Bezpečnostní střípky: bude IE9 bezpečnou ochranou proti malware?

20. 12. 2010
Doba čtení: 10 minut

Sdílet

Pravidelný přehled informací vztahujících se k problematice bezpečnosti IT. Z novinek tohoto týdne upozorníme na řadu různých přehledů za rok 2010, objevují se i předpovědi pro rok příští. Dále informace okolo Wikileaks a také doporučení Joela Snydera k tomu, jak používat známé nástroje k penetračním testům.

Přehledy a konference

Top 10 bezpečnostních historií roku 2010 ve formě slideshow připravil Brian Prince – Security: Malware, Hacks and Leaks: The Top 10 Security Stories of 2010.

Hackers’ Most Destructive Attacks  – zde je popisována desítka dosud nejvíce ničivých útoků hackerů. Toto ohlédnutí zpátky na posledních 25 let připravil Brian Ries.

PandaLabs připravila přehled, který má za úkol zmapovat hlavní trendy IT bezpečnosti pro rok 2011 – Hacktivism and social engineering emerge as top threats. Na prvních místech vidí hacktivismus a sociální inženýrství.

Threat Monitor – jeho prostřednictvím byl získán následující malý přehled – ‚Most wanted‘ security threats of 2010. Najdete zde „nejvyhledávanější“ bezpečnostní hrozby roku 2010:

Videa z konference DOJOCON 2010 jsou na stránce DOJOCON 2010 Videos. Konference se konala 11. a 12. prosince 2010 – DOJOCON 2010.

Obecná a firemní bezpečnost IT

Book Reveals, Prevents, The Art of Human Hacking, to je recenze knihy: Social Engineering: The Art of Human Hacking. Kniha právě vychází (odkaz na obsah a kapitolu, kterou si lze stáhnout najdete na stránkách nakladatelství – Wiley), má 408 stran, jejími autory jsou Christopher Hadnagy a Paul Wilson.

Bezpečnost IT – jak přežít rok 2011, krátké zamyšlení v tomto směru připravil Phil Lieberman – After the 2010 security tsunami, tips on how to survive 2011.

Velká Británie, po nedávných událostech byla konstatována nezbytnost prověření bezpečnosti IT mající vztah k objektům, kde se pracuje s jadernými materiály – Nuclear security urgently reviewed after Sellafield is found to be vulnerable to terrorists. Výsledky nařízených prověrek však pochopitelně zveřejněny nebudou.

Ruská policie překládá jen dobré zprávy – Russian Police Only Translate the Good News. Brian Krebs se zašel podívat na webové stránky ruského ministerstva vnitra a našel – zajímavé rozdíly mezi ruskou a anglickou verzí stránek.

Pět bezpečnostních trendů v roce 2011 pro cloud computing tak, jak je vidí odborníci, posbíral Bob Violino (5 cloud security trends experts see for 2011):

  • Do popředí půjdou data v chytrých mobilech
  • Potřeba lepší kontroly přístupů a správy identit
  • Pokračují starosti o dosahování shody
  • Rizika vícenásobných „nájmů“ cloudů
  • Objeví se normy pro cloud a také související certifikace

Europol : Je navrhováno zřízení evropského centra boje proti počítačové kriminalitě – Europol suggests citizens join fight against cyber crime. dle Roba Wainwrighta (ředitel Interpolu) by tak mělo dojít k harmonizaci v rámci EU ohledně podávání zpráv o internetové kriminalitě. Viz také – Euro cops mull crowd-sourced cybercrime data.

Bezpečnost v roce 2020 – esej na toto téma napsal Bruce Schneier – Security in 2020 . Jsou to tedy zamyšlení spíše obecného charakteru, esej byla také napsána původně jako úvod ke knize Security 2020: Reduce Security Risks This Decade (jejími autory jsou Doug Howard a Kevin Prince).

