Bezpečnostní střípky: pozor na podvržené odkazy na sociálních sítích

22. 10. 2012
Doba čtení: 16 minut

Sdílet

Pravidelný pondělní přehled informací vztahujících se k problematice bezpečnosti IT. Z novinek právě uplynulého týdne vás upozorníme především na pokračující útoky na americké banky, několik článků věnovaných útokům DDoS, studii Symantecu k SSL/TLS a objeven byl další bratříček Flame.

Přehledy

Zpráva WhiteHat Security Website Statistics Report, tento dokument z června 2012 obsahuje dlouhou řadu zajímavých statistik. Čerpá z něho článek Web app design at the core of coding weaknesses, attacks, says expert, kde Mike Shema (Qualys, Inc.) hovoří ke své nové knize Hacking Web Apps: Detecting and Preventing Web Application Security Problems.

Přehled společnosti Akamai říká, že Čína je největším zdrojem útočného provozu – Akamai: China Biggest Source of Attack Traffic Q2 2012. Zhruba 38 procent pozorovaných útoků v roce 2012 pochází z oblasti Asie/Pacifik/Oceánie. Samotnou zprávu najdete na stránce State of the Internet Report Q2 (nezbytná je registrace).

Obecná a firemní bezpečnost IT

NZ government network leaking data like a sieve – novozélandská vládní síť je děravá jako řešeto. Blogger Keith Ng demonstroval, že vládní kiosky pro vyhledávání pracovních příležitostí mají neautentizovaný přístup do sítě ministerstva pro sociální rozvoj (Ministry of Social Development – MND).

Britská parkoviště umí číst poznávací značky – British car parks start reading number plates. Systém SwishPARK již funguje na jedenácti parkovištích. Pochopitelně vznikají otázky související s ochranou soukromí.

Čína zlikvidovala 700 kyberkriminálních gangů – China busts 700 cybercriminal gangs. Uvězněno bylo 8 900 podezřelých. Rozměry těchto aktivit jsou, pravda, jiné…

USA, popis 20 cest, které umožňují sledování – 20 More Ways You Are Being Spied On, to je zajímavý soubor článků.

Co udělat pro to, abyste zazářili ve vztahu k IT bezpečnosti – How to get promoted in IT security . Philip Lieberman (Lieberman Software) uvádí sadu doporučení:

  1. Snažte se, ať vaše společnost dobře vypadá
    • Vylepšete profil IT vaší společnosti
    • Je třeba ztížit možnosti úniku informací ze společnosti
    • Udržujte vaši společnost mimo zpráv médií
    • Zajistěte, že vaše společnost projde svým IT bezpečnostním auditem
    • Ujistěte se, že vaše organizace je ve shodě se všemi relevantními a aktualizovanými státními a mezinárodními zákony
    • Dbejte na své interní PR
  2. Nechť váš šéf dělá dobrý dojem
    • Dodržujte rozpočet
    • Zajistěte, že váš šéf je chápán jako lídr, nejen jako manažer.
    • Pomozte vašemu šéfovi k tomu, aby se IT bezpečnost stala součástí manažerských jednání
  3. Myslete jako CFO
  4. Vylepšete vzdělávání zaměstnanců vaší organizace

Složitost sítí vede k bezpečnostním incidentům – Network complexity causes security incidents. V článku jsou tlumočeny výsledky přehledu společnosti AlgoSec. Jsou zde uvedena následující čtyři klíčová zjištění:

  • Složitost vede k rizikům
  • Prostředí sítě je přesyceno množstvím různých dodavatelů
  • Taková prostředí jsou složitý
  • Konsolidace je klíčem k zjednodušení správy

Obchodníci v boji proti online podvodům používají cesty, které nejsou efektivní – Merchants ineffectively fighting online fraud. Zde jsou tlumočeny výsledky přehledu, který zpracovaly společnosti Card Not Present and SignatureLink. Například je zde doporučováno (kvůli podvodům s IP adresami) používat pro geolokaci řešení druhé generace, což dělá jen málo obchodníků.

