Bezpečnostní střípky: Google v centru pozornosti

7. 6. 2010
Doba čtení: 11 minut

Sdílet

Pravidelný pondělní přehled informací vztahujících se k problematice bezpečnosti IT. Z novinek právě uplynulého týdne vás upozorníme především na nový článek týkající se velkých botnetů, dále také na otevření poslední verze iPhone a na zajímavé a aktuální dění okolo populárních sociálních sítí.

Obecná a firemní bezpečnost IT

Ve Velké Británii chtějí přikročit ke zveřejňování seznamu britských narušitelů copyrightu – navrhuje to regulátor Ofcom – Ofcom unveils anti-piracy policy. Je to návrh a podle dalších názorů k němu zde zbývá dlouhá řada nezodpovězených otázek. Pokud projde do praxe, budou moci filmové a hudební společnosti na základě tohoto seznamu přijímat další rozhodnutí (žaloby atd.).

Kybernetické útoky jsou největší hrozbou pro americké rozvodné sítě – Cyberattacks seen as top threat to zap U.S. power grid. Ellen Messmer cituje zprávu North American Electric Reliability Corp. (NERC). Vybírá z této 118stránkové zprávy důležité momenty související s počítačovými útoky. Zpráva mj. konstatuje stálé pokusy o útoky na kontrolní systémy rozvodné sítě.

Chybující zpravodajské služby Spojených států jsou předmětem diskuze v článku zveřejněného ve Washington Post – Setting impossible standards on intelligence (Walter Pincus). Je rozebírána záležitost s nepovedeným bombovým útokem 23-letého Nigerijce (Umar Farouk Abdulmutallab) v letadle do Detroitu a proč nereagoval National Counterterroism Center (NCTC). Diskuzi k tomuto článku otevřel Bruce Schneier na svém blogu – Intelligence Can Never Be Perfect.

Spojené státy nejsou v kybernetické válce a pokud se v ní ocitnou, bude zároveň probíhat i fyzický konflikt. To říká James Andrew Lewis (ředitel Centra pro strategické a mezinárodní studie – Center for Strategic and International Studies) – Lewis: U.S. not in a cyber war. Podrobnější vyjádření je v dokumentu Cyber War and Competition in the China-U.S. Relationship, který byl zaslán čínskému institutu (China Institutes of Contemporary International Relations).

Make audits mean something with integration into technical architectures aneb o potřebě integrace auditu do technické architektury. Tom Olzak ukazuje, že management, audit a bezpečnost musí jít v organizaci ruka v ruce tak, aby takto zajistily běh podnikání. V článku k tomu uvádí příslušnou argumentaci.

Chcete se dohodnout? A používáte správnou taktiku? Na stránkách csoonline.com uvádí Constantine von Hoffman v sedmi bodech principy, kterými byste se měli řídit – 7 essential business negotiation tactics:

  • Ukazujte svůj zájem
  • Parafrázujte
  • Využívejte emoce
  • Zrcadlení (opakování posledních slov druhé strany ukazuje na váš zájem)
  • Využívejte formulace otázek, které mají otevřený konec (raději než přímé otázky)
  • Zprávy s podmětem já formulujte vhodným způsobem
  • Využívejte efektivně pauzy

Viz také souběžně publikovaný článek Secrets of successful business negotiation, kde autorka tlumočí zkušenosti bývalého vyjednávače FBI pro rukojmí.

Corporate ethics versus security ethics – etika společnosti versus bezpečnostní etika, to je článek, ve kterém Chad Perrin vysvětluje, proč mezi těmito dvěma pohledy na etiku může docházet ke konfliktu a uvádí k tomu příklady.

Google

Ke sběrům dat o uživatelích, která provádí takové společnosti jako Google, Yahoo, Facebook a další se vrací poznámky Dana Sullivana  – Putting Online Privacy in Perspective. Je to reakce na článek ve Washington Post – What sites such as Facebook and Google know and whom they tell. Poznámky jsou doprovázeny textem Tima O´Reillyho.

Google se pokouší patentovat technologii, pomocí které sledoval bezdrátové sítě – Google tries to patent tech that snoops Wi-Fi networks. Tento fakt zpochybňuje vyjádření společnosti, že aktivity, které společnost v tomto směru prováděla, byly jen dílem příliš iniciativních zaměstnanců

EU kritizuje společnosti provozující vyhledávače ohledně politik pro uchování dat. Google, Yahoo a Microsoft uchovávají tato data příliš dlouho a neanonymizují je dostatečně – Europe finds search data retention policies inadequate.

