Bezpečnostní střípky: aktuální útoky na SSL

Jaroslav Pinkava 23. 11. 2009

Pravidelný pondělní přehled informací vztahujících se k problematice bezpečnosti IT. Z informací právě uplynulého týdne lze upozornit na aktivity bank po úniku citlivých dat ve Španělsku, rekapitulaci bezpečnostních nástrojů, které poskytuje Microsoft a bezpečnostní připomínky ke Google Chrome OS.

Obecná a firemní bezpečnost IT

Proč se bezpečnostním profesionálům nedaří? Dan Lohrmann (i jako bývalý CISO) se pokouší v tomto problému rozebrat v článku na csoonline.com – Why Do Security Professionals Fail? Jako problém číslo jedna vidí fakt, že bezpečnostní profesionálové jsou známí jako potížisté (disabler). Doporučuje proto, být opakem, být aktivizujícím činitelem (enabler).

Země se připravují na kybernetickou válku – Report: Countries prepping for cyberwar. Článek je komentář Ellinor Millsové ke zprávě společnosti McAfee – Virtual Criminology Report 2009. Virtually Here: The Age of Cyber Warfare

Viz také další komentář – McAfee Inc. Warns of Countries Arming for Cyberwarfare.

The Cyberwar Plan – Spojené státy již prostředky kybernetické války použily. Rozsáhlejší článek, jehož autorem je Shane Harris, se vrací k akcím NSA v Iráku v roce 2007. Je v něm dále také poukazováno na potenciál Ruska a Číny, který se vztahuje ke kybernetické válce.

Obama snad již brzy jmenuje bezpečnostního koordinátora Bílého domu – Obama said to be close again to naming cybersecurity chief. Jsou zvažována dvě jména – Frank Kramer a Howard Schmidt. Oznámení by mělo přijít nejpozději na den díkůvzdání (v USA je to čtvrtý čtvrtek v listopadu), snad?

Jak chytří jsou islámští teroristé? To je diskuze na Schneierově blogu k dokumentu Organizational Learning and Islamic Militancy (květen 2009, 146 stran) jehož autorem je Michael Kenney – How Smart are Islamic Terrorists?

Jak vypadá počítačová síť FBI, která bojuje s kybernetickou kriminalitou? Seznámit se s ní můžete z popisu, který zástupci FBI přednesli ve slyšení před americkým kongresem – An introduction to the FBI's anti-cyber crime network.

Evropská bezpečnostní agentura ENISA zpracovala studii (s názvem Benefits, risks and recommendations for information security) k bezpečnostním aspektům oblačných výpočtů (cloud computing) – Cloud Computing Security Risk Assesment. Komentář k obsahu této studie je předmětem článku Cloud computing security benefits, risks and recommendations.

Stránka The Cloud Security Survival Guide shrnuje celou řadu užitečných odkazů k problematice oblačných výpočtů (cloud computing). Průvodce připravil Bill Brenner.

Význam penetračních testů roste – Penetration Testing Grows Up. Kelly Jackson Higgins na stránkách DarkReading poukazuje na fakt, že metody penetračního testování se stávají nezbytnou součástí ochran a komentuje mimo jiné i komercializaci produktu Metasploit.

Top 5 Social Engineering Exploit Techniques, zde najdete top 5 technik sociálního inženýrství tak, jak je vidí Jamey Heary:

  • Familiérní exploit
  • Vytvoření nebezpečné (nepřátelské) situace
  • Sběr a využití informací
  • Nechat se zaměstnat
  • Přečtení řeči těla

Pracovník NSA říká: tři základní kroky mohou pomoci odvrátit většinu počítačových útoků – 3 basic steps to thwart most cyberattacks, courtesy of NSA. Richard Schaeffer Jr. vystoupil před senátním výborem a prohlásil, že pokud jsou dodržovány nejlepší postupy (best practices), správné konfigurace a kvalitní monitoring sítě, lze takto odvrátit 80 procent možných útoků.

Několik doporučení k bezpečným online nákupům najdete v článku Safe online shopping tips. Tipy jsou jak pro kupující, tak i pro firmy. Svátky (v USA Cyber Monday – 30. listopad) se blíží…

Jak si zajistit soukromí na počítači v pěti krocích, doporučení pro běžné uživatele sepsal Radek Kubeš.

Software

Jsou bezpečnostní nástroje Microsoftu dostatečné pro bezpečnost Windows? Lifehacker v Stop Paying for Windows Security; Microsoft's Se­curity Tools Are Good Enough rekapituluje současnou situaci s bezpečnostními nástroji, které Microsoft dává uživatelům.

