Bezpečnostní střípky: vrací se válka o krypto?

25. 10. 2010
Doba čtení: 13 minut

Sdílet

Pravidelný přehled informací vztahujících se k problematice bezpečnosti IT. Z novinek tohoto týdne upozorníme na sady doporučení (vydané například u příležitosti Cyber Security Awareness Month), na detailní rozbor vlastností červa Stuxnet a na přehled desítky volně dostupných bezpečnostních produktů.

Přehledy

Byla vydána zpráva 2010 Top Cyber Security Risks Report. Na přípravě dokumentu se podílely HP TippingPoint DVLabs, Qualys, Internet Storm Center a SANS. Má 32 stran, vychází druhým rokem a jak název napovídá, věnuje se současným hrozbám kybernetické bezpečnosti. Zpráva se orientuje na tyto čtyři klíčové oblasti:

  • Rostoucí využívání podnikových výpočtů
  • Pokračující a vytrvalé cílení na webové aplikace
  • Rostoucí organizovanost a sofistikovanost útočníků
  • Nelítostná přítomnost starších typů hrozeb

Polovina dětí v EU neví, jak se chránit online – Half of EU kids don't know how to be safe online. Přehled EUKidsOnline byl zpracován na základě odpovědí 23 000 dětí a jednoho z jejich rodičů v 22 členských zemí EU. V článku je uvedeno několik získaných cifer.

Obecná a firemní bezpečnost IT

Velká Británie nyní připravuje novou strategii ve vztahu ke kybernetické bezpečnosti – UK promises ‚transformative‘ cyber security programme. Jaké největší hrozby vidí nyní britská vláda:

  • Terorizmus, včetně zbraní hromadného ničení
  • Kybernetický útok
  • Nehoda velikého rozsahu či přírodní katastrofa
  • Mezinárodní vojenská krize, do které bude Velká Británie vtažena

Podrobnosti k britské bezpečnostní strategii obsahuje právě vydaný dokument:

Komentář k němu (členů vlády) je pak na stránce:

V USA zjednodušují technické překážky pro provádění odposlechů – Officials Push to Bolster Law on Wiretapping. Upravovaný zákon stanoví, že přenášené linky (telefonní, širokopásmové) musí být technicky ošetřeny tak, aby umožňovaly odposlech.

Ministerstvo obrany USA konstatuje, že kybernetický prostor se připojuje k tradičním válečným doménám – Lynn: Cyberspace is the New Domain of Warfare . A to jako jsou moře, země a vesmír, prohlásil to náměstek ministra William J. Lynn III. V článku je komentováno jeho vystoupení z 14. října, kde charakterizoval současný vývoj americké strategie v oblasti kybernetické bezpečnosti.

Nástroj CyberScope bude kontrolovat plnění bezpečnostních politik v úřadech americké vlády – Government Ready For Cybersecurity Deadline, Officials Say. Jeho spuštění má být provedeno 15. listopadu. Jednotlivé úřady a agentury budou odpovídat na řadu otázek, které jim budou kladeny.

Krádeží dat je více než fyzických krádeží (poprvé v historii) – Electronic Data Theft More Prevalent Than Physical Thefts: Survey . Fahmida Y. Rashid informuje o výsledcích přehledu Global Fraud Report společnosti Kroll z Londýna.
O rozsahu krádeží dat ve Velké Británii informuje článek ID fraud costs UK L2.7bn a year. Victims can spend up to 200 hours undoing damage – na základě výsledků přehledu National Fraud Authority.
Shrnutí nedávno vydaných přehledů obsahuje článek – Reports warn of rise in cyber theats.

Dále – ve Velké Británii byla také (v rámci týdne National Identity Fraud Prevention Week) vydána zpráva směrovaná na problémy související s krádežemi identity – Identity fraud on the rise. Komentář k tomuto dokumentu a souvisejícím problémům najdete na stránce Keep your PC clean – or we'll shut you down.

Britští policisté zaměření na kyberkriminalitu chytili velkou rybu – UK cybercops cuff big phish. Man suspected of credit card scam and stashing online crime cash. Dopaden byl 34letý muž, který organizoval soumary a vyslovena vůči němu byla další podezření (padělání platebních karet).