Čeho si je třeba všímat, abyste mohli provádět správná rozhodnutí ohledně informační bezpečnosti – Nick the Barber and information security. Questions and observations to help make the right information security decisions (so you don't get scalped). Bezpečnostní odborníci Ben Rothke a David Mundhenk v rozsáhlejším článku na csoonline.com vysvětlují, které momenty byste neměli přehlížet.

NSA pracuje se svou sítí, jako kdyby kompromitovaná – US No Such Agency admits its networks are hackable. NSA připouští, že své systémy buduje tak, jako kdyby byly již rozbity.

Za většinu ze ztrát dat mohou interní zaměstnanci – Insiders are most often responsible for data loss. V článku jsou komentovány výsledky průzkumu společnosti Imperva.

WikiLeaks

K útokům na podporu WikiLeaks se obrací článek Pro-WikiLeaks Attacks Sputter After Counterattacks, Dissent Over Tactics. Za většinou těchto útoků stojí skupina, která si říká Anonymous. Za článkem je sada odkazů na další komentáře.

Členové skupiny Anonymous nejsou tak anonymní, jak si možná myslí – Study: Anonymous hacktivists not very anonymous. Měsíce po tom, co se třeba podíleli na současných aktivitách (využití LOIC na podporu WikiLeaks) je lze vysledovat.

Anonymous útočí také na faxy Anti-WikiLeaks organizací – Anonymous turns attack drones against fax machines. Skupina zveřejnila čísla faxů, na které mají aktivisté zasílat např. výňatky z uniklých informací.

Zatýkání ve vztahu k skupině Anonymous proběhla v Řecku a Holandsku – Greek police cuff Anonymous spokesman suspect. Podle komentáře však ani útoky pod hlavičkou Anonymous ani útoky opačného tábora patriotických hackerů proti stránkám, které Anonymous používá, nemají příliš velkou sílu a tudíž i dopad.
Viz také informace – Pro-WikiLeaks Hackers Vow More Cyber-Attacks a Anonymous Spokesman Possibly Arrested in Greece.

Software

Analýzu nástroje pro penetrační testování Metasploit obsahuje dokument An Analysis of the IDS Penetration Tool: Metasploit. Autor šestistránkové studie definuje co je vlastně Metasploit a popisuje terminologii programu. Uvádí několik příkladů využití produktu, ale také metody, jak zabránit útokům, které jsou prováděny pomocí tohoto nástroje.

IE 9 má blokovat až 99 procent všeho malware – IE9's App Rep bumps browser's anti-malware score to 99%. Vyplývá to ze zprávy, kterou připravila NSS Labs. Úspěšnost je podle Microsoftu dána novou vlastností prohlížeče, označovanou jako SmartScreen Application Reputation. Viz také komentář – Microsoft nabídne řešení pro kontrolu sdílení osobních dat na internetu. A také – podle analýzy NSS Labs jsou na tom IE8 a IE9 podstatně lépe z hlediska ochrany proti malware než konkurenční prohlížeče – Internet Explorer Malware Protections Ahead of Rivals, NSS Labs Contends. Jedná se o následující zprávu – Web Browser Security. Socially-engineered Malware Protection. Comparative Test Results.

Google zpochybňuje metodologii, podle níž byl IE vyhodnocen jako téměř dokonalý bloker malware – Google questions tests that praise IE's bad website blocker. Říká, že výsledky se týkají jen velmi omezeného okruhu malware (Google Chrome v testech nedopadl dobře).

Botan, to je odkaz na Botan – kryptografickou knihovnu v C++. V současné době je ve verzi 1.9.12, obsahuje známé kryptografické algoritmy jako AES, DES, SHA-1, RSA, DSA, Diffie-Hellman a další. Podporuje SSL/TLS, X.509 certifikáty a CRL, a PKCS #10 žádosti o certifikáty.

Tutorial on Buffer Overflows, to je tutoriál k problematice přetečení bufferu. Tento průvodce k tomuto bezpečnostnímu problému je z roku 2005, ale jistě je stále využitelný.