K problémům bezpečnosti webových aplikací odpovídá na otázky Robert Abela – Q&A: Web application security. V tomto interview je diskutována současná podoba útoků na webové aplikace – jako jsou útoky Cross Site Scripting a další hrozby.

Firewall ve Windows 7 – ve znamení pokroku, Josef Vavřina: Firewall se ve Windows 7 dočkal oproti starším verzím několika vylepšení. Postupně dozrává v plnohodnotné softwarové firewall řešení, které už není nutné nahrazovat jinou aplikací, a ohlasy napovídají, že se Microsoft opravdu nemá za co stydět.

Nový útok na SSLv3/TLS může být i nebezpečnější než se původně předpokládalo. Matt Wood v krátkém komentáři SSLv3/TLS Renegotiation Stream Injection vysvětluje proč. Viz také – Researcher busts into Twitter via SSL reneg hole. Yes, it´s a serious vuln.

Podrobnosti z různých pohledů na aktuální útoky man-in-the-middle na SSL jsou obsaženy v třídílném seriálu Aluna Jonese:

  1. My take on the SSL MITM Attacks – part 1 – the HTTPS attack
  2. My take on the SSL MITM Attacks – part 2 – clarifications
  3. My take on the SSL MITM Attacks – part 3 – the FTPS attacks

Na stránkách Offensive Security lze nalézt určitou databázi exploitů – The Exploit Database.

Stručný přehled systému přístupových práv pro Unix najdete v článku Understand basic Unix file permissions. Pět úrovní správy popisuje Chad Perrin. Pokračování je pak v článku – Managing default Unix file permissions with adduser and umask.

Vydána byla verze 3.3 pro Metasploit Framework – Metasploit Framework 3.3 released – vývojovou platformu pro bezpečnostní nástroje a exploity.

Desítku rozšíření Firefoxu, která vylepší jeho bezpečnostní vlastnosti, najdete na stránce – 10 Firefox extensions that enhance security. V poslední době se objevují kritické připomínky k bezpečnostním vlastnostem Firefoxu. Michael Kassner posbíral informace o rozšířeních, která pomohou tuto kritiku otupit.

NSA pomáhala při formování ochran Windows 7 – National Security Agency beefed Win 7 defenses. O tomto partnerství informoval pracovník NSA Richard Schaeffer. Viz jeho vystoupení před senátním výborem:

Další informace říkají – NSA helps Apple, Sun and Red Hat harden their systems .

10 Lessons Google Must Learn About OS Security aneb co se Google musí naučit o bezpečnosti operačních systémů. Don Reisinger shromáždil skutečnosti, kterým musí Google čelit se svým novým operačním systémem.

Malware

Hacknutou aktivaci Windows 7 bude brzy následovat trojan – Trojans likely to follow Win 7 activation hack. John Leyden komentuje varování společnosti Sunbelt software.

Joan Goodchild v The Botnet Hunters popisuje zkušenosti odborníků z praxe (lovcú botnetů), jako jsou Santorelli, DiMino, Weafer a další. Tito lidé tráví nekonečné hodiny skenováním, sledováním, vyhledávají takto známky, které vypovídají o činnosti botnetů.

Výsledky vyhledávače Google jsou význačně otrávené – Google Search Results Significantly Poisoned.

Britská policie oznámila zatčení vztahující se k bankovnímu malware Zeus – UK police reveal arrests over Zeus banking malware. Je to první zatčení v tomto směru, zatčeni byli dvacetiletí muž a žena.

Tři kroky pomohou k tomu, abyste se nestali součástí botnetu – 3 Basic Steps to Avoid Joining a Botnet . Joan Goodchild rozvádí tato jednoduchá doporučení:

  • Počítače v práci i doma pravidelně aktualizujte záplatami a antivirovým SW.
  • Používejte poslední verze prohlížečů.
  • Buďte opatrní při kliknutí na odkaz nebo přílohu.

Viry

Seznam deseti antivirových programů pro Windows 7 zpracoval Greg Shultz – 10 antivirus programs for Windows 7. Na prvním místě figuruje AVG.

Hackeři

Prasečí chřipka dělá milionáře z ruských hackerů – Swine flu fears making millionaires out of Russian hackers. Jejich síť (Partnerka) popisuje zpráva společnosti Sophos – THE PARTNERKA – WHAT IS IT, AND WHY SHOULD YOU CARE?.

Are nations paying criminals for botnet attacks? – Platí si státy počítačové kriminálníky za útoky botnetů? Ellen Messmer komentuje další části zprávy společnosti McAfee – Virtually Here: The Age of Cyber Warfare.

