Bezpečnostní střípky: psychologie bezpečnosti

Obecná a firemní bezpečnost IT

Speciální stránku Rosse Andersona věnovanou psychologii bezpečnosti najdete na tomto odkazu – Psychology and Security Resource Page. Dialog mezi psychology a konstruktéry bezpečnosti IT probíhá na různých úrovních (makro, mikro). Anderson na své stránce sebral dlouhou řadu odkazů k materiálům, které jsou této problematice věnovány anebo jsou jí blízké. Stránce je také věnována diskuze na Schneierově blogu – Psychology and Security Resource Page.

Q&A: Schneier warns of marketers and dancing pigs, zde si lze přečíst rozhovor s Bruce Schneierem. Elinor Mills v zajímavém (e-mailověm) interview se dotkla celé řady otázek, které se dotýkají např. jeho vztahu k běžným každodenním otázkám bezpečnosti, ale i současného stavu této problematiky jako celku. Schneier v něm mj. říká: co se týče ochrany soukromí, obávejme se více obchodníků než vlád.

Deset podstatných věcí ohledně bezpečnosti, které by organizace měly učit své zaměstnance, zformuloval Don Reisinger (10 Essential Things Companies Should Teach Employees About Security):

• E-mail je zabiják.
• Sociálním sítím nelze absolutně důvěřovat.
• Pravidelně aktualizujte bezpečnostní SW (antiviry).
• Bezpečnostní záplaty používejte pro všechny uživatele.
• Myslete na bezpečnost webů.
• Bezpečnost používaných hesel.
• Zamykejte počítače (notebooky).
• Používejte šifrovací SW.
• Vychovávejte pracovníky ve vztahu k bezpečnostním politikám organizace.
• Hrozby reálně existují.

Malé a střední firmy omezují výdaje na bezpečnost – Small, medium firms cut security budgets. A to i přesto, že množství bezpečnostních problémů v poslední době narůstá. Konstatuje to nedávný přehled společnosti McAfee.

Nastygram, to je nový občasník věnovaný nejnovějším e-mailovým podvodům. Takovýto název zvolil Brian Krebs pro svou novou rubriku. Nastygram: ‚A new settings file‘ – zde se v ní věnuje e-mailům přicházejícím pod označením v předmětu zprávy „A new settings file for the …“, který se tváří, jako by přicházel z interní sítě.

Nastygram: Spoofed FDIC bank fail e-mail  – podvržená oznámení o chybách bank, Brian Krebs pokračuje ve své nedávno zřízené rubrice informací o podvodných e-mailech, které ohlašují, že další chyby bank umožňují krást peníze z účtů klientů bank. Oběť je pak odesílána na stránku, kde je nabízen soubor „your personal FDIC insurance file“, který je sice označen jako dokument pdf či doc, ve skutečnosti je to však vykonatelný soubor (exe) a na počítač oběti nainstaluje kopii trojana Zeus.

Počítačová kriminalita: z malých a středních firem USA bylo ukradeno již více než 40 miliónů dolarů – FBI: Cyber crooks stole $40M from U.S. small, mid-sized firms . Vyplývá to z oznámení FBI, které bylo zveřejněno minulý týden. Tyto krádeže probíhají podle obdobného scénáře. Nejprve jsou ukradena přístupová data k účtu oběti – pomocí malware, který je distribuován spamem. Pak je provedena série převodů (nevelkého objemu do 10000 dolarů) soumarům (kteří jsou najímáni prostřednictvím internetu, často ani netuší, jaká je podstata těchto aktivit). Tito pak přepošlou (za malý poplatek) peníze na účty, které ovládá gang (citovány jsou takové země jako Moldávie, Rusko a Ukrajina).

Na obzoru jsou vážné kybernetické útoky – Serious cyber attacks on the horizon. Zpráva, kterou připravil James A. Lewis (Center for Strategic and International Studies) říká, že v současné době potenciál k provedení skutečně hrozivých počítačových útoků má jen několik zemí: USA, Velká Británie, Francie, Čína, Rusko a Izrael. Předpovídá však, že do tří roků se takovéto možnosti objeví i na černém trhu.

NSA buduje nové centrum počítačové bezpečnosti poblíž Salt Lake City – NSA to build $1.5B cybersecurity center near Salt Lake City. Facility will support Comprehensive National Cybersecurity Initiative. Objem této investice je cca 1,5 miliardy dolarů. Zaměstnáno zde má být 5 až 10 tisíc lidí během výstavby, po jejím dokončení zde bude pracovat 100 až 200 lidí.

CIA investuje do postupů a technologií pro vytěžování dat ze sociálních sítí – Visible Technologies Announces Strategic Partnership with In-Q-Tel. Viz také komentář na Schneierově blogu – CIA Invests in Social-Network Datamining.

