Bezpečnostní střípky: EU chystá povinné oznamování datových průniků

25. 7. 2011
Doba čtení: 14 minut

Sdílet

Pravidelný pondělní přehled informací vztahujících se k problematice bezpečnosti IT. Z novinek tohoto týdne upozorníme na další doporučení, která se týkají obrany před datovými průniky či před útoky DDoS, informace k nové sociální síti Google+ a čtenáři si jistě všimnou zpráv o hackerských útocích.

Přehledy

Většina IT bezpečnostních profesionálů vypíná bezpečnostní funkce – kvůli zvýšení rychlosti sítě – Most IT Security Pros Disabling Security Functions In Favor Of Network Speed. Kelly Jackson Higgins informuje o výsledcích přehledu, který připravila společnost Crossbeam Systems na základě průzkumu v 500 firmách z celého světa. V článku jsou uvedená některá čísla, samotný přehled je pak na tomto odkazu – Network Security Performance in the Real-World.

V minulém týdnu byla vydána zpráva Security Labs Report, January – June 2011 Recap (M86 Security). Narůstá sofistikovanost phishingových útoků, objevují se kombinované útoky, podvody v sociálních sítích se dostávají na novou úroveň – konstatuje shrnující komentář k této zprávě – Enhanced phishing methods on the rise.

Legislativa

K chystané legislativě EU o oznamování datových průniků se obrací článek EU data breach notification law under advisement. Všichni, kdo jsou zainteresováni na podobě této směrnice, by měli nyní vyjádřit k tomu své názory. To říká (a vlastně žádá) Neelie Kroes (Digital Agenda Commissioner).

EU orders member states to implement cookie law, or else – EU nařizuje členským zemím implementovat zákon o cookies, jinak… EU legislativa (ePrivacy Directive) v tomto smyslu měla v členských zemích fungovat již od května, ale zatím se jí plně drží pouze šest států.

Výbor americké sněmovny reprezentantů odklepl zákon, který mj. ukládá povinnost oznamovat datové průniky – House panel approves data breach notification bill. Jedná se o zákon Secure and Fortify Electronic Data Act.

Obecná a firemní bezpečnost IT

Největší bezpečnostní hrozba? Jsou jí hloupí lidé, říká komentář ke zprávě amerického ministerstva národní bezpečnosti – The greatest security threat? Stupid people. Viz také Human Errors Fuel Hacking as Test Shows Nothing Stops Idiocy.

10 tvrdých pravd, kterých si musí být vědom každý IT pracovník – 10 hard truths IT must learn to accept. V rozsáhlejším článku rozebírá jeho autor následující body:

  1. Revoluce iPhone je tady a zůstane zde
  2. Ztratil jste kontrolu nad tím, jak vaše společnost využívá technologie
  3. Vždycky bude moment, kdy bude vaše IT mimo provoz
  4. Vaše systémy nebudou nikdy plně ve shodě
  5. Cloudy nezabezpečí vše (a dokonce mohou přinést další problémy)
  6. Nikdy nebudete mít dostatek lidí po ruce
  7. Vaše síť již byla kompromitována
  8. Největší tajemství vaší společnosti nejsou daleko od prozrazení
  9. Vaši uživatelé si nikdy nedokáží vytvořit vlastní podporu
  10. Nikdy nebudete respektován tak, jak byste si zasloužil

Amerika čelí vlně čínské špionáže – America Faced With Wave of Chinese Espionage. To je docela zajímavý komentář k aktuální situaci (obsahuje i několik dalších odkazů uvnitř článku).

Jak mohli hackeři ukrást 24 000 souborů Pentagonu? Kit Eaton se zamýšlí (spolu s odborníkem – Nick Percoco, Trustwave´s Spi­derLabs) nad možnými cestami – How Hackers Could Have Stolen 24,000 Pentagon Files.

Dlouhou sadu doporučení pro obranu před průniky najdete na stránce Security recommendations to prevent cyber intrusions. V článku kromě samotných doporučení jsou uvedeny i odkazy na další vhodné materiály.

Pět společností, které bojují s počítačovou kriminalitou vycházející z dat na internetu vyjmenovává autor článku 5 companies using web data to fight cybercrime. V zajímavém (a spíše netradičním) přehledu jsou uvedeny aktivity firem Panda Security, Google, ipTrust, Kindsight a Incapsula.