Deset tipů jak se chránit před kybernetickou špionáží přináší společnost SecureWorks – 10 tips for protecting against cyber espionage:

  • Využívejte odborníky na informační bezpečnost
  • Mějte přehled o tom, která aktiva je třeba chránit a jaká jsou s nimi spojená rizika
  • Vězte, kde leží vaše zranitelnosti
  • Dejte do pořádku či zmírněte zranitelnosti vhodnou strategií
  • Porozumějte taktikám útočníků, jejich technikám a procedurám, které vám umožní přetvořit vaše obranná opatření do vhodných podob
  • Buďte připraveni zabránit útoku či odpovědět tak rychle, jak je možné – v případě kompromitace
  • Preferovaná je prevence, ale nutností je také detekce a vhodná odpověď
  • Mějte k dispozici nouzový plán k tomu, co budete dělat v případě, když se stanete obětí kybernetické války
  • Ujistěte se, že dodavatelé v rámci kritických infrastruktur nejsou kompromitováni a mějte k dispozici vhodná opatření v případě, že jejich systémy budou narušeny
  • Národní kritická infrastruktura nesmí být plně závislá na internetu, ale musí být operabilní i v případech, kdy přijde krize kybernetické bezpečnosti.

K japonskému projektu Cyber Clean Center se obrací článek Japan has national botnet warriors; why don't we?. Matthew Lasar vysvětluje cesty, kterými se vydává Japonsko v boji proti kybernetickým nebezpečím, speciálně, jak bojuje proti infikovaným počítačům a botnetům. K článku je připojena rozsáhlá diskuze.

Pochází červ Stuxnet z Číny? Na otázky autora článku Was China Behind Stuxnet? odpovídá čelní analytik Jeffrey Carr. Dostatek zkušeností k vytvoření takovéhoto červa (i ve vztahu k sytémům SCADA) má omezený okruh zemí, Carr jmenuje Izrael, Rusko, USA, Čínu, Pákistán a Turecko.

Severokorejští hackeři šmírují okolo summitu G20 – N.Korean Hackers ‚Snooping Around G20 Summit Venue‘. Summit se koná v Soulu, informace pochází od Cyber Terror Response Center of the National Police Agency (UK).

What a boss should and should not have access to aneb k čemu by šéf měl mít přístup a k čemu by přístup mít neměl. Je to již 17. pokračování zajímavého seriálku na stránkách SANS (vychází u příležitosti měsíce informovanosti o kybernetické bezpečnosti – Cyber Security Awareness Month). Přehled předešlých (a následujících) dílů najdete na stránce:

Digitální fotky mohou odhalit místo vašeho pobytu – Digital photos can reveal your location, raise privacy fears. Mark Milian se znovu vrací k tomuto varování. Aktuální se tento problém stává zejména u novějších chytrých mobilů s fotoaparátem (málokterý klasický digitální fotoaparát má GPS čip).

Bezpečnosti hotelových pokojů se věnuje článek Give your hotel room the once-over. Bambi Vincent zde shrnuje své zkušenosti z řady hotelů.

Došlo také k úniku dat z jaderného provozu – Nuclear Station Suffers USB Data Breach . hotelovém pokoji byla nalezena USB klíčenka obsahující citlivé informace společnosti Sellafield. Data na ní nebyla šifrována.

Vrací se válka o krypto? Ross Anderson (známý britský odborník) na stránce Resumption of the crypto wars? shrnuje nedávné informace, které proběhly britským a americkým tiskem, uvádí na ně odkazy. Odkazuje se také na článek, který napsal se svými kolegy v červnu 1998 – The Risk of Key Recovery, Key Ecsrow and Trusted Third Party Encryption, kde autoři hodnotí související rizika.

Panda Security uvádí následujících pět doporučení pro bezpečné používání počítače ():

  1. Používejte antivir
  2. Aktualizujte počítač
  3. Pravidelně skenujte svůj systém a připojená zařízení
  4. Používejte bezpečná hesla a měňte je
  5. Chraňte zájmy svého podnikání

Jsou jednoduchá, ale kolik lidí si ani na tato základní opatření často nevzpomene?

Na stránkách Cryptome se objevily některé spekulace okolo toho, co vlastně Wikileaks chce zveřejnit a proč k tomu taktizuje – Wikileaks Feint .

