Bezpečnostní střípky: simulovaný kybernetický útok na Evropu

8. 10. 2012
Doba čtení: 15 minut

Sdílet

Pravidelný pondělní přehled informací vztahujících se k problematice bezpečnosti IT. Z novinek tohoto týdne upozorníme na zprávy k útokům na americké banky, na informace o dění na íránském internetu, na nově objevené bezpečnostní chyby v mnoha aplikacích a třeba také na čínský útok na Bílý dům.

Přehledy a konference

Přehled: State of the CSO 2012 vychází z odpovědí 228 bezpečnostních specialistů z různých odvětví. V přehledu jsou konstatovány dva pokračující trendy. Nejprve – ve společnostech narůstá informovanost ohledně bezpečnosti a existujících rizik. Za druhé stále více organizací používá formalizované programy typu ERM (enterprise risk management).

Prezentace z akce DerbyCon formou videa přináší Bill Brenner. Rozdělil je do čtyř dílů:

Byl vydán přehled 2012 NCSA/McAfee Online Safety Study. Dokument se snaží postihnout vztah Američanů k bezpečnosti jejich využívání internetu. Shrnutí výsledků najdete na stránce 2012 Online Safety Survey – Majority Of Americans Do Not Feel Completely Safe Online, komentář pak je na odkazu Is your smartphone safe from online threats?

Britský ministr zahraničí William Hague vystoupil na mezinárodní konferenci v Budapešti: dle jeho slov kyberkriminalita nikdy nebyla snazší. Zahájení této konference (Budapest Conference on Cyberspace – BCC) se věnuje komentář – UK.gov to spunk L2m a year policing global cyber-security.

Obecná a firemní bezpečnost IT

Interesting times for information security professionals – dnešek je pro profesionály IT bezpečnosti zajímavou dobou. Článek obsahuje zamyšlení (jeho autorem je Brian Honan) nad dnešní situací, nad změnami, které přinesly poslední roky.

Penetrační testeři by měli rozšířit svůj záběr, orientovat se více na lidi – Pen testers should broaden scope, focus more on people, expert says. Mnoho profesionálních penetračních testerů nesplní očekávání, nedokážou provést kompletní analýzu slabin organizace. V článku je citováno vystoupení Chrise Nickersona ze společnosti Lares Consulting na bezpečnostní konferenci DerbyCon.

Jaké jsou nejčastější zranitelnosti, které nachází penetrační testeři? V čele takovýchto seznamů (které má většina penetračních testerů) se obvykle nachází SQL injection, cross site scripting (XSS) či nezabezpečené weby – Tech Insight: The Most Common Vulnerabilities Found By Penetration Tests. Dále jsou uváděna: nekrytá administrační a řídící rozhraní pro aplikační servery, síťová zařízení a systémy pro řízení obsahu jsou často otevřeny, dále se to týká informací, které unikají ze zařízení, tiskáren a videokonferenčních systémů, zastaralý či nepodporovaný software často obsahuje nechráněná defaultní nastavení a nechráněné webové služby.

Chování zaměstnanců ve firmách vede k rizikům – One in three companies take compliance risks. Podle přehledu společnosti DataMation věří 84 procent respondentů (USA a Kanada), že jejich zaměstnanci/spolupracovníci narušují bezpečnostní politiky a politiky pro shodu.

The CIA Burglar Who Went Rogue – zaměstnanec CIA, který se stal zlodějem. Zajímavý článek popisuje některé postupy zpravodajských agentur a osud jednoho agenta.

Travel tech security tips – v článku najdete informace k tomu, na co dát pozor při cestování a řadu bezpečnostních tipů. Je to rozsáhlý a nesporně užitečný článek.

Další sadu doporučení najdete v článku How to protect yourself and your business from a cyber attack. Dozvíte se v něm, jak chránit sebe a své podnikání před kybernetickým útokem.

