Projekt PRISM si lze velice jednoduše představit jako backdoor do systémů velkých společností jako Google, Facebook, Microsoft, Yahoo, Apple, AOL, …
Systém má získávat informace pouze o občanech mimo Ameriku, ale ve zprávě stojí, že i ke zpracováním údajů amerických občanů občas “nedopatřením” dojde.
Kdykoliv NSA, nebo FBI potřebuje data, kterými jsou např. emaily, videa, obrázky, VoIP hovory, chat komunikaci a cokoliv dalšího co je uložené v jejich systémech, tak se k nim jen připojí a spustí rutinu, která vyhledá všechny dostupné informace o člověku až do druhé úrovně. Tj. pokud byste byl prověřován a psal jste si na Internetu jen s jedním kamarádem, tak prověří vás, vaši rodinu, vaše přátele, známé a s tím i jeho, celou jeho rodinu, přátele, kontakty, …
Všechny velké společnosti toto samozřejmě odmítly. Co jiného mohou odpovědět? Nejen, že o tom nesmí mluvit, ale přiznáním by navíc mohly ztratit velkou část zákazníků.
Jak vyplývá z nadpisu, o nečem podobném uvažovala většina z nás a bylo více než jasné, že NSA má prostředky a moc si podobný backdoor prosadit.
Edward Snowden stojící za únikem spojených s projektem PRISM otevřeně promluvil o motivech svého počínání.
Kim Dotcom burcuje Evropskou unii a všechny dotčené/naštvané do ‚války‘ proti americkému projektu PRISM. Na Twitteru se opřel do prezidenta Obamy s tím, že tuto válku nemůže vyhrát, protože internet je mocnější než se zdá. Zda jeho volání do zbraně bude vyslyšeno, ukáže až čas.
Naše postřehy
Microsoft během operace B54 údajně sestřelil všech více než 1k4 C&C serverů malwaru Citadel všude po světě (hlavně v USA). Citadel má/měl údajně na svědomí až 10 milionů infikovaných počítačů. Ty byly použity na různé operace od DDoS útoků, přes krádeže osobních dat až po krádeže z bankovních účtů. I když aktuálně nemají boti kam zasílat získaná data, neznamená to, že se botnet herderům nepodaří opětovně získat nad jednotlivými botnety kontrolu. Microsoft proto vydal nástroj pro odstranění tohoto malware.
Pohled na obfuskaci s využitím triku v SEHu aneb Co jste v Avataru (rootkit) určitě neviděli :) Článek kromě výše zmíněného rootkitu a obfuskace popisuje funkci a implementaci SEHu ve Visual C++.
DNS Tunneling je poměrně stará technika obcházení firewallů a skrývání spojení pro vzdálené ovládání systémů. Nově ho však efektivně začali používat i tvůrci malwaru. Klient většinou posílá data na C&C server v podobě A/TXT dotazů, kdy od serveru dostane odpověd, případně nové příkazy. Tuto techniku lze částečně identifikovat jen pomocí Intrusion Prevention systémů. Alternativou je pak enkapsulace podobného trafficu v např. ICMP, kdy je komunikace nejen efektivnější, ale navíc lze snáze šifrovat traffic (Loki2).
Obcházení Intrusion Prevention systémů je širší téma, než se může zdát. Existují jednodušší i složitejší cesty. Základem je obfuskace trafficu, šifrování (především SSL), fragmentace trafficu, využití komplexnosti protokolu (RPC, SMB) a chyb/nedostatků enginu IPS. Nejjednodušší je samozřejmě použití SSL. Pokud server umožňuje SSL spojení, tak do dat IPS jednoduše nevidí. Existují nejméně tři metody, jak IPS systému nabídnout nešifrovanou verzi daného spojení, ale je to vždy závislé na konkrétním designu sítě.
Obsáhlý článek věnující se USB malwaru, způsobu šíření a infikování nově připojených disků. Takto např. FLAME vynášel tajná data i ze sítí, které neměly přístup k Internetu. Zajímavá data se nahrála na USB disk uživatele, a když ho připojil doma k soukromému počítači, tak se data odeslala na server. FLAME měl tento systém velice dobře promyšlený.
Debian upozorňuje před Debian Multimedia repository (debian-multimedia.org), který již není nijak spojen s Debian projektem, takže by se mohl stát bezpečnostním rizikem pro všechny instance Linuxu, které ho používají. Pokud ji používáte, je doporučeno ji ihned smazat.
Sedm doporučení, které byste měli znát a dodržovat při ochraně proti DDoS útokům. Nutno poznamenat, že úplně ochráněni nebudete nikdy. Cílem je identifikovat všechna možná rizika, zařízení a servery v síti a na nich provést všechny kroky k předejití DoS. Za užitečnou snad shledáte i moji prezentaci z konference Security Session 2013 (Practical steps to mitigate DDoS attacks).
Vyšla oficiální, doplněná verze OWASP Top 10. Injection je stále na prvním místě. Dále pak broken authentication and session management, cross-site scripting (XSS), insecure direct object references, security misconfiguration, sensitive data exposure, missing function-level access control, cross-site request forgery (CSRF), using known vulnerable components a unvalidated redirects and forwards.
Článek popisující ochranu před APT. Jde spíše o všeobecné doporučení. Faktem je, že při APT utocích vedených zkušenými odborníky nemáte moc šancí. Snažte se mít bezpečnou síť a systémy jak to jen jde, používejte aplikace, které jsou schopny bežet v sandboxu/chrootu s behaviorální analýzou, začleňte do sledování trafficu IPS, využijte DLP (Data Loss Prevention) pro částečnou detekci 0-day, segmentujte síť, zaveďte vulnerability management, patch management… a hlavně: mějte schopné lidi, kteří se budou o bezpečnost vaší společnosti starat.
O nedostatcích DNS protokolu (DNS poisoning) a potřebě implementace DNSSec/DNSCurve. Jen bych doplnil, že by se DNSSec měl implementovat s povědomím o DoS útocích spojených s tímto protokolem a až to bude možné, tak určitě uvažovat i o implementaci DANE protokolu.
Jaká je cena e-mailového účtu? Spousta lidí si neuvědomuje, že e-mail je v dnešní době obdobou občanského průkazu a klíčů od domu. Probíhá přes něj změna hesel ke všem známým službám a sociálním sítím, autorizace úkonů, máte v něm spoustu osobních údajů, výpisů z bank, dokumentů/obrázků/videií v přílohách apod. Chránit svůj e-mail by mělo být jednou z hlavních priorit, protože zcizení e-mailového účtu je srovnatelné se zcizením identity. Dvoufaktorová autentizace (např. na Gmailu) je dobrým prvním krokem.
Malware researcheři Mary Landesman a Dave Monnier oznámili na summitu Gartner Security and Risk Management, že kyberzločinci čím dál více nabourávají shared hostingy a cloudové služby místo jednotlivých domén, protože tímto v jednu chvíli ovládnou desetitisíce domén, které mohou zneužít k šíření malwaru.
Všem začátečníkům v reverse engineeringu by mohlo být nápomocné toto video od Offensive Security (BackTrack).
Pro pobavení
Po aféře PRISM musel prý Facebook změnit nastavení bezpečnosti publikování příspěvků.
facebook policy
ČLÁNKY DO MAILU