Wikileaks zveřejnila 400 000 dokumentů z války v Iráku – Wikileaks outs 400,000 classified Iraq War docs. Podle článku je v nich mj. ukázáno, že američtí velitelé ignorovali důkazy o mučení iráckou policií a iráckými vojáky.
Viz také  – WikiLeaks´ 400,000 Iraq War Documents Reveal Torture, Civilian Deaths.

Sociální sítě

USA : dohled nad sociálními sítěmi je v hledáčku federálních orgánů – Security Social Network Surveillance by Feds in Spotlight. Podle článku to vyplývá z některých uniklých dokumentů. Viz také komentář – Government agents following suspects on social networks.

Why Facebook Applications Expose User IDs aneb proč aplikace Facebooku prozrazují uživatelovo ID? Brian Prince se vrací k nedávno zveřejněnému poznatku (Wall Street Journal) o sdílení osobních dat uživatelů v různých reklamních sítích. Tlumočí vyjádření zástupce Facebooku (Mike Vernal). Viz také článek – Facebook gets poked in latest privacy gaffe.

Co se týká ochrany soukromí na Facebooku, tak několik doporučení ve formě slideshow připravil Brian Prince – Security: Facebook Privacy: Protecting Personal Information on the Social Network.

Software

F-Secure blokuje špionážní aplikaci pro Windows a Android – F-Secure blocks spying app for Windows and Android. Jedná se o program Phone Creeper (Windows Mobile aplikace) a jeho verzi pro Android, která se má vbrzku objevit.

Deset důvodů, proč je Linux nejlepší volbou pro děti, uvádí autor článku Ten reasons Linux is the best choice for kids. Mezi tyto důvody patří i bezpečnost.

Jaké jsou rozdíly v bezpečnostních filosofiích Unixu a MS Windows? Chad Perrin na stránce Unix vs. Microsoft Windows: How system designs reflect security philosophy mj. poukazuje na to, že některé vlastnosti, které Microsoft ke svým systémům dodatečně přidává, jsou založeny již v architektuře unixového OS.

Objevila se bezprecedentní vlna exploitů v Javě, říká Microsoft – ‚Unprecedented wave‘ of Java exploits hits users, says Microsoft. Zatím je několik teorií, které zdůvodňují tento boom, není jasné, která z nich je správná. Například Krebs dokonce doporučuje odinstalaci Javy (anebo používat aktualizační nástroj typu Secunia´s Personal Software Inspector, který stahuje nejnovější aktualizace).
Viz také – Java surpasses Adobe kit as most attacked software .

Základy správy logů najdete na odkazu Log management basics . David Torre na stránkách csoonline.com v rozsáhlejším článku vysvětluje, co chápe pod pojmem správa logů, jak si vybrat správný systém pro správu logů a jak číst získané informace.

Pět doporučení k tomu, jak se zbavit crapware, k tomu příslušné návody připravil Michael Kassner – Five tips for getting rid of crapware. Crapware jsou programy, které přichází s novým počítačem a určitě nejsou nezbytné pro jeho fungování.

Nalezena byla díra v linuxovém jádru, která umožňuje získat kořenová (root) práva – Hole in Linux kernel provides root rights. A také viz další informaci obdobného charakteru – Root privileges through vulnerability in GNU C loader.

Brian Krebs komentuje kritickou aktualizaci pro RealPlayer – Critical RealPlayer Update a zároveň vyjadřuje svůj kritický postoj k této aplikaci.

What Adobe's New PDF Sandbox Really Means For Attackers – Adobe koncepce tzv. Sandboxu, co znamená pro útočníky? Kelly Jackson Higgins vysvětluje, co Adobe chystá v připravované verzi Adobe Readeru a co to bude znamenat z pohledu bezpečnosti.

Trendy hrozeb pro Windows – jak se na ně dívá společnost McAfee? Paula Greve vystoupila na firemní akci Focus 2010 security conference, článek Windows threat trends: the view from McAfee shrnuje myšlenky obsažené v tomto vystoupení. Komentovala přesun k útokům velice cíleným na jedince (obdobným útoku Aurora) a další trendy (falešné antiviry, botnety, phisherské útoky, spam). Předpovídá, že v budoucnu se budeme častěji setkávat s tzv. vícenásobnými útoky (multiple attack vectors) a jejich předmětem budou ve větší míře konkrétní osoby v organizacích.