Nmap, Nessus, Nikto jsou tři nástroje, které můžete sami použít k penetračním testům. Joel Snyder v článku Three pen test tools for free penetration testing vysvětluje, jak byste měli postupovat.

FBI ‚planted backdoor‘ in OpenBSD – zabudovala FBI zadní vrátka do OpenBSD? John Leyden komentuje diskuze, které se k tomu rozběhly na internetu. Viz obsáhlejší komentář na stránce Former contractor says FBI put back door in OpenBSD.

Existence zadních vrátek v OpenBSD je zpochybňována – OpenBSD back door claim now in doubt. Dotčené osoby se proti tomuto obvinění brání. Viz dále k tématu se vážící komentář – What can the OpenBSD IPsec backdoor allegations teach us? a také diskuzi na blogu Bruce Schneiera – Did the FBI Plant Backdoors in OpenBSD?

Malware

Stali byste se dobrovolně součástí botnetu? Při odvetné akci se fandové serveru Wikileaks mohli spolčit s ostatními a podílet se na celosvětových DDoS útocích. Dobrovolnosti se meze nekladou, nechali byste se sami zlákat? Ondřej Bitto vysvětluje, proč on by to nedělal.

Reklamní sítě, které vlastní Google resp. Microsoft šíří malware – Ad networks owned by Google, Microsoft serve malware . Je za tím JavaScript. Koncový uživatel nemusí (kromě brouzdání na příslušných stránkách) provádět žádnou akci.

Stuxnet

Odborník říká, za červem Stuxnet je nejspíše Čína – China Likely Behind Stuxnet Attack, Cyberwar Expert Says. Jeffrey Carr (CEO – Taia Global) prý měl k tomu nalézt několik nápověd.

Záplaty Microsoftu z minulého týdne pokrývají i díru, kterou využíval Stuxnet – Microsoft repairs critical Explorer flaws, Stuxnet malware vulnerability. Kromě toho byly zaceleny i některé zranitelnosti IE. Robert Westervelt – letos se Microsoft na poli záplat rekordně snaží.

Červ Stuxnet je efektivní stejně jako vojenská zbraň – Stuxnet apparently as effective as a military strike. Podle německého odborníka škody způsobené Stuxnetem vrací íránský jaderný program zpátky až o dva roky.

Viry

Completely Protected aneb jak smysluplně doplnit váš antivir. Jürgen Schmidt rozebírá, jaké další možnosti má běžný uživatel.

Security Essentials, verze 2, vyzkoušejte. Viz komentář k této nové verzi – Microsoft releases Security Essentials 2.

Hackeři

Hackeři ukradli data zákazníků McDonalda – Hackers steal McDonald's customer data. Velikost průniku je předmětem zkoumání, zatím firma věří, že se netýká citlivých dat jako jsou čísla sociálního pojištění, čísla platebních karet či jiná finanční data. Viz také – Filet-O-Phish: details stolen in McDonald´s hack.

F.B.I. Memos Reveal Cost of a Hacking Attack – kolik peněz stojí organizaci útok hackerů? Ve světle nedávných útoků na PayPal, VISA, MasterCard se autor vrací k hodnocení události z roku 2005 – FBI memo – tzv. Santy worm.

Chraňte se před útoky XSS – Cross-Site Scripting and Criminal Hacks. Robert Siciliano vysvětluje podstatu těchto útoků a ukazuje, čemu je třeba se vyhnout.

Objevila se nová taktika pro podvody, používá falešné programy pro defragmentaci – New scam tactic: Fake disk defraggers. Před programy s názvy jako HDDDiagnostic, HDDRepair, HDDRescue a HDDPlus (a dalšími, jejichž jména jsou v článku jmenována) nás varuje Elinor Mills.

Gawker – po jeho hacknutí slouží Twitter jako zdroj hromadného spamu – Gawker hack creates Twitter spam storm. Prozrazená jména uživatelů a jejich hesla dělají své.

