Bezpečnostní střípky: proběhla konference Black Hat DC 2011

24. 1. 2011
Doba čtení: 16 minut

Sdílet

Pravidelný pondělní přehled informací vztahujících se k problematice bezpečnosti IT. Z novinek právě uplynulého týdne upozorníme na neoficiální příručku k ochraně soukromí na Facebooku, na komentáře k přehledům společností Sophos a Symantec (malware) a opět je zde řada informací o aktivitách hackerů.

Přehledy

V tomto týdnu byla vydána zpráva Sophos 2011 threat report. Stručný komentář k ní je na stránce Sophos outlines threat landscape for 2011. Zpráva obsahuje mj. charakterizaci současné situace na poli s malware a popisuje možné směry útoků v roce 2011.
Další komentář – Dramatic increase in malware and phishing via social networks – poukazuje zejména dopady rostoucího množství malware v sociálních sítích.
Viz také – Social Networking A Major Security Threat, Cybercriminals Eye Facebook
a komentář Billa Brennera na stránkách csoonline.com – Outtakes from Sophos threat report.

Statistiky černého trhu počítačové kriminality najdete v analytické zprávě PandaLabs – The Cyber-crime Black Market: Uncovered. Čerpá z ní článek Cybercrime black market statistics. Z obsahu zprávy:

  1. Úvod
  2. Evoluce malware orientovaného na krádeže bankovních detailů
  3. Jak černý trh funguje
  4. Zběžný popis černého trhu
  5. Proces prodeje (rozsahem největší část studie)
  6. Jak minimalizovat rizika

Obecná a firemní bezpečnost IT

Tuniská vláda údajně hackovala účty disidentů a novinářů na Facebooku a G-mailu – Tunisian Government Allegedly Hacking Facebook, Gmail Accounts of Dissidents and Journalists. Měl za tím být zvláštní kousek JavaScriptu, který se objevoval na obrazovce při přihlašování do internetu. Kampaň proti tuniské vládě spustila skupina Anonymous.

Dancho Danchev – záhadné zmizení tohoto bezpečnostního odborníka – We need help with the strange disappearance of Dancho Danchev. Zmizel v srpnu tohoto roku. Mohlo se mu prý něco stát v jeho rodném Bulharsku. Mimochodem – naši čtenáři se s informacemi, jejichž byl Dančo autorem, setkávali i na těchto stránkách. V článku Report: ZDNet´s Danchev Hospitalized? je vyslovena domněnka, že Dančo byl v Bulharsku hospitalizován.

Ochrana dat – Bílý dům by si měl zamést před vlastním prahem – White House Tour Cybersecurity: Send In Your SSN – Via Unencrypted, Unprotected Email! Lauren Weinstein kritizuje současnou situaci, kdy návštěvníci, kteří chtějí navštívit Bílý dům, musí sdělit čísla svého sociálního pojištění (což je citlivý osobní údaj). Údaj je však zasílán nechráněným e-mailem a tak lze k těmto datům získat snadno přístup. Jako příklad jsou zde uvedena SSN i některých kongresmanů. Kdybychom se obrátili do našich domácích podmínek – jistě by se našlo nemálo příkladů nevhodné práce s rodnými čísly.

ENISA – soukromé cloudy jsou pro veřejný sektor nejlepší – Enisa: Private clouds are best for public sector. Jack Clark komentuje zprávu ENISA ( Governmental Cloud in the EU – New Agency Report, je zde i odkaz na plné znění zprávy) vydanou v pondělí 17.1.2011. Zpráva pozitivum spatřuje i v pohledu na bezpečnost.

Deset bezpečnostních předpovědí pro rok 2011 připravily bezpečnostní odborníci ze společnosti WatchGuard Technologies (10 security predictions for 2011):

  • Objeví se pokročilé setrvávající hrozby (APT – advanced persistent threats)
  • Eskalace kyberválky
  • Porostou VoIP útoky
  • Perimetr se zmenší a zpevní
  • Hackované automobily
  • Facebook a další sociální média budou na čele ve vztahu k hrozbám
  • Poroste množství malware přímo v produktech výrobců
  • Očekáváme lepší mechanizmy pro prevenci před ztrátou dat (DLP – data loss prevention)
  • Prioritou se stává detekce
  • Malware jako služba

Počítačová kriminalita a americký soudní systém jsou námětem článku Cybercrime and the U.S. criminal justice system, kterým M. E. Kabay zahajuje novou sérii. Tentokrát je orientovaná na témata z třídílné knihy The Handbook of Technology Management. První (v nadpisu uvedené) téma zpracovala profesorka Susan Brenner. Kabay v článku vyjmenovává klíčové koncepty tématu.

