Obecná a firemní bezpečnost IT
Také Velká Británie má v plánu vybudovat nové centrum kybernetické bezpečnosti – Whitehall plans new cyber security centre to deter foreign hackers. Centrum bude zaměřeno na boj proti zahraničním hackerům. Viz také – UK.gov to create central cybersecurity agency.
Obětí plánů na obranu kybernetické bezpečnosti USA se může stát soukromí – Privacy May Be a Victim in Cyberdefense Plan. Thom Shanker a David E. Sanger komentují plány Obamovy administrace a Pentagonu. O budoucnosti soukromí se široce diskutuje také na Schneierově blogu – The „Hidden Cost“ of Privacy.
Popis nejlepších postupů pro archivaci dat, takový úkol si dal autor studie Best Practices for Data Archiving. Studie (Realtime Publishers) rozebírá implementace systémů, které mají za úkol chránit obsah archivovaných dat. Diskutované postupy třídí do čtyř kategorií:
- Politiky
- Procedury
- Lidé a jejich povědomí
- Produkty pro archivaci
Článek Protect: Protect Today, Secure Your Future. Best Practices se věnuje problému ochrany dat v koncových bodech. Je to sice P.R. článek společnosti Symantec, obsahuje ale shrnutí důležitých momentů ve vztahu k ochraně dat, k obraně před průniky.
Íránská opozice organizuje kybernetický útok proti vládním stránkám – Iranian opposition launches organized cyber attack against pro-Ahmadinejad sites. Další důkaz toho, jak virtuální svět již zasahuje do světa reálné politiky.
How to Write an Information Security Policy aneb jak napsat efektivní politiku pro informační bezpečnost. Jennifer Bayuk přichází na stránkách csoonline.com s nesporně užitečnými a pro praxi použitelnými informacemi. Článek mj. obsahuje i osm bodů, které popisují ve stručnosti to, co vše by měla taková politika informační bezpečnosti zahrnovat.
Mission Impossible? A Plan to Secure the Federal Cyberspace – USA – zabezpečení vládního kyberprostoru – je to Mission Impossible? První část z chystané třídílné série článků Ariela Silverstona.
Twitter hraje klíčovou roli v útocích DoS v Iránu – Twitter plays key role in DoS attacks in Iran. Jaikumar Vijayan popisuje podrobnosti, sociální síť se ukázala jako efektivní nástroj k mobilizaci kybernetických útoků.
Software
Bezpečnost databází, k této problematice se váže studie Data Discovery and Classification in Database Security Dana Sullivana. Tato studie (první část z třídílné série) se zabývá procesy pro monitorování aktivit databází. Druhá část se pak má věnovat zranitelnostem databází a třetí bude popisovat strategie vhodné k odstranění příslušných rizik a také bude popisovat související kontroly.
New steganographic tool: Virtual Steganographic Laboratory, tento článek ve stručnosti popisuje vlastnosti nového steganografického nástroje. Software lze používat jak pro steganografické účely (samotná steganografie a a její analýza), tak také např. pro vytváření vodoznaků.
Po pěti letech byla vydána nová verze kryptografické knihovny Nettle – Nettle library.
Bezpečnostní kapacity tlačí na Google, aby šifroval – Top Security Minds Urge Google to Encrypt All Services. Bezpečnostní nastavení pro Gmail, Google Docs a Calendar nejsou dostatečná. Objevuje se stále větší množství veřejně dostupných nástrojů, které umožňují hackerům provádět útoky na tyto služby. Viz také článek Google cloud told to encrypt itself. Reakci Google si můžete pak přečíst zde – HTTPS security for web applications. Slovenský článek věnovaný tomuto tématu je na tomto odkazu – Gmail bude štandardne celý zabezpečený.
Byla vydána nové verze programu TrueCrypt s číslem 6.2a – TrueCrypt 6.2a released. Byly opraveny některé chyby. Stáhnout novou verzi si můžete zde – Latest Stable Version – 6.2a.