Americké malé a střední podnikání málo dbá na kybernetickou bezpečnost – SMBs not concerned about cybersecurity. V tomto článku jsou popisovány výsledky přehledu NCSA a Symantecu (podílelo se na něm 1015 podnikatelských jednotek). V závěru je uvedena sada osmi doporučení.

EU vidí problémy v politice Google pro ochranu soukromí – EU regulators find legal problems in Google privacy policy. I nově opravená politika může vést k narušování legislativy EU. Toto zjištění obsahuje dopis, který byl kalifornské společnosti Google zaslán.

Má vaše podnikání bezpečnostní plán? Malá podnikání čelí interním i externím rizikům, je nezbytné proto, aby existovala komplexní analýza možných rizik, aby byly identifikovány klíčové body v tomto směru a byly definovány odpovídající bezpečnostní postupy – Does Your Business Have a Security Plan? V článku je formulována řada otázek, na které byste si ve firmě měli umět odpovědět.

15 Tips to Improve Your Infosec Risk Management Practice aneb 15 doporučení k tomu, abyste vylepšili svou správu rizik. Cindy Valladares a David Spark se vyptávali s tímto cílem šesti bezpečnostních ředitelů z různých odvětví.

Policie z Manchesteru zaplatila velkou pokutu poté, co ztratila důležitá data – Manchester plods cop L120k fine for USB-stick-inna-wallet data gaffe. Zaplatila 120 000 liber, data se týkala tisíce lidí, kteří jsou vyšetřováni z podezření na kriminalitu související s léky (drogami). Osobní data byla v nechráněné podobě na paměťové klíčence.

Britové odmítli vydat Gary McKinnona do USA – Update: U.S. ‚disappointed‘ over U.K. refusal to extradite hacker Gary McKinnon. Spojeným státům se to pochopitelně nelíbí.

Rakousko zaznamenalo prudký nárůst počítačové kriminality – Cyber crime rises sharply in Austria. Krátká zprávička, která se týká našeho blízkého souseda.

Whitfield Diffie: Nezabezpečujte internet – potřebuje kriminalitu – Don't secure the internet, it needs crime: Diffie. Vytvoření kompletně bezpečného internetu by se mohlo stát chybou. Kriminalita obecně vytváří pracovní místa pro policii, soudce, právníky, pojišťovny. V tom jsou veliké peníze, zatímco kriminální živly z toho mají jen nepatrnou část, říká Diffie. Zajímavý a určitě netradiční názor.

Osm doporučení pro malé podnikání – k tomu, aby toto zlepšilo své online bezpečí – 8 tips for small business to improve online safety. Doporučení vychází ze zjištění v přehledu 2012 NCSA/Symantec Small Business Study:

  • Mějte přehled o tom, co potřebujete chránit
  • Prosaďte politiky silných hesel
  • Načrtněte ještě dnes plán připravenosti na pohromu
  • Zašifrujte důvěrné informace
  • Používejte spolehlivé bezpečnostní řešení
  • Kompletně chraňte informace
  • Aktualizujte
  • Vychovávejte zaměstnance

NATO vybralo uslovnogo kiberprotivnika – Rusko k chystanému kybernetickému cvičení NATO. Viz také – Rusko verbuje hackery a zbrojí na kybernetickou válku. Po vzoru NATO.

CISSP certifikace, kterou obhospodařuje (ISC)2 – existují pochyby o její funkčnosti, dojde ke změnám? ‚Four horsemen‘ posse: This here security town needs a new sheriff – v listopadu proběhnou volby, podaří se do této instituce proniknout lidem s radikálními názory?

Sadu doporučení k ochraně vašeho soukromí najdete na stránce Tips for protecting your privacy. Pablos Holman a 3M:

  • Necestujte v oblečení se značkou vaší společnosti
  • Chraňte soukromí na obrazovkách mobilních zařízení
  • Pozor na RFID platební karty
  • Používejte správce hesel (k zapamatování složitých hesel)
  • Chraňte svůj mobil heslem

U.S. rattles preemptive cyberattack saber – USA rachotí preventivním kybernetickým útokem. Taylor Armerding rozebírá ne zrovna příjemné, ale bohužel aktuální otázky typu digitální Pearl Harbour. V článku (kromě nedávného projevu amerického ministra obrany Panetty) jsou citovány názory řady amerických činitelů.

