Přehledy, konference
Tatsache: Eine auf Massenproduktion ausgerichtete professionelle Malware-Industrie, to je komentář ke zprávě F-Secure Labs: Threat Report. Zpráva je věnována hrozbám druhého pololetí roku 2012. Většina exploitů roku se opírala o využití čtyř zranitelností, dvou ve Windows a dvou v Javě.
Byla oznámena klíčová vystoupení (keynotes) akce Hack in the Box 2013 Amsterdam – Keynotes announced for Hack In The Box 2013 Amsterdam. Akce HITB Security Conference (její čtvrtý ročník) bude zahájena 10. dubna tohoto roku.
S prvními dojmy z RSA konference 2013 se dělí Jon Oltsik, rozdělil je do pěti bodů (Attendance was way up, Advanced Malware Detection and Prevention (AMD/P) was pervasive, Incident detection got a lot of air play, Security integration, Cybersecurity reality) – First Impressions Of The RSA Conference 2013.
Byla vydána zpráva společnosti Websense: 2013 Threat Report. Nezbytná je krátká registrace. Komentář ke zprávě najdete na stránce Websense warnt vor Malware-verseuchten Websites – Websense varuje před weby, které jsou infikovány malwarem. Zpráva informuje o aktuálních hrozbách.
Obecná a firemní bezpečnost IT
Security is changing, organizations are unprepared – situace se stavem bezpečností se mění, organizace nejsou připraveny. Na stránce jsou komentovány výsledky přehledu společnosti F5 Networks – 2013 RSA Security Trends Survey. Respondenty přehledu byli účastníci konference RSA 2013, odpovídali např. na otázku: které bezpečnostní trendy mají největší dopad na požadovanou úroveň bezpečnosti.
Desítku nejlepších bezpečnostních postupů pro podnikání připravil Ken Hess (10 security best practice guidelines for businesses):
- Encrypt your data
- Use digital certificates
- Implement DLP and auditing
- Implement a removable media policy
- Secure websites against MITM and malware infections
- Use a spam filter on email servers
- Use a comprehensive endpoint security solution
- Network-based security hardware and software
- Maintain security patches
- Educate your users
Ken Hess také připravil desítku nejlepších bezpečnostních postupů pro spotřebitele (10 security best practice guidelines for consumers):
- Always use antivirus software on your personal devices
- Always use a device firewall
- Keep your operating systems and software up to date
- Never download pirated or cracked software
- Don´t click on popup windows that tell you that your computer is infected with a virus
- Be careful with email attachments
- Don´t use public wi-fi hotspots without using a VPN (secure) connection
- Use passwords on everything and be sure that they´re strong passwords
- Beware of what kind of information you share on social media sites
- Review your online accounts and credit report
Vybrané bezpečnostní články Symantecu najdete na jedné stránce – Whitepaper Resource. Jestli jsem to dobře počítal, najdete zde přístup k celkem jedenácti článkům.
Požadavkům FBI na Google je věnován článek FBI data requests to Google outlined in report. Od roku 2009 to bylo každoročně o něco více než 1000 žádostí FBI.
Existují konfliktní názory na odpovědnost ve vztahu k bezpečnosti cloudu – Conflicting views on cloud security responsibility. V článku jsou komentovány výsledky studie, kterou připravily společnosti CA a the Ponemon Institute.
Viz také komentář – Ponemon Prognosis Shows State of Cloud Security Improvements.
Esej Bruce Schneiera k dohlížecím technologiím najdete na jeho blogu – Technologies of Surveillance. Nepřehlédněte diskuzi.
Dozor bez použití metrik je jen dogmatem – Governance Without Metrics Is Just Dogma. Problém byl diskutován na panelu odborníků na konferenci RSA minulý týden. Ericka Chickowski shrnuje zde přednesené názory.
Technologie Google Glass skončí se soukromím, takovým, jakým ho známe – Oz Senator says Google Glass could ‚end privacy as we know it‘. Říká australský senátor Cory Bernardi. Google může technologii využít k masovému dohlížení.
Americké armádní sítě nejsou připraveny na kybernetické hrozby – U.S. military networks not prepared for cyberthreats, report warns. Článek je komentářem k zprávě Defense Science Board, viz Pentagon cyberdefenses weak, report warns.