Vyhledávání Google přes SSL má své problémy – Google Search over SSL has an oops. Michael Kassner nachází, že s tím šifrováním to není úplně tak, jak Google tvrdí. Ne všechny informace jsou zašifrovány, Kassner ukazuje, že se lze dostat k vyhledávacím požadavkům přes informace, které jsou zasílány v otevřené podobě na webcache.google­usercontent.com.

Sociální sítě

10 důvodů, proč obavy o soukromí nedostanou lidi z Facebooku pryč, uvádí v 10 Reasons Why Privacy Issues Won't Drive People Away from Facebook Don Reisinger a ukazuje tak i na pohledy z druhé strany (oproti nyní častým kritikám). Zvážit, co je pro něj důležité, si musí každý uživatel sám. Viz v této souvislosti také článek – Quit Facebook Day flops – není jednoduché zbavit se svých zvyků.

Červ, šířící se pomocí ukradeného kliknutí (clickjacking), infikoval stovky tisíc uživatelů Facebooku – Facebook Users Hit with Clickjacking Worm. Sophos odhaduje, že během svátečního víkendu (Memorial Day) to postihlo 300 000 uživatelů. Červ nekrade data (zatím), snad to má hlavně prokázat úspěšnost tohoto typu útoku (proof-of-concept).

Twitter, Facebook and the decline of Western Civilization – Twitter, Facebook a úpadek Západní civilizace, to je článek Billa Brennera, který svůj pesimizmus k hodnocení soukromí v sociálních sítích vyjadřuje naprosto zřetelně (článek obsahuje také řadu dalších odkazů na související stránky).

Současný krok Facebook nezabrání vytváření zlodějských aplikací pro tuto sociální síť. Facebook oznámil, že bude vyžadovat, aby vývojáři aplikací měli legitimní účet na Facebooku (ověřitelný – mobilní telefon, platební karta) – totéž platí pro uživatele, kteří uploadují velké video soubory. Šéf AVG (Roger Thompson) považuje tento krok za nedostatečný, a to zcela důvodně – Facebook dev move won't stop rogue apps, say researchers.

Daniel Dočekal: Nové nastavení soukromí na Facebooku nechává vše při starém. Z úvodu: Cokoliv dáte na Facebook, může vždy skončit v nečekaných rukou. „Nové“ nastavení soukromí je jenom lepší omalovánka. Vše zůstává při starém, možná jenom lépe pochopíte, kudy může vaše soukromí přestat být soukromím.

Software

Byla vydána bezpečnostní aktualizace pro Adobe Photoshop CS4 a to jak pro Windows tak i Macintosh – Security update available for Adobe Photoshop CS4.

Google nebude ve své společnosti používat Windows – z bezpečnostních důvodů – Google ditches Windows on security concerns. David Gelles a Richard Waters se v článku odkazují na vyjádření některých zaměstnanců Google. Otázkou je, zda to spíše není prohlubující se konkurenční boj.

Odchod Google od Windows neochrání společnost před bezpečnostními problémy, říká Stefanie Hoffman: může to být reakce na dopad útoku Aurora. Bezpečnostní firmy však hájí Microsoft, tento útok se opíral především o slabiny koncových uživatelů. Útočníci umí napsat obdobné malware pro libovolný operační systém (včetně MAC OS a Linuxu) – Google Cutting Windows OS Doesn't Address Security Problems, Experts Say.

Microsoft komentuje postupy Google (nedávný odchod od Windows ve společnosti) – Microsoft comments on Google's Windows ban. Připomíná mimo jiné, jak univerzity nedávno oznámily, že nebudou používat G-mail. Viz také článek – Claims made that Google has blocked access to Facebook APIs and is winding down Windows use.

Je třeba zálohy šifrovat? Autor článku Should we be encrypting backups? poukazuje na rizika související s obnovou zašifrovaných dat. Je např. nezbytné pravidelně testovat schopnost obnovy zálohovaných dat.

10 rozšíření pro Chrome k zlepšení online bezpečnosti, jejich přehled připravil Michael Kassner. Varuje však – některé z nich jsou čerstvé novinky a mohou obsahovat problémy – 10 Chrome extensions that enhance online security.

