Bezpečnostní střípky: lze zachránit soukromí?

20. 9. 2010
Doba čtení: 12 minut

Sdílet

Pravidelný pondělní přehled informací vztahujících se k problematice bezpečnosti IT. Z novinek tohoto týdne lze upozornit na ustavení sociální sítě pro bezpečnostní profesionály, zároveň na některou kritiku toho, co sociální sítě přináší a třeba na čerstvý únik HDCP klíče používaného pro šifrování v HDMI.

Přehledy

Přehled: 2010 Top Cyber Security Risks Report připravily HP TippingPoint DVLabs, SANS Institute and Qualys Research Labs, komentář k jeho výsledkům je obsažen v článku 80% of network attacks target web-based systems. Podnikání na internetu v roce 2010 rozkvétá jako nikdy předtím, útoky však pokračují a využívají stále sofistikovanější postupy. Současné trendy ukazují:

  • rostoucí využívání podnikové výpočetní techniky
  • pokračující a stálé útoky na webové aplikace
  • vzrůstá organizovanost a sofistikovanost útočníků
  • neustává přítomnost starších hrozeb

Anonymní proxy jsou velkým problémem IT manažerů, to konstatuje přehled společnosti Bloxx – Anonymous proxies cause headaches for IT managers. Podle přehledu jsou anonymní proxy nejsnadnější a nejvíce používanou cestou, jak obejít filtry internetu, které nastavila organizace.

Obecná a firemní bezpečnost IT

Problémy spolupráce fyzické a IT bezpečnosti se zabývá Bill Brenner v článku plném dalších odkazů  – How physical, IT security sides can work together. Jsou to otázky, které přináší praxe. Brenner zde uvádí možné scénáře spolupráce.

Útoky na rozvodné sítě, jejich rozbor pokračuje ve čtvrtém pokračování seriálu – Attacks on power systems: Hackers, malware. Jeho autorem je Mich Kabay a zde uvádí přehled známých incidentů. Pátý díl seriálu je zde – Attacks on power systems: Industry/government consensus a je věnován otázkám, které se v tomto ohledu týkají spolupráce vlády a průmyslu.

Co U.S. Cyber Command musí skutečně udělat – What U.S. Cyber Command Must Do, Wesley R. Andrues rozvádí v obsáhlém článku následující kroky:

  • Ustavit priority
  • Dojít ke konsenzu
  • Vyřešit klasické tlaky
  • Definovat kybernetické síly
  • Připravit nová pravidla pro nasazení
  • Vyhnout se eskalaci nepřátelských aktů

Doporučení pro stávající a budoucí bezpečnostní profesionály: učte se čínsky! Říká to Stephen Northcutt (CEO of SANS Technology Institute). Jinak celé interview (které připravil Upasana Gupta) určitě stojí za přečtení – Advice to Security Pros: Learn Chinese.

Who Is a Big Fan of ArcSight? The CIA aneb společnost Arcsight a CIA, Článek je malým pohledem na tuto společnost, kterou v nedávných dnech koupila HP za 1,5 miliardy dolarů.

Lze zachránit soukromí? Odpověď je – možná. Bill Brenner na stránkách csoonline.com komentuje vystoupení Nuala O'Connor Kelly (senior counsel and chief privacy leader for General Electric) na akci CSO Security Standard – Can privacy be saved? Maybe.

Kolik nás stojí počítačová kriminalita? V článku Calculating the true cost of cybercrime Deb Shinder uvádí některé myšlenky, které vychází z výsledků nedávného přehledu společnosti Symantec.

10 steps to easier access management – deset kroků k snadnější správě přístupů. Tim Greene přináší informaci k dalšímu vystoupení na akci Security Standard Conference, tentokrát se jedná o přednášku Steve Jensena (CISO of Carlson Wagonlit Travel).

Společnost Google vyhodila svého zaměstnance pro porušení ochrany soukromí – http://news.cnet­.com/8301–30684_3–20016451–265.html. Neoprávněně pronikl na některé účty služeb Gmail a Google Voice (jednalo se o několik dětí).

Jak chránit své soukromí v digitální éře – Ultimate Privacy: How to Disappear, Erase Digital Footprints & Vanish Without a Trace. Článek je vlastně určitá recenze knihy How to Disappear: Erase Your Digital Footprint, Leave False Trails, and Vanish without a Trace a zároveň interview s jedním z autorů (autory knihy jsou Frank M. Ahearn a Eileen C. Horan).

Nedůvěřujte nikomu, pokud se to týká IT bezpečnosti, říká nadpis článku (jeho autorem je Bob Brown) Forrester: Trust no one when it comes to IT security. Je to komentář k nedávno vydané zprávě společnosti Forrester Research – Introducing the Zero-Trust Model of Information Network (výňatek).

