Bezpečnostní střípky: média se zabývají záhadami okolo DUQU

24. 10. 2011
Doba čtení: 16 minut

Sdílet

Pravidelný pondělní přehled informací vztahujících se k problematice bezpečnosti IT. Z novinek právě uplynulého týdne upozorníme (například) na zjištění okolo nedostatečně bezpečných postupů šifrování dle normy XML, na informace o hackerských fórech a na možnost (částečného) odemknutí iPad.

Přehledy

Ohlédnutí za konferencí RSA Europe 2011 přináší článek Reflections on RSA Europe 2011. Autor článku upozorňuje na vystoupení klíčových řečníků, kteří hovořili o tom, že tradiční bezpečnostní řešení přestávají být efektivní.

Přehled: 2011 Information Technology Capabilities and Needs Survey (dokument má 36 stran) připravila firma Protiviti. Komentáře a shrnutí jeho výsledků obsahuje článek IT execs view security and privacy as top priority – bezpečnost a ochrana soukromí patří mezi top priority IT manažerů. Studie byla připravena na základě odpovědí 200 respondentů (manažeři, řídící funkcionáři), kteří odpovídali na více než 100 otázek ve třech oblastech (Technical Knowledge, Process Capabilities and Organizational Capabilities).

K zhlédnutí zprávy Global Fraud Report – Fall 2011 (Kroll) je nezbytná registrace. Komentář k výsledkům této zprávy najdete pak na stránce Information theft still a serious threat to global business. Za šedesáti procenty podvodů jsou interní zaměstnanci (loňské číslo bylo 55 procent). Polovina organizací připouští, že je zranitelná (průměrně či vysoce) ve vztahu ke krádežím informací (v loňském roce to připouštělo jen 38 procent respondentů).

Výsledky přehledu Websense: By the numbers: The impact of data breaches, předává Ellen Messmer ve formě slideshow.

Obecná a firemní bezpečnost IT

Deset bezpečnostních problémů, kterých jste si možná ani nevšimli – 10 security problems you might not realize you have. Nejsou jen technicky rafinované metody útočníků a zřejmé bezpečnostní hrozby, ale jsou i situace všedního dne, které vytváří rizika. Desítku takových problémů shromáždil Justin James.

Který trik sociálního inženýrství funguje nejlépe? Odpověď na tuto otázku hledal v několikaměsíční akci tým webu social-engineer.org. Vítězem se stalo vyjádření náklonnosti (Endearment) – New social engineering poll reveals which scam works better.

Americká armáda zvažovala hacknutí libyjské vzdušné obrany – US military debated hacking Libyan air defenses. Nakonec ale z různých důvodů (politických, časových) bylo od tohoto kroku upuštěno.
Viz také – U.S. Debated Cyberwarfare in Attack Plan on Libya.
Dále pak – U.S. may have had inside knowledge of Libya radar bugs (Američané zřejmě věděli o chybách v libyjském radarovém systému).

UK: bylo vydáno varování (Metropolitan Police Service) před online podvody, doporučení pro prevenci – Survey: ‚4 million‘ Brits stung by ID theft. Bylo vydáno u příležitosti National Identity Fraud Prevention Week. Doporučení:

  • Check for unfamiliar transactions on bank statements.
  • Shred all documents containing sensitive information using a cross cut shredder before throwing them away – something Tory policy chief Oliver Letwin should bear in mind.
  • Investigate mail that goes missing.
  • Carry out regular personal credit report checks.
  • Redirect post for at least six months when moving house.
  • Limit the amount of personal information shared when using social networking sites.

Amazon na mušce: jak pracuje s daty uživatelů – Three questions that could put out Amazon's Fire. Americký kongresman Edward Markey se v otevřeném dopise táže Amazonu, jaké informace Silk sbírá, jak je Amazon využívá a jak společnost zajišťuje, že uživatelé dávají explicitní svolení k monitoringu svého chování.