Americké ministerstvo národní bezpečnosti vydalo doporučení k budování silnějšího pracovního zázemí ve vztahu ke kybernetické bezpečnosti – Cyberskills Task Force Report. Fall 2012. Obsah dokumentu DHS (ten má 41 stran) je komentován na stránce Eleven tips for building a stronger cybersecurity workforce.

Europe UNDER ATTACK in simulated cyber security test – ÚTOK na Evropu (simulovaný kybernetický test). 4. 10. 2012 proběhla akce Cyber Europe 2012, koordinovaná evropskou agenturou ENISA. Zúčastnilo se jí 300 kyberbezpečnostních profesionálů, navazuje na obdobnou akci z roku 2010. 4 země dohlíželi na akci, na které se podílelo 25 zemí. Nepřehlédněte odkaz na zajímavé šestiminutové video – Cyberheist: The Invisible.
Viz také komentáře:

Podvodná nelegální technická podpora je likvidována – Global action takes down tech support scam. A to díky spojenému úsilí Austrálie, USA a Kanady. Jedná se o podvodníky, kteří se vydávali za technickou podporu Microsoftu (např.) a za vzdálenou ”pomoc“ si účtovali nemalé peníze. Byly pojmenovány odpovědné firmy a potrestáni odpovědní operátoři.

Americké agentury uzavřely 686 webů kvůli prodeji padělaných léků a nepovolených látek – US agencies seize 686 websites accused of selling fake drugs.

The Death of the Internet, to je recenze stejnojmenné knihy. Autorem (editorem) této knihy je Markus Jakobsson. Kniha má 392 stran, vydalo ji nakladatelství Wiley-IEEE Computer Society Pr. v červenci 2012. Najdete ji na Amazonu.

IT oddělení příliš důvěřují svým bezpečnostním dodavatelům – Enterprises too complacent over security. Podniky podceňují hrozby typu APT a tak se stávají zranitelnými, říká se v úvodu tohoto článku, který se zabývá současnými potřebami organizací z hlediska vytváření bezpečnostního prostředí.

Američané rozbili skupinu ruských agentů, která posílala do Ruska špičkové vojenské technologie (elektroniku) – U.S. goes after alleged pack of Russian agents sending military high-tech to Russia . Obviněn byl Alexander Fishenko, který je vlastníkem texaské firmy Arc Electronics a moskevské firmy Apex System LLC.
Viz také komentář – Feds charge US firm with smuggling illegal military tech to Russia.

Má Pirate Bay problémy? Policie měla navštívit jejího poskytovatele internetového připojení. Stránky také nějakou dobu nefungovaly – Pirate Bay site sinks, Swedish police raid its ISP.

Pirate Bay je obviňováno ze sběru IP adres uživatelů (a také emailových adres) – Pirate Bay accused of collecting users' IP addresses.

Írán

Iran swipe at Web brings angry reply – internet a dnešní Írán. Článek obsahuje trochu podrobnější popis situace, než jaký najdeme v běžných denních zprávách.

Írán odblokoval přístup k Gmailu – Iran Unblocks Access to Gmail, ten byl zablokován 24. září.

Írán se stal cílem velkého kybernetického útoku – Iran Internet disrupted by cyber attackers. Informovaly o tom takto 4. října 2012 oficiální íránská místa.
Viz také komentáře:

Írán zaštiťuje nábor teroristů typu Al-Kájda – Iran linked to al-Qaeda's web jihadi crew by old-school phone line. Dokazují to uniklé záznamy telefonních hovorů. Pro konferenci Deepsec (koná se příští měsíc ve Vídni) je připravováno vystoupení k hrozbám od počítačově vybavených teroristů.

Sociální sítě

Lock down your social media with essential security add-ons – aplikace, které pomohou vás chránit na sociálních sítích. Autor článku doporučuje několik volně dostupných nástrojů.