V rozvahách se objevují společné válečné kybernetické hry NATO a Rusko – Group recommends joint NATO-Russia ‚cyber‘ war games. Takovýto návrh se objevil ve zprávě Russia, the United States, and Cyber Diplomacy: Opening the Doors.

Největší bezpečnostní hrozbou je nepochopení rizik – Intel CISO:Biggest security threat is not understanding risk. Prohlásil to Malcolm Harkins (CISO of Intel) na akci Forrester Security Forum 2010 (Boston), která proběhla v tomto týdnu. Seznámit se s jeho vystoupením je určitě přínosné. Viz také – Intel CISO on ‘Here you have’ worm, spear phishing.

Základy správy zranitelností. Techniky penetračního testování – Vulnerability management basics: Pen testing techniques, to je třetí díl seriálu Billa Brennera.

Sociální sítě

Domovní lupiči používají sociální sítě k vyhledávání obětí – Burglars used social network status updates to select victims. Policie v New Hampshire (USA) odhalila bandu (provedla až padesát loupeží) takovýchto chytráků. Zatkla tři (jejich fotografie najdete na stránce Facebook burglary gang suspects arrested by police), ale asi budou ještě další.

Byla ustavena sociální síť pro bezpečnostní profesionály – Security professionals' social networking site established by (ISC)2. Nazývá se InterSeC, jejím cílem je napomoci bezpečnostním profesionálům při výměně aktuálních informací. Členství je bezplatné, není však přístupné dodavatelům či jednotlivcům, kteří chtějí prodávat technologie. Stránku sítě lze nalézt zde – InterSec.

Hey, Zuckerberg: Privacy Really Does Matter to Us – pane Zuckerberg, lidé soukromí chtějí! To je reakce na nedávné vystoupení šéfa Facebooku (snižoval v něm význam soukromí).

Sedm důvodů proč sociální sítě přináší zlo, zformuloval je Alan Lustiger (director of information security for Gain Capital Holdings), komentář k nim přináší ve svém článku Seven ways social nets like Facebook and LinkedIn are ‚truly evil‘ Tim Green. Vytěžovat data ze sociálních sítí je možné a Lustiger uvádí cesty, které tak pomáhají trikům sociálního inženýrství.

Spuštěna Diaspora – open source sociální síť , ale zatím je vystavena kritice – Facebook wannabe Diaspora hit on security issues. Jedná se tedy o pre Alpha verzi a autoři upozorňují, že zcela jistě nebude bez chyb (včetně bezpečnostních).

Software

Objevila se informace o nové bezpečnostní díře ve Flash Playeru – Adobe Warns of Attacks on New Flash Flaw. Zranitelnost platí pro řadu operačních systémů a může vést až k ovládnutí počítače útočníkem. Hůře – exploity této zranitelnosti jsou již v oběhu. Pro boj se zranitelnosti (jinou) pdf vydal mezitím Microsoft nástroj – Microsoft´s anti-exploit toolkit can help mitigate PDF zero-day attacks.

Joanna Rutkowska napsala na svém blogu krátký článek na téma „Tencí klienti a bezpečnost“ – On Thin Clients Security. To, že váš OS běží na serveru společnosti, nijak nezmenšuje možnosti kompromitací, varuje autorka.

Náš web byl hacknut. Co teď? Dan Tynan na stránce Hacked! How We Got Attacked by Malware Fiends and Survived přichází s vlastním zkušenostmi.

Vývoj aplikací prováděný s ohledem na bezpečnost může vést k úsporám nákladů – Secure App Development Can Lead To Cost Savings, Study Says. Tim Wilson komentuje výsledky zprávy společností ROI consultancy Mainstay Partners a Fortify Software. Pokud zranitelnosti jsou fixovány již v průběhu vývoje, pak příslušné firmy mohou ušetřit značné sumy prostředků.

sessionthief, to je nástroj pro klonování spojení http a krádež cookie – sessionthief – HTTP Session Cloning & Cookie Stealing Tool. Autor informuje, jak tento nástroj funguje a uvádí odkaz, odkud si ho lze stáhnout.

Google Instant: Is it a pawn for Blackhat SEO? aneb druhá strana (ta kriminální) a výsledky vyhledávače Google. Michael Kassner ukazuje jednoduchý příklad takovéto „úspěšnosti“, vysvětluje fungování SEO (Search Engine Optimization), konstatuje problematičnost boje s tímto jevem.

