Obecná a firemní bezpečnost IT
USA : zřízení úřadu Office of Cyberspace Policy je věnován článek Lieberman's cyber-security bill: The good, the bad, the ugly. Matthew Olney v něm komentuje dokument Protecting Cyberspace as a National Asset Act of 2010.
Zákonodárci zpochybňují připravenost USA v otázkách kybernetické bezpečnosti – Lawmakers question U.S. cybersecurity readiness. Grant Gross tlumočí názory některých právníků, členů americké Sněmovny reprezentantů.
Americké ministerstvo národní bezpečnosti kritizuje bezpečnost vládních sítí – DHS slams US gov network security. Robert Blincoe komentuje středeční zveřejnění zprávy inspekce DHS (report), která se kriticky vyjadřuje k práci US Computer Emergency Readiness Team.
Na internetu se objevila volně dostupná kniha k internetové bezpečnosti pro mládež – Free Internet security book for kids. Stáhnout si ji můžete zde – Own Your Space. Nezaškodí, když si ji přečtou i rodiče mladé generace, užitečná bude pro každého. Jedinou překážkou může být angličtina. Jinak – lze jen doporučit širokému okruhu čtenářů!
Příručku k monitoringu bezpečnosti sítě najdete na stránce Technical Guide on Network Security Monitoring. Nezbytná je registrace. Příručka, která má 26 stran, obsahuje následující oddíly:
- Starting Points for Network Monitoring
- How to Maintain Network Control Plane Security
- Network-Based Integrity Monitoring Keeps Website Hacks in Check
- Validate Your Perimeter Network Security Devices Are Working
- Buying an IPS: Determine Why You Need Intrusion Prevention
- Preparing for a Network Security Audit Starts with Monitoring and Remediation
Jak bezpečně a správně používat e-mail ? Možná přece jen některá z doporučení Miche Kabaye budou pro vás nová – Using e-mail safely and well.
Správné chování na internetu – Doing the right thing on the 'Net, Mich Kabay zde přichází se sérií pravidel, které je třeba dodržovat (celkem jich je dvacet).
Bezpečnost cloudů, jejími základy se zabývá článek Cloud security: The basics. Mary Brandel zde shrnuje dosavadní poznatky z této oblasti. Viz také souběžně vydaný článek autorky – Cloud security in the real world: 4 examples.
Employee monitoring: When IT is asked to spy aneb IT a monitoring zaměstnanců, Tom Harbert říká: i když se o tom oficiálně nemluví, monitoring a dohled se stávají větší součástí práce IT specialistů. Autor předává v tomto směru zkušenosti pracovníků některých firem. V závěru článku jsou uvedena některá pravidla, jejichž dodržování by mělo napomoci k tomu, aby monitoring probíhal správně.
Také Schneierův blog se obrací k nové metodě ENF – Dating Recordings by Power Line Fluctuations. Diskuze na něm se vrací k zde již citovanému článku Met lab claims ´biggest breakthrough since Watergate´(Největší průlom od dob Watergate).
Jaké použití počítačů na pracovním místě je dnes akceptovatelné? Joan Goodchild na stránkách csoonline.com rozebírá nesporně aktuální otázky – Not safe for work: What's acceptable computer use in today's office?. Každý během pracovního procesu zabrouzdá někam na Internet. Dnes to jsou například sociální sítě, mistrovství světa ve fotbale a další. Jaký to má vliv na produktivitu zaměstnance, co je ještě bezpečné? Pracovník klikne (nechtěně) na ilegální stránku (např. s dětským pornem), co s tím? V článku Goodchildové je také umístěna řada dalších odkazů na materiály se související problematikou, např. – Security Tools, Templates, Policies.
Provádějte klasifikaci vašich dat, mějte je roztříděna podle jejich významu (resp. dalších kritérií) – Former @stake researcher Aitel insists on data classification. Dave Aitel ve svém vystoupení na akci Forum of Incident Response and Security Teams (FIRST) Conference 2010 naléhá takto na všechny organizace. Kdo to neprovádí, usnadňuje práci hackerům.
Sociální sítě
Třetí ze série doporučení M. Kabaye je věnována chování v sociálních sítích – Socializing safely via the Internet.
