemu) dnes kriminální strana pro obcházení CAPTCHA používá.
Byla vydána zpráva společnosti McAfee – Technology Security Assessment for Capabilities and Applicability in Energy Sector Industrial Control Systems. Spolu s MCAfee zprávu připravila také Pacific Northwest National Laboratory (PNNL). Zpráva konstatuje nárůst kybernetických hrozeb a sabotáží, které se týkají kritické infrastruktury. Viz komentáře:
- Increase in cyber threats and sabotage on critical infrastructure
- Cyber-Security Threats, Infrastructure Sabotage Rising: McAfee
Výsledky přehledu společnosti ZoneAlarm ukazují na generační rozdíly – The Generation Gap In Computer Security: A Security Use Survey From Gen Y To Baby Boomers. Mladí lidé podceňují bezpečnostní rizika a přeceňují své znalosti ohledně počítačové bezpečnosti, to je jedno z zjištění. Viz také komentáře k výsledkům tohoto přehledu –
Obecná a firemní bezpečnost IT
Predicting Malicious Behavior, to je recenze stejnojmenné knihy. Jejím autorem je Gary M. Jackson. Kniha vychází tento měsíc v nakladatelství Wiley, má 552 stran. Najdete ji na Amazonu.
Šest nejhloupějších nápadů v počítačové bezpečnosti – The Six Dumbest Ideas in Computer Security. Zajímavý rozbor, autor vychází z vlastních pozorování:
- Default Permit
- Enumerating Badness
- Penetrate and Patch
- Hacking is Cool
- Educating Users
- Action is Better Than Inaction
Measuring the Cost of Cybercrime – jak měřit náklady spojené s kybernetickou kriminalitou. Studie týmu pracovníků (na čele s Rossem Andersonem z britské university v Camridge) bude prezentována na akci 11th annual Workshop on the Economics of Information Security (WEIS), která se koná v Berlíně 25. a 26 června 2012.
Komentář ke studii je na stránce Tech boffins: Spend gov money on catching cyber crooks, not on AV (vládní peníze věnujte na dopadení kyberkriminálníků, nikoliv na antiviry).
V tomto článku je také odkaz na starší, ale v dané souvislosti zajímavou studii The Cost of Cybercrime. Tato studie, kterou zpracovala Detica (BAE subsidiary), byla kritizována za nadhodnocení nákladů spojených s kyberkriminalitou.
Další komentář k studii Andersenova týmu je na stránce Governments should spend more to cybercriminals, researchers say.
USA a špatné stránky legislativy týkající se kybernetické bezpečnosti a příbuzných problematik – 10 Terrible Tech Laws That Have You in Their Bull's-Eye. Autorka článku si vzala na paškál rovnou desítku takovýchto zákonů (či jejich návrhů).
Kdy bude konec tomu, aby koncoví uživatelé dopláceli na online podvody? Situace se bohužel stává stále více nepřehlednou, a to i přes fungování edukačních programů v organizacích. V článku When Will End Users Stop Being Fooled By Online Scams? je zmíněno několik výchovných programů (Mad Security, Hadnagy’s social engineering testing, PhishMe´s phishing education service), které by měly v tomto směru pomoci.
Britské podnikání je na tom v EU nejhůře, co se týče ochrany informací – UK businesses worst in Europe at protecting information. V článku jsou prezentovány výsledky výzkumu, který provedly společnosti Iron Mountain and PwC. Studie (po registraci) je dostupná na tomto odkazu.
K jednomu e-mailovému podvodu – Is this ´your´ passport being used by email scammers?. Druhá strana přišla dokonce s fotokopii svého osobního průkazu, ale … . Osobou na fotografii se ukázala být předsedkyně australské vlády.
Viz také komentář – Beware of the ”Good Samaritan“ advance fee scam.
Ochrana medicínského výzkumu – z pohledu kybernetické bezpečnosti – je tématem eseje Securing Medical Research: A Cybersecurity Point of View. Bruce Schneier v ní zabrousil do vzdálenější problematiky. Ukazuje na obtížnosti při řešení těchto problémů.
Výchova uživatelů je podstatná v boji proti technikám sociálního inženýrství – User education essential against social engineering attacks. Sociální inženýrství, jeho triky se stávají stále častějším jevem. Využívání lidských slabin je obtížné kontrolovat technickými prostředky.
Myšlence mstít se za kybernetické útoky se obrací článek Cyber revenge is a dish best served by sharing threat data. Na panelu bezpečnostních odborníků bylo řečeno, že nejlépe je v tomto směru, aby organizace sdílely data k hrozbám a tím posílily vlastní obranu.
