Bezpečnostní střípky: čeká nás kybernetické 11. září?

Přehledy, konference

Minulý týden se konala konference Hack in the Box (Kuala Lumpur). Komentář k jejímu zahájení najdete v článku Hack in the Box kicks off jam-packed security conference.
K průběhu konference:

• Hack In The Box SecConf 2012: Google bounty, and surprises in store

Náklady na kybernetickou kriminalitu vzrostly v roce 2012 o 6 procent – Cybercrime Costs Jumped 6 Percent in 2012. V článku jsou komentovány výsledky právě vydané studie Ponemon Institute. Další komentáře k této studii (2012 Cost of Cyber Crime Study) najdete v článcích:

• Successful cyberattacks driving up cost of cybercrime, study finds
• The 2012 Cost of Cyber Crime Report Says Successful Attacks Doubled
• Cybercrime costs rise nearly 40 percent, attack frequency doubles
• US tops global survey for costs associated with cyberattacks

Piráti mají vysoké riziko infekce – Microsoft: Pirates at high risk of malware infection. Toto mj. konstatuje v pondělí vydána zpráva Microsoft Security Intelligence Report. Tato zpráva (má 146 stran) zahrnuje období od ledna do června 2012. Z jejího obsahu:

• Deceptive downloads: Software, music, and movies
• Worldwide threat assessment (Vulnerabilities, Exploits, Malware and potentially unwanted software, Email threats, Malicious websites)
• Mitigating risk (Cross-site scripting, Defending against Pass-the-Hash attacks)

Konference RSA Europe 2012 probíhala ve dnech 9.10 až 11.10 v Londýně – RSA Conference. Úvodnímu vystoupení Arta Coviello (RSA Executive Chairman) jsou věnovány články:

• RSA boss Coviello calls for privacy law overhaul
• RSA Conference: Coviello talks about shrinking budgets and skills shortage 
• RSA Europe 2012: Cyber crooks and state hackers work together on threats

RSA Europe 2012: Symantec reports on trends, malicious server admin, and another Android trojan – Symantec na RSA Europe 2012. V článku jsou komentovány výsledky nedávné zprávy – Symantec Intelligence Report: September 2012.

Ve dnech 10.10 až 12.10 2012 proběhla konference zabývající se mj. spywarem – ISS World Americas , která se mj. zabývala spywarem. Probíhá ve dnech 10.- 12. října 2012 v Bethesdě. Viz komentář – Ahead of Spyware Conference, More Evidence of Abuse (hovoří se v něm o zneužívání SW k potlačování opozice vládami).

ENISA vydala zprávu: Annual Incident Report 2011. Zpráva (pdf, dokument má 22 stran) je především orientována na spolehlivost infrastruktury (nikoliv tedy prioritně na bezpečnost).
Viz také komentář – ENISA security report: Nothing runs without power.

Objevila se zpráva Kaspersky Lab – Global IT Security Risks: 2012. Dokument má 21 stran, shrnuje výsledky od 3 300 IT profesionálů z 22 zemí (i z Ruska, zato nikoliv ze zemí bývalého SSSR, Skandinávie a zemí střední a východní Evropy).
Viz také komentář – BYOD introduces gaping security holes for businesses.

Obecná a firemní bezpečnost IT

Spojené arabské emiráty hlásí za poslední rok 1,5 miliónu kybernetických obětí – UAE sees 1.5m cyber victims in past year – Norton. Tuto informaci obsahuje zpráva Norton Cybercrime Report (Symantec).

Posmrtný online život čelí právním nejistotám – Online life after death faces legal uncertainty. Legislativa teprve začíná hledat cesty k tomu, jak postupovat. Týká se to i EU.

Najal jsem si hackera – I hired a hacker. Mathias Thurman popisuje vlastní zkušenosti získané při nezávislých penetračních testech, jaká byla jejich zjištění – nabylo jich málo. Navíc se Thurman podivuje, proč jeho vlastní pracovníci aktivity testera-hackera vůbec nezjistili.