Paradox soukromí na Facebooku – The Facebook privacy paradox. Ben Rothke na příkladu data narození, které uživatelé vkládají do svého profilu na Facebooku, ukazuje, že uživatelé většinou o své soukromí příliš nedbají (ke své škodě). Problém vidí v tom, že dosáhnout žádoucí úrovně soukromí není pro obvyklé uživatele jednoduché. Kdo například zvládá takový šifrovací SW, jako je PGP?
Další „clickjacking“ útok na Facebooku je na světě: – Facebook „101 hottest women“ clickjacking attack. Je to nekončící série… , viz také – Facebook worms are spreading freely.
Facebook nedělá dost k odvrácení útoků typu clickjacking – Facebook not doing enough to prevent clickjacking attacks. Tento článek obsahuje kritická vyjádření Grahama Cluley ze společnosti Sophos.
Facebook: svět pod vládou diktátora? David Polesný na Živě: Bývá nenáviděn a opovrhován. Přesto se mu upsalo přes dva milióny Čechů. Facebook má své chyby a nevýhody, ale je zbytečné to řešit. On si diktuje podmínky, protože může.
Otevřený dopis šéfovi Facebooku obnovuje kritiku – Facebook slammed again over privacy. Desítka skupin pro ochranu soukromí se podepsala pod tento dopis a požaduje v něm, aby Facebook provedl šest v dopise popsaných úprav své politiky pro ochranu soukromí.
Software
Dan Kaminsky přichází se souborem nástrojů pro prevenci SQL injection a zranitelností XSS – Kaminsky Issues Developer Tool To Kill Injection Bugs. Jeho nová firma Recursion Ventures (New York) bude orientována na výzkum nových přístupů v oblasti bezpečnosti a technologií. Prvním jejím produktem je Interpolique, nástroj určený pro vývojáře.
Jak lze z XSS zranitelnosti vyrobit clickjacking – Turning XSS into Clickjacking. Autor ukazuje, jaké postupy může útočník volit.
Historie prohlížečů uživatelů, autoři studie Feasibility and Real-World Implications of Web Browser History Detection ukazují cesty k jejímu zjišťování. Konstatují, že to není zase tak obtížná úloha. Podle jejich výsledků je 76 procent uživatelů internetu takto zranitelných.
Botan – to je kryptografická C++ knihovna. Obsahuje takové kryptografické algoritmy jako AES, DES, SHA-1, RSA, DSA, Diffie-Hellman a řadu dalších. Je zde také podpora pro SSL/TLS, X.509 certifikáty a CRL, a PKCS #10 žádosti o certifikát. Ke knihovně patří obsažný průvodce a odkazy k API.
Nyní čerstvě zjištěná HCP zranitelnost Windows – co byste o ní měli vědět? Windows HCP Flaw: What You Need to Know, Michael Horowitz: pokud máte Windows XP či Windows Server, musíte aktualizovat své registry, jinak se může ovládání vašeho počítače zmocnit někdo jiný.
Uživatelům BitTorrentu přichází varování: VPN, které používají má bezpečnostní díru – Huge Security Flaw Makes VPNs Useless for BitTorrent. Anonymita, na kterou spoléhají, nefunguje. Podstatě této chyby bylo věnováno vystoupení na konferenci Telecomix Cipher (připojené video).
Malware
Linux Trojan Raises Malware Concerns aneb máme zde trojan pro Linux a odsud plynoucí rostoucí obavy z malware. Tony Bradley popisuje nedávné zjištění, které říká, že nejspíše dlouhá řada linuxových systémů byla infikována trojanem obsaženým v pozměněné verzi Unreal3.2.8.1.tar.gz. K záměně došlo již v listopadu 2009 a teprve nyní byla záměna zjištěna.
Mistrovství světa ve fotbale a malware, článek World Cup 2010 – will you get through without losing? se vrací k historii minulých mistrovství z pohledu online počítačové kriminality.
Ještě k nástroji Poet umožňujícímu útoky na databáze – New Crypto-Cracking Tool To Target Databases. Ericka Chickowski vysvětluje, jak nástroj Padding Oracle Exploit Tool (Poet) prostřednictvím útoku z postranního kanálu (tzv. Padding Oracle Attack) funguje.
Rostoucí frustrace – velké botnety je stále těžší zastavit – Frustration growing over limited ability to shut down botnets. Robert Westervelt komentuje vystoupení Vitalije Kamluka, pracovníka společnosti Kaspersky, na akci Forum of Incident Response and Security Teams (FIRST) Conference 2010.