Pro seniory: jednoduché kroky pro online ochranu najdete na stránce Simple online protection steps for seniors. V článku je zformulováno sedm doporučení, kterých by se měla držet nejen starší generace.

Jak nalézt (a pak chránit) citlivá data ve vašem podniku – Finding And Securing Sensitive Data In The Enterprise. Robert Lemos v úvodu článku: Nejcennější data vaší organizace mohou být uložena na místech různorodého (a nechráněného) typu. Zde uvedeme několik tipů pro identifikaci takovýchto dat a cesty k tomu, jak zajistit, aby nebyla předmětem úniku.

Vdechněte život do vaši kampaně ohledně kybernetické bezpečnosti – Breathe life into your cyber security campaign. Škola hrou, může se osvědčit i zde.

Poněkud zvláštní, ale pravdivé historky z penetračního testování posbíral Kelly Jackson Higgins. Uvidíte, co vše se může přihodit – Strange But True Penetration-Testing Stories.

Deset cest, kterými vás sledují satelity, takovýto seznam zase zpracoval Artur Slesik – 10 Ways Satellites Have Been Used to Spy on YOU.

Desítka časných znamení možného podvodu – Ten Early Warning Signs Of Fraud In Organisations. UKFraud.co.uk připravila tento materiál. Ke každému takovémuto znaku přidává i své doporučení.

Jsou IP adresy osobní data? Okolo tohoto problému je zajímavá právní diskuze – Are IP addresses personal data?

Dochází k blokování některých amerických webů v Číně, USA k tomu chtějí vysvětlení – U.S. seeks information on Chinese Web disruptions. Jedná se přitom například o weby některých firem z oblasti drobného podnikání.

Saic a McAfee spolupracují na nových antišpionážních produktech – Security ZDNet UK / Blogs / Security Bullet In Saic and McAfee team up on cyber espionage products. Science Applications International Corporation (Saic) bude integrovat bezpečnostní technologie McAfee do svých produktů. Produkty Saic jsou určeny pro nejlépe zabezpečené sítě.

FBI prohlašuje, k ochraně kritických systémů je třeba vytvořit alternativní Internet – FBI official says secure, alternate Internet is needed to protect critical systems . S tímto názorem vystoupil Shawn Henry (FBI´s executive assistant director) v interview pro Associated Press. Zmínil také některá opatření, která jsou k ochraně těchto systémů v současnosti prováděná.
Viz také články k obdobným tématům:

Dále – video (šéf NSA, Keith B. Alexander) – The Commander of the U.S. Cyber Command Highlights Proactive Cyber War Strategies.

Spies like them – École de Guerre Économique, dozvíte se, čemu se zde učí studenti. Anglický název školy je School of Economic Warfare. Tradiční nástroje průmyslové špionáže dnes nezbytně doplňují potřebné zkušenosti z IT.

Small Businesses Need to Beware of Online Criminals – malé podnikání, jaká zde jsou nebezpečí online kriminality? Hackeři analyzují online weby, hledají kritická data společností a přístup k osobním informacím zákazníků a to včetně čísel platebních karet.

Jak shromažďovat informace týkající se bezpečnosti (v síti organizace) vysvětluje Adam Ely. Popisuje postupy, které pomohou (bezpečnostnímu řediteli, skupině) při jejich analýzách – Tech Insight: The Smart Way To Gather Security Intelligence.

Sociální sítě

Objevil se spam typu: “Facebook lost your messages”. Kliknutí na uvedený odkaz vede na nabídku Viagry – „Facebook lost your messages“ spam returns.

Schneierův blog se věnuje stížnostem na Facebook – Discovering What Facebook Knows About You. Rozsáhlá diskuze vychází z informací na blogu 24 year old student lights match: Europe versus Facebook.

Zveřejněná data uživatelů Facebooku, je to výsledek phishingu či podvrh? Nepálský hackerský Team Swastika měl na Pastebin zveřejnit data 10 000 uživatelů Facebooku, což vzbudilo pochopitelný rozruch. Viz také – Over 10,000 Facebook account details hacked and published. Facebook však prozkoumal zveřejněná data a prohlásil, že nejde o data patřící jakémukoliv živému účtu na Facebooku – Mystery over bogus Facebook login data dump.

