Bezpečnostní střípky: bezpečnostní průmysl čelí útokům, které neumí zastavit

15. 3. 2010
Doba čtení: 10 minut

Sdílet

Pravidelný pondělní přehled informací vztahujících se k problematice bezpečnosti IT. Z novinek právě uplynulého týdne vás upozorníme především na řadu nových informací okolo malware, článek k bezpečnému mazání médií a třeba na doporučení k tomu, jak se chránit před podvody v online bankovnictví.

Obecná a firemní bezpečnost IT

Čínské kybernetické útoky na citlivé cíle v USA a Evropě, věnují se jim Michael Evans a Giles Whittell v článku Cyberwar declared as China hunts for the West’s intelligence secrets. Předmětem těchto útoků jsou vládní a vojenské instituce. Zejména evropské cíle jsou zranitelné, neboť ochranu si zajišťují samostatně jednotlivé země a není zde v tomto směru jednotná politika obrany. Reálným dopadem je také snížený oběh zpravodajských informací neboť jsou zde obavy z jejich prozrazení. Poznámka: na druhou stranu novináři často používaný termín „kybernetická válka“ je předmětem kritiky, takovéto hodnocení současné situace je považováno za přehnané (viz Bezpečnostní střípky v minulém týdnu).

Stačí evropské zpravodajské služby čelit kyberterorismu? Pavel Urbanec na Lupě: Kybernetické útoky na počítačové sítě armády, ministerstev a dalších institucí přiměly americkou administrativu k náboru tisíců IT specialistů a vytvoření samostatného oddělení v rámci Národní bezpečnostní agentury (NSA), které podřizuje jednotnému velení bezpečnostní, armádní a zpravodajské složky. V EU sice existuje podobná agentura, nicméně nemá tak pevnou pozici a pravomoci. To může vést k nižší efektivitě boje proti kyberterorismu.

Bezpečnostní průmysl čelí útokům, které neumí zastavit – Security industry faces attacks it cannot stop. Podniky, organizace jsou rozčarováni nedostatečnou ochranou, kterou jim poskytují dnešní soubory antimalwarových nástrojů. Např. antiviry obsahují řadu funkcí, které umožňují na základě některých obrazů chování blokovat programy. Ale uživatelé tyto funkce vypínají, protože jim blokují jiný pro ně užitečný SW.

Český registrátor zablokoval škodlivé domény, David Procházka: To, že se na internetu nevyskytuje jen mírumilovný obsah, je informace, kterou asi netřeba uživatelům neustále zdůrazňovat. Český registrátor domén ale tvrdě zakročil proti doménám, které uživatelům škodí – zablokoval jich 150.

Deset častých chyb, které mohou snížit vaši reputaci, sepsala Jack Wallen v článku 10 really dumb mistakes to avoid in the field. Ukazuje v něm chyby, které vám mohou ublížit u vašich zákazníků. Např. neprovádějte slepě upgrade svého SW, needitujte své konfigurační soubory bez toho, abyste si je předem nezálohovali, nezapomeňte zapnout firewall atd.

Jaké jsou trendy co se týče bezpečnosti e-mailu? Krátký článek Email security trends informuje o výsledcích přehledu, který byl proveden na základě odpovědí účastníků RSA konference. Význačným bezpečnostním problémem je cílený phishing, nyní se již více využívá šifrovaný e-mail, to jsou některé z výsledků ankety.

Střet Cryptome a PayPal následoval po tom, co Cryptome zveřejnil některé dokumenty ohledně politik (nejen PayPalu), které organizace mají při žádostech oficiálních orgánů o podání informací o uživatelích – Cryptome: PayPal a ‚liar, cheat and a thug‘.

I základní bezpečnostní opatření dělají divy – Hackers aren't as sneaky as you think. Basic security measures can protect your company from even the most elite malicious hackers. Tento článek Rogera Grimese a v něm uvedená doporučení jsou také komentovány na stránce Basic security measures do wonders.