Na světě je program, který umí analyzovat php kód na XSS a SQL-injection zranitelnosti – MIT/Stanford/Syracuse Team Develop New PHP Intepreter-Based XSS and SQL Security Tester. Originální článek je pak zde - Automatic Creation of SQL Injection and Cross-Site Scripting Attacks.
Malware
Prevent malware from spreading by e-mail links and attachments aneb jak se chránit před malware, který je šířen prostřednictvím e-mailů. Michael Kassner v populárním výkladu toho, čeho by si měl být každý vědom.
Bývalí pracovníci Google spustili službu detekující malware na webech – Ex-Googlers behind new security service that flags malware on Web sites. Dasient (název nové firmy) Web Anti-Malware je ale placenou službou (od 50 dolarů měsíčně výše).
Nine-Ball – objevila se nová infekce ohrožující webové stránky – Nine-Ball mass injection attack compromised 40,000 sites. Angela Moscoritolo píše, že již bylo infikováno až 40 000 legitimních webů, které následně infikují uživatele trojanem kradoucím informace.
Viry
O bezpečnostních problémech některých antivirů informuje Symantec – Security problems in multiple anti-virus products.
Jak dobrý bude nový antivir Microsoftu? Ed Bott v článku How good is Microsoft´s free antivirus software? sděluje výsledky své analýzy – pozitivní. Viz také – Bezplatný antivírus od Microsoftu – všetky informácie pokope.
Hackeři
Hackeři IT systémů telefonních společností dopadeni – International telecom hacker group busted. Cílem těchto hackerů bylo získat možnost volání zdarma. Skupina fungovala po celém světě. Viz také – Default Passwords Led to $55 Million in Bogus Phone Charges.
Byla hacknuta služba Cligs – Hacker Hits URL Shortening Service Cligs. Služba, která provádí zkracování url pro Twitter, byla napadena prostřednictvím bezpečnostní díry. Viz také Hacker cracks TinyURL rival, redirects millions of Twitter users.
Útoky zombie jsou na prodej, nekupte to – Zombie attacks on sale for a fiver. Golden Cash a „milestone in the cybercrime evolution“. Pracovníci společnosti Finjan informují o svých zjištěních. Za 5 až 100 dolarů vám (samozřejmě nelegální) síť botnetů nainstaluje malware na 1000 počítačích. Malware umí krást informace a rozesílat spam.
Hardware
Nedostatky v bezpečnosti při využívání tiskáren jsou na denním pořádku – Samsung survey shows poor print security . Vyplývá to z přehledu společnosti Samsung Electronics provedeného v evropskch zemích. Vytištěné dokumenty se snadno dostávají i do rukou těch, kterým nepatří. Také nejdou dostatečně ošetřeny útoky proti samotným tiskárnám (pevné disky z tiskáren lze snadno vyjmout, dále co se týče penetračních útoků v síti proti tiskárnám – jejich možnosti nejsou zjišťovány a tudíž nejsou ani volena vhodná protiopatření.
Objevil se nový nástroj (USB, EnCase Portable) k špionáži v počítačích. Vznikla k němu zajímavá diskuze na Schneierově blogu – New Computer Snooping Toolz.
Bezdrát
Publikován byl SW pro cracknutí šifrování bezdrátové klávesnice – Software for cracking wireless keyboard encryption published. Jeho autory jsou Max Moser a Thorsten Schröder. Týká se to bezdrátových klávesnic Optical Desktop 1000 a 2000.
RFID
Ocelovým pouzdrům na RFID je věnován článek – Stainless steel wallet review. Chad Perrin volně diskutuje využitelnost a vlastnosti takového produktu.
Mobilní telefony
Deset cest k bezpečnějšímu používání iPhone vám poradí Michael Kassner – 10 ways to secure the Apple iPhone.
Zkušenosti z forenzní analýzy zařízení Blackberry jsou obsahem článku Common Pitfalls of Forensic Processing of Blackberry Mobile Devices. Eoghan Casey v něm vysvětluje některé obtíže při prováděné analýze.