Desítka volně dostupných bezpečnostních produktů, které si můžete stáhnout, je prezentována na stránce 10 Free Security Products You Can Download Now formou slideshow:

  • Avast! Anti-Virus
  • AVG Anti-Virus Free Edition 2011
  • GFI MailSecurity
  • Kaspersky File Scanner
  • Microsoft Security Essentials
  • Nsauditor Free Port Scanner
  • Panda ActiveScan
  • PC Pitstop
  • Sophos Anti-Rootkit
  • ZoneAlarm Firewall

Malware

Nový typ malware cílí na systému pro prevenci průniků – New Malware Technique Targets Intrusion-Prevention Systems . Tim Greene se věnuje nedávno objeveným technikám, kterou používají nové typy malware – tzv. AET (advanced evasion techniques). AET funguje jako kombinace více technik – poskytovatelé internetu zvládnou přitom každou z nich jednotlivě, pokud však jich několik působí současně, vzniká problém.

Je připravována nová nebezpečnější varianta červa Stuxnet? Přitom podle článku SCADA security just got more serious má být k dispozici ke stáhnutí na internetu, a to pro každého. Článek má sloužit jako varování zejména pro odvětví kritické infrastruktury.

Jak vyčistit svůj počítač od malware, k tomu Ellinor Mills připravila FAQ (odpovědi na časté otázky), který je spojený rovněž i s videem – Help! My PC is infected with malware (FAQ).

Stuxnet pod mikroskopem – Stuxnet Under the Microscope, to je velice podrobný materiál (72 stran) společnosti ESET , jeho autory jsou Aleksandr Matrosov, Senior Virus Researcher; Eugene Rodionov, Rootkit Analyst; David Harley, Senior Research Fellow a Juraj Malcho, Head of Virus Laboratory.

Uživatelé Maců jsou varováni před narůstajícími hrozbami ze strany malware – Mac users warned of growing virus threat. Oproti roku 2009 významně narostl počet zjištěných zranitelností. Každý měsíc se nyní objeví 500 nových hrozeb. Rozsah hrozeb ve srovnání s hrozbami pro Windows je ovšem stále nepatrný, nikoliv však již zanedbatelný.

Jak se chránit před makroviry, k tomu zase uvádí čtyři doporučení Jennifer Patterson (How to Protect From a Macro Virus):

  • Povolte bezpečnostní ochrany a používání digitálních podpisů (při stahování souborů)
  • Neotvírejte přílohy e-mailů od někoho, koho neznáte
  • Nainstalujte si antivir
  • Nastavte si v MS Office pro Macro Security – Security Level

Záplata Siemensu proti Stuxnetu neposkytuje dostatečnou ochranu  – Siemens Stuxnet patch does not provide sufficient protection. Pouze zablokuje funkčnost červa, stačí však pár kroků pro překonání ochran a opět lze získat vládu nad Windows CC.

Viry

Výsledky nejnovějšího testu antivirů ukazují na jejich klesající schopnost obrany proti malware – Tests show consumer antivirus programs falling behind. Jeremy Kirk v článku informuje o výsledcích testu, který provedly NSS Labs. V testu 11 produktů se na spodní části žebříčku umístily Eset Smart Security a AVG Internet Security (právě AVG zaznamenalo největší pokles efektivity z analyzovaných produktů).

Hackeři

Brian Krebs objevil na netu tutoriál, jak se učit podvodům – Earn a Diploma from Scam U. Za pouhých 50 dolarů se na několika fórech nováček může naučit základy podvodů a lze investovat i více…

Hackeři zasáhli stránky společnosti Kaspersky – Hacker hits Kaspersky website. Návštěvníci si tak měli stahovat podvržený produkt. Přesměrování fungovalo tři a půl hodiny (minulou neděli).

Gene Simmons battles Anonymous group after new DDoS attacks aneb boj proti DDoS útočníkům ze skupiny Anonymizer není bez rizik. Poznal to na své kůži Gen Simmons. Na druhou stranu – jeho osoba se stala (pro jeho názory) populární ve veřejnosti.