Najděte a opravte si sedm bezpečnostních chybiček – Find and fix these seven security slips. Roe Woerner (Bellevue University) zmiňuje následující:

1. Příliš chráníte prostředí
2. Málo chráníte prostředí
3. Vaše příručka pro hesla je mimo realitu
4. Vaši bezpečnostní a IT pracovníci jsou ”nad zákonem“
5. Vaše postupy pro bezpečné pojednání problémů IT nejsou dobře definovány
6. Dáváte podnikání to, co ono chce, bez pochopení toho, co ono potřebuje
7. Nepoužíváte odstrašující prostředky jako bezpečnostní produkt

Floridská škola oznámila kompromitaci záznamů 279 000 studentů a zaměstnanců – Hackers steal thousands of student records from computers at Florida college. Data obsahují: jméno, datum narození, u zaměstnanců bankovní informace a čísla sociálního pojištění. Podle posledních zjištění unikly ještě i další informace.

Pět doporučení pro efektivní obnovu po pohromě – 5 tips for effective disaster recovery. David Mount (NetQ) rozebírá následující body:

• Zálohuji vše, co bych zálohovat měl
• Uspořádejte svůj proces obnovy
• Spojte svoji zálohovací strategii s požadavky podnikání
• Obnova (recovery)
• Uvedení do původního stavu (restore)

Security as an enabler of innovation – bezpečnost jako zdroj k inovacím. Autor článku vysvětluje, proč vhodný bezpečnostní rámec je v tomto směru užitečným pomocníkem.

Top 8 věcí, které by bezpečnostní ředitelé (CSO) měli rádi vyřešeny – Top 8 things CSOs wish they had a solution for. Jason Clark cituje, co v uplynulém roce slyšel nejvíce často:

• Potřebujeme jednoduchost, nikoliv složitost
• Nechceme být přetížení příliš mnoha daty a informacemi
• Potřebujeme z dat dostat znalosti
• Potřebujeme mít pohled na predikci rizik
• Potřebujeme neustálé zviditelnění, kontrolu a ochranu našich dat
• Potřebujeme povolit BYOD
• Potřebujeme zastavit cílený phishing
• Chceme mít snadnou cestu k měření a prodeji našeho úspěchu

Internet pomáhá dopadnout tradiční (nekybernetické) kriminálníky – Using the Internet to Catch Traditional (Non-cyber) Criminals. Sociální inženýrství k tomu může být vhodným nástrojem.

Bruce Schneier na konferenci RSA Europe 2012 hovořil o potřebách kreativnějšího myšlení ve vztahu k bezpečnosti – Stick punters' mugs on e-banking pages, that'll end fraud – Schneier. Jako pozitivní příklad uvedl myšlenku Rosse Andersona – banky by při přihlášení do bankovního účtu určité osoby mohly zobrazovat fotografii tohoto zákazníka.

Legislativa, politika

Panel amerického kongresu: čínským telekomunikačním gigantům nelze důvěřovat – Congressional Panel Concludes China Telecom Giants „Cannot Be Trusted“. Huawei a ZTE, nelze říci, že tyto firmy nejsou pod vlivem čínské vlády – konstatoval kolující draft připravované zprávy.

Huawei se nelíbí výsledky šetření amerického kongresu. Byly prý předem stanovené – Huawei says US probe had ‚predetermined outcome‘. K těmto výsledkům se objevila v médiích celá řada komentářů:

• Chinese telecom firms pose national security threat, US committee finds
• Politics, not security, at center of Huawei, ZTE allegations, say analysts 
• House Intelligence Committee report blasts Huawei, ZTE as threats to U.S. national security 
• Huawei customers defend their security after congressional report
• There are Consequences for Getting Caught

Jak vyhnat z internetu teroristy? Špehováním všech uživatelů, navrhla pracovní skupina EU, Daniel Dočekal na Lupě: Evropa bez internetových teroristů, ochrana občanů a jejich bezpečnosti, to je teoreticky hlavním důvodem vzniku doporučení pracovní skupiny CleanIT. Doporučení, která odporují právu a jsou až neuvěřitelně absurdní.

Parliamentary report details German police snoop-spend – co vše sleduje německá policie? Z nákladů ministerstva vnitra odvozuje blogerka Anna Roth (German police monitors Skype, GoogleMail and Facebook chat), že to jsou: Skype, Facebook chat a Google Mail.
Viz také komentář – Parliamentary report details German police snoop-spend.

