Bezpečnostní střípky: mladí lidé jsou online opatrnější než starší generace

31. 5. 2010
Doba čtení: 12 minut

Sdílet

Pravidelný pondělní přehled informací vztahujících se k problematice bezpečnosti IT. Z novinek právě uplynulého týdne lze upozornit na články Joan Goodchild k sociálnímu inženýrství, na změny na Facebooku a komentáře k nim a třeba na přehled desítky dosavadních nejúspěšnějších hacků v roce 2010.

Obecná a firemní bezpečnost IT

Velké technické společnosti: hlavní je plynulost podnikání, nikoliv bezpečnost dat a prevence průniků – Business continuity, not data breaches, among top concerns for tech firms. Joan Goodchild uvádí výsledky výzkumu, který provedla společnost BDO. Výzkum zkoumal rizikové faktory, které firmy zvažovaly v roce 2009. Na předních místech mezi bezpečnostními riziky se objevují přírodní pohromy, války, konflikty a teroristické útoky (tato rizika zmínilo 55 procent respondentů a zaujala 16. místo na seznamu), zatímco bezpečnostní průniky, soukromí a krádeže byly zmíněny 44 procenty respondentů a tato rizika se v seznamu objevila na 23. místě. Tato čísla jsou však vyšší oproti analogickým výsledkům v předcházejícím roce (tehdy rizika technické bezpečnosti, soukromí a krádeží uvedlo jen 30 procent respondentů).

Profesionál v informační bezpečnosti – co se od něho očekává? Gideon T. Rasmussen shrnuje související poznatky – Information Security Profesional. Článek obsahuje podrobnosti k těmto bodům:

  1. Získejte praktické zkušenosti
  2. Získejte certifikaci
  3. Převezměte kontrolu
  4. Diagram uvádějící cestu kariéry

Autor uvádí, že stránka bude postupně doplňována na základě e-mailů zasílaných čtenáři.

ČR: Policie nestíhá šetřit počítačovou kriminalitu, Radim Vaculík (Novinky): Nedostatek odborníků na počítačovou kriminalitu v řadách policie má velmi vážné důsledky. Detektivové kvůli naprosté zahlcenosti nestíhají šetřit všechny případy a někteří pachatelé jim tak zbytečně proklouznou mezi prsty. Právu to řekl vedoucí odboru informační kriminality na policejním prezidiu Karel Kuchařík.

Na internetu nevěřte ani vlastní matce, říká IT expert, Lidovky: Americký profesor Dennis Galletta zkoumá, co uživatele internetu přiměje k reakci na podvodné e-maily. Rozmlouvá s ním Luděk Vainert.

Firmy mohou číst e-maily zaměstnanců, ale jen výjimečně, Novinky (Jindřich Ginter): Stovky firem považují mylně podnikové e-maily svých zaměstnanců za své výhradní vlastnictví a nelegálně čtou jejich obsah. Nicméně jsou ze zákona výjimky, které to umožňují. Například e-mail doručený na e-mailovou adresu obecného charakteru například info@firma.cz je už podnikovou poštou.

Americká Cyber Command, čtyřhvězdičkový generál Alexandr Keith byl oficiálně uveden do funkce – US appoints first cyber warfare general. Článek dále obsahuje několik informací k zaměření této organizace.

Jaké jsou zapotřebí změny ve vztahu ke kybernetické bezpečnosti? Jack Goldsmith a Melissa Hathaway (známá jména z americké politiky) vystoupili na stránkách Washington Post s článkem, který hodnotí současné snahy a také aktuální potřeby v USA v tomto směru – The cybersecurity changes we need. Poukazují zejména na ekonomické aspekty, které s řešením problematiky bezpečnosti IT souvisí.

Staré podvody stále fungují – An old scam still works. Ross Anderson upozorňuje na fakt, že požadavky na změnu adresy majitelů účtů nejsou dostatečně kontrolovány a touto cestou mohou jít někteří podvodníci.

EU říká: Google, Microsoft a Yahoo stále porušují zákon na ochranu dat – EU says Google and Microhoo still violate data protection law. Opatření (ve vztahu k anonymizaci jimi získaných dat), která dosud tyto společnosti provedly, nejsou považována za dostatečná.

Americké ministerstvo obrany chce hrát větší roli při ochraně soukromých sítí – DOD considers shielding private networks. Jedná se zejména o sítě tzv. kritické infrastruktury. V této souvislosti se jedná o běžící a připravované aktivity Einstein 2 a Einstein 3.