Které bezpečnostní technologie jsou nejvíce přeceňované ? Bill Brenner na csoonline.com – What Are the Most Overrated Security Technologies? – vyjmenovává (a vysvětluje proč) v této souvislosti:

  • Antivir
  • Firewall
  • Správa ID a přístupu a vícefaktorová autentizace
  • NAC

Zakladatel Facebooku je obviňován z hacknutí e-mailů konkurentů a žurnalistů – Facebook founder Mark Zuckerberg ‚hacked into emails of rivals and journalists‘ . Mark Zuckerberg je CEO Facebooku. Business Insider v sérii článků dokládá, že má důkazy jeho hackingu z roku 2004.

Praktický útok deanonymizující uživatele sociálních sítí je popisován ve studii A Practical Attack to De-Anonymize Social Network Users. Dostupné informace o členství ve skupinách stačí často k identifikace uživatele, říkají autoři studie. Studie je také diskutována na blogu Bruce Schneiera – De-Anonymizing Social Network Users.

Software

Samurai WTF (Web Testing Framework) vydán ve verzi 0.8 – Samurai WTF 0.8. Podrobnější informace k tomuto nástroji lze nalézt na stránkách:

There's an Insecure App for That – na co by se nemělo zapomenout při stavbě bezpečných mobilních aplikací. Joan Goodchild cituje pět doporučení, jejichž autorem je Chris Clark:

  1. Nezapomeňte na základní bezpečnostní postupy i ve vztahu k mobilním aplikacím
  2. Zvažte rizika, která jsou specifická pro mobilní zařízení
  3. Neumožňujte sdílení autentizačních informací (táž hesla)
  4. Nevystavujte své podnikatelské aplikace rizikům mobilního prostředí, pokud nejsou ujištěny, že zde jsou dostatečná zabezpečení
  5. Využívejte bezpečnostní vlastnosti každého používaného zařízení (při psaní vlastních aplikací)

Další (nezáplatovaná) zranitelnost nulového dne IE je předmětem útoku – New Microsoft IE zero-day flaw under attack. Týká se to IE6 a IE7, IE8 není touto zranitelností ovlivněn.

Jason Fitzpatrick si pro svůj článek Five Best VPN Tools vzal za úkol vybrat pětici nejlepších VPN nástrojů. Zmiňuje:

  • OpenVPN (Windows/Mac/Linux, Free)
  • Cisco VPN (Windows/Mac/Linux, Variable Cost)
  • LogMeIn Hamachi (Windows/Mac/Linux, Free)
  • Shrew Soft (Windows/Linux, Free)
  • Windows Built-In VPN (Windows, Free)

OpenSSH vychází ve verzi 5.4 – OpenSSH 5.4 couples standard local input with server ports. Článek stručně informuje o novinkách.

Deset důvodů, proč se Microsoft stále potýká s bezpečnostními problémy – 10 Reasons Why Security Problems Persist at Microsoft. Don Reisinger shrnuje známá a možná i méně známá fakta.

Malware

Objevil se Botnet Black Energy číslo 2 – Russian Banking Trojan BlackEnergy 2 Unmasked at RSA. Původní botnet Black Energy byl použit v útoku na Gruzii v roce 2008. Tato varianta má za cíl krást finanční data. Informoval o něm Joe Stewart (SecureWorks) na konferemci RSA.

O únorové vlně vyděračského SW Informuje Fortinet – Wave of Ransom Malware Hits Internet. Ve dnech 8. a 9 února proběhla kampaň (o rozsahu více než polovina všeho únorového malware) formou spamu obsahujícího přílohu report.zip. Když uživatel na tuto klikl, automaticky se mu do počítače stáhl zlodějský antivir Security Tool. Ten požadoval zaplacení licence, uzamkl aplikace a data na PC, která mají být zpřístupněna pouze po zaplacení.

Vodafone je distributorem botnetu Mariposa – Vodafone distributes Mariposa botnet. Pedro Bustamante píše o zjištěných infekcích v prodávaném HW (Vodafone HTC Magic with Google’s Android OS). Dokonce zde ještě navíc byly nalezeny Conficker a Lineage password stealing malware.