Budoucí kybernetické útoky mohou být na úrovni 11. září, varuje americký ministr obrany Leon Panetta – Future cyber attacks could rival 9–11, cripple US, warns Panetta. Vystoupil na akci v New Yorku (Business Executives for National Security – BENS) a internet zde označil jako bitevní pole budoucnosti.
Viz český komentář – Při hrozbě kybernetického útoku jsou USA připraveny na preventivní protiúder.
Viz také komentáře:

• Pentagon Chief Reveals ´Classified´ Cyber Threats … That You Read in August
• US Military Prepares New Rules for Cyber War: Panetta
• Cyberattack on Mideast energy firms was among most destructive, Panetta says
• Future cyber attacks could rival 9–11, cripple US, warns Panetta
• Defense Secretary Warns of Cyber Pearl Harbor

Sociální sítě

Facebook – zdejší vyhledávání telefonu může být zneužito k zjišťování telefonních čísel – Facebook's phone search can be abused to find people's numbers, researchers say. Informuje o tom Suriya Prakash (nezávislý bezpečnostní poradce) – Me and Facebook (A C4utionary Tale).
Facebook zareagoval – Facebook patches security hole that allowed mass harvesting of phone numbers .

Jedinou cestou k tomu, aby sociální sítě nezjišťovaly o svých uživatelích více než je záhodno, jsou vládní regulace – More regulation only way to stop social networks learning more than we wish, says researcher. Na akci Amsterdam Privacy Conference s tím vystoupil Christian Zimmermann (the University of Freiburg in Germany).

Software

Critical Adobe Flash Player Update Nixes 25 Flaws – k poslední aktualizaci Adobe Flash Player, opraveno bylo 25 různých bezpečnostních zranitelností. Pokud ve Windows kromě IE používáte další prohlížeč je třeba provést aktualizaci dvakrát.
Viz také – Surprise! Microsoft patches latest IE10 Flash vulns on time.

Z vyhledávačů jsou nejvíce otráveny výsledky vyhledávače Bing – Bing is the most heavily poisoned search engine, study says. Informuje o tom studie společnosti Sophos – Searching for images on Bing? Beware malicious search engine poisoning.

Microsoft objasňuje (vývojářům) svoji pozici k bezpečnostním otázkám – Microsoft to devs: Bug users about security … now!. Článek obsahuje komentář k dokumentům vydaným Microsoftem ohledně konceptů NEAT a SPRUCE. Viz pdf a Helping Engineers Design NEAT Security Warnings.

Hacker Pinkie Pie na konferenci Hack in the Box přišel s novou zranitelností Chrome – ‚Pinkie Pie‘ trips up Chrome, close to $60K at Hack in the Box. Čeká ho odměna 60 000 dolarů (od společnosti Google). Další informace jsou na stránce Pwnium 2: Full Chrome exploit earns hacker $60,000. Společnost Google již vydala opravu.

Microsoft nabízí volně dostupný nástroj k ohodnocení bezpečnosti cloudu – RSA Europe 2012: Microsoft offers free cloud security assessment. Toto nové online hodnocení nese označení Cloud Security Readiness Tool.

Phil Zimmermann’s Silent Circle builds a secure, seductive fortress around your smartphone – Silent Circle je nový produkt Phila Zimmermana (tvůrce PGP). Je určen lidem z podnikatelské sféry a vládním úředníkům pro jejich cesty po světě. Viz stránky produktu Silent Circle.

Jak reagovat na ujišťování poskytovatele cloudu – důvěřuj, ale prověřuj – Cloud provider assurance: Trust but verify. Mike Small za tímto účelem rozděluje existující rizika do tří kategorií (zajištění shody, kontinuita podnikání a bezpečnost dat), uvádí příklady a cesty k pokrytí těchto rizik.

Vyhněte se pěti nebezpečným defaultním nastavením databází – Dodging 5 Dangerous Database Default Settings. Ericka Chickowski rozebírá tyto body:

• Defaultní hesla a účty
• Povolený přímý přístup
• Zachování defaultně uložených postupů
• Šifrovací klíče jsou uloženy spolu s databází
• Nadbytečné služby a aplikace

RSA Europe 2012 – odborníci jsou rozděleni v názoru, zda a jak regulovat trh se zranitelnostmi – Experts split over regulation for bounty-hunting bug sniffers. Různé firmy přistupují k tomuto problému různými cestami.

