Bezpečnostní střípky: většina průniků je zevnitř organizace

Jaroslav Pinkava 25. 5. 2009

Pravidelný přehled informací vztahujících se k problematice bezpečnosti IT. Z novinek tohoto týdne lze upozornit na informaci o vydaných metrikách pro informační bezpečnost, na dvě nedávno vydaná Live CD (bezpečnost webů) a na výsledek nezávislého testu antivirových produktů.

Obecná a firemní bezpečnost IT

Kamery a počítače budou evidovat poznávací značky všech projíždějících aut – Camera grid to log number plates . Toto opatření je v současné době připravováno ve Velké Británii a budovaná síť několika tisíc kamer by měla být spuštěna v průběhu příštích měsíců.

V roce 2010 můžeme být bez GPS  – Worldwide GPS may die in 2010, say US gov. Je otázkou, zda se US Air Force podaří do té doby získat potřebné nové satelity tak, aby služba mohla být provozována bez přerušení.

Metriky pro informační bezpečnost, přání a potřeba mnohých bezpečnostních profesionálů jsou na světě – Consensus metrics for information security. Center for Internet Security (CIS) oznámil vydání prvních takovýchto průmyslových metrik. Mohou poskytnout bezpečnostním profesionálům prostředek pro měření nejdůležitějších aspektů stavu informační bezpečnosti v podniku.

Z Bílého domu zmizel terabajtový disk s daty z Clintonovy éry – Missing: 1TB of Clinton White House data. Ukraden (?) byl někdy mezi loňským říjnem a letošním březnem. Viz také – U.S. National Archives offers reward for missing hard drive.

Cloud computing  – poznávejme jeho nebezpečí – Cloud Security: Danger (and Opportunity) Ahead. ARIEL SILVERSTONE v úvodním článku chystané série zkoumá existující hrozby a záludnosti těchto postupů a uvádí některá doporučení (best practices).

Materiál (whitepaper) společnosti RSA uvádí šest nejlepších postupů, jak chránit podnik před ztrátou dat:

  • Pochopte, která data jsou nejvíce citlivá ve vztahu k předmětu vašeho podnikání.
  • Uvědomte si, kde jsou vaše nejcitlivější data uložena.
  • Pochopte původ a podstatu vašich rizik.
  • Zvolte vhodné kontroly založené na politice, rizicích a místech, kde jsou citlivá data uložena.
  • Spravujte bezpečnost centralizovaně.
  • Bezpečnostní audity musí směřovat k stálému zlepšování.

Je to pravda – většina bezpečnostních průniků má původce uvnitř – Myth or not: Most security breaches originate internally. MICHAEL KASSNER rozebírá statistiky CSI/FBI. Všimněte si bohaté diskuze.

Software

Nástroj proti XSS útokům bude prezentován příští týden na konferenci v Oaklandu (IEEE Symposium on Security and Privacy) – A Blueprint to Stop Browser Attacks. A software layer protects against cross-site scripting attacks. V tomto přístupu nejprve proběhne na webové stránce kontrola obsahu dat od uživatelů, je ověřováno, zda neobsahují útok XSS, teprve pak mohou být data použita.

Linux i Windows mohou být kompromitovány v průběhu bootování – Linux and Windows compromised at boot. Piotr Bania připravil nástroj (proof of concept) – boot compromise tool called Kon-Boot. Poučení – jediné možné řešení je bránit fyzický přístup k počítači.

Webový útok, který infikuje výsledky Google, se stává nebezpečnějším – Web attack that poisons Google results gets worse. The attack targets known flaws in Adobe's software, informuje ve svém článku na Computerworldu ROBERT McMILLAN. S útokem se lze potkat již na několika tisících legitimních webů. Využívá známé chyby programů Adobe a používá je k instalaci škodlivého software na počítačích obětí. Viz také – Viral web infection siphons ad dollars from Google.

Kylin: New Chinese Operating System aneb je zde nový – bezpečný – čínský operační systém. K článku z Washington Times o OS Kylin (China blocks U.S. from cyber warfare) probíhá diskuze na Schneierově blogu.
Viz také – Much ado about Kylin.