Tématu se věnuje také článek Companies Hacking Hackers? Some Companies Use Revenge Tactics.
Jaká je situace ohledně průniku mezi kybernetickou špionáží a kyberkriminalitou – The Intersection Between Cyberespionage And Cybercrime? Oba typy útočníků využívají často stejné typy nástrojů (např. trojany Poison Ivy a Ghost). Některé skupiny útočníků z Číny fungují také v obou směrech (zřejmě na smluvní bázi).
Sociální sítě
Krádež hesel LinkedIn podtrhuje nebezpečí cloudu – LinkedIn Password Theft Underscores Cloud Security Dangers . Autor článku tím míní potřebu využívání složitých a unikátních hesel pro přihlašování ke cloudovým aplikacím.
10 doporučení k tomu, jak na Twitteru zůstat v bezpečí, obsahuje stránka – 10 Tips for Staying Safe on Twitter. Některá doporučení obsažená v slideshow pochopitelně platí i pro jiné sociální sítě.
LinkedIn je žalován kvůli úniku špatně zabezpečených hesel – LinkedIn sued over exposure of poorly secured passwords . Žalující strana (Katie Szpyrka, premium LinkedIn user) požaduje náhradu škod ve výši více než 5 miliónů dolarů. Žaloby tohoto typu jsou časté, ale úspěšné jsou jen tehdy, když se podaří prokázat finanční škodu, dodává v závěru článku jeho autor.
Patnáctka podvodů, které se objevují v sociálních médiích, takovouto poučnou a obsažnou slideshow připravila Joan Goodchild – 15 social media scams.
Šestice osobních tajemství, které Facebook o vás neuchrání, autor článku 6 Personal Secrets Your Facebook Profile Isn't Keeping je uvádí jako příklady.
UGNazi, tato hackerská skupina se přihlásila k odpovědnosti za výpadek Twitteru – 6 Personal Secrets Your Facebook Profile Isn't Keeping. Ve středu 21.6 Underground Nazi Hacktivist Group měla způsobit dvouhodinový výpadek Twitteru. Viz ale – Twitter Denies Hacktivists Behind Severe Outage.
Software
Problematiku bezpečnost SAPu (znázorněnou v číslech) zachycuje přehled A Global Survey 2007–2011. Tento 39stránkový dokument připravila společnost ERPScan.
Využívání IPv6 ztíží práci policie – FBI, DEA warn IPv6 could shield criminals from police. V tomto ohledu varují FBI, DEA (Drug Enforcement Administration) a kanadská policie.
Volně dostupné nástroje, které ochrání vaše online soukromí – Free tools to protect your privacy online. V krátkém přehledu jsou jmenovány tyto nástroje: Tor, Jitsi, TrueCrypt, CryptoCat, GnuPG, TAILS.
Čína navrhuje normu pro segmentaci internetu – Chinese operators hope to standardize a segmented Internet. S draftem normy se lze seznámit na stránce DNS Extension for Autonomous Internet(AIP) (byl předložen IETF). Jednotlivé země by tak měly získat větší kontrolu nad vlastní částí internetu.
Kdo kupuje zranitelnosti nulového dne? Autor článku Guess who's buying zero-day vulnerabilities? popisuje, jak se situace v posledních dvou letech v tomto ohledu vyvíjí. Někteří prodejci pak o zranitelnostech neinformují takové firmy Microsoft a Adobe. Článek je uzavírán citací názorů Bruce Schneiera.
Pět nenahraditelných aplikací pro vaši klíčenku – Five indispensable apps to carry on a USB stick. V slideshow autor uvádí tyto: SystemRescueCD, Firefox Portable, ComboFix (nástroj pro obnovu dat), FileZilla Portable (ftp klient), Explorer++ Portable (správce souborů).
Vyvarujte se souborů XDP, mohou v sobě obsahovat překódovaná škodící pdf, a to v současné době neumí antiviry detekovat, jak poukazuje Brandon Dixon – Encoding malicious PDFs avoids detection.
What you really need to know about cloud security – co byste skutečně měli vědět o bezpečnosti cloudů. Jeff Vance diskutuje nejprve některé známé průniky (Sony, Epsilon), kde hackeři využili cloud Amazonu jako zdroj výpočetní síly. Následně pak hovoří o hrozbách vyplývajících ze samotného využívání cloudu.
Safe Browsing – Protecting Web Users for 5 Years and Counting – Google k výsledkům pěti let fungování své iniciativy Safe Browsing. Zatímco objem phishingu roste, klesá množství malware. Viz komentáře:
- Phishing up, malware down, says Google. Big scary security numbers revealed, fresh from Chocolate Factory
- Google Discovers 9,500 New Malicious Sites Every Day
Online sdílení souborů je vysoce rizikovou záležitostí – Online file sharing poses great security risks. V článku jsou prezentovány výsledky šetření, které u malého a středního podnikání provedl Symantec.