Mohou se nově objevené zranitelnosti nulového dne stát potenciální zbraní? Mathew J. Schwartz se na stránce Weaponized Bugs: Time For Digital Arms Control vyjadřuje k obchodování s exploity.

Mozilla znovu vydává Firefox, po záplatování kritických chyb – Mozilla re-releases Firefox 16 after patching critical bugs. Umožňovaly útočníkům unést (hijack) počítač.

pest control: taming the rats – slabiny nástrojů pro vzdálený přístup (RAT – Remote Administration Tools). Tyto nástroje, ač často velmi populární, obsahují řadu chyb, které pak napomáhají útočníkům. Komentář k této studii je na stránce Popular RATs Found Riddled With Bugs, Weak Crypto.

Malware

Predicting Malicious Behavior, to je recenze stejnojmenné knihy. Jejím autorem je Gary M. Jackson, kniha má 552 stran, vyšla v červnu 2012. Najdete ji na Amazonu.

Jdou po mně, jdou… (české ransomware). Společnost AVAST informuje o nebezpečném ransomware, který se navíc ”tváří“ jako varování Policie ČR.

Trojan Backdoor.Proxybox – společnost Symantec vysledovala jeho ruský zdroj – The Russian Mastermind Behind Backdoor.Proxybox. Existují tři komponenty této hrozby: Dropper, Payload a Rootkit.
Viz také komentáře:

• Symantec: Russian Hacker Behind Proxybox Trojan
• Malware-infected computers rented as proxy servers on the black market

Malware pro Macy – již dnes ho není málo a jeho množství stále roste – Mac-focused malware is big and getting bigger. Seth Hardy ze CitizenLab k tomuto problému vystoupil na akci SecTor v kanadském Torontu.

Ransomware, jeho autoři přidávají audio komponentu – Ransomware adds audio component to force users to pay up. MP3 soubor opakovaně informuje oběť, že jeho počítač je blokován kvůli porušení zákonů.

”Keygen“ je velice častým zdrojem malwaru – Microsoft: Software Activation-Key Generators Major Malware Conduits. Článek je dalším komentářem k dokumentu Microsoft Security Intelligence Report Vol.13.
Viz také komentář – Hackers take advantage of Megaupload, Pirate Bay withdrawal.

Červ Conficker je stále původcem infekcí – Conficker worm still being tracked, but evidence collection slows. Dosud se nepodařilo najít jeho tvůrce. Podle zprávy Microsoftu je na druhém místě – co se týká infekcí domácích počítačů.

Malwaru pro Windows 7 silně přibývá – Windows 7 Malware Spikes 182 Percent: Increased Vulnerabilities Or Market?. Situaci (i na základě zprávy Microsoftu a některých bezpečnostních firem, mj. ESETu) komentuje Ken Presti.

Čtyři děsivé internetové hrozby, které byste měli znát – Top 4 Scary Internet Threats You Need to Know. Nick Nascimento( aGeek2Go LLC Computer Repair) se rozepisuje o následujících hrozbách:

1. The FBI MoneyPak Trojan
2. Malicious ‘eventvwr’ SCAM from Offshore Call Centers
3. Fake Virus Alerts / Scareware
4. FakeInst SMS Trojan and its variants

Viry

Antiviry neumí detekovat 60 procent vyskytujícího se malwaru – Mass-distributed malware reaches critical mass. Security Engineering Research Team (SERT) zároveň ve své analýze říká, že 92 procent malwaru j šířeno hromadnými cestami.

Hackeři a jiní útočníci

Írán zablokoval útok na své naftové společnosti, prý směroval z Číny a Izraele – Iran oil company blames cyberattack on China, Israel. Hlavní síť neměla být zasažena.Viz komentáře:

• Israel´s Cyber Attack against Iran Repelled Again 
• Iran says its infosec defences foiled oil hack

Hackerská skupina ze Středního Východu shodila web Interpolu – Hackers disrupt Interpol website against Anti-Islam film. Má to být další z protestů proti filmu Innocence of Muslims.

Symantec: hackeři kradoucí data používají útoky DDoS jako krycí manévr – Symantec: Data-stealing hackers use DDoS to distract from attacks. Francis deSouza ze Symantecu k tomu vystoupil na konferenci RSA.