Samotná zpráva je na stránce Resilient Military Systems and the Advanced Cyber Threat.
Viz také další komentář – U.S. Cybersecurity Status Weak, Reports Charge.
Téměř každý kriminální čin v New Yorku je nějak provázán s IT – Nearly Every NYC Crime Involves Cyber, Says Manhattan DA. Počet trestních stíhání v Manhattanu, těch která se týkají kybernetické kriminality a krádeží ID, vzrostl za posledních pět let o padesát procent. Hovořilo se o tom na symposiu Cybercrime in the World Today 2013.
Viz také článek Will you stop with all your ´cybering´ already?, který se otázkou zabývá z širšího pohledu.
2013 – jaké jsou nejvíce žádané bezpečnostní dovednosti? V zajímavém a poučném článku vysvětluje svůj pohled Lauren Gibbons Paul – Hot security skills of 2013.
Američtí doktoři nevěří, že pacienti potřebují plný přístup ke svým zdravotním záznamům – U.S. doctors don't believe patients need full access to health records. V článku jsou tlumočeny výsledky přehledu Accenture (NYSE:ACN).
Poptávka po IT bezpečnostních odbornících převyšuje nabídku (USA) – Demand for IT security experts outstrips supply. Hovoří o tom zpráva společnosti Burning Glass Technologies.
Viz také komentář – Reports Show Extreme Demand for Skilled Security Professionals.
How the FBI Intercepts Cell Phone Data – jak FBI odposlouchává data z mobilů? Bruce Schneier na svém blogu komentuje článek FBI Files Unlock History Behind Clandestine Cellphone Tracking Tool.
Five Ways To Better Hunt The Zebras In Your Network – jak bojovat se zebrami ve vaši síti? Zebrami jsou chápáni zaměstnanci a jejich počítače, kteří dělají ve vaší síti cosi podivného. Robert Lemos uvádí pět cest k tomu, jak se s těmito zebrami vypořádat:
- Know the network
- Collect all the data
- Find the foolish zebras
- Combine with threat intelligence
- Check back on your foolish zebras
Legislativa, politika
CISPA: americká sněmovna reprezentantů a Obamova administrativa se blíží k dohodě – House, Obama Administration nearing an agreement on CISPA. Draft k diskuzi se pravděpodobně objeví v dubnu.
Meldepflicht für Hackattacken: Ministerien wollen IT-Sicherheitsgesetz auf den Weg bringen – Německo a povinnost ohlašovat kybernetické útoky, článek se obrací k návrhu zákona k IT bezpečnosti, který byl nyní předložen k diskuzi. Viz také komentáře:
- Innenministerium macht Ernst mit Meldepflicht nach Cyberangriffen
- Meldepflicht für Hackattacken: Ministerien wollen IT-Sicherheitsgesetz auf den Weg bringen
EU chce drasticky omezit kybernetickou kriminalitu – Drastische Eindämmung der Cyberkriminalität: EU-Kommission legt Cybersicherheitsplan für ein offenes, freies und chancenreiches Internet vor. Byly zveřejněny některé nové plány ohledně chystané kyberbezpečnostní strategie. Článek obsahuje také řadu čísel, která charakterizují dnešní situaci.
Sociální sítě
Varování od ”Marka Zuckerberga“ vede k únosu účtu – Warning from „Mark Zurckerberg“ leads to account hijacking. Odkaz v e-mailu vede na podvrženou stránku Facebooku.
Software
TLS security: Background on the ‚Lucky Thirteen‘ attack – k nedávno objevené zranitelnosti TLS. Autor článku vysvětluje podstatu útoku ´Lucky Thirteen´.
Společnost Oracle vydala pohotovostní záplatu Javy – Oracle trowels more plaster over flawed Java browser plugin. Záplatované zranitelnosti jsou aktivně využívány. Viz také komentáře:
- Oracle releases emergency fix for Java zero-day exploit
- Oracle Issues Emergency Java Update (Brian Krebs)
- Oracle trowels more plaster over flawed Java browser plugin
Objevil se nový kit exploitů, je postavený výlučně na exploitech Javy – Cybercriminals release new Java exploits centered exploit kit. Na stránce k tomu Dancho Danchev uvádí některé podrobnosti.