Nejvyšší protipirátská ochrana padla, viz také komentář v článku Intel´s HDCP video encryption reportedly cracked. A Intel odpovídá: HDCP klíč, který unikl, je skutečný – Intel responds to HDCP master key leak. Pro zneužití klíče je však nutné, aby byl obsažen v HW, a to Intel nepovažuje za jednoduchou záležitost.

Znovu nalezena vážná zranitelnost linuxového jádra, která umožňuje neprivilegovaným uživatelům získat plný přístup (root access) – Die-hard bug bytes Linux kernel for second time.

Problém: pomalá certifikace NSA a rychlý vývoj technologií je diskutován v článku NSA product accreditations lag behind IT security advances. Tento problém se stává stále vážnějším. Nelze v některých situacích používat jiné produkty než ty certifikované, na druhou stranu tyto produkty již neodpovídají aktuálním potřebám. O této otázce se rozepisuje Ellen Messmer.

K některým (bezpečnostním) vlastnostem IE 9 se obrací článek Microsoft releases Internet Explorer 9 browser with pared-down features and improved speed and performance. Dan Raywood v něm shrnuje dosud zjištěné poznatky.

Měl by Intel rozhodovat, jaký SW můžeme na svých počítačích spouštět? Autor Should Intel decide what software we can run? diskutuje okolo jednoho plánu, který se objevil na Intel Developer Forum.

Malware

Červ Here You Have má být prý nástrojem antiamerické propagandy – Anti-US hacker takes credit for ‚Here you have‘ worm. Alespoň to tvrdí hacker Iraq Resistance, který podle svého vyjádření je jeho autorem. Předminulý čtvrtek maily s tímto červem tvořily 10 procent všeho spamu. Viz informaci o videu na YouTube – YouTube Video Claims Here You Have Worm Targeted U.S..

Browsing histories published online in Kenzero virus scam o japonském vyděračském trojanu Kenzero, který publikuje historii prohlížeče oběti, ta pokud nechce být na černé listině (např. z důvodů prohlížení pornostránek) musí platit. Zaujme vyjádření na Schneierově blogu (Kenzero), pokud k někomu takto zfabrikují uměle jeho historii (a přidají třeba právě pornostránky) – jak se dotyčný má bránit?

Většina malware (99 procent) je směrována na Windows – Windows malware dwarfs other viral threats. John Leyden informuje o výsledcích nového přehledu německé antivirové firmy G-Data.

Security firm warns of commercial, on-demand DDoS botnet, to je varování před komerčním botnetem, který na objednávku spustí útok DDoS. S tímto varováním přichází bezpečnostní firma Damballa. Botnet IMDDOS operuje z Číny, kdokoliv, kdo umí trochu čínsky, si může tuto „službu“ objednat.

Český virus „vyděrač“ nutí k posílání drahých SMS. Slibuje výhru, z úvodu článku: Na internetu se objevil nový virus. Takzvaný trojský kůň českého původu nutí oběti posílat SMS na čísla zpoplatněná sazbou 99 Kč. Často se objevuje na stránkách s nelegálně sdílenými filmy a hrami. Uživatel si pak místo hledaného filmu stáhne vir. Uvedla to dnes antivirová společnost Eset. Viz také – Dostal jsem tě! Kolik dáš za svůj systém a data?

Tématu se věnuje také článek Skóre českého vyděračského viru je 25 drahých SMS a trestní oznámení. Z jeho úvodu: Necelých 2 500 korun “vydělal“ takzvaný trojský kůň českého původu, který nutil oběti posílat SMS na čísla zpoplatněná sazbou 99 Kč. Kdo nezaplatil, mohl mít problémy se svým počítačem. Příjemci těchto plateb již byl zablokován účet. Podvedení uživatelé dostanou peníze zpět.

Siemens se vyjádřil k červu Stuxnet – Siemens: Stuxnet worm hit industrial systems. Červ se příliš nerozšířil, je to však velice sofistikovaný kousek malware. Napadl sítě celkem 15 elektráren. Podle analýzy společnosti Symantec dokáže nejen sledovat dění v sítích, ale umí i systémy přeprogramovat. Podle této informace – Microsoft patches new Windows bug exploited by Stuxnet – Microsoft již příslušnou zranitelnost záplatoval.

A je Stuxnet nejlepším malware všech dob? Gregg Keizer v Is Stuxnet the ‚best‘ malware ever? k tomu říká: určitě je to výsledek práce velice zručných bezpečnostních profesionálů. Výskytu červa Stuxnet je věnována také čerstvá informace – Stuxnet also found at industrial plants in Germany.

Odhalen byl další botnet, který používá Twitter jako řídící a povelové centrum – Mexican Twitter-controlled botnet unpicked. Nese označení Mehika Twitter botnet, aktivní byl toto léto v Mexiku.