Software

Proč jsem odinstaloval OpenBSD – Why I Uninstalled OpenBSD. Zajímavý názor. Nakolik je však oprávněný, je sporné. Možná se tady k tomu někdo v diskuzi vyjádří.

Volání: potřebujeme PGP pro lidi – Berners-Lee: We need PGP for the people. Vynálezce WWW (World wide web) Tim Berners-Lee se obrací na bezpečnostní profesionály s výzvou vytvořit nástroj, který by v e-mailech mohla využívat celá populace. Myslí si, že to, co slibovaly systémy s veřejným klíčem, se ještě stále dostatečně neodrazilo v praxi.

Next-generation firewalls: In depth – firewally příští generace: co umí? Neil Roiter v rozsáhlejším článku rozebírá vlastnosti přicházejících firewallů i z hlediska jejich nasazení a existujícího trhu. Vysvětluje co by potenciální zákazníci měli u těchto firewallů hledat, na co se ptát a na co si dát pozor. Viz také – Dos and dont´s for next-gen firewalls.

Jak otestovat váš firewall? Některé cesty k tomu uvádí Andy O´Donnell. Na stránce How to Test Your Firewall jsou i další odkazy na články s příbuznou tématikou.

Exploity nulového dne mají nepatrnou četnost, přesto jsou však velkou hrozbou – Zero-day exploits are low in number, but pose big threat, experts say. To je reakce na nedávné výsledky přehledu Microsoftu – Microsoft Security Intelligence Report. Podle článku se odborníci obávají, že podcenění této hrozby je nebezpečné.

Top 10 Database Threats aneb top 10 databázových hrozeb. Na bezpečnostní hrozby je zaměřena tato verze materiálu – Top Ten Database Security Threats.

Google chce učinit vyhledávání bezpečnějším – Making search more secure. Přidává šifrování end-to-end, viz také komentář Google adds default end-to-end encryption to search.

Prohlížeč Amazonu Silk a problematická ochrana soukromí jsou tématem diskuze, kterou má s Amazonem Electronic Frontier Foundation (EFF) – Amazon answers some privacy concerns about new Silk browser.

Počet ASP.NET webů zasažených útokem SQL injection přesáhl jeden milión, takto Ericka Chickowski komentuje informace ze společnosti Armorize – Mass SQL Injection Attack Hits 1 Million Sites.

Chyba ve Flashi umožňuje sledovat návštěvníky webu prostřednictvím webové kamery – Flash bug allows spying of website visitors through webcam. Administrátoři webů mohou zapnout webovou kameru a mikrofon návštěvníka. Již jednou Adobe reagoval opravou na možnosti takovýchto útoků, nyní ale student ze Stanfoordu našel cestu jak opravu obejít. Nová oprava by měla být nyní již (podle Adobe) dostupná. Viz také – Adobe moves to fix webcam spying exploit.

Postup šifrování dle normy XML není bezpečný – Researchers: XML encryption standard is insecure. Prolomit tyto postupy se podařilo odborníkům z německé univerzity (Ruhr University of Bochum – RUB). Své výsledky hodlají publikovat na nadcházející akci – ACM Conference on Computer and Communications Security (ACM CCS 2011, Chicago). V článku je jejich postup (zhruba) vysvětlen. Viz také – Boffins crack e-commerce encryption.

Nová volně dostupná verze nástroje Metasploit je určena začínajícím penetračním testerům – Metasploit For The Masses. Metasploit Community lze stáhnout zde.

Malware

‘Zombie’ malware attacks can be frightening aneb zombie malware, aktuální problematika populárně vysvětlená.