Jared Newman v The Energizer DUO Trojan: What You Need to Know posbíral informace související s tzv. Energizer DUO trojanem.

Al Qaeda 2.0 a příchod robotů – RSA Conference 2010: Al Qaeda 2.0 and the rise of the robots, zajímavou přednášku Warrena Singera na konferenci RSA komentuje Paul Fisher.

Adobe Reader je nejčastěji používanou aplikaci pro šíření malware – It's official: Adobe Reader is world's most-exploited app. Soubory vycházející z Readeru byly podle společnosti F-Secure v roce 2009 použity v 49 procentech cílených útoků (MS Word soubory poklesly na druhé místo s 29 procenty). Důvod je prostý, pro Adobe Reader je větší množství využitelných zranitelností.

Největší množství infikovaných webů hostuje v USA – Most malicious websites are hosted in the US. V článku je obsaženo shrnutí analýz, které prováděla společnost AVG v posledních 6 měsících.

K tomu, abyste získali funkční botnet Zeus, stačí malinko znalostí a 2753 dolarů a je váš  – Researchers dissect ZeuS botnet blueprint. Pracovníci společnosti Cisco (Patrick Peterson a Henry Stern) k tomu podali informace na konferenci RSA.

Botnet Zeus – Zeus botnets suffer mighty blow after ISP taken offline, že by se mu podařilo poněkud ustřihnout rozlet? Zasáhli dva poskytovatelé (jeden z Ukrajiny a jeden z Ruska). Ale – After takedown, botnet-linked ISP Troyak resurfaces.

Zeus – jeho nová varianta dokáže převzít kompletní kontrolu nad napadeným počítačem – ZeuS botnet code keeps getting better…for criminals. Zeus ve verzi 1.3.4.x obsahuje k tomu speciálně zkonstruovaný modul (cena 10 000 dolarů, samotný Zeus stojí okolo 3000 dolarů). Autorem „Dia“ má být někdo z východní Evropy.

Hackeři

Jak notebook přivedl milionáře k bankrotu – Guest Case File Alert: How A Laptop Bankrupted a Millionaire. Security Monkey upozorňuje na téměř fantastický příběh z reálného života – Flying Blind.

Ubisoft se stal předmětem útoku DDoS, byly to odveta za nové kontroly (DRM – digital right management) – Ubisoft undone by anti-DRM DDoS storm. Servery firmy byly o víkendu zahlceny na protest za zavedení nových kontrol. Hráči nyní musí být online, aby mohli hrát takové hry jako Assassin's Creed II a Silent Hunter 5.

Prodejci falešných léků se vkrádají na akademické weby – Fake drug peddlers hijack academic websites. Zobrazený vstupní kámen přivede uživatele na stránku s padělky léků. Viz také – The unwelcome return of image spam (nevítaný návrat obrázkového spamu).

Adobe Reader a cílené útoky, tomuto problému se věnuje Ryan Naraine v článku Adobe Reader and targeted malware attacks. Informuje v něm o poznatcích společnosti F-Secure, uvádí statistiky. Podrobněji se problémem zabývá Gregg Keizer – Hackers love to exploit PDF bugs, says researcher. Máte aktuální verze Adobe Readeru – 9.3.1 a 8.2.1 ?

Odpovědi na otázky k tématu Google hacking najdete v článku Q&A: Google hacking. Odpovídá na ně Robert Abela (Technical Manager, Acunetix). V závěru článku je devět doporučení k tomu, jak se před takovýmito technikami útoků (s využitím vyhledávače Google) bránit.

Hardware

Jak kompletně smazat data na svých pevných discích, SSD a flashkách – Leave No Trace: How to Completely Erase Your Hard Drives, SSDs and Thumb Drives. Kromě standardních doporučení zde čtenář najde i odkazy na postupy doporučované jednotlivými výrobci.

Mobilní telefony

Botnetový experiment pro iPhone a Android byl úspěšný – Smartphone app botnet experiment blows up a storm. Téměř 8000 uživatelů „naletělo“ na zdánlivě nevinnou aplikaci k počasí.