Američtí vojáci měli problém s GPS – Glitch Reveals Military Reliance on GPS Tech. V lednu byl nainstalován na pozemní kontrole satelitní navigace nekompatibilní SW (s některými zařízeními americké armády).

Windows, Mac nebo Linux? Není to o OS, ale je to hlavně o uživateli – Windows, Mac, or Linux: It's Not the OS, It's the User. Jeff Bertolucci zde konstatuje, že největším rizikem dneška je naivita uživatele.

sectool, to je volně dostupný nástroj pro bezpečnostní audit a detekci průniků (IDS) – sectool – Security Audit Tool & IDS. Nástroj může pracovat v pěti různých úrovních (od naivní až po paranoidní). Stáhnout si ho lze zde – sectool-0.9.4.tar.bz2.

Malware

Big botnets and how to stop them aneb Velké botnety a jak je zastavit. Steven J. Vaughan-Nichols je autorem zajímavého článku, ve kterém cituje názory řady odborníků a popisuje touto cestou aktuální momenty problematiky. V článku je vyjmenováno současných pět největších botnetů spolu s jejich charakteristikami (v poslední části článku je uvedeno pak několik doporučení):

  • Pushdo/Cutwail
  • Bredolab
  • Zeus
  • Waledac
  • Conficker

V poslední části článku je uvedeno několik doporučení.

Volně dostupné aplikace instalují spyware na Macích – Free apps install spyware on Macs. Spořiče obrazovky a konvertory videa, které si lze volně stáhnout, instalují spyware, tento vytváří zadní vrátka, sbírá data a šifrovaně je zasílá vzdáleným serverům. Spyware, který je znám uživatelům Windows již od roku 2008, není obsažen přímo v programech, ale je stahován v průběhu instalace.

Rootkit pro Android bude prezentován příští měsíc na Defconu – Android rootkit is just a phone call away. O příslušném výzkumu informuje Christian Papathanasiou, pracovník společnosti Chicago´s Trus­twave, která tento výzkum prováděla.

Samsung distribuuje s mobilem i malware (na kartě) – Samsung Wave ships with malware-infected memory card. Jedná se o chytrý mobil Samsung S8500 Wave a s ním dodávanou 1GB kartu microSD. Pokud kartu připojíte na své PC (a nemáte autorun zakázaný), je spuštěn soubor se škodícím kódem. Takovéto mobily byly prodávány v Německu.

Hackeři

Clickjacking v sociálních sítích, nyní má podobu označenou jako likejacking  – Click-jacking for social networks: Like-jacking. Článek komentuje zprávu společnosti Sophos – Facebook Worm – Likejacking, ve které je popsán nedávný útok na statisíce uživatelů Facebooku. Útoky dále pokračují:

IT profesionálové hackují své vlastní organizace, aby se ujistili, že zabrání útokům hackerů – IT pros are hacking their own enterprises to keep intruders out. V článku jsou shrnuty informace z přehledu, který připravila společnost Fortify Software, respondenty byly účastníci akce Infosecurity Europe (300 IT bezpečnostních profesionálů).

A ještě jeden komentář k přehledu zpracovaném na Infosecurity Europe 2010 – Some IT security experts are hackers, shocka.

Proveden byl DoS útok na Jewish Chronicle po zásahu proti aktivistům v Gaze – Jewish Chronicle confirms that it was hit by a denial-of-service attack on Monday following Gaza flotilla incident. V rozhovoru s SC magazine to potvrdil Richard Burton z vedení listu.

Hardware

Šifrování USB disků přímo ve Windows popisuje Jiří Brejcha: Díky pádu cen přenosných úložných zařízení se hlavně flashdisky stávají spotřebním zbožím a často též příjemným firemním dárkem. Mnohem vyšší hodnotu ale leckdy mají uložená data.

The iPad: So Easy, A Monkey Can Use It – Part II aneb o iPad jako o zařízení pro bezpečnostní testy. Security Monkey diskutuje některé možnosti: iPortScan, iSSH, Scanner pro iPhone, NetTools, SuperPing, Vtrace a Citrix.

Byla hacknuta čtečka chytrých karet Kobil – Kobil smartcard reader hacked. Po nahrání speciálního firmware se hacker dostane k PINům. Čtečka je používána v Německu, kde má bezpečnostní osvědčení. Autor článku říká, že nalezená zranitelnost vrhá špatné světlo na certifikační instituce.