Jaká je dnešní situace s ohledem na mobilní malware? Michael Kassner – Mobile malware: A clear and present danger – zpovídá odborníky z UC Berkeley, kteří se tomuto problému aktuálně věnují. Navazuje na jejich studii A Survey of Mobile Malware in the Wild (12 stran).
Varování před rostoucí kybernetickou kriminalitou přicházející z chytrých mobilů obsahuje článek – Smartphones increasing global cyber crime.
Viz také slideshow – Signs That Malware Could Be On Your Mobile Device

Kaspersky objevil novou verzi německého “státního” trojana – Kaspersky discovers new version of German state-sponsored trojan. Podporuje 64-bitová Windows a umí monitorovat mnoho dalších aplikací. Viz také – Kaspersky analysiert zweite Staatstrojaner-Version (Update).
Ochránci dat požadují zákaz “státního” trojana – Datenschützer fordern Staatstrojaner-Verbot.

Nový trojan pro Maca vyřadí automatické aktualizace ohledně malware – http://www.in­foworld.com/d/se­curity/new-mac-trojan-disables-apples-automatic-malware-updates-176678. Maskuje se jako instalační program pro Flash.

Švédsko je zasaženo velkým množstvím přesměrovacích skriptů, malware – Sweden Hit With Huge Increase in Malicious Redirect Scripts, Infections. Problému je věnována zpráva Davida Jacoby z KasperskyLab – Sweden is under attack – mass infection and new exploits!

72 procent počítačů v Číně je infikováno virem – 72% of computers in China hit by virus: Survey. Říkají to výsledky oficiálního přehledu (National Computer Virus Emergency Response Centre of China).

TDL4 (Alureon) – jeden z nejsofistiko­vanějších rootkitů byl nadále vylepšen – World's steal­thiest rootkit gets a makeover. Now, TDL4 harder than ever to eradicate. Díky tomu bude ještě více obtížné tento rootkit odstranit. Viz také – World´s most sophisticated rootkit is being overhauled.

Stuxnet a Duqu

Malware obdobné Stuxnetu infikovalo výrobce systémů SCADA – Stuxnet-derived malware found infecting SCADA makers. Takto nejprve o této skutečnosti informoval Symantec na stránce W32.Duqu: The Precursor to the Next Stuxnet. Cíle nebyly konkretizovány, s výjimkou toho, že bylo řečeno, že jsou v Evropě. Co vlastně trojan Duqu přesně všechno dělá, je stále předmětem analýz.
Viz také komentáře:

Technický popis, který zpracoval Symantec je na této stránce – W32.Duqu. The precursor to the next Stuxnet.

Tvůrci Duqu měli přístup k zdrojovému kódu červa Stuxnet – Security experts reveal Stuxnet worm sibiling Duqu. Rozdílnost viru Duqu (oproti červu Stuxnet) je v tom, že tento vir má za cíl krást informace, a jako virus se sám nereplikuje. V komentáři Stuxnet Clone Found Possibly Preparing Power Plant Attacks vyslovují autoři domněnku, že je chystán útok na elektrárny.

Symantec a McAfee mají rozdílné názory na hodnocení hrozeb od Duqu – Symantec, McAfee differ on Duqu threat. Symantec říká, že cílem Duqu je převážně krást informace od výrobců kontrolních průmyslových systémů. Oproti tomu McAfee říká, že Duqu je orientován na certifikační autority v Asii, Africe a Evropě – Duqu: The next tale in the Stuxnet files (v článku jsou vysvětleny výsledky, které společnost McAfee získala při analýze Duqu.). O Duqu se diskutuje také na Schneierově blogu – New Malware: Duqu.

Další komentáře:

Aby toho nebylo málo, informace k Duqu probírají média všude a ze všech možných stran. Další komentáře:

Objevil se také první FAQ:

Povídání o Stuxnetu, kterému lze věřit jen s obtížemi, si můžete přečíst na stránce A New and Frightening Stuxnet. Autor kromě známých faktů vytváří další, která si domýšlí. Viz komentář – A Stuxnet story too strange to believe.

