Konference a přehledy
Ve dnech 31.ledna až 3. února 2010 se konala konference Black Hat DC 2010. Program konference je na této stránce:
Informace k některým vystoupením jsou v dalším textu.
Obecná a firemní bezpečnost IT
Desítku nejhorších bezpečnostních praktik sestavil Fred Cohen (Fred Cohen & Associates) – The Bottom Ten List – Information Security Worst Practices. Můžeme si ověřit, zda se s něčím z tohoto seznamu nesetkáváme.
BitTorrent census: about 99% of files copyright infringing – BitTorrent – jaké je složení sdílených souborů? Čím více je ochran DRM (Digital Right Mangement) u souborů, tím více jsou na torrentech populární. V článku najdete graf zobrazující procentuální složení souborů, největší část tvoří filmy a TV produkce – 46 procent.
Poskytovatelé internetového připojení vidí budoucnost pesimisticky – Internet Service Providers have a pessimistic view of the future. Článek obsahuje komentář k přehledu společnosti Arbor Networks, který byl proveden na základě informací získaných od 132 poskytovatelů internetu. Mezi hlavními problémy je zejména poukazováno na útoky DDoS. Se samotnou zprávou se lze seznámit na stránce Fifth Annual Infrastructure Security Report.
Rusko: byly napadeny stránky opozičního deníku Novaja Gazeta – Hacker Attack Freezes Novaya Gazeta's Web Site. Útok DoS začal v úterý a trval až do neděle (nikoliv minulého, ale předminulého týdne z pohledu vydání tohoto přehledu). Stránky deníku nebyly v té době přístupné (celkem tedy šest dní).
Britové varují před čínskými lákadly (sex, špioni a flash disky) – Britain warns businesses of Chinese ‚honey trap‘. Dan Goodin zde komentuje článek China bugs and burgles Britain. V tomto článku je zase komentován uniklý utajovaný dokument MI5 – The Threat from Chinese Espionage – z roku 2008.
Jaká je a měla by být americká strategie pro kybernetickou válku a kyberterorizmus – CYBERWARFARE AND CYBERTERRORISM: THE NEED FOR A NEW U.S. STRATEGIC APPROACH. Dokument připravil Gen. Eugene Habiger USAF (ret.), který dříve pracoval jako Commander in Chief of United States Strategic Command. Komentář k tomuto materiálu (54 stran), resp. jeho stručné shrnutí je v článku U.S. strategy for cyberwar and cyberterrorism.
USA a kybernetická bezpečnost: v rozpočtu byly schváleny stovky miliónů dolarů – US bill seeks cybersecurity scholarships. Rozpočet prošel velkou většinou. Dan Goodin k tomu poznamenává: Pošlete dítě do hackerské školy.
Americké námořnictvo má už také své centrum kybernetické bezpečnosti – U.S. Navy Launches Cyber Command. Jednotlivá centra jsou budována v Marylandu, který se tak stává americkou centrálou kybernetické bezpečnosti (mj. má zde své kapacity také NSA).
Je třeba změnit evropskou legislativu, která se týká ochrany soukromí. Prohlásila to evropská komisařka pro informační společnost a média Viviane Reding – European privacy laws to be reformed. Vyžaduje si to stále širší používání nových technologií – RFID, sociální sítě, tělesné skenery,…
Bezpečnost výpočtů v oblacích, ta musí být základem jejich důvěryhodnosti – Cloud security: Root of trust. Andreas M. Antonopoulos ukazuje na některé kritické otázky a shrnuje fakta okolo problematičnosti dnešních přístupů.
Blizzard warns of account theft in World of Warcraft – krádeže v účtech pro World of Warcraft, varuje před nimi a informace k nim přináší stránka společnosti Activision Blizzard – Account Security.
Nová esej Bruce Schneiera se nazývá Anonymita a internet – Anonymity and the Internet. Schneier se zde dotýká řady citlivých problémů včetně dětského porna, pedofilie a pirátů. Na blogu následuje zajímavá diskuze.
Země s nejhoršími hostingy, které to jsou? Není na škodu, když jsou někdy publikovány i top ten spodní strany žebříčků. Tentokrát se to týká hostingů s největším množstvím malware – The world's top 10 dirtiest web-hosting countries. Na čele jsou bezkonkurenčně USA, ze sousedních zemí se v horní desítce objevují Německo a Polsko. Graf pochází ze zprávy společnosti Sophos – Security Threat Report.
Sociální sítě
Facebook je na čele tabulky nejvíce rizikových sociálních sítí – Facebook tops the list of risky social networking sites. Také tento článek obsahuje komentář k prosincové zprávě společnosti Sophos (viz předchozí informace). Mezi vyjmenovanými nebezpečími najdete spam, phishing a malware. Další (podrobnější) komentář napsala Joan Goodchild – Facebook, Twitter, Social Network Attacks Tripled in 2009.
Anonymita v sociálních sítích? Nic takového neexistuje! Rakouští odborníci ve spolupráci s UC v Santa Barbaře – A Practical Attack to De-Anonymize Social Network Users – vyvinuli cesty k identifikaci uživatelů těchto sítí. Viz komentář – Indiscrete web browsers assist de-anonymisation.