The Industrialization of Hacking – A New Era in IT Security o industrializaci hackingu. Marc Solomon charakterizuje současnou situaci v tomto ”odvětví“.

Nová ruská služba prodává přístupy ke kompromitovaným účtům pro Steam – New Russian service sells access to compromised Steam accounts. Dancho Danchev vysvětluje, jak to celé funguje.

Anonymous

Anonymous hrozí útokem estonské vládě – Anonymous threatened Estonian government with a possible cyber attack. Podle Anonymous estonská vláda tím, že zasílá peníze do Řecka, škodí vlastnímu lidu.

WikiLeaks jsou za platební zdí, Anonymous se to nelíbí – WikiLeaks Goes Behind Paywall, Anonymous Cries Foul. Viz také komentář – Anonymous turns on ´one man Julian Assange show´ Wikileaks.

Bývalý člen LulzSec se přiznal k hacknutí Sony Pictures – Former LulzSec member guilty in Sony Pictures hack. Dvacetiletý Raynaldo Rivera se přiznal v rámci soudní smlouvy (plea agreement), může pak dostat sniženou trestní sazbu.
Viz také komentář – Second LulzSec member pleads out in Sony Pictures attack.

Hardware

Hackeři pronikají přes hotelové zámky s pomocí jednoduchého nástroje – Hackers Crack Hotel Room Locks With A Tool Disguised As A Dry Erase Marker. Inspirováni byli vystoupením na konferenci Black Hat. Podrobnosti k použitému nástroji (má podobu značkovače) jsou na stránce James Bond´s Dry Erase Marker: The Hotel PenTest Pen (blog Trustwave SpiderLabs).

Potvrzeno: SW pro otisky prstů (jeho vlastníkem je Apple) prozrazuje hesla Windows – Confirmed: Apple-owned fingerprint software exposes Windows passwords (updated). Zranitelnost byla objevena v září tohoto roku. Nyní byla ověřena dvěma nezávislými odborníky a byl k ní vydán exploit (open source).
Viz komentáře:

• PC passwords exposed by flaw in Apple-owned fingerprint software
• Enterprises most vulnerable to fingerprint-reader attacks, researcher says
• Researcher: Fix for UPEK Fingerprint Reader Encryption Woes Falls Short

Chyťte zloděje s pomocí monitorovacího SW – To catch a thief, with monitoring software. Elinor Mills popisuje výsledky experimentu s programem LoJack pro noteboky a možnosti dalších obdobných programů. Např. program Computrace Persistent Module je schovaný v BIOSu a nepomůže ani zformátování disku.

VoIP

Trojan zamaskovaný v obrázku koluje Skypem – Trojan disguised as image delivered via Skype messages. Śíří ho kompromitované Skype účty.
Viz také komentáře:

• Skype Botnet Scam Targets Windows Users
• Dorkbot Now Worming Its Way through Skype
• Ransomware and phish cons target Skype users
• Skype worm chats up victims – then holds PCs to ransom

Analýzu problému najdete na blogu společnosti KasperskyLab – Hidden details about the last Skype spread malware.

Mobilní zařízení

Mobile Trojans Can Give Attackers An Inside Look – ještě k špionskému malwaru pro mobily. Kompromitované chytré mobily mohou provádět různé nepříjemnosti ve vztahu k majiteli mobilu. Robert Lemos v závěru svého zamyšlení cituje (Apu Kapadia, Indiana University, Bloomington): ”I became paranoid enough to start searching for cases that cover the camera lens“.

Co dokáže aplikace PlaceRaider (špionský SW) ve vašem chytrém mobilu – Android proof of concept shows remote surveillance is possible. Příklady (proof of concept) zde uvedené jsou pro mobil s Androidem.

FortiGuard Labs informují o novinkách v malwaru pro Android – Surge in Android adware. Informace se týkají posledních měsíců a nového malwaru není málo.

Chyba v 3G protokolu umožňuje sledovat libovolné zařízení se zapnutým 3G – 3G flaw makes any device vulnerable to tracking. Přišli s tím pracovníci birminghamské univerzity (spolu s týmem berlínské technické univerzity). Problém platí pro sítě zřejmě snad všech poskytovatelů (T-Mobile, Vodafone a další).