Software

In a Zero-Day World, It’s Active Attacks that Matter – žijeme ve světě zranitelností nulového dne. Brian Krebs rekapituluje z pohledu existence zranitelností nulového dne (ve vztahu k posledním rokům) zejména situaci okolo Internet Exploreru, ale i okolo dalších prohlížečů. Komentář k tomuto článku najdete na stránce Internet Explorer security examined.

Sken na internetu nalezl tisíce chyb zařízení, systémových slabin – Internet scan finds thousands of device flaws, system weaknesses. HD Moore nazval tento projekt svým hobby. V přehledu byly zkoumány: TCP porty, SNMP popisy systému, MDNS reakce, UPNP koncové body a NetBIOS jmenné fronty.

Pět nepostradatelných aplikací pro vaši USB klíčenku – Five indispensable apps to carry on a USB stick. Záchrana systému – SystemRescueCD, přenosný Firefox, nástroj pro obnovu ComboFix, ftp klient – přenosná FileZilla a správce souborů – přenosný Explorer++.

Prastaré zranitelnosti jsou setrvávajícím nebezpečím – Age-old vulnerabilities, attack techniques consistently trip enterprises. Článek je věnován vystoupení pana Jamie Gamble na bezpečnostní konferenci SecTor, studie z roku 1992 popisuje techniky útoku, které platí i dnes.

IETF posvětilo bezpečnostní protokol HTTP Strict Transport Security (HSTS) – Web security protocol HSTS wins proposed standard status. S jeho pomocí má být zlepšena ochrana uživatelů internetu proti ”únosům“ internetového spojení.

Wordpress – tisíce webů obsahují XSS zranitelnost – Some Wordpress Themes, Thousands of Sites Open to XSS Vulnerability. Finský penetrační tester vyjmenovává témata, kterých se to týká.

Průmysl protestuje proti vlastnosti IE 10 – ”Do Not Track“ – Ad industry calls IE10's ‚Do Not Track‘ setting ‚unacceptable‘. Prý je to v zájmu zákazníků :-)

Byly demonstrovány nové útoky na databáze a servery SQL Oracle – New Oracle hacks revealed. Na konferenci DerbyCon 2.0 je předvedli bezpečnostní odborníci Laszlo Toth a Ferenc Spala.

Ten commandments for software security – desatero přikázání ohledně bezpečnosti SW. Gary McGraw vychází ve svých formulacích z BSIMM4 ( The Building Security In Maturity Model). Tento rámec pro SW bezpečnost je rozdělen do dvanácti okruhů:

  • Governance (Intelligence, SSDL Touchpoints, Deployment)
  • Strategy and Metrics (Attack Models, Architecture Analysis,Penetration Testing)
  • Compliance and Policy (Security Features and Design, Code Review,Software Environment)
  • Training (Standards and Requirements, Security Testing, Configuration Management and Vulnerability Management)

Nmap Guide – průvodce Nmapem. Jedná se o první kapitolu příručky, ostatní jsou za placeným obsahem Hakin9. Viz komentář – Experts troll ´biggest security mag in the world´ with DICKish submission.

Byla nalezena XSS zranitelnost prohlížeče Opera – Universal Cross-site scripting vulnerability in Opera browser. Je svým charakterem univerzální (týká se jak Windows, tak i Maců a Linuxu).

Desítku doporučení ohledně bezpečnosti cloud computingu najdete na stránce Cloud Computing Security – 10 Tips For Keeping Your Cloud Data Safe. Zformuloval je James Clark.

Malware

”Malnets“ – sítě dodávající malware, stojí za 2/3 kybernetických útoků – ‚Malnets‘ behind two thirds of cyberattacks attacks in 2012. Konstatuje to analýza společnosti Blue Coat.
Cesty k obraně proti útokům tohoto typu jsou rozebírány v článku How to Defend Against Malnets.
Viz také komentáře:

Viry

Je antivir mrtvý? Nová firma spouští první program pro blokaci exploitů – Is antivirus dead? Startup launches first ‚exploit blocking‘ program. ZeroVulnerabilityLabs ze Silicon Valley nabízí volně dostupný program, o kterém říká, že zastaví malwarem využívané exploity široké škály bezpečnostních zranitelností. A to bez ohledu na to, zda tyto chyby jsou známy či nikoliv.