Pojišťovatel Sony říká, že neodpovídá za náklady spojené s datovým průnikem – Sony insurer says it's not liable for costs of data breach. Uvidíme, jak budou rozhodovat soudy, společnost Sony je nyní předmětem celé řady žalob a rozhodně není v příjemné situaci.

Už i vědecké články se staly předmětem nelegálního zveřejnění – 19,000 papers leaked to protest ‚war against knowledge‘. Na Bittorrentu bylo zveřejněno 19 000 článků z Philosophical Transactions of the Royal Society.

Guide for the Secure Software Development Lifecycle, to je recenze příručky Official (ISC)2 Guide to the CSSLP. Kniha vyšla v červnu tohoto roku v nakladatelství CRC Press, má 572 stran, je to jediná oficiální příručka k certifikaci CSSLP (Certified Secure Software Lifecycle Professional). Zakoupit ji lze na Amazonu.

Jak bojovat s útoky DDoS, deset poučných faktů přináší formou slideshow Fahmida Y. Rashid – IT Security & Network Security News & Reviews: Fighting DDoS Attacks: 10 Critical Lessons to Learn. Jedné podobě útoků DDoS je věnována informace DDoS bot masquerades as Java update.

Britský skandál

Klíčové momenty v skandálu s hackováním telefonátů jsou uvedeny na stránce Key dates in the phone hacking scandal. Je to vcelku užitečný přehled, dnes se lze v záplavě informací okolo tohoto skandálu snadno ztratit. Viz také grafické znázornění – Key Players in the Phone-Hacking Scandal.

A z novějších informací, které se nějakým způsobem problému Murdochových novin dotýkají – hacknuté stránky Murdochových novin oznámily jeho smrt – Hacked Sun site greatly exaggerates Murdoch's death. V článku je také uveden obrázek dokumentující podobu hacknutého webu. Viz také komentáře – Anonymous, LulzSec Deface The Sun Web Site a LulzSec Hackers Return To Take On Rupert Murdoch.

Ross Anderson rozebírá technické a politické podrobnosti britského skandálu (hacknuté telefony) – na stránce Phone hacking, technology and policy. Je to krátký článek, ale obsahuje celou řadu dalších odkazů. Viz také diskuzi na Schneierově blogu – British Phone Hacking Scandal.

Sociální sítě

Vznikla Anonplus – sociální síť Anonymous – Is Anon ready for the social network? Myšlenka se objevila poté, co Google+ odmítl blíže neurčený počet členů Anonymous. Autor článku se zamýšlí nad smyslem takovéto sítě. Viz také komentář – Hacker collective Anonymous to launch social networking site.

Google+, jaké cíle si vlastně postavila společnost Google v tomto projektu? Nejedná se o pouhou alternativu Facebooku, Google chce získat hodnotný pohled do života lidí – Google Wants to Learn More About You With New Social Network. Společnost tak bude mít možnost lépe cílit své reklamní kampaně a může takto získat finance, které zadavatelé reklam dávají Facebooku.

Deset věcí, které jsou postrádány u Google+, vyjmenovává Jason Hiner – The top 10 features missing from Google Plus. A říká – tyto záležitosti by měly být buď opraveny nebo přidány. Za článkem je přidána celá série dalších odkazů, které se Google+ dotýkají.

Inovace Facebooku ve spárech podvodníků, Pavel Čepský na Lupě: Nové funkce Facebooku posloužily ihned jako odrazový můstek pro spamery a podvodníky. Pokročilí uživatelé mohou být relativně v klidu, zato začátečníci stále ve střehu.
Viz také – New tool for Facebook scammers.

Jste na Facebooku? Hrozí vám krádež identity, Zuzana Musálková na Novinkách: „Jste na nějaké sociální síti? Pod skutečným jménem? Jsou tam vaše fotografie nebo adresa?“ vyptává se mě policista z odboru informační kriminality Policejního prezidia ČR v pražských Holešovicích, kterému mám říkat Pavel. Vysvětluje, proč bych kvůli informacím, které jsem uveřejnila na Facebooku, mohla být potenciální obětí podvodníků a zločinců.
To je další z článků burcující české bezstarostné uživatele sociálních sítí.