Viry
Byla vydána příručka k tomu, jak provádět testy antivirů – Guidelines released for antivirus software tests. Její obsah byl projednán na nedávném jednání Anti-Malware Testing Standards Organization (AMTSO) v Helsinkách. Doporučení příručky nejsou povinná, ale celá řada organizací již prohlásila, že se jimi budou řídit – Virus Bulletin, AV-Comparatives, West Coast Labs a ICSA Labs.
Hackeři
Understanding Man-in-the-Middle Attacks – útoky Man-in-the-Middle, jak jim správně porozumět? Malý seriál, který obsahuje celkem čtyři díly:
- Part 1: ARP Cache Poisoning (Part 1)
- Part 2: DNS Spoofing
- Part 3: Session Hijacking
- Part 4: SSL Hijacking
V případu hackera Adriana Lamo se objevují další podrobnosti – Soldier leaked Google attack investigation details, hacker says. Adrian Lamo, kterému americký vojenský analytik Bradley Manning předal video z Iráku (o střelbě z helikoptéry na civilisty), se při vyšetřování kromě ukradených vládních telegramů přiznává také k podílu na prozrazení podrobností k vyšetřování útoku na Google. Lamo také informoval federální orgány o záměrech Bradley Manninga. K případu viz také:
- ´I Can´t Believe What I’m Confessing to You´: The Wikileaks Chats
- Suspected Wikileaks Source Described Crisis of Conscience Leading to Leaks
- Famous hacker suddenly finds himself infamous, in some quarters
Sociální inženýrství jako bot v IRC – Honeybot, Your Man in the Middle for Automated Social Engineering, studie popisuje zajímavou novou variantu automatizovaného útoku typu man-in-the-middle a zároveň nestandardní využití umělé inteligence.
Objevily se zlomyslnější keyloggery (Cloud Keyloggers?), ukradenou informaci zveřejnily tak, aby byla dostupná pro celý internet. Posloužily k tomu stránky pastebin.com a pastebin.ca.
Hackers were right to disclose AT&T-iPad site hole, Elinor Mills popisuje celou situaci k ukradeným e-mailovým adresám uživatelů iPad a díře v AT&T. Na tomto příkladě rozebírá také rozdíly mezi tím, co lze nazvat útokem a co je analýzou.
Viz také články:
- Enough blame to go around in iPad security breach (Marco Tabini).
- AT&T apologizes, blames hackers for iPad e-mail breach (Jeremy Kirk)
- AT&T ´dishonest´ about iPad attack threat, say hackers (Gregg Keizer)
Další informace:
- Hacker in AT&T-iPad security case arrested on drug charges
- Drug Charges Against Accused AT&T/iPad Hacker
Bezpečnostní manažer Google vysvětluje, jak probíhal útok na jeho společnost – For Google, DNS log analysis essential in Aurora attack investigation. Zaměstnanec Google kliknul v IM na odkaz, na který klikat neměl. Heather Adkins z Google vysvětloval na akci Forum of Incident Response and Security Teams (FIRST) Conference 2010, jak probíhala následná analýza.
Hardware
The truth about copier hard drives: Tips for securing your data aneb jak nejlépe zabezpečit vaše multifunční periferie (disky v tiskárnách atd.). Michael Kassner se rozebírá v jednotlivých možnostech zabezpečení pro takovéto periférie. Uvádí pak v závěru článku čtyři momenty, které je třeba dodržovat.
Bezdrát
Bezdrát : WEP a TKIP nebudou dále podporovány – WEP and TKIP Wi-Fi encryption methods to be discontinued. Takovéto rozhodnutí chystá WiFi Alliance (WFA).
Muž vyhrožoval americkému viceprezidentovi prostřednictvím počítače svého souseda – Hacker charged with threatening US VP using neighbour's PC. Počítačový odborník Barry Ardolf využil své znalosti, dostal se do bezdrátového připojení souseda a jeho jménem tropil různé věci. Čeká ho nyní soud.
Mobilní telefony
Nechtěná volání z mobilu a jejich rizika pro ochranu soukromí, tímto problémem se zabývá článek Unintended cell phone calls put privacy at risk. Známý komentátor Roger Grimes v něm hovoří o svých zkušenostech.