How To Hack A Brazilian Power Company aneb jak hacknout stránky brazilské energetické společnosti. Robert Graham popisuje slabiny stránek ONS, brazilského energetického operátora.

Kybernetičtí kriminálníci v roce 2009 pilně pracují – Cyber criminals worked furiously in 2009. Komentář k informacím na blogu Symantecu – Breadth of Security Issues in 2009 = Stunning. Tým Symantecu zde shrnuje „úspěchy“ kybernetické kriminality a hlavní bezpečnostní trendy roku 2009.

Hackeři útočí na čínské ministerstvo obrany – Hackers descend upon defense website. Informace tentokrát pochází z jiné poloviny zeměkoule.

Stoned Bootkit, Peter Kleissner z Vídně vyvinul podle svých slov speciální typ rootkitu, který:

  • Se může šířit libovolnými medii.
  • Bootuje se dříve než hlavní operační systém, zůstává pak skrytý v paměti.
  • Je nezávislý na tom, který OS je používán.

V úvodu (a závěru) pdf dokumentu si autor stěžuje na soudy, které mu znepříjemňují práci na tomto projektu…

Hardware

Americká vláda využívá konzole PS3 k získávání přístupu k zašifrovaným souborům – Federal officers use video game console to catch child pornographers. U.S. Immigration and Customs Enforcement Cyber Crimes Center (C3) se s jejich pomocí dostává na stopu dětské pornografii (rozbíjí hesla k zašifrovaným souborům).

RFID

V Arkansasu vyvinuli technologii, která činí RFID čipy odolné proti klonování – ‚Fingerprinting‘ RFID Tags: Researchers Develop Anti-Counterfeiting Technology. Metoda se opírá o využívání individuálních znaků každého čipu.

Mobilní telefony

Úspěšné útoky (typu man-in-the-middle) proti chytrým mobilům, informaci o nich přináší článek Man-in-the-middle attacks demoed on 4 smartphones. Dancho Danchev v něm informuje o výzkumu pracovníků společnosti SMobile Systems – Study of MITM Attacks Against Smartphone Devices. Prostřednictvím nechráněné bezdrátové sítě a veřejně dostupného nástroje SSLstrip tool se podařilo odchytit komunikaci mobilů Nokia N95, HTC Tilt, Android G1 a iPhone 3GS.

Jak se vypořádat se zavirovanými mobily?. David Silmen: o chytré telefony je tu do budoucna jeden velký problém: Hackeři, kteří už se na ně se svými viry a nejrůznějším malware chystají. Na Georgia Institute of Technology teď řeší co s tím.

Spam

Pochopme oběti spamu: sedm principů systémové bezpečnosti – Understanding scam victims: seven principles for systems security. Zajímavá studie na rozhraní psychologie a IT bezpečnosti. Jeden z jejích autorů (Frank Stajano) komentuje okolnosti jejího vzniku na stránce The Real Hustle and the psychology of scam victims. Druhým autorem je Paul Wilson.

Elektronické bankovnictví

V souvislosti s únikem citlivých dat k platebním kartám ve Španělsku jsou v řadě evropských bank (včetně českých) prováděna některá opatření:

V Německu již bylo blokováno více než 100 000 karet, masivní vlna podvodů se týká zejména německých Volksbank a Raiffeisenbank. Československá obchodní banka (ČSOB) na tuto hrozbu reagovala zablokováním karet vybraným klientům.

Bankomaty v seconhandu obsahují citlivá data – Second-hand ATM trade opens up fraud risk. Dají se přitom koupit na eBay či prostřednictvím Craigslist. Původní majitelé si nedávají práci s tím, aby smazali uložená data.

Warning for online money mules aneb varování online soumarům. SOCA (Serious Organised Crime Agency) infomuje nyní o stránkách, které rekrutují tyto online soumary a kteří jsou takto vlastně zástěrkou pro praní ukradených peněz.

Phishing

Jak rozpoznat phisherský mail (FAQ)? Elinor Mills (vychází mj. z nedávného přehledu APWG – Global Phishing Survey: Trends and Domain Name Use in 1H2009) shrnuje informace o současných podobách phishingu a vysvětluje, jaké známky e-mailu svědčí o jeho phisherských cílech. Uvádí pak celou sadu doporučení – FAQ: Recognizing phishing e-mails.

Normy a normativní dokumenty

NIST vydal nový draft ke správě rizik ve federálních informačních systémech:

Kryptografie

Whitfield Diffie odchází po 18 letech ze SUNu – Crypto pioneer and security chief exits Sun. Známý odborník, pionýr kryptografie s veřejným klíčem bude učit v Londýně ( Royal Holloway, University of London).