Bezpečný vývoj – je to nutnost nebo jen žrout peněz? Na konferenci RSA 2013 k tomu diskutovali dva odborníci: Brad Arkin (Adobe) a John Viega (SilverSky) – Secure Development: Must-Do Or Money Pit?.
99 procent webových aplikací je zranitelných vůči útokům – 99 percent of web apps vulnerable to attack.
The SCADA security challenge – k bezpečnosti systémů SCADA. SCADA (Supervisory Control And Data Acquisition) systémy patří mezi méně obecně známé technologie, ale naopak svým významem patří k těm nejdůležitějším. V článku je tato problematika podrobně rozebírána včetně některých doporučení v závěru.
O průběhu letošní výzvy Pwn2Own informuje článek Pwn2Own: IE, Firefox, Chrome and Java go down. IE, Firefox, Chrome a Java již ”podlehly“.
Viz také komentáře:
- Pwn2Own Hackers Bring Popular Browsers To Their Knees
- Pwn2Own: IE10, Firefox, Chrome, Reader, Java hacks land $500k
- Pwn2Own ends with all attackers winning
Yahoo Mail accounts still hijacked daily – e-mailové účty Yahoo – útoky vedou k jejich každodenním únosům.
Malware
Malware a související služby – ceny klesají (díky konkurenci) – Prices fall, services rise in malware-as-a-service market. V článku jsou tlumočena zjištění společnosti Webroot.
Nový Java malware podepsaný ukradeným certifikátem přichází týž den jako poslední záplata – Java malware spotted using stolen certificate.
Špionážní malware
Jak Microsoft zformoval obranu proti špionážnímu malwaru Flame – Flame Windows Update Attack Could Have Been Repeated in 3 Days, Says Microsoft. Problém souvisel jak s neautorizovaným certifikátem Microsoftu, tak i s ukradenou částí Windows Update.
Společnost BitDefender vystopovala MiniDuke až k červnu 2011 – BitDefender traces MiniDuke espionage malware back to June 2011. Tj. vlastní identifikování této kampaně trvalo více než jeden a půl roku. Byly zjištěny její tři verze – červen 2011, květen 2012 a únor 2013.
MiniDuke, kybernetický 007, fungoval v Evropě nejméně 21 měsíců, je shodně konstatováno i v článku Cyber-007 MiniDuke stalked Europe for at least 21 MONTHS. Rumunská zpravodajská služba RSI popisuje miniDuke jako dokonce více nebezpečnou státem sponzorovanou zbraň, než byl Red October – Romanian Intelligence Service: MiniDuke cyber attack could be state sponsored, greater impact than Red October.
Viz také komentář – MiniDuke espionage ring began earlier than first reports suggest.
Společnost Kaspersky zveřejnila nové podrobnosti k špionážnímu malwaru Red October – Kaspersky enthüllt Details der Spionagesoftware Red October. S těmito informacemi vystoupil na Cebitu Costin G. Raiu.
Viry
Čínský gigantický vyhledávač Baidu spustil bezplatný antivir – Chinese search giant Baidu launches free AV. A to v angličtině (Baidu Antivirus 2013).
Hackeři a jiní útočníci
Společnost Evernote byla zasažena hackery – Evernote hit in hacking attack, users must reset their passwords. Útočníci získali přístup ke jménům, e-mailovým adresám a heslům (jejich osoleným hashím). Viz také:
- Evernote joins the notably hackable club
- Evernote Cloud Storage Service Warns Users of Password Breach
- Evernote Breach: What It Means To Enterprise IT
- 50 million compromised in Evernote hack
Sedm poučení z tohoto útoku sepsal Mathew J. Schwartz (Evernote Breach: 7 Security Lessons):
- Detail What Attackers Took
- Exercise An Abundance Of Caution
- Lock Down Weak Points
- Don´t Include Website Links In Password Reset Emails
- Users: Prepare To Be Spammed
- Hack Attack Volume Not Diminishing
- Two-Factor Authentication Needed, Please
Nejvíce spektakulární hacky roku 2012 – 2012 – ein Jahr des Grauens – Jürgen Hill tento svůj zajímavý přehled rozčlenil do jednotlivých měsíců.
Odborníci zjistili souvislost mezi hacknutím společnosti Bit9 a nedávnou zranitelností nulového dne Javy – Researchers link latest Java zero-day exploit to Bit9 hack. Jedná se o útok, který byl identifikován v předcházejícím týdnu.