Wireshark je ve verzi 1.8.0. Na stránce Get Wireshark najdete všechny potřebné odkazy. Popis vlastností tohoto analyzéru síťových protokolů najdete zde – About Wireshark.
Větší digitální krajina znamená také větší možnosti se skrýt – Broader Digital Landscape Means More Places To Hide. Přichází IPv6, ochrany, které v minulosti fungovaly, mohou v budoucnu fungovat přestat. V současné době dochází k velkým změnám, které jsou charakterizovány trojicí technologií: IPv6, DNSSec a novými globálními vrcholovými doménami.
Co Windows 8 zlepšují ve vztahu k bezpečnosti – How Windows 8 Beefs Up Security. Paul Wagenseil připravil krátký přehled.
Malware
Projekt typu Honeynet cílí na USB malware – Honeynet looks to trap USB malware. USB drive je emulován v obrázkovém souboru a odchytí kopírované malware. Projekt německého studenta je zatím v počátečním stádiu vývoje.
Hackeři šíří trojana, který využívá problém záplatovaný Microsoftem předminulý týden – Hackers spread trojan following Internet Explorer patch. Společnost Symantec označila tohoto trojana přezdívkou Naid. Trojan umožňuje vzdálenou kontrolu počítače.
Ransomware může zaútočit i z nečekaných míst – Ransomware Can Strike Anywhere. V článku je popsána jedna taková situace. Přihodila se studentům při přípravě na ukončení jejich postgraduálního studia, málem přišli o své závěrečné práce. Infekce přišla z WordPress blogu.
Virtual analysis misses a third of malware – virtuální prostředí a malware. Zhruba třetina malware zde zůstává nedetekována, říká bezpečnostní odborník (Gunter Ollmann, Damballa).
Stuxnet, Flame a spol.
Bruce Schneier říká: USA udělaly se Stuxnetem chybu – Stuxnet cyberattack by US a ‚destabilizing and dangerous‘ course of action, security expert Bruce Schneier says. Citát z odpovědí B. Schneiera:
We made a mistake with Stuxnet: We traded a small short-term gain for a large longer-term loss. We can´t undo that, but we can do better in the future.
Mikko Hypponen (F-Secure) zvažuje možnou infiltraci Microsoftu pracovníky CIA, NSA – Researcher: CIA, NSA may have infiltrated Microsoft to write malware. Míněna je tím infiltrace hlavních vývojářských týmů Microsoftu.
Bruce Schneierovi se nelíbí reakce antivirového průmyslu na selhání ve vztahu k Flame – Schneier spanks AV industry over Flame failures. Reaguje mj. na omluvu Mikko Hypponena – Why Antivirus Companies Like Mine Failed to Catch Flame and Stuxnet.
Viz diskuzi na Schneierově blogu – The Failure of Anti-Virus Companies to Catch Military Malware.
Počítačový vir Flame vyvinuly Spojené státy a Izrael, aby zpomalily nukleární úsilí Íránu – U.S., Israel developed Flame computer virus to slow Iranian nuclear efforts, officials say. Autoři článku ve Washington Post hovoří o neoficiálních zdrojích informací, z kterých tyto závěry vyvozují.
Viz také komentáře:
- Report: US and Israel Behind Flame Espionage Tool
- Flame Spyware Created by U.S., Israel, Report Says
- Flame was scout ahead of Stuxnet attack on Iran nukes – US spooks
Stuxnet, Duqu, Flame cílily v Íránu na počítače s nelegálními Windows – Stuxnet, Duqu, Flame Targeted Illegal Windows Systems In Iran. Platí totiž, že díky omezení USA ohledně vývozu, nesmí být v Íránu Windows prodávány.
Íránská rozvědka hovoří o plánování velkého kybernetického útoku ze strany USA a Izraele – Iran targeted by ‚massive cyberattack,‘ official claims. Jak ale podotýká agentura Reuter k této tiskové televizní zprávě, není jasné zda se íránské vyjádření týká Flame či nového útoku.
Viz také komentář – Iran: Our nuke facilities still under attack by US, Israelis ´and MI6´.
Hackeři a jiní útočníci
Hacker oznámil, že se mu podařilo proniknout do 79 (!) bank – Hacker claims breach of 79 banks, releases customer data. Reckz0r zveřejnil jako důkaz data zákazníků ukradená z bankovních počítačů.