Úspěšný útok DDoS nevyžaduje tak vysoký počet útočníků, jak se objevilo v některých médiích – Size of DDoS group ‚doesn‘t matter', security agency says. Například stránky VISA byly „sundány“ útokem asi z 500 počítačů. Konstatuje to informace ENISA vydaná v úterý 14.12.2010.

Ohio State University – osobní data 3/4 miliónu lidí ohrožena po nedávném průniku – Ohio State Says Hackers Breached Data on 760,000. Zatím není jasné, zda hackeři zneužijí tato osobní data pro krádeže ID.

Hardware

Pentagon vydal zákaz používat USB zařízení (díky WikiLeaks) – WikiLeaks Disclosures Prompt Defense Department Ban on USB Drives. Nová pravidla jsou obsažena v dokumentu U.S. Department of Defense in a memo.

Komentář k zákazu USB disků, CD atd. (v USA) je v článku Military Bans Disks, Threatens Courts-Martial to Stop New Leaks. Jsou hledány další postupy, které by umožnily lépe chránit citlivá data.

Americká armáda smontovala superpočítač z téměř 2000 konzolí Playstation – New US military computer made from nearly 2,000 PlayStation consoles. United States Air Force nazvala tento počítač jménem Condor. Cena počítače je asi 2 miliony dolarů, což má být 10 až 20 krát méně než cena jiných počítačů se shodným výkonem.

Televizory HDTV připojené k internetu mohou být zneužity hackery – Hacker warning over internet-connected HDTVs. Po provedených testech vydala takovéto varování společnost Mocana. Zranitelnost v produktu nespecifikovaného výrobce umožňuje průnik do domácí sítě s řadou různých dopadů.

Bezdrát

Trendy bezpečnosti pro bezdrát v roce 2011 jsou předmětem článku Top wireless security trends for 2011, obsahuje předpovědi prezidenta společnosti Inovonics Marka Jarmana.

Mobilní telefony

ENISA vydala zprávu k rizikům malware pro chytré mobily – Security, is there an app for that? EU’s cyber-security agency highlights risks & opportunities of smartphones . Samotnou zprávu najdete na tomto odkazu – report, komentář k jejím výsledkům pak zde – Enisa: Malware for smartphones is a ´serious risk´.

Ten tips for smartphone security, to je desítka doporučení pro bezpečnost chytrých mobilů. Užitečné tipy zpracovala společnost Lookout Mobile Security.

Elektronické bankovnictví

Why GSM-Based ATM Skimmers Rule aneb k bankomatovým podvodníkům, kteří používají GSM. Brian Krebs se na svém blogu vrací k tomuto druhu podvodu, vysvětluje technické detaily (získal je přímo od prodejců těchto „udělátek“).

Autentizace, hesla

Analýzu uniklých hesel (Gawker Media) najdete na stránce The Top 50 Gawker Media Passwords. Nejpopulárnější je – jaké překvapení – 123456. Podrobnosti k tomuto hacku si lze přečíst na stránce How hackers breached Gawker´s security – and how to protect yourself. Viz také komentář – Gawker hack analysis reveals incredibly weak passwords.

Phishing

V případě úniku dat z MacDonalda uspěl cílený phishing – Fallout from Recent Spear Phishing Attacks? Jednalo se tedy o průnik do jejich (a také společnosti Walgreens) marketingové firmy. Brian Krebs popisuje postup útočníků.

Normy a normativní dokumenty

Americký NIST vydal v minulém týdnu tyto dokumenty:

IETF vydalo další verzi draftu

Kryptografe

The clock is ticking on encryption. Today's secure cipher-text may be tomorrow's open book aneb současná kryptografie: Quo vadis? Hezký článek Lamonta Wooda shrnuje současnou situaci v oboru a jeho další možný vývoj.

bitcoin školení listopad 24

Různé

Pro velký zájem se kurz Problematika infrastruktury veřejných klíčů (PKI) opakuje již v lednu! Termín: 26.- 27.1.2011 09:00–17:00, garant: Pavel Vondruška

Přehled vychází z průběžně publikovaných novinek na Crypto – News.

Autor článku