Antivirus: What it does and doesn't do – antivir – co umí a co ne. Patrick Lambert se dívá na nedostatky antivirů a vysvětluje, co od antivirových programů můžeme očekávat.

Is Antivirus Becoming Obsolete? – stává se antivir zastaralým? Článků tohoto typu se v poslední době objevilo několik. V tomto článku autor reaguje na výsledky nedávných průzkumů několika firem (FireEye, Carbon Black, ESET).

Hackeři a jiní útočníci

Hackeři napojení na čínskou vládu zaútočili na systém Bílého domu pro velení nukleárních sil – Chinese hackers break in to White House military office network in charge of the president’s nuclear football. Podrobnější informace jsou na stránce White House Hack Attack.
Viz také komentáře:

Energetický sektor – čínští hackeři nejsou jediní – Energy Sector Cyber Espionage: Chinese Hackers are not Alone. Přehled dění v tomto směru zpracoval Pierluigi Paganini.

DDoS útoky dnes umí 150 Gb za vteřinu a rychlost dále narůstá – DDoS attacks: 150Gb per second and rising. V článku (a připojeném hlasovém vystoupení) jsou popsány současné trendy ve vztahu k útokům DDoS.

Útočníci se snaží fungovat pod ”falešným praporem“. Jestliže se na Pastebin íránská Cyber Army přihlásí k proběhlému útoku, nemusí to vůbec znamenat, že právě ona byla tím, kdo tento útok spustil – Attackers Engage In ‚False Flag‘ Attack Manipulation.

Hackeři se přesouvají od narušování k destrukcím – Hackers Shifting to ‚Destruction‘: US Cyber Chief. Konstatuje to generál Keith Alexander na fóru ve Washingtonu.

Společnost Google vydala varování ohledně nových státem sponzorovaných útoků na Gmail – Google alerts users about new state-sponsored attacks. Zatímco dříve útoky tohoto typu přicházely většinou z Číny, nyní je jejich zdrojem Střední Východ.
Viz také komentář – Google to Users: Your Account May Be Under Attack.

Objevila se nová technika útoků na internetu typu MITB (man-in-the-browser) – New data-theft attack technique can run across web. Informuje o ní společnost Trusteer na svém blogu – One Size Fits All – Universal Man in the Browser Attack Targets All Websites, označuje ji jako uMITB (universal man-in-the-browser).
Viz také komentáře:

Anonymous a spol.

Hacktivisté ukradli více než 120 000 osobních dat ze serverů 100 univerzit – GhostShell targets personal data at top-rated colleges. Je za tím skupina, která si říká GhostShell. Data obsahují (minimálně): emailové adresy, hesla, ID a jména studentů a fakult.
Viz také komentáře:

Byly zaznamenány rozsáhlé DDoS útoky ve Švédsku – Umfangreiche DDoS-Angriffe in Schweden. Policie je dává do souvislosti s Julianem Assange.
Těmto útokům Anonymous se věnuje také komentář – Swedish websites down after Anonymous threats. A o obnovených útocích se lze dočíst také na stránce Schweden: Erneut massive DDoS-Angriffe auf Behörden-Server.

Anonymous chystají na 5. listopad #OpVendetta – Anonymous #OpVendetta set for 5th November. Datum bylo zvoleno symbolicky (vztah k historii – Guy Fawkes). Má to být ”the largest orchestrated attack on the Governments of the World“.

RFID

A Universal RFID Key aneb univerzální RFID klíč. Zajímavý článek – zejména pro ty, kdo se nebojí si trochu pohrát s HW.