Přehled přinesl překvapení – mladí lidé jsou online opatrnější než starší generace – Surprise! Young users most in tune with online privacy. Sharon Gaudin zde tlumočí výsledky studie, kterou připravily Pew Research Center's Internet & American Life Project. Byla zpracována na základě odpovědí 2 253 Američanů. Jako příklad je uvedena skutečnost, že 71 procent mladých uživatelů sociálních sítí pozměnilo nastavení svého soukromí (aby omezili to, co je dostupné jiným uživatelům), zatímco u uživatelů ve stáří mezi 50 a 64 roky to učinilo pouze 55 procent takovýchto uživatelů.

Šéf Armády spásy varuje před novými podvody, které ohrožují charitu – Salvation Army IT boss warns of new ways scammers abuse charities. Jedná se nejen o podvodné charitní weby, ale také o zneužívání skutečných stránek charity pro testování čísel ukradených platebních karet.

Sociální inženýrství, užitečné informace k němu přináší kniha „Influence – the Psychology of Persuasion“ – Social Engineering and Dr. Cialdini's „Influence“. Knihu napsal Dr. Robert Cialdini a na odkazované stránce najdete jakousi recenzi této knihy ve vztahu k problematice sociálního inženýrství. Autor článku zároveň takto probírá často používané techniky sociálního inženýrství:

  1. Reciproční chování
  2. Odpovědnost a zásadovost
  3. Důkaz korektnosti
  4. Oblíbenost (něčeho)
  5. Autorita
  6. Vzácnost, nedostatek (času, objektu)

Sociální inženýrství – příběhy, na které se vzpomíná – Social engineering stories. Joan Goodchild předkládá čtenářům dva příběhy, které vypráví Winn Schwartau (zakladatel společnosti Security Awareness Company).

A další scénáře sociálního inženýrství, které často používají hackeři, najdete v pokračování předešlého článku – Social engineering stories: The sequel. Joan Goodchild vysvětluje principy dvou takovýchto scénářů a také ukazuje cesty k obraně.

Je možné měřit IT bezpečnost? Tony Lock (FreeformDynamics) v článku Is it possible to measure IT Security? Or is that somebody else’s problem? přichází s řadou úvah, které se k této problematice váží. Vysvětluje, proč současné tlaky (legislativy, požadavků norem, politik) vedou k tomu, že je vhodné se takovýmito otázkami zabývat. Autor vyzývá čtenáře, aby přicházeli se svými náměty.

Sociální sítě

Nastala smrt soukromí na Facebooku? Jak s tím bojovat? Brian Prince v slideshow Security: Dealing with the Death of Privacy in the Facebook Age uvádí svá doporučení:

  • Zvažte, co svým přihlášením akceptujete
  • Porozumějte nastavením soukromí
  • Víte, komu budou patřit data?
  • Zamezte sdílení svých dat
  • Soukromí by mělo být součástí defaultního nastavení
  • Klíčem k tomu je jednoduchost
  • Řídíte se politikami svého zaměstnavatele?
  • Přemýšlejte – s kým sdílíte svá data (tzv. přátelé)?

CEO Facebooku slibuje – Facebook CEO Addresses Privacy Concerns. Ian Paul se na této stránce vyjadřuje k pondělnímu vystoupení Marka Zuckerberga na stránkách Washington Post – From Facebook, answering privacy concerns with new settings. Chtělo by se Zuckerbergovi věřit. Mnozí ale zpochybňují např. toto jedno z jeho tvrzení: „We do not and never will sell any of your information to anyone.“

Lituje skutečně Facebook svých hříchů ohledně soukromí? Robert X. Cringely  – Is Facebook truly sorry for its privacy sins? – shrnuje nedávno řečené kritiky i reakci Zuckerberga, které nazývá kvazi-omluvou. Viz dále také článek – Why Can´t Johnny Have Privacy?

Social stupidity: Am I too social to be saved? aneb bezpečnostní profesionál a sociální sítě. Bil Brenner zde píše o svých zkušenostech. Článek obsahuje mimo jiné celou řadu odkazů na související problematiku.

Facebook zjednodušuje nastavení pro ochranu soukromí – Facebook unveils simpler privacy controls to spur sharing, John Leyden říká, že je to reakce na nedávnou rozsáhlou kritiku. Viz také další komentáře:

Soukromí na Facebooku: Pět kontrol, které bych chtěl vidět (Ian Paul, PC World ) – Facebook Privacy: 5 Controls I'd Like To See:

  • Opt-in, Not Opt-out
  • Third-party Data Control
  • Disconnect From Friends
  • Granular Versus Simple
  • Data Export

Hackeři nepřestanou bušit do Facebooku, říkají odborníci – Hackers will keep hammering Facebook, say researchers. Gregg Keizer tlumočí názory, podle kterých tyto útoky budou stále více nebezpečné. Komentuje také současnou situaci.