Indie: útoky na infrastrukturu přišly z Číny – India: Attacks on infrastructure came from China. V článku jsou citována opatření, která v tomto směru (obrana před útoky) indická vláda podniká (možná by se něco z toho hodilo i v dnešním Česku).
Vyšetřování průniků – tipy a nástroje – Tips and Tools for Breach Investigations. V přiloženém videu jsou diskutovány zejména tyto problematiky:
- Areas most frequently overlooked
- Lessons learned from recent investigations
- Technology tools to aid investigators
Polsko zaznamenalo kybernetický útok na kancelář premiéra – Włamanie do sieci Kancelarii Premiera? Atakujący miał uzyskać dostęp do poczty pracowników KPRM. Útočník se měl dostat k obsahu e-mailových účtů nejdůležitějších osob ve státě.
Botnety
Potřebujete armádu zabijáckých zombií? Je vaše, za pouhých 25 dolarů máte 1000 PC – Need an army of killer zombies? Yours for just $25 per 1,000 PCs. Ceny se mění podle toho, kde se tato infikovaná PC nachází. Další podrobnosti najdete ne blogu Dancho Dancheva How much does it cost to buy 10,000 U.S.-based malware-infected hosts?.
Nový botnet byl nalezen v Jižní Americe – New botnet found in Latin America. Je označován jako AlbaBotnet a zřejmě je teprve ve vývoji a nebyl použit k útokům.
Útoky DoS a DDoS
Seznamte se – DoS a DDoS útoky, Pěkný článek české provenience, jeho autorem je Martin Čmelík. Také se v souvislosti s útoky DOS vyhýbá použití pojmu hacker, který se dnes objevuje (neoprávněně) v mediálních titulcích. Při popisu motivace útočníků jsem poukázal na ještě jeden bod – snahu zakrýt útok hackera (ten proběhne skrytý v mračnu útoků DoS). To se objevilo v několika útocích v jiných zemích. Bohužel tuto možnost některé české články v médiích rovnou vylučují, nemyslím, že je to správné.
Why DDoS Should Worry Us. acks Gaining Power, Likely Causing More Damage – proč bychom se měli obávat útoků DDoS? Tracy Kitten vysvětluje situaci okolo probíhajících útoků DDoS na americké banky a finanční instituce. Tyto útoky ve své třetí fázi nabírají sílu, délku a sofistikaci. Útoky DDoS zcela nepochybně budou v roce 2013 a nebude se to týkat jen finančních organizací. Útočníci využívají aplikace, které hostují v cloudu a tím stupňují své útoky. Diskutuje se o tom, co útočníci skutečně chtějí. Útočníci testují slabiny systémů, hledají přístup k citlivým systémům, jdou po datech – konstatuje autorka. Banky přitom mají ve světě nejlépe chráněné systémy, co ale teprve mohou očekávat ostatní organizace?
Viz také komentář – Size, Funding of Bank DDoS Attacks Grow in Third Phase.
ČR a útoky DDoS
Situaci, kterou dosud český internet nezažil, zaznamenávala a komentovala média.
Den první, pondělí:
- České weby čelí největšímu útoku v historii českého internetu
- Neznámí útočníci napadli IHNED.cz a další velké zpravodajské servery v Česku
- Zpravodajské weby čelily největšímu útoku v historii. Přišel z Ruska
- DDoS-Angriffe gegen tschechische Online-Medien (všimli si i naši sousedé)
- Web-Attacken: Angreifer lähmen tschechische Medienseiten (Spiegel)
Den druhý, úterý:
- Další útok hackerů: Nefunguje server Seznam.cz
- Po zpravodajských serverech ochromili weboví útočníci i Seznam.cz
- Digitální útočníci napadli další velký český web. Nedostupný je vyhledávač Seznam.cz
Den třetí, středa:
- Kybernetické útoky dnes pokračovaly. Terčem byly servery českých bank
- Český internet čelí nejmasivnějším pirátským útokům v historii
- Bezpečnostní experti už vědí více o kyberútocích. Detaily ale zatím tají
- Česko zažívá elektronickou invazi. Padají banky, úřady i zpravodajské weby
- Internetové bankovnictví zkolabovalo, další kybernetický útok mířil na banky
Den čtvrtý, čtvrtek:
- Týden hackerských útoků: Po médiích a bankách přišli na řadu mobilní operátoři
- Mobilní operátoři čelí další vlně masivních kybernetických útoků
- Čtvrtý den útoků. Terčem jsou weby mobilních operátorů
- Ranný útok na web slovenskej O2 išiel z Ruska
Celkovou situaci pochopitelně hodnotila také řada článků:
- CSIRT: DDoS útoků v poslední době přibývá, obrana je složitá
- Dalším cílem útoků hackerů může být i správce českých domén .cz
- Kvůli internetovým útokům zasedne Rada pro kybernetickou bezpečnost
- Útoky na české servery už řeší i tajné služby
- Útok na internetové stránky si může objednat kdokoliv za pár tisíc
- Na Česko zaútočila kybernetická povodeň
- INTERNET: Připravte se, bude válka (fikce nebo jen popis možného?)