WhiteHat: většina dnešních webů je zranitelná – WhiteHat: Most Web Sites Are Vulnerable Now. Podle zprávy WhiteHat Website Security Statistics Report (za období 1.1.2006 až 31.3.2009) obsahovalo 82 procent webových stránek kritický problém (po dobu své životnosti). V současnosti je nedostatečně zabezpečených 63 procent webů.

Můžete si stáhnout Live CD pro penetrační testování webů – Web penetration testing live CD. CD obsahuje nástroje pro všechny čtyři etapy penetračního testování webových stránek:

  • Reconnaissance – Fierce Domain Scanner and Maltego.
  • Mapping – WebScarab and ratproxy.
  • Discovery – w3af and burp.
  • Exploitation – BeEF, AJAXShell and much more.

Stránky samotného produktu jsou zde  – Samurai Web Testing Framework.

Nová verze existuje pro OWASP LiveCD – OWASP LiveCD switching to Ubuntu. Odkaz na vydáné ISO je na této stránce – Austin Terrier. CD obsahuje soubor open-source programů pro vývojáře webových stránek a pro jejich testery a auditory.

O chybě v konstrukci OpenSSH informuje TOM ESPINER v článku Flaw in encryption armor discovered. Britští odborníci z londýnské univerzity (Royal Holloway) poukázali na chybu, která ve verzi 4.7 OpenSSH pro Debian/GNU Linux (chyba je již přímo v rfc, které definuje SSH) umožňuje útočníkovi získávat části otevřeného textu. Open SSH ve verzi 5.2 již obsahuje protiopatření.

Malware

Viry a malware pro *nix systémy existují – The myth of *nix security. Na blogu společnosti KasperskyLab to prokazuje SERGEJ GOLOVANOV.

EUGEN KASPERSKY konstatuje, že za botnetem Conficker stojí skuteční profesionálové – Kaspersky impressed by botnet slickness. Na 60 procent přitom předpokládá, že Conficker je kontrolován z Ukrajiny, ale podle něho to nelze tvrdit s jistotou.

Nepodceňujeme malé botnety? Přitom – lze je velice snadno použít k cíleným útokům či rozesílání spamu – Inside the botnets that never make the news – a gallery (RYAN NARAINE a DANCHO DANCHEV). Na druhou stranu, jak bylo nedávno zjištěno, i „vlastníci“ velkých botnetů je člení na malé části, které potom přeprodávají pro jiné kriminální aktivity (původní malware je nahrazován jiným).

Conficker stále infikuje 50 000 počítačů denně – Conficker still infecting 50,000 PCs per day (ROBERT McMILLAN). Podle zprávy Symantecu jsou nejvíce zasaženy Indie a Brazílie. Odhaduje se, že nyní je jím infikováno ve světě jeden milión počítačů, což představuje největší současný botnet.

Máme zde nyní Chain of Trust, což je nový program pro boj s malware – Cybersecurity groups pledge to work together. The three groups want to join forces to combat malicious software. Tři organizace (Anti-Spyware Coalition, the National Cyber Security Alliance and StopBadware.org ) se spojily a chtějí adresovat jak dodavatele SW, výzkum, vládní agentury, internetové společnosti, poskytovatele sítí a školy pro jednotný boj s malware. Spolupracovat s tímto programem bude i FBI.

Viry

Počítačové sítě FBI byly napadeny neznámým virem – Mystery virus strikes FBI, U.S. Marshals (STEVEN MUSIL). Informace o tom, co se vlastně stalo, jsou však velice skoupé.

BitDefender přichází s některými novými volně dostupnými nástroji – BitDefender launches ‚suck it and see‘ free anti-virus scanner. Je mezi nimi např. bezplatný antivirový skener, avšak některé jeho funkce jsou omezené.

