Bezpečnostní střípky: padla obvinění v největších krádeži ID

24. 8. 2009
Doba čtení: 9 minut

Sdílet

Pravidelný pondělní přehled informací vztahujících se k problematice bezpečnosti IT. Z novinek tohoto týdne lze upozornit na zajímavou informaci Symantecu nebo varování před krádežemi hesel pro ftp. Kryptologové, ale i uživatelé asymetrické kryptografie si určitě všimnou shrnutí, které je věnováno aktuálnímu stavu bezpečnosti RSA-1024 a EC-160.

Obecná a firemní bezpečnost IT

US Cyber Challenge , to je americká výzva orientovaná na vyškolení hackerů v boji proti kyberkriminalitě a špionáži. Alan Paller (SANS Institute) a US Cyber Challenge , Rick Smith (Science Applications International Corporation) a CyberPatriot, Jim Shewmaker a NetWars a také Cyber Crime Center Challenge – to jsou některé z již běžících aktivit a lidé, kteří je připravují.

Jak jsou důležité penetrační testy ve vztahu k fyzické bezpečnosti, tato otázka je tématem článku Physical Penetration Testing Tells All. John Sawyer uvádí dva příklady z praxe, které názorně ukazují, jak to někde skutečně vypadá (a jak by to nemělo být).

Stalo se: Už i Telefonica přistoupila k blokování, Jiří Peterka na Lupě: Po Vodafone a T-Mobile začala s blokováním nelegálního obsahu už i Telefónica O2 Czech Republic. Také ona využívá blacklisty britské Internet Watch Foundation, ale do budoucna by chtěla využívat tuzemské blacklisty, sestavované ve spolupráci s Policií ČR. Ve svých smluvních podmínkách si ovšem vyhrazuje právo blokovat kromě nelegálního obsahu i obsah odporující dobrým mravům.

Další článek na Lupě připravil Jiří Donát – Máme se bát Velkého bratra? : Přechod na internetové aplikace a zejména jejich financování kontextovou reklamou vyvolávají řadu emocí. Naše data již nebudou “v bezpečí“ našeho počítače a budou se volně potulovat po Internetu. Motivace Google a ostatních provozovatelů mohou být sebečistší, jsou zde ale přece tajné služby různých států, které jsou mocnější než i ta největší internetová firma.

USA – padla obvinění v největších krádeži ID – TJX suspect indicted in Heartland, Hannaford breaches. Týká se to krádeže 130 miliónů dat k platebním kartám. Česká média si tuto informaci poněkud transformovala, viz Úřady v USA odhalily největší krádež identity v historii internetu, V USA vyšetřují krádež údajů ze 130 miliónů kreditních karet anebo zprávy v televizních kanálech. Krádeže se přitom odehrály (a byly zjištěny) již v minulých letech.

Osm špinavých tajemství IT bezpečnostního průmyslu prezentuje Bill Brenner, který ve svém článku 8 Dirty Secrets of the IT Security Industry shrnuje názory Joshuy Cormana (z rozhovoru The Dark Side of the Security Market):

  • Dirty Secret 1: Dodavatelé nečelí hrozbám, jim čelí pouze kupující
  • Dirty Secret 2: Antivir nemá certifikát
  • Dirty Secret 3: Není zvažován perimetr
  • Dirty Secret 4: Analýza rizik se dodavatelům nehodí
  • Dirty Secret 5: Existuje více rizik než pouze slabý SW
  • Dirty Secret 6: Shoda je také určitou hrozbou bezpečnosti
  • Dirty Secret 7: Dodavatelé se neumí vypořádat s botnetem Storm
  • Dirty Secret 8: Bezpečnost dospěla do bodu „Udělej si sám“

Cyberwarfare and the enterprise: Is the threat real? aneb kybernetické útoky a firmy, jsou hrozby reálné? Sherri Davidoff charakterizuje současnou situaci a uvádí pět doporučení:

  1. Připravte se na výpadky
  2. Ošetřujte systémy (záplaty, logy, audity)
  3. Sdílejte s hrozbami související informace
  4. Buďte dobrým sousedem (nenechte zneužít svůj server k útokům na jiné weby)
  5. Nepřežeňte své reakce

Deset věcí, které by malé podnikání mělo znát o ochraně a zabezpečení svých dat – Top Ten Things Small Businesses Must Know About Protecting and Securing Their Business Data. Toto desatero zase připravila Donna R. Childs ze společnosti Symantec.