Mobilní zařízení

BYOD a problémy CSO při zavedení jejich používání jsou předmětem článku CSOs grapple with pain points of BYOD. Bill Brenner v něm tlumočí zkušenosti odborníků.

O problémech s aktualizacemi Androidu informuje článek The problem with Android updates: Playing the blame game. Odstrašující číslo – 500 miliónů mobilů s Androidem ho nemá v aktualizované podobě. Zmíněny jsou dvě nejhorší existující zranitelnosti: zničení SIM karty a reset zařízení do výrobní podoby.

iPhone 5 a iOS 6 ve vaší organizaci. Je na to váš bezpečnostní tým připraven? Jsou zde některé nové bezpečnostní vlastnosti, kterou mohou být spravovány centrálně. Pochopitelně je nezbytná aktualizace bezpečnostních politik – iPhone 5, iOS 6 in the Enterprise: Is Your Security Team Ready?.

Minimalizujte rizika spojená s vaším BYOD. Autor článku BYOD – at your own risk za tímto účelem uvádí svých devět doporučení.

Podle studie bezpečnosti BYOD, Blackberry je v něčem lepší – Tablet security study finds BlackBerry still good for something. Studie společnosti Context Information Security zkoumala z tohoto pohledu zařízení iPad Apple), Galaxy Tab (Samsung) a BlackBerry PlayBook (RIM). Nejhůře dopadl Samsung.

Mobilní malware

Čím vším může malware pro mobilní telefony znepříjemnit váš život – Scary New Malware Uses Your Smartphone To Map Your House for Robbers. Odeslat fotografie vašeho domu, bytu včetně třeba soukromé korespondence na vašem stole, bankovních výpisů atd., to vše již dnes malware umí. Článek informuje o nedávno vyvinuté aplikaci PlaceRader. Viz také diskuzi na Schneierově blogu – Scary Android Malware Story (v principu se nejedná jen o zařízení s Androidem).
Viz také komentáře:

Elektronické bankovnictví

ČR: Ztratil kartu i s PINem. Soud s bankou přesto vyhrál. Z úvodu: Pokud banka nezajistí účty před možností vybrat z nich peníze nad sjednaný týdenní limit, nemůže po případné krádeži přenést veškerou vinu na svého klienta.

Hacknutý DSL modem vedl k infekcím miliónů uživatelů v Brazílii bankovním malwarem – DSL modem hack used to infect millions with banking fraud malware. Útok (proběhl v roce 2011) byl popsán v prezentaci na konferenci Virus Bulletin v Dallasu (Fabio Assolini, Kaspersky Lab).
Viz také komentář – DSL Modem Flaw Lets Attackers Infect Millions of Computers in Brazil.

Útoky na americké banky

V souvislosti s existujícími i připravovanými útoky na americké banky se objevila celá řada článků.

What do cyberattacks mean for the banking industry? – co znamenají kybernetické útoky pro bankovní průmysl? Dnes jsou bankovní účty v bezpečí. Jak se ale bude situace vyvíjet dál? Takto uzavírá své zamyšlení autorka článku Charlie Osborne.

Útočníci na americké banky používají vysoce sofistikovaný soubor nástrojů pro útoky DDoS – Expert fingers DDoS toolkit used in bank cyberattacks. Je označován jako ”itsoknoproblembro“. V článku jsou popsány některé jeho vlastnosti a je zde tlumočeno vyhlášení šéfa společnosti Prolexic, který říká, že z perspektivy útoků DDoS jsou útoky na úrovni útoků typu Stuxnet (?).
Viz také komentář:

New Bank Attacks Expected Today? – můžeme nyní očekávat další útoky na banky? Tracy Kitten rozebírá dnešní situace v útocích na banky.
Viz také komentář – Cyberattacks Target U.S. Banks´ Web Sites .