Black Hat – poukázáno zde bylo na nedostatečně bezpečnou ochranu zařízení pro pečetění zakázek – Gaping security flaw exposed on anti-tamper devices. Celní inspektoři a další provádí své kontroly právě na základě těchto ochran, zjišťují zda vnitřek zakázky nebyl narušen. Jednat se přitom může dokonce i o jaderné materiály. Jamie Schwettmann a Eric Michaud na konferenci rozebrali dlouhou řadu těchto zařízení (tamper-evident devices) a u každého z nich ukázali cesty, jak je možné jejich funkčnost obejít.

Výzkum rakoviny – vědci ukradli notebook a přišel o roky práce (nezálohoval…) – Cancer researcher has laptop stolen with no data backed up. Rekonstrukce ztracených dat potrvá nejméně dva roky.

Britský lékař přišel o notebook s nezašifrovanými daty pacientů – UK doctor loses unencrypted laptop containing patient data. Čelí nyní disciplinárnímu řízení. Notebook byl ukraden z jeho bytu. Celkem zde byla data, která se týkala 1147 pacientů.

Stane se elektronické mýtné cílem teroristů? Používané technologie diskutoval na konferenci Black Hat Rob Havelt (Trustwave's Spi­derLabs) – Will electronic toll systems become terrorist targets?. Tyto systémy jsou někdy používány ke kontrole provozu a k varování řidičů. Toto však může být zneužito, uvádí Havelt.

Britská vláda pochybuje o možnostech globální dohody na poli boje s počítačovou kriminalitou – Government highlights „fundamental differences“ within global community on internet governance. Příčinou mají být fundamentální rozdíly v pohledu na vývoj okolo internetu. Toto vyhlášení vychází z existujících problémů při prosazování stávajících programů.

ENISA vydala příručku – Průvodce správou bezpečnostních incidentů – Cyber security incident management guide. Najdete ji na stránce Good Practice Guide for Incident Management. Dokument má 110 stran a obsahuje následující kapitoly:

  1. Management Summary
  2. Legal Notice
  3. Aknowledgements
  4. Introduction
  5. Framework
  6. Roles
  7. Wokrflows
  8. Incident Handling Process
  9. Policies
  10. National and International Cooperation
  11. Outsourcing
  12. Presentation to Management
  13. References
  14. Annexes + Index

SpiderLabs vydaly zprávu, která si klade za cíl charakterizovat, jak se mění dnešní počítačová kriminalita – A global shift in cybercrime. Článek obsahuje komentář k zprávě této společnosti, některé grafy a hlavní zjištění.

The unofficial guide to Facebook privacy – to je informace k neoficiální příručce k ochraně soukromí na Facebooku. Na stránce najdete cestu k příručce (52 stran, nezbytná je registrace). Je zde podrobně rozbírána celá škála možností, které práce na Facebooku umožňuje a to souběžně s bezpečnostními doporučeními.

Průlom: Surfujete v práci na webu? Šéf má právo sledovat tajně váš počítač. Z úvodu: Český soud rozhodl, že firmy mohou skrytě sledovat počítače svých zaměstnanců. A za brouzdání na internetu dát výpověď.

Kybernetická válka

Studie OECD říká, že kybernetická válka je přeceňovaným pojmem – Cyberwar hype is obscuring real security threats. Je málo pravděpodobné, že někdy vůbec bude skutečná kybernetická válka, říkají autoři studie a uvádí své argumenty. Počítačová válka spíše bude doprovodnou ke klasickým válečným konfliktům. Studie ale také vyjmenovává reálné kybernetické hrozby.

Kybernetickou válku nemusí rozpoutat jen stát (národ) – Cyberwar: Enemy Needn't Be a Nation-State. Autor nesouhlasí s názorem Bruce Schneiera (vyslovil ho v nedávném interview). Podle něho (Eric M. Fiterman) Schneier ignoruje fakt, že pro provádění kybernetické války nejsou nezbytné atributy trafičního vojenského konfliktu.