Dále zde máme následujících 10 doporučení, jsou zaměřena k tomu, abyste se nestali příští obětí hackera (jako je ten z Miami) – 10 Tips To Avoid Being The Next Miami Hacker Victim. S doporučeními tohoto typu se roztrhl pytel. Každopádně ale – neublíží:

  1. Zlepšete bezpečnost desktopů, notebooků (používejte nejen antivir, ale také antimalware)
  2. Potřebná je kvalitnější konfigurace sítě (mějte servery v jiné podsíti než jsou pracovní stanice, skryjte routovací protokoly, účty uživatelů musí být přístupné jen autentizovaným zaměstnancům)
  3. Zabývejte se fyzickou bezpečností (včetně mobilních zařízení, která opouští pracoviště)
  4. Zajistěte shodu s požadavky PCI
  5. Obrany budujte do hloubky
  6. Provádějte hodnocení typu etický hacking
  7. Pravidelně ověřujte stav na účtech ke kreditním kartám, zkoumejte cokoliv podezřelé
  8. Pozor na sociální sítě
  9. Buďte opatrní při brouzdání internetem
  10. Odpovědnost se týká i obchodníků (rizikoví partneři atd.)

Software

Flash cookies jsou široce diskutovány také na Schneierově blogu – Flash Cookies. A v diskuzi najdete také některá doporučení k tomu, jak se jich zbavit.

K nedávnému testu IE 8.0 se vrací Michael Kassner – Internet Explorer: Is it time for some respect?. Pokouší se rozebrat ve významu výsledků testů NSS Labs. Poukazuje v závěru na skutečnost, že díky řadě okolností nebude toto hodnocení mít takovou důležitost, jaká mu byla přikládána.

Viz proti tomu článek Gregga Keizera, daleko méně kritický – Microsoft´s Brow­ser Best at Beating Malware.

Zranitelný kód  – Nejvážnější chyby, kterých se můžete ve svých webových aplikacích dopustit, to je recenze stejnojmenné knihy. Český překlad knihy, jejímž autorem je Sverre H. Huseby, vydalo již v září 2006 nakladatelství Computer Press. Příčinou současné recenze je nepochybně aktuálnost problematiky. Knihu o 208 stranách najdete zde – Zranitelný kód.

Malware

Symantec označil „nejšpinavější“ stránky tohoto léta – Symantec identifies ‚Dirtiest Web Sites of Summer‘ (Larry Magid). Jejich seznam je na odkazu Dirtiest Web Sites of Summer 2009. Nejhůře na tom jsou (tradičně) stránky s pornografickým obsahem. Není bez zajímavosti prohlédnout si reporty k jednotlivým stránkám a seznámit se detailněji s hrozbami, které se zde vyskytují.

Seznámení se z problematikou počítačových červů (a také něco o červu Conficker) připravil Rüdiger Trost, materiál je v němčině – Computerwürmer am Beispiel des Conficker Wurms.

Nabídka podílet se na útoku proti Obamově stránce vás dovede k malware – Obama site smackdown spam only offers malware. Poněkud jinak to vidí autor článku s bombastickým titulkem Počítačoví piráti zahajují celosvětový útok na Baracka Obamu.

Ptejte se týmu Anti-Malware společnosti Google – Ask the Google Anti-Malware Team. Své otázky můžete klást dva týdny (do 28. srpna). Není to špatný nápad, jak soustředit informace od uživatelů.

Viry

Nový vir útočí na vývojové prostředí Delphi – Virus infects development environment. Informuje o něm Kaspersky. Každý Delphi program kompilovaný na takto infikovaném počítači je také infikován.

Hackeři

Georgian cyber attacks launched by Russian crime gangs. th help from Twitter, Facebook and Microsoft aneb jak byl v loňském roce organizován útok na gruzínské weby. Dan Goodin komentuje výsledky zprávy neziskové organizace – US Cyber Consequences Unit (US-CCU).

Viz také články:

V roce 2009 je 19 procent online útoků směrováno na sociální sítě – 19% of online attacks in 2009 targeted social networking sites. V článku jsou shrnuty výsledky zprávy Web Hacking Incidents Database (WHID) 2009 Bi-Annual Report. Viz také další komentář k této zprávě – Report: Web 2.0 site attacks on the rise. Web 2.0 je mezi hackery stále více populární.

Vyšla druhá část článku, který je věnován otázce najímání hackerů britskou vládou – Hiring hackers (part 2) (první část článku je zde – Hiring hackers.part 1). Autor (M. E. Kabay ) se zde věnuje problémům, které souvisí s najímáním lidí na citlivé pozice. Rozebírá související možné problémy (jedná se často o osoby s kriminální minulostí) a uvádí k tomu některá doporučení.

Jak byly prováděny velké krádeže ID – Mega-Breaches Employed Familiar, Preventable Attacks. Kelly Jackson Higgins říká, většinou byly používány útoky typu SQL injection, sniffery anebo malware se zadními vrátky. Také je zajímavé seznámit se s obviněním – Indicment.

Viz dále komentář Briana Krebse ve Washington Post – Three Alleged Hackers Indicted in Large Identity-Theft Case.