Není nebezpečnost Duqu přeceňována? Přichází k němu nové informace a jak to vypadá, stále je problematické stanovit cíle tohoto viru. V článku – Hard to fully assess Duqu threat yet, researchers say – jsou shrnuty názory zástupců různých bezpečnostních firem.
Z posledních informací (Symantec) – Duqu: Updated Targeting Information.
Dále – ´Son of Stuxnet´ hits European computer networks .

Hackeři a jiní útočníci

Software Pirate Cracks Cybercriminal Wares – softwarový pirát crackuje malware kity, ransomware, scareware atd. Brian Krebs zde popisuje nikoliv neužitečné aktivity dvacetiletého francouzského hackera Stevena K. (Xylitol).

Přišla informace o útoku na dalšího japonského armádního dodavatele – New hack attack hits Japan defense firm. Tentokrát byl oznámen útok na společnost Kawasaki Heavy Industries, v srpnu měly být ukradeny informace z jejích e-mailových schránek. E-mailové adresy byly získány díky průniku do databáze ředitelů průmyslové asociace. Viz také – Defense industry body target of cyber-attack.

Hacktivisté, to je rostoucí hrozba průmyslovým systémům – Hacktivists pose growing threat to industrial computing. Dan Goodin reguje na memorandum amerického ministerstva národní bezpečnosti. Viz také:

Hackeři si sdělují zkušenosti, techniky útoků, průvodce pro začátečníky je na online fórech – Hackers Share Attack Techniques, Beginner Tutorials on Online Forum. Vyplývá to z výsledků zprávy State of Hacker Forums, kterou připravila společnost Imperva. Viz také komentáře:

Hackeři zveřejnili osobní data CEO společnosti Citigroup jako odvetu za uvěznění účastníků protestů Occupy Wall Street – Citigroup CEO targeted by hackers over protest arrests. Data, která se týkají Vikrama Pandita obsahují telefonní čísla, adresy, e-mailové adresy, rodinné informace a některé právní a finanční informace. Za akcí je CabinCr3w, která má být propojena s Anonymous.

Základním nástrojem hackingu je zneužití hesel – Password misuse at root of hacking. Vyplývá to z přehledu společnosti Lieberman – Password Practices and Outcomes.

Anonymous zveřejnili databázi uživatelů jednoho pedofilského webu – Anonymous veröffentlicht DB-Dump von Pädophilen-Handelsseite (Update). Jedná se o web Lolita City, zveřejněna byla data 1600 uživatelů a také data ohledně umístění serveru. Akce má být součástí operace AntiSec. Viz také komentář – Anonymous Hackers Take Down Child Porn Websites, Leak Users´ Names.

Deset nejhloupějších hacků všech dob, takovouto slideshow připravil Fahmida Y. Rashid – 10 Stupidest Hacks of All Time. Ne všichni hackeři mají potřebnou úroveň…

Americké ministerstvo národní bezpečnosti: varování, Anonymous se chystají na infrastrukturu – U.S. DHS expects Anonymous to attack infrastructure. Viz dokument – Assesment of Anonymous Threat to Control Systems. Není to první varování tohoto typu.

Nasdaq hackers gathered listed companies' secrets – Nasdaq a hackeři. Obchodování s cennými papíry, i tato branže je předmětem zájmu hackerů. Článek informuje o existujících útocích na Nasdaq. Viz také – Report: NASDAQ Hackers Spied On Corporate Directors. Co se tedy vše stalo – Nasdaq Breach Worse than Believed.

Německo: defacement webu politika, jedná se o Hanse-Petera Uhla, odborníka CDU na interní záležitosti – Anonymous defaced Website von Hans-Peter Uhl (2. Update).

Čerstvé interview se známou osobností, Kevinem Mitnickem najdete na stránce The “world’s most wanted hacker,” Kevin Mitnick, has gone straight (interview). Také si můžete přečíst výňatek z jeho knihy – Book Excerpt: Ghost in the Wires — My Adventures as the World’s Most Wanted Hacker.