Hacker říká, že umí využít zranitelnosti amerických vládních stránek – Ready for Cyberwar?. Nabízí je k prodeji, např. stránku cecom.army.mil za 499 dolarů. Viz také – Got $500? You can buy a hacked U.S. military website.

WikiLeaks

WikiLeaks uveřejní dokumenty z bankovních rájů, týkají se i politiků, z úvodu: Bývalý švýcarský bankéř Rudolf Elmer v Londýně předal serveru WikiLeaks data, která podle něj dokumentují, jak se na dva tisíce obchodníků, politiků a korporací vyhýbalo placení daní přes konta v bankách v daňových rájích. WikiLeaks chce dokumenty uveřejnit do dvou týdnů.

WikiLeaks získává dokumenty také prostřednictvím P2P sítí – Claim: WikiLeaks Published Documents Siphoned Over File Sharing Software. Pennsylvánská firma Tiversa opírá toto své tvrzení o jí provedený monitoring akcí čtyř počítačů ze Švédska. Tyto vyhledávali na P2P sítích excelovské dokumenty (a další obsažná data), některé z nich pak byly zveřejněny na stránkách WikiLeaks.

Sociální sítě

Pavel Čepský na Lupě: Facebook a Twitter: Největší hrozbou jsme my! Pokud se řekne Facebook, řadě jeho příznivců zaplesá srdce, stejně tak ale velkému množství jiných vytanou na mysli obavy o soukromí. Podobně je tomu i v případě Twitteru. Hlavní nebezpečí a průšvihy si však stále způsobujeme sami.

Na Facebooku byla zrušena možnost sdílení osobních dat (zneužívaná vývojáři aplikací) – Facebook suspends personal data-sharing feature. Jedná se zejména o domácí adresy a čísla mobilních telefonů.

Letos budou v ohrožení především uživatelé sociálních sítí, tvrdí analytici Esetu. Krátká informace (CTAC – Cyber Threat Analysis Center, Centrum pro analýzu kyberhrozeb firmy Eset) říká: Útočníci používající sociální inženýrství se zaměří na sociální média více než doposud. Kromě Facebooku budou jejich terčem i další sociální sítě, jako je LinkedIn, Orkut nebo Twitter, a vyhledávače – spolu s Googlem i Bing či Yahoo.

Software

Microsoft přichází s novým bezpečnostním nástrojem – Microsoft adds to security tools for developers. Jeho Attack Surface Analyzer je určen k tomu, aby zjistil zda nově vyvíjené či instalované aplikace nemění bezpečnostní vlastnosti operačního systému. Lze si ho stáhnout zde (je volně dostupný).

Test třinácti systémů pro prevenci průniků provedla NSS Labs – A test of 13 intrusion prevention systems. V článku jsou shrnuty jen obecné výsledky (ve vztahu k výsledkům za rok 2009 se zvýšila efektivnost, naopak snížil se výkon), za samotnou zprávu je bohužel třeba zaplatiti nemalou sumu.

Inguma, to je nástroj pro penetrační testy a zkoumání zranitelností, který se nyní objevil v nové verzi – Inguma Is Back – The Penetration Testing & Vulnerability Research Toolkit. Inguma je napsána v pythonu. V článku je uvedena řada odkazů na doprovodnou dokumentaci a na stránku, odkud lze nástroj stáhnout

K XSS zranitelnosti portálu Seznam.cz se obrací článek na stránkách soom.cz. Zranitelnost se vyskytovala po přihlášení ke svému účtu při zobrazování poznámek na homepage www.seznam.cz a bylo možné jejím prostřednictvím napadat uživatelské účty, pokud jejich vlastník použil podvržený odkaz. V článku je exploit (již opravené zranitelnosti) podrobně rozebírán, přiloženo je také video.

Malware

Třemi nejpoužívanější soubory nástrojů pro aktivity malware na internetu jsou MPack (48 procent), NeoSploit (31 procent) a Zeus (19 procent). Ellen Messmer na stránce MPack, NeoSploit and Zeus top most notorious Web attack toolkit list informuje o výsledcích zprávy, kterou připravila společnost Symantec.
Viz také komentář – Attack Toolkits Dominating the Threat Landscape .
S kompletní zprávou Symantecu se lze seznámit zde – Symantec Report on Attack Kits and Malicious Websites.