Hackeři

Teprve nyní zjištěno: databáze obsahující údaje k 250 000 účastníkům fotbalového MS v roce 2006 byla hacknuta – Newly Discovered World Cup Database Breach Exposed 250,000 Attendees' Details. Podle článku obsahuje osobní data jako den narození a číslo pasu.

Servery Pirate Bay byly hacknuty – Pirate Bay beset by tainted ads. Návštěvníci mohou takto přijít k infekci. Viz také článek – Hackers Target and Exploit Pirate Bay Ad Server.

Pro odlehčení – desítka vážně směšných hacků je uvedena v slideshow na stránce 10 Seriously Ridiculous Hacks.

Nalezena byla cache ukradených přihlašovacích údajů k ftp – Cache of stolen FTP credentials discovered. Velké množství takovýchto dat našli pracovníci firmy Blue Coat (bezpečnost a správa sítí) na jedné doméně.

Hardware

Securing new objects on the Internet landscape – k ochraně nových objektů v krajině internetu. Zeljka Zorz informuje o vystoupení Joao Barrose na letní škole, kterou v Řecku pořádala ENISA. Komunikace s takovými zařízeními, jako jsou senzory, auta, domácí elektronická zařízení atd. odchází ze sféry science fiction do možné praxe příštích dní.

Pevný disk Seagate se šifrováním získal americkou certifikaci – Seagate's self-encrypting hard drive earns U.S. Government certification. Jedná se o Seagate´s Mo­mentus Self-Encrypting Drive.

Bezdrát

Otázce, zda skrývat či ne bezdrátové SSID, se věnuje článek Is Hiding Your Wireless SSID Really More Secure?. Jeho autor se zamýšlí nad jeho smyslem a uvádí, že jediné funkční doporučení je používat šifrování WPA2.

Mobilní telefony

Nessus lze spustit na iPhone – Run Nessus on your iPhone. Příslušnou aplikaci lze získat bezplatně, provede potřebný sken a vydá zprávu.

Jak těžké je hacknout mobil? Záleží na tom, kolik času a peněz chcete investovat říká Nigel Stanley (mobile security analyst at Bloor Research) – How easy is it to hack a mobile?

Forenzní analýza

VMWare jako forenzní nástroj – Digital Forensics Case Leads: Using VMWare for Forensic Analysis. Jennie DeLucia uvádí nástroje:

a stránku s návodem – jak použít VMWare v roli forenzního nástroje.

Elektronické bankovnictví

Stránky náborující soumary pro převod peněz se stávají promyšlenějšími – A One-Stop Money Mule Fraud Shop. Jde samozřejmě o to, aby oběť (budoucí soumar) nepojala podezření, co to vlastně za činnost bude provádět. Může se jednat o stránky vyhlížející zcela jako stránky oficiální společnosti, které nabízí práci doma. Jedná se prý o tzv, finančního agenta…

Nalezená zranitelnost v implementaci kryptologie ohrožuje aplikace pro online bankovnictví – Crypto weakness leaves online banking apps open to attack. Možnost útoku, který zranitelnost využívá, demonstrovali Thai Duong a Juliano Rizzo – Padding Oracle Exploit Tool.

Muž dostal 6 let za praní peněz kradených hackery a padělateli karet – Man Gets 6 Years in Prison for Laundering $2.5 Million for Carders. Spolupracoval s falšovateli karet a pomáhal zlegalizovat ukradené peníze prostřednictvím soumarů.

Autentizace, hesla

USB token: pamatuje si hesla a šifruje. Útok zabere dvě a půl minuty. Lukáš Tomek na Lupě: Nemáte-li sloní paměť na hesla, jsou vždy dvě základní možnosti. První je mít všechna hesla stejná, což je cesta sice lákavá, ale z hlediska bezpečnosti smrtící. Druhou je používat nějaké zařízení, které si veškerá hesla zapamatuje a případně i vyplní za vás. Nejpohodlnější jsou bezesporu USB tokeny, dongly nebo chcete-li, klíčenky. Jak fungují? A jsou bezpečné? (podle studie – Attacks on and Countermeasures for USB Hardware Token Devices)

Populární jména uživatelů a populární hesla najdete na stránce DRG SSH Username and Password Authentication Tag Clouds. Znázorněna jsou v různých velikostech.

bitcoin školení listopad 24

Různé

Právě začala tradiční podzimní soutěž v luštění jednoduchých šifrových úloh o ceny, která je pořádána e-zinem Crypto-World.

Přehled vychází z průběžně publikovaných novinek na Crypto – News.

Autor článku