Anonymous
Anonymous usmiřují boj mezi hacktivisty – Anonymous becomes peacemaker as hacktivists battle. Stali se prostředníkem mezi malajskými a filipínskými hackery. Ti si vzájemně napadali weby.
Anonymous hackli největšího producenta platiny – World's largest platinum producer ‚Anglo American‘ hacked by Anonymous. Kompletní databáze společnosti ´Anglo American´ se objevila online. Obsahuje mj. osobní data 122 investorů. Útok má být součástí Operation Green Rights.
Anonymous hackli Constantin Film – Vergeltung für drei.bz: Anonymous hackt Constantin Film. Má to být reakce na uzavření warezového webu drei.bz.
Hardware
High-Tech bezpečnostní produkty v domácnostech. V čem skutečně pomohou? Nad těmito problémy se zamýšlí Michael Kassner – High-tech home security products: Who are they really helping?. Iritující jsou situace z reality: bezpečnostní dveře ovládané nedostatečně zabezpečeným bezdrátem, chytré televize s připojením na internet atd.
Mobilní zařízení
Studie ukázala na bezstarostnost při zacházení s mobilními zařízeními – Studie zeigt Sorglosigkeit im Umgang mit mobilen Geräten. V článku jsou komentovány výsledky ročního průzkumu Microsoft Computing Safety Index (MCSI).
Německá vláda nakupuje BlackBerry 10 (s rozšířenou bezpečností) – 10 with Enhanced Security Wins Hefty Order from Germany. Má to být jediná platforma, která splňuje požadavky NATO a může zároveň fungovat jako chytrý telefon s připojením k internetu.
Nový útok umožňuje získat kryptografické klíče ze zmrazených mobilů s Androidem – Researchers grab cryptographic keys from Frozen Android Phones.
Viz také komentář – Freezedroid: Researchers discover cold can unlock secured Android phones.
Mobilní malware
Google Play a malware cílící na uživatele Androidu – Mobile Malcoders Pay to (Google) Play. Se svými zkušenostmi se dělí Brian Krebs.
Malware může infikovat váš mobil vzdušnou (OVER-THE-AIR) aktualizací – Malware-flingers can pwn your mobile with OVER-THE-AIR updates. Způsobují to zranitelnosti procesorů základního (bázového) signálu. Konstatují to zjištění tříletého projektu GSMK CryptoPhone.
Report: Android is home to 96% of new mobile malware – zpráva F-Secure konstatuje, že 96 procent nového mobilního malwaru cílí na Android. Zprávu společnosti najdete na tomto odkazu Mobile Threat Report.
Viz také komentáře:
- Threats and Market Share Increase for Android, Decrease for Symbian
- The Android malware problem is not hyped, researchers say
Situaci s malwarem pro Android hodnotí článek Android malware problem should not be ignored, researchers say.
Spam
Šiřitelé spamu, v nové zprávě společnosti Sophos jsou na vrcholu žebříčku znovu Spojené Státy – USA is number one! (…for spam). Spam nemusí nutně mít původ v USA, ale je šířen americkými počítači.