„Šokující“ video – odkaz na Facebooku – skončí to tím, že hacker získá vládu nad vaším počítačem – ‚Shocking‘ Facebook Video Ends Up Owning Your Computer. Poslal vám takovýto odkaz někdo z vašich přítel? Pak pozor, může se jednat o podvod!

Bomby v Oslo – podvodníci na Facebooku okamžitě reagují – Oslo bombing taken advantage of by Facebook scammers. Autor tohoto článku informuje o aktuálním podvodu na Facebooku. Je to smutné, že se najdou lidé tohoto typu… Viz také – Oslo bombing Facebook scams infecting 1 user per second.

Software

Internet Explorer vyhrál v testech ohledně blokování malware – IE Wins Malware-Blocking Tests. Testy provedly NSS Labs – Web Browser Security Socially-engineered Malware Protection. Comparative Test Results Europe. Kromě IE byly v testu analyzovány vlastnosti prohlížečů Chrome, Safari, Firefox a Opera.

Čerstvě nový iOS Apple je zranitelný k hackům typu jailbreak – New Apple iOS Already Vulnerable To Jailbreaking Hacks. Oznámená cesta – Pwn tool allowing users to jailbreak the latest iOS, version 4.3.4 – nefunguje pro iPad 2.

VLC Player je v nové verzi 1.1.11 – VLC Media Player 1.1.11 closes heap overflow holes. Opraveny byly dvě zranitelnosti. Odkaz, odkud lze novou verzi stáhnout – VLC. Download.

A také Wireshark vyšel v nové verzi – Wireshark updates fix security vulnerabilities. Opraveny byly bezpečnostní zranitelnosti. Odkazy, odkud lze stáhnout tento analyzér síťových protokolů, najdete uvnitř článku.

Malware

Microsoft nabízí čtvrt miliónu dolarů za informace k botnetu – Microsoft offers $250,000 reward for botnet information. Microsoft pokročil ve své snaze odhalit ty, kdo stojí za kontrolou a řízením botnetu Rustock. Informace musí vést k zjištění identity – následně pak k uvěznění a obvinění takovéhoto individua (takovýchto individuí). Viz také komentář Briana Krebse – Microsoft Offers $250K Bounty for Rustock Author.

Botnet s TDL-4 je prakticky nezničitelný – Massive botnet ‚indestructible,‘ say researchers. Tímto rootkitem je infikováno 4,5 miliónu PC s Windows. Technické podrobnosti lze nalézt na stránce TDL4 – Top Bot.

Google rozesílá varování – váš počítač je infikován. Pracovníci společnosti Google zjistili, že milión uživatelů internetu je infikováno určitým typem malware. V článku Google: Your Computer Appears to Be Infected je jeho chování vysvětleno, mj. láká na falešný antivir. Blog Google – Using data to protect people from malware. Bezpečnostním odborníkům se tato cesta boje proti malware moc nelíbí – Security experts knock Google on PC infection warnings, např. právě takto vlastně postupují šiřitelé falešných antivirů.

Írán stále bojuje s dopady Stuxnetu – Iran Still Struggling With Stuxnet Virus Infestation. Podle zprávy Stuxnet returns to bedevil Iran's nuclear systems, se Íránu nepodařilo opravit centrifugy a byl nucen zakoupit nové.

Hackeři

Byly hacknuty stránky lady Gaga – US Cyber Attackers Hack Lady Gaga’s Website; Call Her Homophobic. Měly být ukradeny podrobnosti, které se týkají tisíců jejích fanoušků.

Společnost Toshiba připustila své hacknutí – Toshiba admits to hack, customer data loss. Jedná se o kompromitaci jednoho z jejích amerických webů, která vedla k zveřejnění části databáze uživatelů na pastebin.com.

Německo – hackerská skupina No Name Crew vyhrožuje zveřejněním dalších dat – One arrest and further threats in the German police hacker case. Data mají být zveřejněna o půlnoci 28. července a týkají se německé spolkové policie. Hackeři prý jeden čas měli plnou kontrolu nad centrálním serverem německé policie.

K útokům na německé bezpečnostní autority se váže informace German Security Authorities Hacked. V neděli byl uvězněn 23letý šéf skupiny No Name Crew mající přezdívku Darkhammer. V článku se hovoří také o útocích na německé (nedávno otevřené) středisko Cyber Defense Center.