Máme zde ale také překvapivé výsledky nezávislého testu antivirových produktů – Antivirus Taste Test: One Man's Quest for (Nearly) Objective Rankings. Bezpečnostní konzultant CHAZ SOWERS provedl své vlastní srovnání antivirového SW. Výsledky jsou zajímavé. Na jednom z předních míst najdeme Trustport, naopak zcela zklamalo AVG. Ale dobře nedopadly ani takové renomované antiviry jako Kaspersky, Norton (Symantec).

Antiviry jsou každým rokem méně efektivní, vyplývá to z rozhovoru s ARTEM COVIELLO, prezidentem RSA (bezpečnostní divize EMC Corp.) k současným problémům bezpečnosti IT – Why Security Isn't A Solo Act.

Hackeři

Clickjacking: Hijacking clicks on the Internet aneb clickjacking – jak to vlastně funguje? Jedno z velkých nebezpečí, které číhá na surfaře na internetu – Elinor Mills vysvětluje podstatu těchto útoků. Podrobnější informace lze nalézt v článku Clickjacking z prosince 2008 (ROBERT HANSEN a JEREMIAH GROSSMAN).

Každý pátý teenager umí nalézt na internetu hackovací nástroje – One in five teenagers can find hacking tools online. Vyplývá to z analýzy, kterou provedla společnost Panda Security.

O vojenském využití hackingu se hovoří v článku US military shows off hack-by-numbers battlefield gadget (jeho autorem je DAN GOODIN). Americká armáda připravuje zařízení pro penetrace sítí nepřátel.

Útoky typu Gumblar z kompromitovaných webů se rychle šíří – ‚Gumblar‘ attacks spreading quickly (MATTHEW BROERSMA). Byla sice zastavena čínská doména gumblar.cn (odkud byl stahován škodlivý kód), ale byla nahrazena doménou martuz.cn. 

Viz také – Gumblar Google-poisoning attack morphs.

Hardware

I čerstvě nakoupené zařízení od výrobce může obsahovat malware – Another infected device. Na blogu společnosti Kaspersky Lab je jako další v řadě uveden příklad netbooku společnosti M&A Companion Touch.

Mobilní telefony

iPhone security, Part 1 – MICH KABAY se dívá na problematiku bezpečnost iPhone z obecného hlediska, uvádí některé užitečné odkazy. Druhá část jeho článku je zde – iPhone Security, Part 2.

Forenzní analýza

Tracking Cyberspies Through the Web Wilderness – jak probíhá detektivní práce v kybernetickém prostoru? O zkušenostech při získávání důkazů na internetu se hovoří v článku JOHNA MARKOFFA.

Autentizace

Přestože byl certifikován, rakouský elektronický občanský průkaz obsahuje bezpečnostní zranitelnosti – Security vulnerabilities in Austrian Citizen Card despite certification (DANIEL AJ SOKOLOV).

Phishing

Byly zaznamenány nové phisherské útoky ve vztahu k sociálním sítím Facebook a Twitter – Deja vu: New scams hit Facebook and Twitter. Cílem útoků je pochopitelně získání přihlašovacích dat uživatelů (a jejich pozdější zneužití) a rozesílání malware. V článku jsou obsažena některá doporučení uživatelům (převzata ze stránek Facebook):

  • Používejte aktualizovaný prohlížeč, který pracuje s černou listinou anti-phishingu (např. IE 8 a Firefox 3.0.10)
  • Používejte odlišná přihlašovací data pro každý web, který navštěvujete
  • Ověřte se zda se přihlašujete na legitimní stránku (Facebooku – facebook.com)
  • Buďte opatrní ve vztahu ke každé zprávě, oznámení či odkazu, který na Facebooku najdete – takovým, které vypadají podezřele či vyžadují nové přihlášení

Cílem phisherských útoků na Facebook jsou (překvapivě) – peníze – Latest Facebook Phishers are Out for Profit. Útočníci hledají hesla k Facebooku. Mají šanci, že nalezené heslo pak dotyčný používá i jinde, například při online nákupech.