Software

Vzdálený přístup pomocí SSL VPN je předmětem článku How to keep a remote access VPN working smoothly. Joel Snyder v něm přichází s několika doporučeními pro efektivnější práci s takovouto VPN.

Aplikace by měly varovat uživatele, pokud používají kameru, mikrofon atd. – Alerting Users that Applications are Using Cameras, Microphones, Etc.. V diskuzi na svém blogu upozorňuje Bruce Schneier na studii:

Infikované reklamy – denně si je prohlíží 1,3 miliónů uživatelů. Toto číslo je odhadem bezpečnostní firmy Dasient. Takováto reklama na webu vydrží v průměru jeden týden – 1.3 Million Malicious Online Ads Viewed Daily, Security Research Finds.

Zone Alarm, recenzi nové verze najdete na stránce New ZoneAlarm is quietly effective (review). Tento volně dostupný program ve své verzi 9.2 přichází s některými novinkami. Ve své recenzi je popisuje Seth Rosenblatt.

Nepodceňujte firewall, Martin Zachar: V článku si v rychlosti shrneme výhody firewallu a důvody, proč je dobré ve svém počítači nějaký mít. Pak se podíváme na freeware Comodo Firewall, jeho jednotlivé části a základní nastavení.

Objevila se studie k zranitelnostem typu clickjacking na populárních webech – Busting frame busting: a study of clickjacking vulnerabilities at popular sites. Gustav Rydstedt, Elie Bursztein, Dan Boneh (Stanford University) a Collin Jackson (Carnegie Mellon University) jsou autory zajímavé práce, která rozebírá tento typ zranitelností. Jsou zde také uvedena některá doporučení. Viz také komentář – Researchers Beat Clickjacking Defenses of Top Websites.

Bezpečnost programů: Příručka pro přežití, takto Bill Brenner uvádí celou sérii odkazů, které by měli napomoci bezpečnosti programů ve vaší společnosti – Code Security: A survival guide.

Bezpečnost webů – je dobré mít vše pohromadě – An All-in-One Approach to Web Security. Čtrnáctistránková studie poukazuje na různé aspekty webové bezpečnosti. Autoři vyslovují podporu řešení, které problematiku řeší v rámci jednoho komplexu.

Malware

E-mail obsahující vymyšlenou zprávu o smrti Fidela Castra přivede oběť k malware – e-mail scam announcing Fidel Castro's funeral … and nasty malware to your computer. To je příklad jednoho z častých pokusů.

Botnety jsou k pronajmutí za 9 dolarů za hodinu – Botnet price for hourly hire on par with cost of two pints. Matthew Broersma komentuje informace pocházející z šetření, které provedla VeriSign iDefense. Průměrná cena za 24 hodinový pronájem botnetu je 67 dolarů a 20 centů.

Volně dostupný program pro obnovu dat ve Windows se nazývá EASEUS Data Recovery Wizard Free Edition – Free Windows data recovery software. Vyřeší celou řadu problémů, lze si ho stáhnout zde. Jediným jeho omezením je, že obnoví pouze 1 GB dat.

Zdravotnické přístroje kompromitované malware nejsou již úplnou novinkou – VA Security Compromised By Medical Devices. Informace k tomu (více než 122 zdravotnických přístrojů bylo infikováno v posledních 14 měsících) zazněla při slyšení před americkým kongresem.

Online hrozby v květnu, v článku Breakdown of all the major online threats in May jsou představeny některé výsledky z nejnovější zprávy MessageLabs Intelligence Report. Statistiky ukazují nárůst všech hlavních online hrozeb.

Viry

Britský vědec infikován počítačovým virem – British scientist infected with computer virus. Dr Mark Gasson (University of Reading) říká o sobě, že je prvním takovým člověkem. Infikoval čip, který má implantovaný v ruce. Implantovaný čip mu slouží k získání přístupu do chráněné budovy a k aktivaci mobilu. Poznámka – samozřejmě se jednalo o experiment.
Viz také komentář a kritické poznámky v článku:

Hackeři

10 nejlepších hacků v roce 2010 (prozatím), jejich seznam předkládá Alessondra Springmann:

Britské stránky pro hledání zaměstnání se staly předmětem hackerského útoku, 3.5 miliónu CV je v nebezpečí – UK jobs site suffers hack attack. Jedná se o stránky JobSearch.co.uk a jobs.mirror.co.uk. Společnost, která stránky provozuje – Trinity Mirror Group – vydala nová hesla k účtům. Zřejmě není jasné, nakolik byli útočníci úspěšní.