Známý a respektovaný online aktivista uvězněn kvůli obvinění z hackingu – Respected Online Activist Arrested on Hacking Charges. Aaron Swartz (24 let) měl ukrást 4 milióny článků z archivu MIT a měl je v plánu distribuovat online. Viz také – Internet activist charged with hacking, theft of millions of digital documents.

Taliban website, phones reportedly hacked – hacknuté stránky Talibanu, hacknuty byly také jejich mobily. Byla zde oznámena (fiktivní) smrt šéfa Talibánu Mullaha Mohammeda Umara. Viz také – Taliban claim their mobile phones have been hacked.

Hackeři se začínají orientovat na malé firmy, na příkladech to dokumentují autoři článku Hackers Shift Attacks to Small Firms.

Diskuze na Schneierově blogu – Is There a Hacking Epidemic? – je věnována otázce: máme nyní co do činění s epidemií hackerů? Hodnocení aktuální situace se pochopitelně různí.

Samotní Anonymous byli hacknuti – mladými Turky – Anonymous hackers hacked by young Turks. Hacknuta byla jejich nedávno ustavená sociální síť Anonplus.

Anonymous a spol.

FBI provedl domovní prohlídky u podezřelých Anonymous – EXCLUSIVE: FBI Raids Homes of Suspected ‚Anonymous‘ Hackers. Zabaveny byly počítače a jejich vybavení. Jaké budou výsledky, si musíme počkat. Viz také komentáře – FBI's Anonymous challenge: Cast a wide net vs. distributed hacking group a FBI raids alleged Anonymous homes.

Následně pak proběhlo zatýkání – Feds arrest 16 in Anonymous hack probe. V článku jsou uvedena jména osob zatčených FBI. Tisková zpráva ministerstva spravedlnosti – Sixteen Individuals Arrested in the United States for Alleged Roles in Cyber Attacks.
Viz také:

Zatýkání probíhá také v Evropě:

Anonymous a LulzSec odpovídají na věznění a tvrzení FBI dopisem zveřejněným na Pastebin:

How LulzSec pwned The Sun aneb jak LulzSec hackli noviny the Sun. Využity byly zranitelnosti na stránkách new-times.co.uk/sun, jejímž cílem bylo sloužit pro platby čtenářů The Times. Hackeři zranitelnost pak využili k přesměrování. Co vše bylo kompromitováno, není jasné (databáze e-mailů News International?). Viz také – How LulzSec hacked the Sun´s website. Kdo jsou členové LulzSec, napoví článek – LulzSec: the members and the enemies.

LulzSec vyhlašovali, že zveřejní Murdochův velký e-mailový archiv – LulzSec say they'll release big Murdoch email archive. Sabu o tom psal na Twitteru. Nepodařilo se to, ale slibují, že to „napraví“ – LulzSec hacker Sabu: Murdoch emails ´sometime soon´. Pak byla oznámena další změna plánu – LulzSec says it will partner with media on Murdoch emails (LulzSec hledají mediálního partnera).

Co se týká nedávných zatčení, byl mezi nimi i lídr LulzSec? Autor článku Hacker Arrests May Have Netted LulzSec Leader hledá odpověď na otázku, kdo je Tflow (šestnáctiletý chlapec z Londýna)? Rozvíjí také domněnky o důležitosti zatčených hackerů. Dochází k závěru, že čelní hackeři Anonymous a LulzSec zůstali nedotčeni. Otázkou je, že tato jeho tvrzení nejsou podepřena důvěryhodnými zjištěnými fakty.

Anonymous Claims Hack On NATO Servers – Anonymous hackli servery NATO. Většinu z 1 gigabyte ukradených dat prý ale nezveřejní. Viz také komentáře v článcích:

Stanovisko šéfa FBI k současné situaci, komentář k němu je v článku – FBI Tries To Send Message With Hacker Arrests. Viz také – Anonymous, LulzSec vow to hack on.

Hardware

MacBook – jeho baterie lze hacknout – MacBook batteries susceptible to hack attacks. Charlie Miller vymyslel, jak permanentně „zneškodnit“ baterii. Podle něho lze se SW, který běží na baterii, provádět libovolné změny. Kromě toho Miller zjistil, že lze manipulovat s firmware na jednom z čipů, který obstarává dodávání proudu do počítače. Viz také – Apple Laptop Batteries Can Be Bricked, Firmware Hacked.