DDoS attacks on major US banks are no Stuxnet—here's why – jak probíhal útok na americké banky. V článku jsou rozebrány technické stránky útoků. Autor článku mj. upozorňuje, že neobstojí srovnání se Stuxnetem.
Aktuální situaci popisuje článek Cyberattacks on banking websites subside – for now.
Viz také komentář – Cyberattacks on US banking websites subside.

Serious Attackers Paired With Online Mob In Bank Attacks – k útoku na americké banky, jaká byla jeho podstata? Robert Lemos poukazuje na fakt, že kromě skupiny íránských útočníků (která se k útoku přihlásila) zde ve výsledku největší rolu hráli servery (stovky, možná tisíce) provozující zranitelný SW typu ”content management“ (správa obsahu). Tyto servery byly infikovány prostřednictvím upraveného souboru nástrojů pro DDoS útoky – itsoknoproblembro.
Viz také komentář – Recent Bank Cyber Attacks Originated From Hacked Data Centers, Not Large Botnet.

Blízkou tématikou (chystaný nový útok na americké banky) se zabývá článek RSA: Botmasters Wanted for Large-scale Trojan Attacks Against Banks (viz také blog RSA – Cyber Gang Seeks Botmasters to Wage Massive Wave of Trojan Attacks Against U.S. Banks).
Viz komentář – RSA Warns of New Attacks on Banks.
Varování společnosti RSA je komentováno také v článcích:

FireEye Malware Intelligence Lab zveřejnila své poznatky z rozboru útoku na americké banky – More About Attacks on Financial Industries… K této technicky pojaté informaci si komentář můžete přečíst na stránce Social Engineers Launch New Attack on Embattled Banks. Informace se týká phishingového útoku, s jehož pomocí byl ustaven kanál pro komunikaci s počítačem oběti.

Autentizace, hesla, ID

Krádeže ID Evropě – největší rizika se týkají obyvatelů Velké Británie – UK at greatest risk of identity fraud in Europe. V článku jsou citovány výsledky nedávného průzkumu.

Infographic: How Secure Are Your Internet Passwords? – infografika: jak bezpečná jsou vaše internetová hesla. Připravil ji PasswordGenie. Jsou zde shrnuty charakteristiky slabých a obecně používaných hesel a je zde obsaženo několik doporučení k zabezpečení vašich dat.

Phishing

Phishing polevil. Je to ticho před bouří? Článek Phishing Dip: Calm Before the Storm? je komentářem k analýze společnosti RSA – Threats and Risks in Today´s Mobile App Marketplace (šestistránkový dokument). Klíčová zjištění:

  • Phishingové útoky v globálu v srpnu poklesly o 17 procent – v porovnání s předešlým měsícem
  • 45 procent útoků cílí na uživatele v USA, Velké Británii a Austrálii
  • Americké bankovní instituce zjistily v srpnu pokles o 7 procent – těch útoků, které cílily na zneužití tohoto odvětví

Kryptografie

Guarding against side-channel attacks (Part 1) – jak se chránit proti útokům z postranních kanálů. Studie je úvodem do analýzy postranních kanálů. Zjevně bude mít pokračování (nezbytná je registrace).

NIST oznámil vítěze SHA-3. Je jím KECCAK – SHA-3 Winner. Podrobnosti algoritmu jsou na stránce The Keccak sponge function family. Viz také diskuzi na Schneierově blogu – Keccak is SHA-3.
Viz také komentář – SHA-3 Secure Hash Algorithm: New Face Of Crypto.

bitcoin_skoleni

Kdy se objeví kolize pro SHA-1? V diskuzi na Schneierově blogu (When Will We See Collisions for SHA-1?) jsou komentovány výsledky Jesse Walkera (Intel).
Viz také komentář – SHA-1 Hash Collision Could Be Within Reach of Attackers By 2018.

Různé

Přehled vychází z průběžně publikovaných novinek na Crypto – News.

Autor článku