Různé

Ve středu 17. 11. skončila Podzimní soutěž o ceny v luštění šifer, kterou pravidelně každý podzim pořádá e-zin Cyrpto-World. 

Všechny úlohy letos vyřešilo celkem 16 řešitelů. Soutěž byla doprovázena, jak se již stalo pravidlem, zajímavým příběhem, který nás tentokráte zavedl do padesátých let.

V poslední úloze museli soutěžící dešifrovat text zašifrovaný šifrátorem ŠD-2, který se v tehdejším Sovětském svazu skutečně používal. Za tímto účelem si ovšem mohli stáhnout ze stránky soutěže příslušný simulátor. Celý příběh, včetně popisu použitých šifer a řešení všech úloh je dostupný v e-zinu Crypto-World 11/2009 .

Bruce Schneier action figure – kupte si Bruce Schneiera (jeho figurku)! Jsou nabízeny různé jeho podoby. Komentář k tomu si můžete přečíst na stránce – Official Bruce Schneier action figure steps onto market.

widgety

Vyšel (IN)SECURE Magazine (číslo 23, listopad 2009), z obsahu:

  • Microsoft´s se­curity patches year in review: A malware researcher´s per­spective
  • A closer look at Red Condor Hosted Service
  • Report: RSA Conference Europe 2009, London
  • The U.S. Department of Homeland Security has a vision for stronger information security
  • Q&A: Didier Stevens on malicious PDFs
  • Protecting browsers, endpoints and enterprises against new Web-based attacks
  • Mobile spam: An old challenge in a new guise
  • Report: BruCON security conference, Brussels
  • Are you putting your business at risk?
  • Why out-of-band transactions verification is critical to protecting online banking
  • Study uncovers alarming password usage behavior
  • Q&A: Noise vs. Subversive Computing with Pascal Cretain
  • Elevating email to an enterprise-class database application solution
  • Ask the social engineer: Practice
  • Report: Storage Expo 2009, London
  • Jumping fences – the ever decreasing perimeter.

Přehled vychází z průběžně publikovaných novinek na Crypto – News.

Našli jste v článku chybu?
Měšec.cz: TEST: Vyzkoušeli jsme pražské taxikáře

TEST: Vyzkoušeli jsme pražské taxikáře

Vitalia.cz: Výživový poradce: Tyhle fešáky jedu celoročně

Výživový poradce: Tyhle fešáky jedu celoročně

Podnikatel.cz: Babišovi se nedá věřit, stěžovali si hospodští

Babišovi se nedá věřit, stěžovali si hospodští

120na80.cz: Galerie: Čínští policisté testují českou minerálku

Galerie: Čínští policisté testují českou minerálku

Vitalia.cz: Voda z Vltavy před a po úpravě na pitnou

Voda z Vltavy před a po úpravě na pitnou

DigiZone.cz: DVB-T2 ověřeno: seznam TV zveřejněn

DVB-T2 ověřeno: seznam TV zveřejněn

DigiZone.cz: Nova opět stahuje „milionáře“

Nova opět stahuje „milionáře“

Vitalia.cz: Nová vakcína proti chřipce se aplikuje nosem

Nová vakcína proti chřipce se aplikuje nosem

Lupa.cz: Proč jsou firemní počítače pomalé?

Proč jsou firemní počítače pomalé?

Vitalia.cz: Tradiční čínská medicína a rakovina

Tradiční čínská medicína a rakovina

Vitalia.cz: Antibakteriální mýdla nepomáhají, spíš škodí

Antibakteriální mýdla nepomáhají, spíš škodí

Vitalia.cz: Jak Ondra o astma přišel

Jak Ondra o astma přišel

Podnikatel.cz: Letáky? Lidi zuří, ale ony stále fungují

Letáky? Lidi zuří, ale ony stále fungují

Vitalia.cz: Tohle všechno se dá usušit

Tohle všechno se dá usušit

Vitalia.cz: dTest odhalil ten nejlepší kečup

dTest odhalil ten nejlepší kečup

Vitalia.cz: Tahák, jak vyzrát nad zápachem z úst

Tahák, jak vyzrát nad zápachem z úst

Měšec.cz: „Ukradli“ jsme peníze z bezkontaktních karet

„Ukradli“ jsme peníze z bezkontaktních karet

Lupa.cz: Patička e-mailu závazná jako vlastnoruční podpis?

Patička e-mailu závazná jako vlastnoruční podpis?

DigiZone.cz: Wimbledon na Nova Sport až do 2019

Wimbledon na Nova Sport až do 2019

Podnikatel.cz: Tyto pojmy k #EET byste měli znát

Tyto pojmy k #EET byste měli znát