Forenzní analýza

V článku Building a UNIX/Linux Incident response / Forensic Disk Autor vysvětluje, jak si vytvořit vlastní forenzní disk pro svůj systém (pro odpověď na incidenty v prostředí Unix/Linux).

Jak vypadají logy v Unixu z pohledu jejich využitelnosti pro forenzní analýzu Unix Logging. Craig Wright zde rozepisuje obsahy jednotlivých logů (z tohoto hlediska).

Elektronické bankovnictví

Jak se chránit před podvody v online bankovnictví – Fraudsters Bank on Business Accounts: How to Protect Your Funds Online. Craig Priess komentuje aktuální stav této problematiky a uvádí dvakrát šest doporučení, jedna série je určena pro zákazníky bank, druhá pro pracovníky bank.

A jak minimalizovat rizika spojená s ukládáním dat z platebních karet ? Mark Johnson v How to Reduce Security Risks Associated with Storing Credit Card Data poukazuje na nezbytnost ohodnocení rizik a aplikace požadavků normy PCI DSS. Autor pak rozvádí jednotlivá rizika.

Největší evropská banka HSBC, došlo zde k rozsáhlé krádeži dat – HSBC: Data theft incident broader than first thought. Bývalý zaměstnanec ukradl data, která se týkala tisíců klientů. Viz také – Zaměstnanec HSBC ukradl údaje o desítkách tisících klientech.

Autentizace, hesla

Crackování hesel je 100krát rychlejší s využitím SSD – Password cracker 100 times faster with an SSD. Philippe Oechslin (Objectif Sécurité) informuje o tomto svém výsledku.

Jaké jsou meze využití identifikačních karet – http://www.step­henmason.eu/wp-content/upload­s/2010/02/bohm-mason-identity.pdf . Tento pěkný rozbor (i z pohledu právních dopadů) je také diskutován na Schneierově blogu – The Limits of Identity Cards. Třeba by si to mohli přečíst i ti, co mají co do činění s Opencard? O tom, jak je na tom tomto ohledu Velká Británie, si lze přečíst zde – ID cards: Seven years of missed deadlines and U-turns.

Phishing

Byla vydána pravidelná zpráva  – Phishing Activity Trends Report. 4th Quarter 2009. Komentář a stručné shrnutí zprávy jsou na stránce Spear phishing aimed at high-value targets increases.

Elektronický podpis

Comodo Dragon hlásí, že více než polovina stránek s SSL není zajištěna dostatečnou ochranou – New browser reports over half of SSL sites may be unsafe. Pokud je certifikát SSL ověřen jen doménou (a nikoliv třetí stranou), ohlásí to prohlížeč uživateli.

Biometrie

Využití biometrie : Co, kde a proč ? Mary Brandel se v článku Biometrics: What, Where and Why stručně vyslovuje k hlavním aplikacím biometrických postupů.

Normy a normativní dokumenty

Americký NIST v minulém týdnu vydal dokument:

Kryptografie

Cryptographics Aspects of Real Hyperelliptic Curves aneb reálné hypereliptické křivky v kryptografii. Autoři (M. J. JACOBSON, JR., R. SCHEIDLER a A. STEIN) tento příspěvěk přednesli na konferenci, která se konala v Třebíči v létě 2009 (9th Central European Conference on Cryptography).

Vnucené chyby jako prostředek útoku proti AES a RSA – Low Voltage Fault Attacks to AES and RSA on General Purpose Processors. Italští autoři přichází s metodikou útoku, kterou ověřili v praktických experimentech.

ict ve školství 24

Objevil se pokus o napsání učebnice kryptografie na Wikibooks. Pokus proto, protože je to vše ještě v počátcích, řada kapitola stále čeká na své autory, další pak na doplnění. Komentáře jsou v diskuzi na Schneierově blogu – Wikibooks Cryptography Textbook.

Různé

Přehled vychází z průběžně publikovaných novinek na Crypto – News.

Autor článku