Počítačovým virům je 25 let, dnešní hrozbou jsou útočné soubory nástrojů – As PC Virus Turns 25, New Worry Emerges: Attack Toolkits. Bill Snyder využívá příležitost zmíněného výročí a dívá se na dnešní situaci. Uvádí šest důvodů, které vedou k obavám.
Těmito soubory nástrojů se zabývá i Brian Prince – How Attack Toolkits Impact the Cyber-Underground (také v návaznosti na nedávno vydanou zprávu Symantecu).
Příklad univerzálního malware (napadá počítače s Windows, Mac OS a Linuxem) rozebírá Dan Goodin na stránce Bot attacks Linux and Mac but can´t lock down its booty.

Prevence spyware, základní fakta k této problematice najdete na stránce Spyware prevention 101. Je to shrnutí, se kterým se může seznámit každý uživatel počítače.

Powerpoint prezentace Kamasutra, to je jedna z nebezpečných hrozeb posledních měsíců – Kama Sutra PowerPoint named as one of the threats of the last three months, as new warnings made on malware that bypasses cloud-based anti-virus . Pokud se uživatel chytne na vějičku a podaří se mu stáhnout si trojana, bude se ho dost těžko zbavovat. Hackeři díky vytvořeným zadním vrátkům pak mohou získat přístup ke všem osobním souborům oběti.

Stuxnet

Červ Stuxnet byl nejprve testován v Izraeli – Israeli Test on Worm Called Crucial in Iran Nuclear Delay. A to v jaderném komplexu Dimona. Červ byl vyvinut americkými a izraelskými odborníky, tvrdí autoři článku (oficiální místa nic takového nepřiznávají).

Iránský jaderný program a éra počítačové války, tyto souvislosti rozebírá článek Iran's nuclear program and a new era of cyber war . Stuxnet může zůstat trvalou osinou Iránu, říká německý odborník Ralph Langner. Irán by musel vyměnit všechny počítače.
Viz také – V Íránu hrozí kvůli počítačovému viru nový Černobyl, varují ruští vědci.
Komentář Johna Leydena – Israel and US fingered for Stuxnet attack on Iran – shrnuje současná známá fakta. Podle autora však informace v článku New York Times neobsahují dostatek důkazů k teorii, že za červem stojí spolupráce Izraele a USA.
Gregg Keizer v článku Israel tested Stuxnet worm, says report říká, že dle jeho názoru se Irán z potíží způsobených Stuxnetem jen tak lehce nevymotá.

Červ Stuxnet byl diskutován také na konferenci Black Hat – Black Hat puts ‚offense‘ on its cyber agenda . Jeff Moss říká, že někteří odborníci označili Stuxnet jako první cílenou útočnou kybernetickou zbraň. Podle Mosse nebude Stuxnet první takovou zbraní, bude jen první, o níž byly zveřejněny informace.

Co mají společného Open BSD IPSec a Stuxnet – More on OpenBSD IPsec. Podle autora komentáře na tomto blogu se zde objevuje jedno jméno – Jason Wright.

Společnost F-Secure se vyjádřila k novinkám, které se týkají červa Stuxnet – New info on Stuxnet. K informacím, bohatě ilustrovaným fotografiemi, je v závěru připojeno také video – new Stuxnet video.

Autoři Stuxnetu udělali několik základních chyb – Stuxnet Authors Made Several Basic Errors. V úterý na konferenci Black Hat s tím vystoupil Tom Parker. Analýzoval kód Stuxnetu a podle jeho přesvědčení není zase tak dobře udělán. Na druhou stranu je velice efektivní.
Vystoupení Parkera komentuje také John Leyden v článku Lame Stuxnet worm ´full of errors´, says security consultant.
Viz také – Stuxnet not such a masterpiece after all?.

Pomohla americká vládní laboratoř Izraeli vyvinout Stuxnet? Kim Zetter v článku Did a U.S. Government Lab Help Israel Develop Stuxnet ? jmenuje v této souvislosti Idaho National Laboratory.