A jaká existují rizika v sociálních sítích? Joana Goochild ve své příručce Social Media Risks: The Basics odpovídá na následujících pět otázek:
- Jak časté jsou podvody a hacky v sociálních sítích?
- Se kterým nejfrekventovanějším základním rizikem se setkáme?
- Ukažte nějaké příklady podvodů tohoto typu.
- Pokud moje firma povoluje zaměstnancům používat sociální média a umožňuje přístup na stránky těchto sítí, máme mít bezpečnostní politiku pro sociální média?
- Objevují se stále nové a nové typy podvodů. Jak mohou být o nich zaměstnanci aktuálně informováni?
Aurora
Cracknutí G-mailu vede k pochybnostem o celé koncepci výpočtů v oblacích (cloud computing). Autor článku The DoD's very cloudy thinking over Gmail (Dan Olds, Gabriel Consulting) poukazuje i třeba na to, že G-mail je americkým ministerstvem obrany akceptován jako alternativa pro oficiální užití. Viz také – Cloud computing not as safe as they want you to think.
Na konferenci Black Hat byla hledána nejlepší odpověď Číně. Průběh konference z tohoto pohledu komentuje Patrick Thibodeau – At Black Hat, a search for the best response to China.
Čína hledá nová opatření proti bující počítačové kriminalitě. Problémy nejsou jen ve vztahu k zahraničí, ale především domácí scéna internetu je plná různých variant této kriminality – China takes step to toughen hacking laws.
Kim Zetter v Report Details Hacks Targeting Google, Others shrnuje dosud známé informace, podrobnosti k útoku na Google. Poukazuje na hrozby, které označuje jako Advanced Persistent Threats (APT) a související techniky hackerů.
Google a NSA budou spolupracovat v oblasti kybernetické bezpečnosti – Google to enlist NSA to help it ward off cyberattacks. Chystaná smlouva má pomoci společnosti Google lépe chránit svá data a uživatele. Detaily smlouvy nejsou zveřejněny, spolupráce obou organizací bude však jistě vzájemná.
Viz další komentář k témuž tématu – EPIC files FOIA request over reported Google, NSA partnership. In addition to the information request, privacy group also files lawsuit against NSA.
Anatomii útoku Aurora ve slajdech připravil Brian Prince. Slajdy najdete na odkazu Google, China and the Anatomy of the Aurora Attack.
Software
Microsoft potvrdil existenci nové zranitelnosti IE oznámené na konferenci Black Hat – Microsoft confirms new vulnerability in Internet Explorer. Zranitelnost umožňuje přístup k libovolnému souboru na PC (při známé cestě a názvu – tato podmínka bývá ale splněna pro nainstalované soubory řady programů např. samotných Windows). Další komentáře:
- Researcher reveals how IE flaw can turn your PC into a public file server (autorkou komentáře je Ellen Messmer)
- IE flaw gives hackers access to user files, Microsoft says
- Ve webovém prohlížeči Internet Explorer byla objevena další bezpečnostní díra
Skenery zranitelností jsou nezbytnost – Pinpointing Your Security Risks. Brian Robinson vysvětluje jejich místo a význam v ochraně sítí a webů organizací.
SDL pro každého – zjednodušený výklad připravil Microsoft – Simplified Implementation of the Microsoft SDL. Cílem materiálu je pomoci malým vývojářským týmům. Viz komentář (Uli Ries) – SDL for dummies.
Podvodné adresy pro stahování SW
Minulý týden se informací tohoto typu objevilo hned několik. Nejprve pozor na podvodný mail oznamující novou verzi/aktualizaci Adobe Readeru – Adobe Warns of PDF Phishing Scam. Odkazy vedou na stránky s malware.
Fake Firefox site bundles undead adware – stahujete si Firefox? Pozor na falešnou stránku! John Leyden upozorňuje: tato verze prohlížeče je infikovaná (Hotbar toolbar – Pinball Corp, dříve také Zango).
A konečně – falešná aktualizace pro MS Outlook vám nainstaluje trojana – Fake Microsoft Outlook Update Installs Trojan. Jak se zdá, cesta falešných aktualizací je v současnosti v tomto směru stále více vyu/zneužívána.
Malware
Malware v první dekádě tohoto století, takovýto malý přehled je na stránce Timeline: A Decade of Malware . Mary Landesman se v něm ohlíží za význačnými „milníky“ malware v končícím desetiletí.
Trojan Zeus, jaké zde existují cesty k obraně uvádí trochu více exotický zdroj informace (Kenya). Jsou zde popsány základní cesty k obraně před tímto často se vyskytujícím trojanem – Protect yourself against cyber crime.
Červ Conficker napadl počítače policie v Manchesteru – Conficker worm disrupts Manchester police systems. Zatím nebylo jasné, jak se do jejich sítě dostal.