Portály pro vyhledávání zaměstnání jsou zlatým dolem pro hackery – Job portals are gold mines for hackers. Tito nejen schraňují zde zveřejněné informace, ale často přichází i s falešnými nabídkami tak, aby se dostaly k datům dalších žadatelů.

Nebezpečí číhá na webu, Otakar Schön v populárním článku pro Hospodářské noviny: Nechat se nachytat je snadné, hackeři sami nabízejí falešné antivirové programy.

Útoky SQL injection dělají firmám starosti  – SQL injection continues to trouble firms, lead to breaches. Robert Westervelt se rozebírá současných problémech souvisejících s tímto typem útoku.

Kevin Mitnick sám se stal oblíbeným cílem hackerů – Besieged by attacks, AT&T dumps celebrity hacker. he perils of being Kevin Mitnick. Se svou pověstí a slávou to prostě nemá jednoduché.

Hacking at Random, tento hackerský festival proběhl nyní v Holandsku – Hacking at Random: more bandwidth, more far-sightedness, more future. V článku průběh akce komentuje Detlef Borchers. Stránky akce samotné jsou zde – Hacking at Random 2009.

Mobilní telefony

iPhone apps are spyware: PANIC!, některé aplikace pro iPhone jsou spyware. Je to výmysl a zbytečná panika? Takto se ptá autor článku Richi Jennings.

Spam

Varování uživatelům Facebooku, pozor na zlodějské aplikace Facebooku – Warning as rogue Facebook apps steal log-in data. Stream, Posts, Your Photos, Birthday Invitations, Inbox (1) a Inbox (2) – to všechno jsou podle Trend Micro aplikace, které kradou přihlašovací data a zaplavují přátele tohoto uživatele spamem (s phishingovými odkazy).

Elektronické bankovnictví

Data k platebním kartám jsou na černém trhu stále lacinější – Stolen Credit Card Data Goes for Cheap on Cyber-Black Market. Brian Prince se odkazuje na údaje ze stránek Kaspersky Lab – How much does a credit card cost?. Nejdražší jsou data k německým kreditkám (6 dolarů), za data k americkým VISA kartám se platí dva dolary.

Autentizace, hesla, ID

Problémům, které souvisí s krádežemi hesel pro ftp, se věnuje Jacques Erasmus – FTP Reloaded: My Website has been hacked!. Popisuje reálné situace, hrozby a uvádí některá doporučení.

Deset doporučení, jak se vyhnout krádeži ID ve vysokoškolských prostředích najdete na stránce 10 tips on ways to avoid identity theft at college. Většina těchto doporučení je použitelná i v našich podmínkách.

Elektronický podpis

I stránky chráněné EV SSL certifikáty umožňují phishingový útok – Is There a Dark Cloud Over SSL's Green Glow?. Jack M. Germain komentuje nedávné výsledky, které zveřejnila Intrepidus Group (dva typy útoků – SSL Rebinding a EV cache poisoning). Je to článek, který kriticky hodnotí přínos EV SSL certifikátů. Je jejich zavedení skutečně neúspěchem?

Normy a normativní dokumenty

V tomto týdnu vydal americký NIST dva drafty:

Kryptografie

On the Security of 1024-bit RSA

and 160-bit Elliptic Curve Cryptography, jak na tom jsou s bezpečností RSA-1024 a EC-160? Odborníci (Joppe W. Bos, Marcelo E. Kaihara, Thorsten Kleinjung, Arjen K. Lenstra a Peter L. Montgomery) shrnují současný stav poznatků k metodám kryptoanalýzy těchto systémů a odsud vyplývající hodnocení jejich bezpečnosti. Například RSA s délkou klíče 1024 bitů považují za bezpečné (rizika jsou minimální) do roku 2014.

Fotografie historických šifrovacích zařízení z muzea v Bletchley Park najdete na odkazu Photos: Code machines at Bletchley Park. Na citované stránce najdete zobrazení některých historických šifrátorů spolu s krátkým popisem – New Machine (Nema), M4 Enigma machine, Portex machine, T244 machine, C36 cipher machine a M209 machine.

Různé

Developments in Lie Detection aneb jaký je vývoj prostředků pro detekci lží (detektorů lži)?

Diskuze na Schneierově blogu je věnována informacím z článku .The Load of Lying: Testing for Truth (Scientific American).

MEMICS 2009 – CFP – abstract registration Sep 7th.
Deadlines:

abstract registration: September 7, 2009

submissions: September 14, 2009

The aim: To provide a forum for doctoral students interested in applications of mathematical and engineering methods in computer science with an emphasis on methods for developing reliable and secure computer systems.

ict ve školství 24

Přehled vychází z průběžně publikovaných novinek na Crypto – News.

Autor článku