Jsou mobilní antiviry skutečnou ochranou pro chytré mobily? Řada z nich není nijak užitečná, konstatuje se v úvodu článku Does Mobile Antivirus Software Really Protect Smartphones? Jejich princip vychází z používání signatur, to však ve vztahu k novému malware nefunguje.

Forenzní analýza

Malware Forensics Field Guide for Windows Systems, to je recenze knihy mající týž název. Autory knihy jsou Cameron H. Malin, Eoghan Casey a James M. Aquilina, vydalo ji nakladatelství Syngress v červnu 2012. Kniha má 560 stran a najdete ji na Amazonu.

Získávat forenzní data z chytrých mobilů a tabletů není jednoduché – Getting forensics data off smartphones, tablets can be tough, experts say. Forenzní odborníci potřebují se dostat k datům jak ”fyzicky“, tak i ”logicky“. Potřebná data zde však nejde jednoduše získat z pevného disku, jako je tomu u počítačů s Windows. V článku jsou citována vyjádření několika odborníků.

Elektronické bankovnictví

´Project Blitzkrieg´ slibuje agresivnější kybernetické krádeže ve vztahu k americkým bankám. ‘Project Blitzkrieg’ Promises More Aggressive Cyberheists Against U.S. Banks – Brian Krebs komentuje informace, které nedávno zveřejnila společnost RSA na svém blogu. V závěru rozsáhlejšího článku znovu doporučuje používat pro online bankovnictví Live CD.

RSA Warning, DDoS Attacks Linked? – k varování RSA ohledně bank. Tracy Kitten hovoří o hrozbách souvisejících s Gozi trojanem a s útoky DDoS.
Viz také komentář – U.S. banks warned of another attack threat.

CapOne Site Takes DDoS Hit, útok na další americkou banku, tentokrát se jeho cílem (v pořadí šestým) stala banka Capital One. Článek obsahuje také některá doporučení bankám.

A další informace říká: sedmá americká banka napadena – SunTrust Is Latest Attack Victim. Tentokrát se jedná o SunTrust Banks. Zasažena byly útokem DDoS, za kterým je skupina Izz ad-Din al-Qassam (i když někteří to rozporují).
Viz také komentář – Islamic hacktivists target three more U.S. banks.

ČSOB vám zablokovala účet! Autor informuje o několika variantách podvodných e-mailů, jejichž příjemcem se můžete stát.

Nedávno otevřený e-shop prodává přístup k stovkám hacknutých účtů Pay Pal – Recently launched E-shop sells access to hundreds of hacked PayPal accounts.

Phishing

Phishers are becoming smarter, more targeted: Websense – Websense k vývoji současného phishingu. Phisheři jsou rafinovanější a jejich útoky cílenější. Phishingové útoky nyní reprezentují 1,62 procenta veškerého spamu.
Viz také komentář – New phishing tactic: Infect sites and wait for catch.

Nová taktika phishingu – infikovat weby a čekat, kdo se chytí – New phishing tactic: Infect sites and wait for catch. V článku jsou komentována zjištění společnosti Websense – What is Scaring Businesses the Most? Spear-phishing.
Viz také komentáře:

• Phishers Favor Friday for Attacks, Websense Finds
• Businesses Remain Scared of Spear-Phishing as Attackers Study Behavior

Elektronický podpis

PKI: Public Key Infrastructure – The Bane of Many Systems Administrators – PKI (Public Key Infrastructure) je prokletím mnoha systémových administrátorů. James Carrion tímto článkem chce přispět k pochopení otázek infrastruktury veřejných klíčů a jejího využívání v praxi.

Biometrie

Pohyb očí by mohl být příštím heslem k PC – Eye Movements Could Be Next PC Password. V článku se hovoří o výzkumu, který provádí Oleg Komogortsev (Texas State University-San Marco). Výzkum je však zatím v počátečním stadiu.

Kryptografie

Voynichův rukopis, z popisu: První faksimilní vydání nejtajemnější knihy světa, Voynichova rukopisu, jenž mnozí odborníci považují za „Svatý grál historické kryptografie“ (a který inspiroval i Dana Browna k jeho bestselleru Ztracený symbol), doplněné obsáhlou úvodní studií renomované badatelky a záhadoložky Jitky Lenkové.

Různé

Kritika polského periodika Hakin9 se objevila na stránce Hakin9 Magazine.

Přehled vychází z průběžně publikovaných novinek na Crypto – News.