Hackeři

Zveřejněn již byl výsledek – top 10 technik pro hackování webů v roce 2010 – Top Ten Web Hacking Techniques of 2010 (Official) . Jeremiah Grossman v článku shrnuje výsledky hlasování. Opět se uvedeny odkazy k popisům jednotlivých technik. Je zde také kompletní seznam všech diskutovaných technik (69 kousků).

FBI specifikovala obvinění v souvislosti s hackem AT&T, kdy došlo k úniku osobních informací uživatelů iPad – Feds Detail Charges in ATandT Hack That Exposed iPad E-Mail Addresses. Do vazby napochodovali dva muži (25 a 26 let), nyní čelí obviněním. Viz také – Hackers eyed sale of celebrity iPad data (hackeři chtěli prodávat data celebrit).

Hackerské útoky přinutily zavřít obchod s emisními povolenkami, z úvodu: Český registr obchodování s emisními povolenkami je uzavřen na dobu neurčitou v důsledku neoprávněných manipulací s účty některých obchodníků. Manipulace s účty mají patrně na svědomí počítačoví hackeři, kvůli kterým uzavřely své registry také další evropské země.

Z USB kabelu může být nástroj pro útok – Researchers turn USB cable into attack tool . Elinor Mills: Angelos Stavrou a Zhaohui Wang (George Mason University) to demonstrovali na konferenci Black Hat. Napsali SW, který mění funkcionalitu USB driveru a umožní útok, který je pak prováděn třeba při nabíjení mobilu. Viz také informace – Hacking with USB keyboard emulators.

K souborům nástrojů pro hackery se v článku The Hacker's Toolkit Returns vrací také Keir Thomas. Vybral si toto téma ze zprávy Symantecu a rozebírá podrobnosti. Brian Prince prezentuje data a statistiky související s používáním těchto souborů nástrojů ve formě slideshow na stránce – Exploit Toolkits: Software That Makes Cyber-Crime Easier.

Databáze kasin a účty hráčů se také stávají předmětem útoku hackerů – Casino Gambler Databases Becoming A Key Tool For Hackers. Několik takovýchto zpráv přichází z Las Vegas, informují o tom, že hackeři z účtů kradli nasbírané body.

N. Korea hackers attack defector website: report aneb o hackerech ze Severní Koreje. V článku je zmíněn útok na stanici Free North Korea Radio a citován názor Severní Koreje: máme k dispozici elitu hackerů.

Webová stránka s deseti milióny uživatelů varuje ohledně krádeže hesel – Website with 10 million users warns of password theft. Trapster říká, že jednorázovým aktem se hackeři dostali k e-mailovým adresám a heslům jejich uživatelů. Další podrobnosti přináčí článek – Trapster hack may have exposed millions of iPhone, Android passwords.

Hardware

Hacker PS3 odpovídá Sony : kočka se zpět do pytle nevrátí – PS3 Hacker to Sony: “Cat Not Going Back in the Bag”. Advokát George Hotze říká, dočasná restriktivní opatření nemají smysl, příslušné informace lze vždy najít na internetu pomocí Google.

Cesty, kterými Sony zastrašuje bezpečnostní odborníky, budí protesty – Sony sends ‚dangerous‘ message with PS3 lawsuit, says EFF. Podle Electronic Frontier Foundation (EFF) se žaloba, kterou Sony oznámilo, dá snadno dešifrovat takto: pokud budete publikovat podrobnosti bezpečnostních chyb, dostanete se do potíží.

Ještě k hackování automobilů se vrací Jaikumar Vijayan na stránkách Computerworldu – Keyless systems on cars easily hacked, researchers say. Dává zde odkaz na originální studii autorů (Aur´elien Francillon, Boris Danev, Srdjan Capkun) – Relay Attacks on Passive Keyless Entry and Start Systems in Modern Cars a popisuje výsledky provedené demonstrace (na deseti vozech od osmi výrobců).

Mobilní telefony

BlackBerry – byla oznámena odpověď na indické obavy – BlackBerry announces answer to India security fear. Bezpečnostní agentury Indie budou mít možnost přístupu k zašifrovaným zprávám, které jsou tímto mobilem přenášeny. Nebude se to však týkat přístupu k podnikovým e-mailovým službám.

Ochrana dat uložených v chytrých mobilech, pohled na ní spíše z hlediska právních ustanovení a dopadů (USA) přináší článek Why you should always encrypt your smartphone. Ryan Radia doporučuje všechna uložená data šifrovat. V druhé polovině článku uvádí autor malý přehled popisující, co v tomto ohledu jednotlivé modely mobilů umožňují.