Elektronické bankovnictví
Policie v Evropě a USA zatkla 178 lidí podílejících se na klonování platebních karet – Police Arrest 178 in U.S.-Europe Raid on Credit Card ‘Cloning Labs’. Některá čísla: rozsah podvodu má být až 20 miliónů euro, zatčení byli ze 14 zemí, vyšetřování trvalo dva roky, začalo ve Španělsku, kde policie objevila 120 000 ukradených čísel karet a 5 000 klonovaných karet.
Banky v Rusku a na Ukrajině se staly předmětem útoku prostřednictvím sofistikované aplikace – Eastern European banks under attack by next-gen crime app. Je k tomu využíván soubor nástrojů označovaný jako Black Energy. Ten napomáhá hacknout autentizační systém bank a umožňuje spuštění útoků typu denial-of-service. Funguje to tak, že pokud se řádný zákazník banky přihlásí ke svému účtu, pak dále nemůže pokračovat a zatím se s jeho účtem dějí nepřístojnosti… Podrobná zpráva je zde - BlackEnergy Version 2 Analysis.
Bankomatové podvody: ukradené informace jsou odesílány pomocí SMS – Sophisticated ATM Skimmer Transmits Stolen Data Via Text Message, Brian Krebs pokračuje ve své sérii věnované bankomatovým podvodům (odkazy na předcházející části jsou uvedeny za článkem – dole na stránce).
Banking's big dilemma: How to stop cyberheists via customer PCs – dilema bankovnictví: nejslabším místem je počítač klienta. Ellen Messmer si v tomto svém článku bere na mušku právě tento problém, problém, který se různé banky pokouší řešit různými cestami, ne vždy úspěšnými.
Normy a normativní dokumenty
Americký NIST vydal v minulém týdnu následující dva drafty:
- NIST Special Publication (SP) 800–130, A Framework for Designing Cryptographic Key Management Systems
- Special Publication 800–131, Recommendation for the Transitioning of Cryptographic Algorithms and Key Sizes
Kryptografie
Homomorfní šifrování – co je nového? Tom Simonite informuje v článku Computing with Secrets, but Keeping them Safe o objevu Craiga Gentry z IBM (A Fully Homonrphic Encrytion Scheme) a o dalších vylepšeních metody (Nigel Smart a Frederik Vercauteren), které mají přispět k jejímu uvedení do praxe.
Obrana proti časovým útokům (timing attacks) na systémy s veřejným klíčem je předmětem dokumentu An Adaptive Idle-Wait Countermeasure Against Timing Attacks on Public-Key Cryptosystems. Carlos Moreno a M. Anwar Hasan prezentují v této studii optimalizovanou metodu obrany (jak z hlediska zabezpečení tak i pohledu výpočetní efektivnosti).
GCHQ: The uncensored story of Britain's most secret intelligence agency, to je recenze stejnojmenné knihy. Autor knihy Richard J. Aldrich zároveň zveřejnil také materiály získané při práci na knize na této stránce – GCHQ: Britain´s Most Secret Intelligence Agency.
Kvantová kryptografie: Selhala nejbezpečnější technika pro přenos informací? Oldřich Klimánek na DSL.cz : Kvantová kryptografie představuje oblast s největším příslibem k perfektnímu zabezpečení informací. Přírodní zákony, na kterých stojí, totiž nejdou ošálit. Nicméně podle zpráv z minulých týdnů se trojici fyziků údajně podařilo tvrzení o dokonale bezpečném přenosu vyvrátit. Tvrdí, že v komerčním systému pro kvantově zabezpečený přenos informací našli chybu, která útočníkovi zaručí, že nebude odhalen.
Různé
Vyšlo: (IN)SECURE Magazine issue 26, z obsahu:
- PCI: Security's lowest common denominator
- Analyzing Flash-based RIA components and discovering vulnerabilities
- Logs: Can we finally tame the beast?
- Launch arbitrary code from Excel in a restricted environment
- Placing the burden on the bot
- Data breach risks and privacy compliance: The expanding role of the IT security professional
- Authenticating Linux users against Microsoft Active Directory
- Hacking under the radar
- Photos: Infosecurity Europe 2010
- Securing the office in your pocket
- iPhone backup, encryption and forensics
- The growing problem of cyber bullying
- Secure collaboration: Managing the inside threat posed by trusted outsiders
- SMS spamming
- A new scalable approach to data tokenization
Přehled vychází z průběžně publikovaných novinek na Crypto – News.