Ale – Data in possible credit card breach appears to be old, ukradená data, která hacker zveřejnil, mají být stará.
Šest lidí (s vazbou na Anonymous?) bylo uvězněno za útoky na weby Quebecu – > Anonymous arrested? Six nabbed for cyber attacks on Quebec websites. Na akci v různých kanadských místech se podílelo několik policejních složek. Viz také komentář – Mounties, flics, cops snap on bracelets after Québec hacktivism.
Na syrské aktivisty útočí nový trojan – Syrian rebels targeted using commercial Skype trojan. Jedná se o komerční tzv. BlackShades Trojan. Podrobnější jeho popis je na stránce Syrian Activists Targeted with BlackShades Spy Software.
Hacker zveřejnil data zákazníků poté, co vydíraná firma odmítla platit – Hackers leak customer data after firm refuses to pay ransom. Poskytovatel úvěrů online AmeriCash Advance měl zaplatit 15 000 dolarů:
The batch contained the names and e-mail addresses of the applicants, as well as the last four digits of their Social Security numbers and the amount they requested on loan.
Viz také komentář – Hackers publish payday loan emails after failing to levy ´idiot tax´.
6 Biggest Breaches Of 2012 So Far – šest největších průniků roku 2012 (zatím). Autorka vyjmenovává a ve stručnosti popisuje (včetně příslušných ponaučení) následující:
- Zappos
- University of North Carolina
- Global Payment System
- South Carolina Health and Human Services
- University of Nebraska
Má nejlepší obrana proti kybernetické kriminalitě být také útočící? Rostoucí počet amerických společností soudí, že ano, alespoň poněkud. Autor článku Should best cybercrime defense include some offense? pak rozebírá různé názory na to, co se v takových situacích bude dít dál.
Společnost Sophos varuje ohledně státem sponzorovaných útoků na evropské firmy – Sophos Warns of State Sponsored Attacks Against EU Companies. Společnost vydala výstrahu, která se odkazuje na dva různé (ale propojené) útoky – na evropského dodavatele leteckých součástek a na evropskou zdravotnickou společnost. V obou případech byla využita nezáplatovaná zranitelnost IE.
Vzácný AutoCADový červ kradl projekty v Peru a odesílal je do Číny – Rare AutoCAD worm lifted blueprints from Peru, sent them to China. Ukradeny měly být desetitisíce nákresů. Viz také komentáře:
- AutoCAD Worm Targets Design Documents In Possible Espionage Campaign
- Malware targeting AutoCAD files could be sign of industrial espionage
- Why Stuxnet Is a really bad weapon
Bylo hacknuto americké ministerstvo národní bezpečnosti a také americké námořnictvo – Department of Homeland Security and U.S Navy hacked. Tentokrát za tím má být hackerská skupina s označením Digital-corruption.
Hardware
US-CERT našel bezpečnostní chybu v čipech Intelu – US-CERT discloses security flaw in Intel chips. Chyba umožňuje hackerům získat kontrolu nad Windows či jinými operačními systémy. Mezi zranitelnými OS jsou Windows 7, Windows Server 2008 R2, 64-bitová verze FreeBSD a NetBSD.
Check Point přišel s novými zařízeními na obranu proti útokům DDoS – Check Point Launches New DDoS Protection Appliances. Obvykle se komerční informace na těchto stránkách neobjevují. Tato si snad zaslouží výjimku.
Chytré televize jsou zranitelné vůči kybernetickým útokům – Smart TVs are vulnerable to attacks. Společnost Codemicon otestovala v tomto směru šest modelů televizorů. Výsledky testů jsou shrnuty ve zprávě Smart TV Hacking: Crash Testing Your Home Entertainment. Podrobnosti zranitelností nejsou zveřejněny – kvůli ochraně uživatelů těchto televizorů.
Mobilní zařízení
Pracovníci s BYOD jsou vážným bezpečnostním rizikem – BYOD workers pose serious security risks. V článku jsou prezentovány výsledky analýzy, kterou provedla společnost Fortinet.
Mobilní malware
Tokio – bylo uvězněno šest mužů v souvislosti s malware pro Android – Six in Tokyo slammer after Android smut scam. Šestice (mezi nimi byli i tři výkonní šéfové IT) je podezřelá z vývoje viru, který byl distribuován na dospělácké weby. Pokud si aplikaci uživatel stáhnul na mobil, ta požadovala zaplacení částky 99 800 jenů.
Falešný „Android Security Software“ je mobilní verzí trojana Zeus – Fake Android Security Software Is Mobile Version of Zeus Trojan: Kaspersky. Společnost Kaspersky našla několik škodlivých mobilních aplikací tvářících se jako bezpečnostní SW, které tento trojan obsahují.