The Importance of Security Awareness – k důležitosti budování bezpečnostního povědomí. Známý odborník Richard Bejtlich ve svém krátkém příspěvku popisuje, jaké vlastnosti by měl mít ”nejlepší“ program tohoto typu.

Jak chránit počítačové centrum před zombie apokalypsou – Prepare your data center for the zombie apocalypse. Trocha humoru nikdy nezaškodí. Ale článek obsahuje i poučné momenty.

Co nachází penetrační testeři uvnitř vaší sítě – Tech Insight: What Penetration Testers Find Inside Your Network. Článek je věnován hlavním zranitelnostem, které penetrační testeři nachází tentokrát při interních testech. Autor nejprve upozorňuje na rozdíly externích a interních penetračních testů. Vyjmenovává pak nacházené zranitelnosti, které jsou útočníky využitelné.

Pen Tester's Guide: Steps for Executing a Social-Engineering Attack – příručka pro penetračního testera (ve vztahu k sociálnímu inženýrství). Nezbytná je registrace. Dokument se nazývá ”Malware Simulation via Social Engineering“.

Sociální sítě

Podvržená oznámení z Facebooku vedou na malware – Bogus Facebook notifications lead to malware. Dancho Danchev ukazuje příklad takovéto zprávy.

”Terrible rumors about you“ se šíří Twitterem, útok vás může připravit o účet. Daniel Dočekal na Lupě: Měsíce stará vlna phishingu nachází nové oběti i mezi českými uživateli Twitteru. Kupodivu stále platí, že lidé své přihlašovací údaje ochotně zadají do jakéhokoliv formuláře, který se před nimi objeví. Co dělat, pokud se stanete obětí útoku?

Podvržené pozvání LinkedIn vede k malwaru – Bogus LinkedIn Invitations Lead to Malware. Další varování před phisherským útokem ze sociálních sítí.
Viz také další informaci podobného charakteru: Malware campaign spreading via Facebook direct messages spotted in the wild

Software

”Obrázkové“ přihlašování do Windows 8 ještě stále není bezpečné – Windows 8 Picture log-in ‚still not secure‘. Problém nalezl Passcape Software – Windows 8 stores logon passwords in plain-text.

Vývojáři ignorují svou bezpečnostní odpovědnost – Developers ignore their security responsibilities: Oracle. V tomto duchu vystoupila na akci Australian Information Security Association´s National Conference 2012 (Sydney) Mary Ann Davidson (hlavní bezpečnostní šéf Oracle).

Default Do Not Track Is Best Choice for Internet Explorer 10 Users – k diskuzi o defaultní opci Do Not Track pro IE 10. Reklamní společnosti bojují proti ní, soukromí uživatelů však mluví jasně pro její zavedení.

Google říká: bezpečnost je v cloudu lepší než doma – Security better in-cloud than in-house: Google. Eran Feigenbaum s tímto vystoupil na Australian Information Security Association´s National Conference 2012.

Nedávejte svá data do nezabezpečeného cloudu – Keeping Data Out Of The Insecure Cloud. Tento pohled rozebírá Robert Lemos.

Windows 8 ve vztahu k obraně před malwarem přinesou určitá vylepšení – Microsoft Windows 8 brings malware improvements, says antivirus researcher. Popisuje je Ellen Messmer.

Kaspersky Lab to create new OS ‚to save the world‘ – Kaspersky Lab chce přijít s novým operačním systémem, který má ”zachránit svět“. Měl by být určen k odclonění útoků kybernetických zbraní na kontrolní průmyslové systémy.
Viz také komentáře:

Steam umožňuje cestu zranitelnostem – Steam spawns vulnerabilities, say researchers. Společnost Revuln zpracovala dokument STEAM BROWSER PROTOCOL INSECURITY obsahující jejich podrobný popis. Viz také k článku připojené video.
Viz také komentáře:

Stormy October patch day for Oracle – Oracle, koná se velké záplatování. Dříve nalezená díra v Javě je však stále přítomna.
Viz také komentář – Critical Java Patch Plugs 30 Security Holes.