O Unicode a možnosti jeho zneužití (např. pro phisherský útok) se píše v článku Simple Anti-Forensic and Signature stamping techniques using Unicode. Některé znaky v azbuce (v cyrilice) vypadají stejně a pokud je povolena registrace domén se znaky v Unicode, pak návštěvník nepozná, že je na nesprávném webu.

Chraňte se před útoky typu vishing – Protecting yourself from vishing attacks. Vishing – jsou to vlastně pokusy o krádež informací či peněz uživatelů prostřednictvím telefonní sítě (kombinace slov voice a phishing). MARGUERITE REARDON vysvětluje, jak to vlastně funguje a uvádí celou řadu doporučení pro obranu před těmito útoky.

Normy a normativní dokumenty

Pracovní skupina IETF pkix vydala v tomto týdnu nový draft:

Kryptografie

Útoku na podpisy RSA podle normy ISO/IEC 9796–2 je věnována studie Practical Cryptanalysis of ISO/IEC 9796–2 and EMV Signatures. Z teoretického hlediska neexistuje garance, že podvržení podpisu je stejně obtížné jako inverze RSA. Autoři ukazují jeden z takovýchto útoků, který navíc směřuje na schéma dle aktuálně používané normy. Ukazují i praktické výsledky.

Lámejte si hlavu nad hádankou od Bruce Schneiera – Lost Wired Puzzle. Zde máte pokusy o její řešení:

widgety

A zde je diskuze na Schneierově blogu (pozor, už i s odkazem na řešení hádanky):

Různé

Přehled vychází z průběžně publikovaných novinek na Crypto – News.

Našli jste v článku chybu?
Podnikatel.cz: Babišovi se nedá věřit, stěžovali si hospodští

Babišovi se nedá věřit, stěžovali si hospodští

Lupa.cz: Jak se prodává firma za miliardu?

Jak se prodává firma za miliardu?

Měšec.cz: TEST: Vyzkoušeli jsme pražské taxikáře

TEST: Vyzkoušeli jsme pražské taxikáře

DigiZone.cz: WorldDAB: jak si stojí klíčové trhy?

WorldDAB: jak si stojí klíčové trhy?

DigiZone.cz: DVB-T2 ověřeno: seznam TV zveřejněn

DVB-T2 ověřeno: seznam TV zveřejněn

Vitalia.cz: Muž, který miluje příliš. Ženám neimponuje

Muž, který miluje příliš. Ženám neimponuje

DigiZone.cz: Wimbledon na Nova Sport až do 2019

Wimbledon na Nova Sport až do 2019

Lupa.cz: Hackeři mají data z půlmiliardy účtů Yahoo

Hackeři mají data z půlmiliardy účtů Yahoo

Podnikatel.cz: Takhle se prodávají mražené potraviny

Takhle se prodávají mražené potraviny

Lupa.cz: Patička e-mailu závazná jako vlastnoruční podpis?

Patička e-mailu závazná jako vlastnoruční podpis?

DigiZone.cz: Nova opět stahuje „milionáře“

Nova opět stahuje „milionáře“

DigiZone.cz: Rapl: seriál, který vás smíří s ČT

Rapl: seriál, který vás smíří s ČT

DigiZone.cz: Další programatické formáty

Další programatické formáty

Podnikatel.cz: EET pro e-shopy? Postavené na hlavu

EET pro e-shopy? Postavené na hlavu

Vitalia.cz: Tohle jsou nejlepší česká piva podle odborníků

Tohle jsou nejlepší česká piva podle odborníků

Podnikatel.cz: Znáte už 5 novinek k #EET

Znáte už 5 novinek k #EET

120na80.cz: 3 preventivní vyšetření na odhalení rakoviny

3 preventivní vyšetření na odhalení rakoviny

Lupa.cz: Aukro.cz mění majitele. Vrací se do českých rukou

Aukro.cz mění majitele. Vrací se do českých rukou

DigiZone.cz: Samsung EVO-S: novinka pro Skylink

Samsung EVO-S: novinka pro Skylink

Vitalia.cz: Jsou vegani a vyrábějí nemléko

Jsou vegani a vyrábějí nemléko