Mobilní telefony

Hackeři zveřejnili nástroj, který odemkne iPhone 3G/3Gs/3.1.3 – Hackers launch unlocking tool for iPhone 3G/3Gs/3.1.3. Nástroj se jmenuje iPhonia a koluje na internetu (nyní ve verzi 2.2.9).
A zjištění pokračují – iPhone leak is getting bigger – Update – obsah dat obsažených v iPhone je nyní možné kompletně zálohovat (prostřednictvím iTunes ve Windows).

Forenzní analýza

Má to být největší průlom od dob Watergate – Met lab claims ‚biggest breakthrough since Watergate‘. Met lab, policejní laboratoř oznámila vznik rozsáhlé speciální databáze (naplňovala ji posledních pět let). Je zde využito ENF (electrical network frequency analysis), sloužící pro zvukovou (audio) forenzní analýzu. ENF se opírá o analýzu frekvencí proudu, který jde od dodavatelů elektrické energie ke konkrétním zařízením jako jsou videorekordéry, telefonní záznamníky. Dokonce ani zařízení napájené bateriemi nejsou imunní vůči analýze ENF, neboť variace frekvencí sítě jsou v nich indukována na dálku. O tuto novou techniku britských odborníků má zájem i FBI.

Recenzi druhého vydání knihy „Windows Forensic Analysis“ najdete na stránce Book Review: Windows Forensic Analysis. Kniha vyšla v roce 2009, jejím autorem je Harlan Carvey. Je k ní připojeno DVD. Koupit si ji lze např. na Amazonu.

Photo forensics: Identifying faked pictures, tématem tohoto článku je forenzní analýza fotografií (identifikace podvržených fotek). Mich Kabay uvádí sérii devíti příkladů spolu s analýzou uvedených obrázků. Nepřehlédněte odkaz na stránku Digital Forensics & Tampering.

Elektronické bankovnictví

Byla obviněna pětice lidí, a to z pokusu ukrást z elektronického bankovnictví 450 000 dolarů prostřednictvím malware – 5 charged in $450,000 e-banking malware swindle. Za tímto účelem byla jimi použita varianta trojana Talex. Dosud se však nepodařilo zjistit, jakou cestou infekce proběhla (e-mail, kliknutí na infikovaný web?).

Brian Krebs se na svém blogu také obrací k bankomatovým podvodníkům – ATM Skimmers: Separating Cruft from Craft. Na příkladu jednoho podvodného zařízení, které bylo nainstalováno na bankomatu v Rusku, uvádí autor svůj stručný přehled problematiky.

Autentizace, hesla

Proč Kasperskym navrhované schéma (HW ID autentizace pro uživatele internetu) je špatným nápadem – 5 reasons why the proposed ID scheme for Internet users is a bad idea. Dancho Danchev v tomto článku uvádí k tomu pětici argumentů.

K ochraně administrátorských hesel se obrací článek Protecting Admin Passwords During Remote Response and Forensics. Stránka obsahuje vysvětlení k práci s nástrojem PsExec.

Normy a normativní dokumenty

Americký NIST vydal dokument:

Tento materiál podrobněji rozepisuje jeden ze šesti kroků z dokumentu Risk Management Framework (RMF) described in NIST Special Publication 800–37, Revision 1, Applying the Risk Management Framework to Federal Information Systems (February 2010).

V uplynulém týdnu vyšla také osmá verze draftu

Různé

Problematika infrastruktury veřejných klíčů (PKI)

Termín: 17.06.2010 09:00–17:00 Garant: Pavel Vondruška Kurz je pořádán v rámci Akademie CZ.NIC Časová náročnost: jednodenní kurz, 6 hodin (5 hodin teorie, 1 hodina praxe) Cíl kurzu:

  • porozumět principu asymetrických šifer
  • získat základní informace k budování PKI a CA
  • seznámit se s vybranými aspekty zákona o el. podpisu (typy certifikátů, podpisů, certifikačních autorit atd.)
  • umět vygenerovat certifkát a zacházet s ním a příslušným soukromým klíčem
  • pochopit princip důvěry v PKI a certifikáty
  • mít základní přehled o možných útocích na PKI a použité šifry

Cena: 2 000,00 Kč (bez DPH)

bitcoin školení listopad 24

Poznámka (JP): Tímto vydáním vstupují Bezpečnostní střípky do šestého roku své existence (počítám do toho i to období, kdy vycházely pod jiným názvem na Intervalu).

Přehled vychází z průběžně publikovaných novinek na Crypto – News.

Autor článku