Bezdrát

Noviny ze Sydney hackli bezdrátovou síť (studie – nikoliv skandál) – Sydney newspaper hacks WiFi networks! Podle zveřejněných výsledků – pouze 2,6 procenta bezdrátových sítí v Sydney pracuje bez přístupového hesla. Sydney Morning Herald testovaly, jak domácnosti chrání své bezdrátové sítě.

VoIP

Brian Krebs se věnuje problémům s hlasovými maily (voicemail) na stránce Is Your Voicemail Wide Open? Autor popisuje svůj vlastní pokus s manželčiným iPhone. Hovoří o nezbytnosti nastavit si pro tyto účely (přístup k hlasovým zprávám) svůj PIN.

Mobilní telefony

Android a bezpečnost – doporučení k ochraně před malware, Fahmida Y. Rashid připravil na toto téma slideshow (IT Security & Network Security News & Reviews: Android Security: Tips for Banishing Malware From Your Mobile Devices), posbíral doporučení bezpečnostních odborníků z několika firem.

Comparing Android and iOS security: How they rate – Android a iOS – porovnání bezpečnostních vlastností bylo provedeno dle osnovy, kterou autoři nazývají pět pilířů bezpečnosti:

  1. Tradiční kontrola přístupů
  2. Kontrola přístupů založená na povoleních
  3. Původ aplikací
  4. Šifrování
  5. Izolace (sandbox)

A co se týče malware pro Android – jaké jsou zde trendy? V článku Android malware trends jsou k této otázce tlumočeny názory Irfana Asrara ze společnosti Symantec.

Na konferenci Black Hat 2011 bude demonstrován útok na Android – Black Hat 2011: Researchers to demonstrate Android attack. Předvedou ho pracovníci kalifornské firmy Dasient Inc. (Palo Alto). Ukáží, jak útočník může získat přístup do sítě a krást data uživatelů. Je k tomu použita chyba v motoru prohlížeče (Webkit).

Devět způsobů, jak zabezpečit váš iPad, popisuje Linda Rosencrance formou slideshow 9 Ways to Keep Your iPad Secure. Doporučení pochází od Jon-Louise Heimerla (ze společnosti Solutionary Inc. Omaha).

Phishing

Zapomeňte na phishing – máme tu whaling (velrybaření)! Autor článku Forget Phishing — New Cybercrime Tool is Whaling takto komentuje zjištění firmy GFI Labs – We´re (Auto)whalers on the Moon. Velrybáři (Whalers) jsou prostě větší phisheři, žijící z těch menších… Viz také komentář – Evil ´666´ auto-whaler tool is even eviler than it seems.

Biometrie

Na londýnském letišti Heaththrow budou instalovány skenery obličejové biometrie – Heathrow to install facial recognition scanners. Systém Aurora Image Recognition (AIR) bude fungovat v kombinaci se systémem Passenger Authentication Scanning System (PASS), který skenuje dokumenty pasažérů (včetně fotografie, tento systém funguje již od roku 2008).

Různé

Vyšlo červencové číslo indického e-zinu ClubHack Mag. Z obsahu:

  • Tech Gyan – Using Metasploit with Nessus Bridge on Ubuntu
  • Tool Gyan – Armitage – The Ultimate Attack Platform for Metasploit
  • Mom's Guide – Penetration Testing with Metasploit Framework
  • Legal Gyan – Trademark Law and Cyberspace
  • Matriux Vibhag – The Exploitation Ka Baap MSF

Starší čísla najdete na titulní straně magazínu – ClubHack Mag.

ict ve školství 24

Případ šmírujícího MacBooku – co v Televizních novinách nebylo, Petr Kočí na Lupě: Česká justice se musí vypořádat s kauzou ukradeného počítače, jehož majitel ve snaze dostat jej zpět dva týdny bavil internetovou veřejnost nelichotivými snímky těch, kdo notebook používali po něm. Rodina, kterou připravil o soukromí, počítač zřejmě koupila od překupníka. Teď jde o to, jestli tak učinila v dobré víře, nebo zda mohla tušit, že zánovní MacBook za jedenáct tisíc může být kradený.

Přehled vychází z průběžně publikovaných novinek na Crypto – News.