Na konferenci Black Hat byl diskutován nový typ útoku na chytré mobily – Coming soon: A new way to hack into your smartphone. Ralf-Philipp Weinmann (University of Luxembourg) na konferenci ukázal, jak se z těchto zařízení mohou stát klasické špionážní sledovací systémy (dálkový odposlech). Uváděný hack je sice extrémně technicky náročný (např. vyžaduje falešnou telefonní věž), nikoliv však nemožný, říká jeho autor.

Elektronické bankovnictví

Seriál Briana Krebse o bankomatových podvodnících a jejich udělátkách najdete na stránce All About Skimmers. Za loňský rok napsal na toto téma Brian Krebs celkem deset článků, které zde máte předloženy v celkovém náhledu. Jednotlivé články jsou doplněny názornými fotografiemi a celkově tvoří solidní zdroj informací k tématice. K sérii nyní (pondělí 17. ledna 2011) připojil zatím poslední článek – ATM Skimmers, Up Close. Píše zde mimo jiné o existenci fóra, kde jsou prodávány různé typy těchto zařízení, pomocí kterých jsou podvody prováděny. Je zde také video, které Krebs získal (spolu s dalšími fotografiemi) přímo od prodejce těchto zařízení.

Kasík ztratil kreditní kartu České filharmonie, zloděj z ní vybral 192 tisíc, z úvodu: Pouhé tři měsíce v čele České filharmonie stačily Václavu Kasíkovi k tomu, aby svému zaměstnavateli způsobil škodu 192 tisíc korun. Kasík totiž ztratil služební kreditní kartu, ze které neznámý zloděj posléze vybral všechny peníze, které na účtu byly. Nebylo to pro něj nikterak obtížné, Kasík měl totiž u karty napsaný PIN.

K úniku dat z PenFed se vrací článek PenFed hacking leaves possibility of troop identity thefts. Počítačoví odborníci se domnívají, že k tomu došlo tak, že někdo (zaměstnanec, pracovník externí firmy či bankovní auditor) někde ponechal nechráněný notebook s daty.

Jak se stát (USA) pokouší zamezit online platebním podvodům – Identity Ecosystem: How the government is trying to stop online-payment fraud. Michael Kassner popisuje nejprve svou nedávnou nepříjemnou zkušenost (platil kartou benzin v Minnesotě a potom během hodiny na jeho účet přišla i jiná platba za něco co si určitě neobjednal). Komentuje pak zprávu National Strategy for Trusted Identities in Cyberspace z června 2010.

Phishing

Hlasový phishing: navštívili jste stránky WikiLeaks, za to zaplatíte – WikiLeaky phone scam targets unwary in US. Buď pokutou, anebo dokonce vězením, hlásá robot v automatickém systému. Panikařícím obětem je nabídnuto telefonní číslo, kde mohou diskutovat cestu k platbám…

bitcoin školení listopad 24

Elektronický podpis

Peterkův Báječný svět elektronického podpisu, rychlejší, bezpečnější a komfortnější komunikace se státní správou, úřady, bankami by měly být hlavním přínosem elektronického podpisu. Přes své výhody je v České republice stále využíván minimálně, na vině je zejména nízká informovanost veřejnosti o tomto nástroji. Změnit by to mohla pomoci chystaná kniha publicisty a nezávislého konzultanta v oblasti internetových technologií Jiřího Peterky Báječný svět elektronického podpisu, kterou vydá správce české národní domény .CZ. v rámci své Edice CZ.NIC. Předpokládaný termín vydání knihy je duben 2011. Pracovní verze knihy je přístupná na výše uvedené internetové adrese. Pokud chcete, aby byl Báječný svět elektronického podpisu ještě báječnější, pak můžete její finální verzi ovlivnit i vy a to v rámci diskusního fóra, které bylo na tomto webu pro daný účel zřízeno. Toto fórum bude laické i odborné veřejnosti otevřeno až do 11. února 2011. Po uzavření diskusního fóra budou všechny příspěvky vyhodnoceny a případně do konečné podoby knihy zapracovány.

Různé

Přehled vychází z průběžně publikovaných novinek na Crypto – News.

Autor článku