Za červencovým útokem na USA a Jižní Koreu byla Severní Korea, takovouto informaci přinesla zpravodajská složka Jižní Koreje – Reports: Cyberattacks traced to NKorea. Viz také – N. Korean ministry behind July cyber attacks: spy chief.

Rozhovor s nově jmenovaným šéfem ENISA najdete na této stránce – Q&A: European Network and Information Security Agency chief Udo Helmbrecht. Na otázky odpovídá Udo Helmbrecht.

Digitální gilotina dostala zelenou, Jiří Peterka na Lupě: „Francouzský ústavní soud již nemá námitky proti tomu, aby uživatelé byli trestáni odpojením od Internetu za to, že si nedostatečně zabezpečili své přípojky (a někdo je zneužil k porušování autorských práv Velkého Obsahu). Vše ve zrychleném procesu, na principu presumpce viny a bez řádného procesu, jen s dohledem soudce.“ Peterkův článek se však netýká pouze událostem ve Francii. Autor komentuje i související aktuální dění v dalších evropských zemích a celé EU. Viz dále – Rozhodnutí evropského parlamentu – pirátům může být vypnut přístup k internetu i bez soudního příkazu.

Na tento článek na Lupě navazuje Michal Černý – Je digitální gilotina tou správnou cestou?: Francouzský parlament opět schválil tvrdé tresty pro počítačové piráty. Rozhodnutí má několik rovin a říci, že je zcela správné, by bylo přinejmenším odvážné. Naskýtá se tak otázka, zda neexistují lepší cesty v boji proti počítačovým pirátům.

Software

Defaultní nastavení UAC ve Windows 7 dělá odborníkům starosti – Windows 7 default user account control worries experts. Je poukazováno na možnosti zneužití hackery.

Windows 7: Don't forget to update – uživatelé Windows 7 – aktualizujte! Připomíná to a zdůvodňuje Michael Kassner.

Windows 7 a problémy administrace bezpečnosti v síti jsou tématem článku – What Windows 7 means to security administrators. Greg Shultz rozebírá jednotlivé okruhy bezpečnostních otázek (AppLocker, BitLocker & BitLocker To Go, User Account Control, ActiveX Installer Service, Direct Access, Multiple Active Firewall Policies,…).

Google Wave se mohou stát hackovacím nástrojem – Google Wave as a Tool for Hacking. Autor článku upozorňuje na několik bezpečnostních slabin Google Wave.

Wireshark v nové verzi podporuje Windows 7 – Wireshark 1.2.3 supports Windows 7 and upgrades security. Verzi 1.2.3 tohoto analyzéru síťových protokolů lze stáhnout zde – download

Deset častých chyb při bezpečnostní konfiguraci sítě vyjmenovává Brien Posey – 10 common network security design flaws:

• Provedeme nastavení a více se jím nezabýváme.
• Je otevřeno více firewallových portů než je třeba.
• Rozmístění aplikací na serverech.
• Zapomínáme na pracovní stanice.
• Nevhodné používání SSL.
• Používání self-signed certifikátů (certifikátů, které jsou podepsány samy sebou).
• Přílišné používání logů.
• Náhodná uskupení virtuálních serverů.
• Umístění serverů v demilitarizované zóně (member servers).
• Instalace aktualizací závisí na uživatelích.

Enhanced Mitigation Evaluation Toolkit (EMET) – volně dostupný nástroj MS pomůže aplikacím bránit se proti známým útokům – Free tool from Microsoft hardens programs against attack. Nástroj si lze stáhnout zde – Enhanced Mitigation Evaluation Toolkit.

Malware

Výsledky rozboru, který provedla společnost PhoneFactor, hlásí: největšími hrozbami jsou malware a nekvalitní hesla – Malware and poor passwords ranked as greatest threats.

Zpráva společnosti Dasient zase konstatuje téměř 6 miliónů infikovaných stránek na 640 000 webech  – Report: Nearly 6 Million Infected Web Pages Across 640K Compromised Sites. Tolik infikovaných stránek nikdy předtím nebylo a stále přibývají.

Botnets: who's behind them and why? aneb botnety, kdo za nimi stojí a proč? Analytik společnosti Cisco infiltroval botnet a zjišťoval, jak je to se související počítačovou kriminalitou. Botnety se nejen prodávají, ale také pronajímají.

Uživatelé Facebooku jsou předmětem útoku botnetu – Massive bot attack spoofs Facebook password messages. Je rozesílána zpráva, že hesla k Facebooku byla resetována z důvodu bezpečnostního opatření. V příloze má být nové heslo, ve skutečnosti je zde trojan Bredlab, který stahuje různé malware z hackerských serverů. Viz také – Bank Trojan botnet targets Facebook users.

Conficker se může vrátit – deset důvodů, proč tomu tak může být – 10 Reasons Why Conficker Can Happen Again. Don Reisinger v zajímavém rozboru, který se ve své podstatě netýká jen samotného červa Conficker.