Jak se připravit na Windows 8 (bezpečnostní pohled) – How to Prepare for Windows 8. Na otázky v tomto interview odpovídá Chenxi Wang (analytik společnosti Forrester).

Byl vydán volně dostupný open source nástroj Social-Engineer Toolkit (SET) 4.1.3 – Social-Engineer Toolkit (SET) 4.1.3 Released. Využití tohoto nástroje (v rámci penetračních testů) je směrováno na lidský prvek.

Malware

Next-Generation Malware: Changing The Game In Security's Operations Center – čemu bude čelit vaše společnost? Je poukazováno na to, že nyní podniky zřizují svá vlastní bezpečnostní operační centra, provádí své analýzy malwaru, provádí svůj vlastní sběr informací o existujících hrozbách.

Nová verze trojanu Citadel stojí více, ale umožňuje snadnější aktualizace – New Citadel trojan costs more, but allows for easier updates. Citadel je varianta bankovního trojana Zeus.

Špionážní malware

Objeven byl další bratříček Flame – State-Sponsored Malware ‘Flame’ Has Smaller, More Devious Cousin. Pracovníci Kaspersky Lab mu říkají miniFlame. MiniFlame (jak se zdá) má za úkol získat kontrolu a důsledněji sledovat možnosti vybraných počítačů, těch, které již byli infikování prostřednictvím spywaru Flame a Gauss. Viz také komentáře:

Podrobnou analýzu miniFlame najdete zde – miniFlame aka SPE: ”Elvis and his friends“.
Další komentáře:

Původně se zdálo, že se jedná o jeden modul Flame, pracovníci Kaspersky Lab pak zjistili, že je to ale vlastně nezávislý kus malwaru.
Komentářů se objevilo mnoho:

Viry

Sophos aktualizoval svůj volně dostupný Virus Removal Tool – Sophos updates free Virus Removal Tool. Najdete ho na této stránce – Virus Removal Tool. Free virus detection and removal.

Dennis Technology Labs otestovaly některé bezpečnostní produkty – Paid secur-o-ware is generally better than free, but not always by a lot. Titulek článku říká – placené produkty jsou o něco lepší než ty volně dostupné, ne však o moc. Nejlepší známu (AAA) dostaly produkty Kaspersky Internet Security 2012 a Norton Internet Security 2012, známku AA pak produkty BitDefender Internet Security 2013 a ESET Smart Security 5. Nejhůře dopadly McAfee Internet Security 2012 a Microsoft Security Essentials.
Viz také komentář – Antivirus evaluation puts Kaspersky and Symantec on top .

Hackeři a jiní útočníci

Kybernetičtí zloději ukradli 400 000 dolarů z účtu města (USA) – Cyberthieves loot $400,000 from city bank account. Jedná se o pobočku Bank of America ve městě Burlington (stát Washington).

Útoky DDoS

Cesty útoků DDoS a jak se před těmito útoky bránit či jak zmírnit jejich dopady – DDoS attack methods and how to prevent or mitigate them. Další z článků na toto nepochybně aktuální téma připravil Patrick Lambert. Upozorňuje (mimo jiné) na takové kritické místo ve vaší síti, jako je váš DNS server.

Addressing the DDoS Threat – jak bojovat s hrozbami DDoS? Rozsáhlejší článek obsahuje interview s Billem Wansleyem (Booz Allen Hamilton). Ptala se ho Tracy Kitten. Klíčové body interview:

  • Steps institutions should take to ensure the security protocols they have in place are actually effective at detecting and preventing a threat
  • Why information sharing has made a positive difference
  • How other industries should prepare themselves for cyberattacks

Článek obdobného typu (jeho autorkou je Tracy Kitten) najdete na stránce DDoS Attacks: How to Reduce Your Risks.

Širokopásmové DDoS jsou současnou realitou – High bandwidth DDoS attacks are now common, researcher says. V článku jsou popisována zjištění společnosti Prolexic. Kompletní zprávu najdete na odkazu Quarterly Global DDoS Attack Report Q3 (nezbytná je registrace).