Hackeři
Hackeři nabízí za úplatu přístup do cizích e-mailových schránek. Jak tento přístup získají? Jejich postupy vysvětluje Kevin Mitnick – Black hat hackers on demand. V zásadě k tomu používají principy sociálního inženýrství.
Několik komentářů k ukradeným emisním certifikátům:
- Hackers Steal Millions in Carbon Credits
- Evropská komise chce po útoku hackerů v ČR měnit bezpečnost internetu (poněkud sebestředný titulek)
- Hackeři vyděsili Brusel. Po útoků na povolenky chce zlepšit bezpečí internetu
Hardware
Co je bezpečnější: Mac nebo PC? Známá komentátorka Elinor Mills se na odpověď na tuto otázku zeptala 32 odborníků – In their words: Experts weigh in on Mac vs. PC security. Většinou se shodli na následujícím. Mac je pro uživatelé menším rizikem. Je to však dáno i tím, že PC nyní tvoří 90 procent trhu a kvůli tomu je častějším terčem útoků.
Na konferenci Black Hat byl oznámen hack chipu používaného pro XBox 360, v chytrých kartách a jinde – Black Hat: Researcher claims hack of chip used to secure computers, smartcards. Christopher Tarnovsky vystoupil s tím, že hacknul procesor Infineonu SLE 66 CL PC (je také používaný jako TPM – Trusted Platform Module !).
VoIP, šifrování hlasu
Objevily se pochybnosti okolo testu zařízení pro šifrování hlasu – Spat over test for mobile encryption. Pracoval neznámý hacker Notrax v součinnosti s jednou z firem, která testem prošla (Securstar, Německo)? Viz podrobnosti na stránce – About the voice encryption analysis (criteria, errors and different results).
Mobilní telefony
Pozor na rizika ze zlodějských aplikací pro iPhone – Researcher warns of risks from rogue iPhone apps. Nicolas Seriot k nim hovořil na konferenci Black Hat – iPhone Privacy.
O novém útoku na iPhone informuje Dennis Fisher – iPhones Vulnerable to New Remote Attack. Týká se dokonce kořenového certifikátu iPhone.
Forenzní analýza
Forenzní analýza mobilních zařízení s Windows je předmětem článku Examining Windows Mobile Devices Using File System Forensic Tools. Jsou zde vysvětleny vlastnosti systému souborů ve Windows Mobile.
Elektronické bankovnictví
Zneužití karty hrozí častěji při placení v cizině než v tuzemsku, Radim Vaculík svůj článek na Novinkách uvádí následovně: Češi pobývající v zahraničí si musí dávat větší pozor při placení kartou, než jsou zvyklí z domova. Hrozí jim totiž větší nebezpečí, že se stanou obětí podvodníků, kteří jim z účtů odčerpají peníze. Česko prý dokonce eviduje desetkrát méně útoků na bankomaty a podvodných transakcí, než je evropský průměr.
ATM Skimmers, Part II, to je pokračování článku, který je věnován bankomatovým podvodům. Známý odborník Brian Krebs dokumentuje na několika názorných fotografiích vynalézavost podvodníků. První část jeho článku je zde – Would You Have Spotted the Fraud?.
Autentizace, hesla
73 procent uživatelů používá své heslo k online bankovnictví i jinde – 73% share online banking password. Vyplývá to z přehledu, který byl zpracován společnosti Trusteer. Samotný přehled je na tomto odkazu – Reused Login Credentials.
Doporučení pro práci s hesly:
- Microsoft – Create strong passwords
- Sophos – Simple tips for better web password security
Phishing
Průvodce problematikou phishingu najdete na odkazu The Phishing Guide. Understanding & Preventing Phishing Attacks. Podrobný rozbor tohoto typu počítačové kriminality zpracoval ve 42-stránkové studii Gunter Ollman (Next Generation Security Software Ltd.). Lze jen doporučit.
Normy a normativní dokumenty
Americký NIST vydal v minulém týdnu následující dokument (jeho druhý draft):
Kryptografie
Nebezpečí šifry založené na XOR (otevřeného textu a hesla) popisuje Chad Perrin v článku The use and misuse of the XOR stream cipher. Častou chybou je opakované použití téhož hesla, které umožňuje její rozbití (known plaintext attack) – říká Perrin. A nemusíme v podstatě znát ani jeden z otevřených textů, stačí zkoušet (s pomocí výpočetní techniky) často používaná slova. Článek je pokračováním článku o jednorázovém heslu (Chad Perrin k používání Vernamovy šifry (jednorázové heslo)).
ROT 13 – Chad Perrin nad špatnou šifrou – Cryptography's running gag: ROT13, také zde autor navazuje na své články o jednorázovém hesle.
Která kryptografie s veřejným klíčem je odolná proti kvantovým počítačům? Takovýto užitečný přehled zpracovali Ray A. Perlner a David A. Cooper (oba z amerického NISTu) – Quantum Resistant Public Key Cryptography: A Survey. Komentář k němu najdete v článku Eda Adamse Time to re-think encryption.
Různé
Přehled vychází z průběžně publikovaných novinek na Crypto – News.