Útoky na iPhone jsou zase předmětem článku iPhone Hackers Get a Break. Na konferenci Black Hat příští měsíc budou Charles a Vincenzo Iozzo informovat o své metodě, která umožňuje spouštět neautorizovaný SW i pro verzi 2.0 operačního systému iPhone.
A bezpečnosti nové verze iPhone OS 3.0 je věnován článek The security of iPhone OS 3.0. Tato bezplatná aktualizace přináší vylepšení některých bezpečnostních aplikací a článek o nich poměrně podrobně informuje.
Elektronické bankovnictví
Email Sender Authentication Deployment. Best Practices and Considerations for Financial Institutions aneb bezpečný e-mail ve finančních službách. Rozsáhlá studie se věnuje postupům, které jsou navrhovány jako součást boje proti phishingu. Viz také komentář – BITS releases guide for implementing email authentication protocols.
O jednom podvodu informuje článek An Odyssey of Fraud. Brian Krebs v něm popisuje příběh, který se týkal neoprávněných výběrů z účtů.
Autentizace, hesla
Intellectual property: Do you have a leak? – intelektuální vlastnictví – ukradli vám něco a umíte to zjistit? Michael Kassner na blogu TechRepublic nejprve rozebírá podstatu problému a uvádí pak několik nástrojů, které by měly v této souvislosti pomoci.
Pět volně dostupných nástrojů pro rozesílání anonymních zpráv v článku An Investigator's Toolkit: 5 Free Tools to Send Anonymous Messages popisuje Brandon Gregg.
Nejlepší bezpečnostní postupy pro OpenID jsou popsány v dokumentu OpenID Security Best Practices (materiál je průběžně upravován). Viz také stručný komentář Eda Bellise – OpenID Publishes Security Best Practices.
Slovensko – Vyhlásili výzvu na elektronický občiansky preukaz. Ministerstvo financií SR (MF) vyhlásilo výzvu na Národný projekt elektronická identifikačná karta, na ktorý vyčlenilo maximálnu sumu 46,5 mil. eur vrátane dane z pridanej hodnoty (DPH). …
Phishing
Zákazníci polského UPC se stali obětí phishingu – Zákaznicí polského UPC obětí phisingu (odkaz je včetně gramatické chyby). Do e-mailových schránek abonentů platformy UPC Polska dorazil podvodný e-mail, který se je snažil přesvědčit, aby klikli na odkaz a následně zadali své přihlašovací údaje do patřičných polí.
O phishingu, jeho metodách informuje na svých stránkách také Tony Bradley – Gone Phishing! Experts Weigh In On Why Phishing „Works“. V závěru článku je několik dalších odkazů, které se také váží k problematice phishingu.
Normy a normativní dokumenty
V uplynulém týdnu se objevily dvě publikace amerického NISTu:
- SP 800–46 Revision 1, Guide to Enterprise Telework and Remote Access Security
- NIST IR 7502, The Common Configuration Scoring System (CCSS): Metrics for Software Security Configuration Vulnerabilities
Kryptografie
Tři argumenty k tomu, proč je šifrování přeceňováno, uvádí autor článku 3 Reasons Why Encryption is Overrated:
- Síla budoucí výpočetní techniky
- Správa klíčů
- Legislativa vztahující se k rozkrytí klíčů
Článek vzbudil polemické reakce – viz například – On encryption and why it's overrated.
Bruce Schneier se na svém blogu obrací k poslednímu útoku na SHA-1, nepřehlédněte také diskuzi – Ever Better Cryptanalytic Results Against SHA-1.
Kerckhoffovy principy pro šifry z dnešního pohledu, to je zajímavé téma článku Six principles of practical ciphers. Chad Perrin se pokouší o dnešní upřesnění historických principů Augusta Kerckhoffa (1883).
Různé
Zajímavý článek The Ultimate Lock Picker Hacks Pentagon, Beats Corporate Security for Fun and Profit vyprovokoval také diskuzi na Schneierově blogu – Lockpicking. I české weby mají k tématu co sdělit, např.: Vše o lockpickingu.
Přehled vychází z průběžně publikovaných novinek na Crypto – News.