App Store společnosti Apple byla obviněna, že obsahuje malware – Consumer Affairs Victoria says App Store contains malware. Tvrdila to agentura Consumer Affairs Victoria. Další vývoj okolo tohoto obvinění je popsán v článku Consumer Affairs Victoria drops App Store malware claim. CAV ho ze svých stránek (po komunikaci s Apple) stáhla.
Spam
Proč autoři nigerijských podvodů říkají, že jsou z Nigerie? Rozsáhlý a zajímavý materiál (Why do Nigerian Scammers Say They are from Nigeria?), který připravil pracovník Microsoftu Cormac Herley, je komentován v článku Nigerian scams are hyper-efficient idiot finders. Autor materiálu dochází k závěru, který nepotěší, podvodníkům tohoto typu se daří najít vhodné oběti.
Viz také diskuzi na blogu Bruce Schneiera – Far-Fetched Scams Separate the Gullible from Everyone Else.
Elektronické bankovnictví
Minulý týden byla publikována zpráva společnosti Trend Micro – Automatic Transfer System, a New Cybercrime Tool. Z obsahu devítistránkového dokumentu (týká se automatizovaných nástrojů, které kriminální strana používá a které ji umožňují vyprazdňovat bankovní účty, aniž by tito lupiči sami museli být online):
- Existing ATS Versions Seen in the Wild
- ATSs in the Cybercriminal Underground
- Most Targeted Countries
- Other Targets
Komentáře ke zprávě jsou v článcích:
- Cyber crooks evading advanced bank security to transfer funds
- Automatic Transfer System Evades Security Measures, Automates Bank Fraud
- Zeus/SpyEye ´Automatic Transfer´ Module Masks Online Banking Theft
Trojané Zeus a SpyEye jsou zpátky a útočí na banky v reálném čase – Zeus, SpyEye Trojans Back to Attacking Banks in Real Time. Další komentář ke zprávě společnosti Trend Micro poukazuje na útoky nových verzí těchto trojanů na banky, které využívají dvoufaktorovou autentizaci.
Tipy pro bezpečnost mobilního bankovnictví – Top Mobile Banking Security Tips. V této slideshow Davey Alba uvádí a ve stručnosti rozebírá následující body:
- What is mobile banking?
- Banking apps
- The common threats
- Stolen smartphones
- Phishing
- Malware
- Fraud
- How you can stay safe
- The Apple advantage
- Watch out for Wi-Fi
- Bottom line
Autentizace, hesla
Pozor na krádeže identity na dovolené – Beware Identity Theft While on Vacation. Lidé slepě věří cestovním kancelářím, hotelům v místech, kam cestují. Kriminalita to ví a těží z toho. Nejsnadnějším cílem krádeže bývá počítač. Hotelové pokoje nejsou bankovním trezorem. V druhé části článku uvádí autorka sadu užitečných doporučení.
Administrátoři Google Apps mohou vyžadovat použití dvoufaktorové autentizace – Google Apps admins gain two-step security powers. Viz informaci na stránce Two new security features for Google Apps.
Phishing
Phishing: not just for banks – phishing se netýká jenom bank. V článku je na důkaz tohoto tvrzení uvedena řada příkladů phishingu jiného typu.
Kryptografie
Společnost Fujittsu rozbila kryptografický systém založený na párování – Fujitsu cracks 278-digit crypto. Klíč měl být v délce 978 bitů a má to být nový rekord v tomto směru. Bohužel informace v článku neupřesňuje, o jaký konkrétní kryptografický algoritmus se jednalo. I použitá metoda je popsána velmi obecně, počkáme na odborný článek.
Viz také obdobný komentář – Researchers set new cryptanalysis world record for pairing-based cryptography.
Různé
Vyšel ClubHack Magazine Issue 29, June 2012. Z jeho obsahu:
- Tech Gyan – Playing Bad Games: Anatomy of a Game-Server DDoS Attack
- Tool Gyan – Scapy Primer
- Mom´s Guide – Hypertext Transfer Protocol
- Special Feature – Impact of Cybercrime on Businesses
- Legal Gyan – SECTION 66D – Punishment for cheating by personation by using computer resource
- Code Gyan – Preventing Cross Site Scripting… Is it a myth!
- Matriux Vibhag – MITM with Ettercap
- Poster – ”An attacker won´t ring a bell before attacking“
Na stránce ClubHack Magazine najdete pak i starší čísla tohoto indického magazínu publikovaného v angličtině.
Přehled vychází z průběžně publikovaných novinek na Crypto – News.