Elektronické bankovnictví
Současnými útoky na americké banky se zabývá článek http://www.informationweek.com/security/attacks/bank-attackers-restart-operation-ababil/240150175. Skupina Izz ad-Din al-Qassam Cyber Fighters oznámila v úterý na Pastebin fázi tři tzv. operace Ababil. Problémy začínají oznamovat zákazníci Bank of America, Capital One, Citibank, PNC Bank, Union Bank a Wells Fargo.
Viz také komentáře:
- New Wave of DDoS Attacks Launched
- U.S. Banks Back Under DDoS Fire
- Bank DDoS Attacks Resume
- Hacktivists plan to resume DDoS campaign against U.S. banks
Autentizace, hesla, ID
How passwords can wreck your two-factor authentication – jak hesla mohou zničit vaši dvoufaktorovou autentizaci. Patrick Lambert vysvětluje zkušenosti svých přátel.
Phishing
Cílený útok na japonské a čínské novináře využívá zprávu Mandiant k APT1 jako návnadu – ‚Time Bomb‘ Attack Out Of China Defused. Má za tím být jiná čínská hackerská skupina, informuje Seculert – The Chinese Time Bomb.
Viz také komentář – APT1-Themed Spear Phishing Campaign Linked to China.
New class of industrial-scale super-phishing emails threatens biz – k současným podobám phishingu. V článku jsou komentovány výsledky zprávy společnosti Proofpoint – Longline Phishing: A New Class of Advanced Phishing Attacks (nezbytná je registrace). Autoři definují tzv. phishingové útoky s více návnadami (longline phishing attacks) a pak se jimi podrobněji zabývají. Osmistránkový dokument má následující obsah:
- Longlining Defined
- Preparation of Longline Attacks (The Platform: Botnet/Snowshoe Networks, The Bait: Email Components, Hooks and Lines: Compromised Sites and Malware)
- Execution of Longline Phishing Attacks (Initial Probe and Testing, Volume Delivery, Long Tail)
- Results and Effectiveness of Longline Phishing Attacks
- Defending Against Longline Phishing Attacks
Viz také komentář – Longline phishing attacks rely on mass customization.
Malware přicházející od čínských hackerů směřuje na japonskou vládu – Malware linked to Chinese hackers aims at Japanese government. Infikovaná pdf jsou součástí kampaně cíleného phishingu.
Jak otupit cílené phishingové útoky – How to blunt spear phishing attacks. V článku je uvedena pětice doporučení, jejím autorem je Jim Hansen (PhishMe):
- Read the return url backwards, from right to left
- Don´t fall for what´s being called the ”double-barreled phish,“ in which you respond to the email with a question
- Never open a PDF from someone you don´t know
- Never give out your password or other personal/sensitive information in response to an unsolicited query
- IT security pros should consider training classes targeted specifically at spear phishing
How Phishing Attacks Are Evolving – jaký je vývoj phishingových útoků? Tracy Kitten tlumočí pohledy Paula Fergusona, člena skupiny APWG (Anti-Phishing Working Group.).
Šiřitelé malwaru těží ze smrti Chaveze – Malware peddlers exploit death of Hugo Chavez. Rozesílaný e-mail obsahuje odkazy na stránky s malwarem.
Elektronický podpis
Java malware byl podepsán certifikátem bezpečnostní firmy – Java zero-day malware ‚was signed with certificates stolen from security vendor‘. Jsem na rozpacích z článku použité terminologie: ukradený certifikát by nevadil (slouží k ověřování podpisu), vadí krádež jemu příslušejícího podpisového klíče. Ten byl ukraden společnosti Bit9.
Viz také příbuznou informaci – Java pfuscht bei Zertifikatschecks.
Biometrie
Italská bankovní skupina vyvinula biometrický systém založený na rozpoznávání cév v dlani. Pro zraněné ruce nefunguje – Bank whips out palm-recognition kit – and a severed hand won't work. Východiskem byla technologie společnosti Fujitsu PalmSecure.
Kryptografie
A Few Thoughts on Cryptographic Engineering – zajímavý blog (Matthew Green) ke kryptografii. Upozornil mě na něj David Šanda – díky. Najdete zde diskutované problémy různého charakteru.
Two is the Fastest Prime – k rychlejším implementacím eliptické kryptografie. Autoři popisují využití nového systému pro reprezentování bodů na eliptické křivce, tzv. ?-souřadnice.
Různé
Přehled vychází z průběžně publikovaných novinek na Crypto – News.