Útoky nulového dne

Before We Knew It. An Empirical Study of Zero-Day Attacks In The Real World – zajímavá studie, která se podrobně zabývá útoky nulového dne. Tento dvanáctistránkový dokument je také diskutován na Schneierově blogu – Studying Zero-Day Attacks.

Útoky využívající zranitelnosti nulového dne zůstávají často dlouho skryty – Zero-Day Attacks Escape Detection for Nearly a Year: Symantec Study.

Anonymous

Anonymous nemohou nahrazovat soudy – Anonymous Outs Amanda Todd's alleged tormentor. Smutný příběh patnáctileté dívenky, která skončila sebevraždou. Anonymous zveřejnili osobní data člověka, který byl původcem celého neštěstí. Bill Brenner vysvětluje, proč Anonymous neříká bravo a nezbývá než s ním souhlasit.
Viz informace na stránce Anonymous Outs Suicide Victim´s Alleged Tormentor.

K útoku na banku HSBC se přihlásili Anonymous – Anonymous cell: Shove off, credit-hoggers, WE took down HSBC. Weby HSBC různě ve světě byly ve čtvrtek v noci offline.
Viz také komentáře:

Hardware

Kontrolní systémy pro solární panely lze hacknout – Solar panel control systems vulnerable to hacks, feds warn. Autoři v článku zmiňují celou řadu produktů. Své informace opírají o zprávu Multiple vulnerabilities in Ezylog photovoltaic management server.

Pacemakery, defibrilátory mohou být předmětem útoků – Pacemakers, defibrillators open to attack. Barnaby Jack k těmto otázkám poprvé vystoupil v roce 2010. Nyní ve svém vystoupení na akci „Ruxcon Breakpoint security conference“ v Melbourne doplnil další podrobnosti.
Viz také komentář – Pacemaker hack can deliver deadly 830-volt jolt.

Bezdrát

Většina uživatelů věří tomu, že volně dostupné bezdrátové připojení vede ke krádežím identit – Most believe free Wi-Fi can lead to identity theft. Článek je věnován výsledkům studie, kterou připravily Identity Theft Resource Center (ITRC) a PRIVATE WiFi.

RFID

Texaská škola trestá studenty, kteří odmítají být sledováni mikročipem – Texas schools punish students who refuse to be tracked with microchips. Pokud bude tento projekt úspěšný, má být využit celkem ve 112 školách a týkat se bude 100 000 studentů.

Mobilní zařízení

Nový malware útočí na mobily s Androidem – New malware attacks Android smartphones. FBI vydala varování před malwarem, které má označení Finfisher a Loozfon, viz – Intelligence Note. K tomu, aby infikovali mobil, útočníci posílají SMS zprávy s odkazy na škodlivý web.
Viz také komentář – FBI warns commercial spyware has made jump to Android.

Společnost Apple potichu spustila v iOS 6 znovu sledování uživatelů – Apple Has Quietly Started Tracking iPhone Users Again, And It's Tricky To Opt Out. Není přitom tak jednoduché ho vypnout. Viz diskuzi na Schneierově blogu – Apple Turns on iPhone Tracking in iOS6.
Dále – viz komentář – A lesser-known new feature in iOS 6: It´s tracking you everywhere.

Zařízení BYOD – jaké v souvislosti s nimi mohou existovat díry ve vaší bezpečnostní politice? V rozsáhlejším článku BYOD filling the holes in your security policy.html tuto problematiku rozebírá Paul Roberts. Uvádí a ve stručnosti rozebírá čtyři přístupy, které by v souvislosti s vytvářením odpovídajících interních politik mohly napomoci:

  1. Poznej svého nepřítele (a svého přítele)
  2. Zredukuj možnosti útoků
  3. Nastav pravidla
  4. Konfrontuj zjištění

V závěru článku jsou pak ještě uvedeny dvě sady doporučení.

Francouz byl uvězněn kvůli podvodům s Android SMS malwarem – French cops cuff man over €500K Android Trojan scam. 17 000 obětí mělo nainstalováno trojana, který se tvářil jako legitimní aplikace pro Android. Ve skutečnosti posílal SMS na prémiová čísla. Podvodník si tak přišel na půl miliónu euro.