Nalezen byl server s 44 milióny ukradenými účty k hrám – 44 million stolen gaming credentials found. Překvapením byla cesta, kterou probíhala validace těchto účtů (byl k tomu použit trojan).

Hardware

IBM se omlouvá za distribuci USB disků s malware – IBM: We distributed malware-ridden USB drives. Stalo se to na bezpečnostní konferenci v Austrálii (AusCert).

Mobilní telefony a zařízení

Bugnet a hrozba sledování netušících uživatelů mobilních zařízení, popis k tomuto tématu najdete v studii Roving Bugnet: Distributed Surveillance Threat and Mitigation. Ryan Farley a Xinyuan Wang v této studii prezentují postupy, které jsou využitelné v realitě, konstruují speciální typ botnetu – tzv. Bugnet. Komentář k této studii si lze přečíst na stránce Bugnets Could Spy on You via Mobile Devices.

Byla nalezena zranitelnost v šifrování iPhone – Vulnerability in iPhone data encryption. Nálezce ztraceného mobilu se snadno dostane k datům v něm uloženým. Zranitelnost objevil Bernd Marienfeldt, bezpečnostní pracovník z Velké Británie. Společnost Apple nyní zranitelnost zkoumá.

A nalezena byla nová cesta, jak odposlouchávat prostřednictvím mobilních zařízení – Researchers Find New Ways To Eavesdrop Via Mobile Devices. Tim Wilson v tomto článku komentuje výsledky studie Roving Bugnet: Distributed Surveillance Threat and Mitigation, jejímiž autory jsou Ryan Farley a Xinyuan Wang (George Mason University ). Základem jejich myšlenky je umístění vhodného spyware na mobilní zařízení (notebook, mobil, PDA) taková, která mají vestavěný mikrofon s jehož prostřednictvím lze odposlouchat probíhající okolní konverzaci.

Aplikace pro Android, které umožňují zabránit odposlechům při volání mobilem, o nich píše zase Andy Greenberg – Android App Aims to Allow Wiretap-Proof Cell Phone Calls. V závěru článku je i odkaz, odkud se dají obě zmiňované aplikace stáhnout – RedPhone 0.1 + TextSecure 0.1

Je k nim také diskuze na Schneierově blogu – End-to-End Encrypted Cell Phone Calls.

Další komentář je pak v článku – Android apps for encrypting calls and texts.

Forenzní analýza

Novinky ve forenzních nástrojích a další odkazy k forenzní problematice najdete na stránce Digital Forensics Case Leads: The Gauntlet Edition. Gregory Pendergast dále informuje o některých výzvách a zajímavých informacích, které souvisí s problematikou forenzní analýzy.

Autentizace, hesla

K historicky vůbec největšímu případu krádeže ID se obrací rozsáhlejší článek Hack Pack. biggest identity theft case ever. Right here in Miami. Tim Elfrink v něm popisuje okolnosti případu, který se stal před dvěma roky (Albert Gonzales a spol.).

Jak nejlépe pracovat s hesly – výsledky ankety, která byla věnována této otázce najdete na stránce Revealed: Our picks for the best password strategies. Kevin McCaney zde komentuje doporučení čtenářů (218 odpovědí) a vyhlašuje vítěze.

Phishing

Objevena byla nová, rafinovanější taktika pro phishing – Devious New Phishing Tactic Targets Tabs. Brian Krebs ji popisuje na svém blogu. Uživatel má otevřeno v jednom okně více záložek (tabs) a pokud si prohlíží určitou stránku, která používá speciální kód v javascriptu, je mu měněn obsah stránky v jiné záložce. Když se pak uživatel vrací na tuto záložku, uvidí tam přihlašovací formulář někam, kam se obvykle sám přihlašuje (jako příklad je uveden G-mail). Scénář možného útoku popsal Aza Raskin, jeden z tvůrců Firefoxu. 

Obrany proti takovýmto postupům popisuje Gregg Keizer v článku How to foil Web browser ´tabnapping´.

V posledních dvou měsících význačně narostl počet phisherských útoků – Phishing Attacks Back on the Rise. Phil Muncaster cituje výsledky zprávy Online Fraud Report, kterou připravila RSA Security.

Normy a normativní dokumenty

Americký NIST v uplynulém týdnu vydal následující dva dokumenty:

Kryptografie

Rychlejší plně homomorfní šifrování je popisováno v studii Faster Fully Homomorphic Encryption, ve které Damien Stehlé a Ron Steinfeld přichází s vylepšeními schématu, jehož autorem je Craig Gentry.

bitcoin školení listopad 24

Viz ale také zmínku o vystoupení na workshopu IACR – British researcher cracks crypto problem.

Různé

Přehled vychází z průběžně publikovaných novinek na Crypto – News.

Autor článku