Hardware

Odborníci ukázali, že lze odchytit vkládané znaky do PC využitím akcelerometru v iPhone – Researchers can keylog your PC using your iPhone's acce­lerometer. Pokud je iPhone umístěn v blízkosti PC, pak lze odchytit příslušné vibrace. Studie bude prezentována na akci v Chicagu – 18th ACM Conference on Computer and Communications Security. Sami autoři říkají, že tato podoba útoku je málo pravděpodobná, přesto pozor, pokud někdo zapomene svůj mobil na vašem stole. Viz také – iPhone, Android Smartphones Can Be Used as Keyloggers: Researchers.

Smart Cover odemkne Váš iPad – Anyone with a Smart Cover can break into your iPad 2. Celý postup je vysvětlen v názorném videu. Útočník nezíská kompletní přístup, ale dostane se k informacím (aplikacím), které byly dostupné při uzamknutí zařízení. Viz komentář – iPad 2 Smart Cover Trick Can Crack Locked Device.

Mobilní telefony

Sleazy Ads on Android Devices Push Bogus ‚Battery Upgrade‘ Warnings aneb zařízení s Androidem a podvodná hláška o potřebě “upgrade” baterie. Několik takovýchto aplikací má ve skutečnosti za cíl krást data či peníze uživatelů.

Tři mobilní zařízení, na které je nejčastěji útočeno – The Three Most Frequently Attacked Mobile Devices. Ericka Chickowski zmiňuje a rozebírá následující:

  • zařízení s Androidem
  • všechny tablety, speciálně iPad
  • otevřená (jailbroken) zařízení

Spam

A opět – Kaddáfího smrt je pomůckou pro řadu kybernetických útoků – Gaddafi death reports likely to spawn multiple scams. Spam, různé typy podvodů – očekávejte a buďte opatrní.
Viz také – Gaddafi and Search Poisoning: Think before clicking on search results a Shocker: Scammers Exploit Death of Former Libyan Ruler.

Elektronické bankovnictví

German Hacker Busted for Rigging Checkout-Counter Card Readers – vězení za manipulaci se zařízením PIN Entry Devices (PED). Německý 26letý inženýr Thomas Beeckmann byl odsouzen ve Velké Británii ke třem létům vězení. Zařízení PED modifikoval tak, že zaznamenávala karetní informace z vložených platebních karet. Získaná data zasílal do sítí počítačové kriminality.
Viz také – Computer whizz-kid jailed after being caught with hi-tech cashcard scamming kit which would have netted him L150m a year.

Jak fyzicky chránit vaši platební kartu – How to physically secure your credit card. Jsou to doporučení typu odstranit nepotřebné informace z povrchu karty. Ovšem, nemohu být tím, kdo zaručí po těchto úpravách další plnou funkčnost karty.

Bankovní trojané s novými vlastnostmi – Banking Trojans Adapting To Cheat Out-of-Band Security. Banky, finanční instituce nachystaly nové obrany a stejně tak se přizpůsobují útočníci. Robert Lemos komentuje poslední vývoj této oblasti.

Phishing

Tři cesty k tomu, jak se chránit po phisherském útoku, Bill Snyder uvádí svá doporučení – 3 Ways to Save Yourself After a Phishing Attack.

A – pět cest k tomu, jak detekovat e-mailový phishingový útok – Five Ways to Detect an Email Phishing Attack. Deborah Galea vysvětluje nejprve podstatu phishingu a rozebírá pak cesty k obraně (filtr spamu, podezřelá url, atd.).

Elektronický podpis

Oracle aktualizoval Javu s cílem zastavit útoky BEAST proti SSL – Oracle updates Java to stop SSL-chewing BEAST. Podle názorů citovaných v článku však toto opatření není dostatečné, existují i jiné cesty, jak útok provést.

bitcoin školení listopad 24

Normy a normativní dokumenty

Americký NIST vydal v uplynulém týdnu dokument:

Různé

Přehled vychází z průběžně publikovaných novinek na Crypto – News.

Autor článku