Zakázané triky. Minipříručka Hackera, na stránkách Chip online: Bezpečnost je většinou jen iluze. Pomocí jednoduchých nástrojů mohou profesionálové mnoho systémů „kreknout“. Ukážeme vám, jak byste se měli chránit, nebo alespoň jak pro ochranu udělat maximum.

Hardware

Zajistěte fyzickou bezpečnost svých linuxových systémů, Kevin Beaver formuluje základní zásady, kterými je třeba se řídit – Physical security threats to your Linux systems.

VoIP

Také Bruce Schneier se obrací na svém blogu k nástroji PinDr0p (pracuje s otiskem hlasu, informovali jsme o něm předminulý týden) – Fingerprinting Telephone Calls.

Elektronické bankovnictví

Botnet ZeuS znovu zasahuje – Zeus botnet gang targets Charles Schwab accounts. I když proběhlo rozsáhlé zatýkání (více než 100 členů jednoho ZeuS gangu), konkurenční banda (bandy) pokračují ve svých aktivitách. Tentokrát vyčistily investorské účty Charlese Schwaba (dokonce prodávali další aktiva tak, aby se zvýšil objem financí na účtech – samozřejmě k jejich prospěchu). Viz také – Zeus Trojan Spreads with Tax Spam.

Carberp: Quietly replacing Zeus as the financial malware of choice aneb k finančnímu malware Carberp potichu nahrazujícímu ZeuS. Michael Kassner ve své stati jednak rozebírá samotný pojem finančního malware, jednak se věnuje jeho novému typu, zatím dosti neznámému.

Zeus : přichází verze 2.1 – jaké obsahuje novinky? Zachycení nové verze a její analýzu provedla společnost Trusteer – The Zeus malware R&D program. Článek kromě těchto informací obsahuje i sadu doporučení na ochranu před tímto malware.

Barclays Bank se stala obětí interního počítačového podvodu – Barclays hit by insider computer fraud, says IT security chief . Někdo uvnitř spolupracoval s externím podvodníkem. Využívali mladé lidi hledající zaměstnání k převodu peněz do Kanady. Podle Patricka Romana (šéf bezpečnostních oddílů banky) mohlo také dojít k vydírání bankovního zaměstnance.

FBI varuje malé a střední podniky před podvodnými převody z jejich účtů – FBI Warns Of ‚Corporate Account Takeover‘ Scams. Toto varování – New E-scams and Warning – komentuje Tim Wilson. Podvodníci hledají cesty, jak prostřednictvím zaměstnanců firem (často těch na významnějších pozicích) rozšířit ve firmě malware a tak kompromitovat citlivé finanční údaje. Kompletní zpráva FBI je zde – Fraud Advisory for Businesses: Corporate Account Take Over.

Bankomatové podvody v Evropě vzrostly o 24 procent (oproti roku 2009) – Skimming attacks at European ATMs rise 24%. V článku jsou shrnuty výsledky nedávné zprávy – European ATM Crime Report.

Autentizace, hesla

Prolamování CAPTCHA je kriminální čin, rozhodl tak americký soud – Judge Clears CAPTCHA-Breaking Case for Criminal Trial.

Protect your online privacy and identity  – chraňte své online ID a soukromí, to jsou výsledky přehledu, který připravil Anonymizer. Najdete zde sadu doporučení. Tyto výsledky jsou také široce komentovány v článku – Widespread Confusion over Protecting Privacy.

Phishing

Phisheři útočí na hráče World of Warcraft, a to jak prostřednictvím e-mailů, tak i zpráv uvnitř samotné hry – WoW players continually targeted by phishers.

Phisherský gang se přeorientoval na crimeware – Global e-crime gang transitions to crimeware. Botnet Avalanche zabudoval do svých schémat trojana ZeuS.

Kryptografie

Quantum hackers, kvantoví hackeři aneb o lidech, kteří hledají bezpečnostní díry v systémech pro kvantovou kryptografii.

bitcoin školení listopad 24

Speciální stránku, která obsahuje kryptografické výzvy pro milovníky hádanek najdete na odkazu MysteryTwister C3. Doporučuje ji autor článku Crypto challenges for puzzle fans.

Různé

Přehled vychází z průběžně publikovaných novinek na Crypto – News.

Autor článku