Některé aplikace pro Android obsahují zranitelné SSL – Some Android apps have serious SSL vulnerabilities, researchers say. Odborníci ze dvou německých univerzit prozkoumali 13 500 aplikací na Google Play store ve vztahu k SSl a TLS zranitelnostem. Našli, že 1074 aplikací obsahuje některý typ zranitelnosti tohoto typu.

Spam

Podvody SMS spamu – na vrcholu žebříčku je ”ochrana“ plateb – Payment protection tops list of SMS spam scams. Tato informace pochází od společnosti AdaptiveMobile.

Forenzní analýza

How IT Can Prepare for Mobile Forensic Investigations – jak se IT může připravit na mobilní forenzní vyšetřování. V článku jsou citovány myšlenky Davida Nardoni z PwC:

  • Your Policy Needs to Give You the Right to Examine Employee Devices
  • Embrace BYOD But Still Limit Authorized Devices
  • Train Your IT Teams in the Tools

Elektronické bankovnictví

Bank Attacks: What Have We Learned? – útoky na banky, jak se z nich lze poučit? Tracy Kitten poukazuje na postupy útočníků, sofistikovanost útoků. DDoS útoky mohou zakrýt jiný útok směřující k podvodu. V závěru článku je uvedeno doporučení Jasona Malo (CEB TowerGroup), ve kterém poukazuje na potřebu bank využívat pro servery hybridní model (některé servery umístit do cloudu).

Bank Hacks: Iran Blame Game Intensifies – útoky na americké banky – stopy vedou do Íránu. V komentáři jsou mj. hodnoceny možnosti íránské vlády v tomto směru.

Zpráva říká, že velké americké banky byly zasaženy 20 různými rodinami crimewaru – Report: Large US bank hit by 20 different crimeware families. Článek je komentářem k výsledkům zprávy, kterou připravila společnost Trusteer.

Phishing

Cílený phishing zneužívá Windows Help soubory připojené k e-mailu – Spear phish uses Windows HLP files to skirt detection. Uživatel je vidí jako soubory zip. Pokud ho však otevře, vznikne několik zadních vrátek. Viz blog Symantecu – Targeted Attacks Make WinHelp Files Not So Helpful.

Byla vydána pravidelná zpráva APWG Phishing Activity Trends Report, 2nd Q 2012. Komentář k jejím výsledkům je na stránce Phishing attacks increasingly target brands. Roste počet útoků na identifikovatelné obchodní značky a roste počet webů, kde je cílem oklamat návštěvníky.

Elektronický podpis

Best Practices and Applications of TLS/SSL – nejlepší postupy a aplikace TLS/SSL. Osmnáctistránková studie Symantecu rozebírá např. následující body: What is TLS/SSL?, Key Security, TLS vs. SSL, Trusted Certificate Authorities, Extended Validation (EV) SSL, Client Security with TLS/SSL, Web and Intranet Servers, Certificate Management a další.

Mnoho SSL stránek je stále zranitelných vzhledem k útok BEAST – One year on, SSL servers STILL cower before the BEAST. A to přestože tato zranitelnost byla demonstrována již před rokem. Vyplývá to z výsledků přehledu SSL Pulse. Survey of the SSL Implementation of the Most Popular Web Sites.

Normy a normativní dokumenty

Byla vydána nová norma – ISO/IEC 27032. Poskytuje rámec pro: ”information sharing, coordination and incident handling within the context of online, website-based communication, to facilitate secure and reliable collaboration that protects the privacy of individuals“. V článku ISO releases cyberspace-focused security standard jsou komentovány možnosti jejího využití.

bitcoin_skoleni

Kryptografie

Everyday Cryptography, zde najdete recenzi knihy, jejíž celý název knihy je Everyday Cryptography: Fundamental Principles and Applications. Jejím autorem je Keith M. Martin. Kniha vyšla v květnu 2012, má 592 stran a vydalo ji nakladatelství Oxford University Press, USA. Najdete ji na Amazonu.

Různé

Přehled vychází z průběžně publikovaných novinek na Crypto – News.

Autor článku