Viry

Byl ohlášen problém MS Security Essentials s aktualizacemi – Microsoft anti-virus software dawdles over updates. Článek upozorňuje, že v některých případech dochází k tomu, že tento SW se nedostane k novým signaturám a tudíž výrazně klesá jeho schopnost obrany proti novým hrozbám.

Hackeři

Na Schneierově blogu proběhla široká diskuze k nedávnému výsledku Joanny Rutkowské – „Evil Maid“ Attacks on Encrypted Hard Drives. Je to téma, které čtenáře zajímá v nemalé míře. Současné technologie obtížně hledají obrany proti útokům tohoto typu. Výjimku tvoří použití modulů TPM.

Velká Británie: hacknutí stránek Guardian Jobs se může týkat půl miliónu lidí – Guardian site hack may affect half a million. Osobní data těchto lidí (kteří hledají zaměstnání) mohou být kompromitována.

USA – podvodníci používají internetový telefon k vylákání bankovních dat od obětí – Internet phone systems become the fraudster's tool. Používány jsou hacknuté telefonní systémy, cílem útoku jsou malé lokální banky. Obětem je zaslána předem nahraná zpráva o chybě v platebním systému či varování o pozastavení účtu a touto cestou z nich dostávají čísla účtů a hesla.

Online attacks on Swiss foreign ministry, byl proveden online útok na švýcarské ministerstvo zahraničí. Neidentifikovaní hackeři se pokusili penetrovat síť ministerstva prostřednictvím „speciálního software“. Rozsah škod je předmětem zkoumání.

Hardware

Spying on a stolen laptop aneb jak probíhalo sledování ukradeného notebooku. Elinor Mills vypráví příběh jednoho z opatrnějších majitelů notebooků.

Forenzní analýza

Rob Lee v Windows 7 Computer Forensics uvádí do problematiky forenzní analýzy Windows 7. V článku je také několik odkazů na související stránky.

Autentizace, hesla

Současnými trendy v krádežích ID se zabývala analýza společnosti IdentityTruth. Článek New trends in identity theft shrnuje její výsledky.

Pozor na administrátorská hesla – Power Passwords: The Threat from Within. Calum Macleod varuje před Velkým bratrem ve vlastní síti.

Phishing

Twitter zase varuje před novým phisherským útokem – Twitter warns of new phishing attack. Zpráva „hi. this you on here?“ přivede oběť na podvrženou stránku, která vypadá jako přihlašovací stránka Twitteru.

Phishing, jeho současné trendy popisuje zpráva APWG (Anti-Phishing Working Group), která vychází z výsledků získaných za první pololetí 2009 – Global Phishing Survey: Trends and Domain Name Use in 1H2009. Komentář k této zprávě je na stránce Phishing trends according to the Anti-Phishing Working Group.

Elektronický podpis

Datové schránky: jak na zneplatněné certifikáty? VII, pokračování seriálu Jiřího Peterky na Lupě: Elektronické podpisy na dokumentech, včetně těch doručovaných skrze datové schránky, ztrácí v čase svou platnost, v závislosti na době platnosti použitých podpisových certifikátů. Ty jsou vydávány nejčastěji na 1 rok. Platnost certifikátu však může být zkrácena ještě dříve, skrze tzv. zneplatnění (odvolání, revokaci). Proč na to musí být pamatováno a jaké to přináší důsledky?

Na webu je pochybná kopie datových schránek, experti před ní varují: Tři dny před spuštěním projektu datových schránek, které mají nahradit papírovou komunikaci internetovou, se na webu objevila jejich kopie. Stránky www.datoveschranky.net názvem i grafikou vypadají jako vstupní brána do oficiálních schránek, s nimiž ale nemají nic společného. Informovala o tom televize Prima.

Normy a normativní dokumenty

Americký NIST vydal minulý týden:

• draft dokumentu SP 800–34 Rev. 1 – Contingency Planning Guide for Federal Information Systems

Kryptografie

Byl Leonardo da Vinci otcem kryptografie? Michelle Delio v článku Da Vinci: Father of Cryptography? provádí čtenáře knihami Dana Browna, resp. těmi jejich momenty, které se vztahují ke kryptografii. Soutěživé čtenáře potěší odkaz na speciální stránku, jejímž autorem Dan Brown je a která ty, které baví luštit různé šifry, řešit další problémy, povede na cestě k pokladu – Internet-based treasure hunt. Vítězové obdrží cenu, což má být něco, co nelze koupit za peníze. Podrobnosti Dan Brown nesděluje, mají být překvapením.

Vědci z MIT ukazují na některé neočekávané zranitelnosti počítačů – . Článek je komentářem k dvěma studiím:

• Efficient Cache Attacks on AES, and Countermeasures
• Hey, You, Get Off of My Cloud: Exploring Information Leakage in Third-Party Compute Clouds

Různé

Přehled vychází z průběžně publikovaných novinek na Crypto – News.