Bezpečnostní střípky: bankovní trojané tvoří dvě třetiny nového malware

Jaroslav Pinkava 5. 4. 2010

Pravidelný pondělní přehled informací vztahujících se k problematice bezpečnosti IT. Upozorníme vás na zajímavý přehled 21 skrytých nebezpečí, na doporučení, která mají pomoci zabránit únikům dat (Debra Shinder, Tom Olzak) a na stále se vracející upozornění ohledně toho, že hesla je třeba měnit.

Konference a přehledy

Z únorové konference Shmoocon jsou k dispozici videa – ShmooCon 2010. O konferenci jsme na našich stránkách informovali. Pokud vás některé téma zaujalo více, najdete zde další podrobnosti.

Google Chrome a Android, jejich hack se ve Vancouveru nekonal – Google pwns hackers in Vancouver. Garett Rogers se stručně ještě vrací k výsledkům Pwn2Own competition.

Také Microsoft se vyjádřil k výsledkům hackovací akce Pwn2Own – Microsoft defends Windows 7 security after Pwn2Own hacks. DEP a ASLR jsou stále určitou obranou, nebyly míněny jako naprosto nepřekonatelná záchrana. Exploity se díky nim obtížněji realizují.

Společnost Webroot vydala studii k chování uživatelů sociálních sítí – Social Networking Users Lag In Privacy Awareness: Study. Výsledky studie ukazují na nedostatky v ochraně soukromí uživatelů, tyto nedostatky si začasté uživatelé zaviňují sami.

Obecná a firemní bezpečnost IT

Malý pohled do zákulisí Government Communications Headquarters (GCHQ) – britské NSA – najdete v článku GCHQ: Spooks in socks and sandals.

Technická tajemství: 21 nebezpečí, která před vámi skrývají – Tech Secrets: 21 Things ‚They‘ Don’t Want You to Know. Dan Tynan připravil přehled, který určitě stojí za přečtení. Např.: odposlouchávající webové kamery, poskytovatelé internetu a špionáž, náhražkové kazety pro inkoustové tiskárny a mnoho dalšího.

10 ways to make sure your data doesn't walk out the door: UPDATED – desatero, jehož dodržování pomůže zabránit úniku vašich dat připravila Debra Littlejohn Shinder:

  • Používejte princip nejmenších práv a mějte politiky v písemné podobě
  • Nastavte omezení v povoleních a přístupy k auditu
  • Používejte šifrování
  • Zaveďte správu práv
  • Omezte používání vyjímatelných médií.
  • Udržujte kontrolu nad notebooky
  • Nastavte pravidla pro odchozí obsah
  • Kontrolujte bezdrátovou komunikaci
  • Kontrolujte vzdálený přístup
  • Dejte si pozor na kreativitu zlodějů dat

Američtí vládní úředníci mají zakázáno používat aplikace pro sdílení – US government employees face file sharing ban. Odpovídající zákon byl schválen sněmovnou reprezentantů minulý týden.

Warner Bros UK náboruje studenty, mají sledovat piráty – Warner Bros. Recruits Students to Spy on Pirates. Studenti, kteří toto místo získají, vydělají 17 500 liber za rok.

Jak jedna firma uhájila bezpečí svých dvou sítí – How one company stays safe with two networks. Elllinor Mills vypráví o zkušenostech firmy Cryptography Research Paula Kochera (známý odborník, přišel hlavně s různými variantami útoků z postranních kanálů).

Máte pocit, že jste v práci sledován? Nejspíše se nemýlíte – Feel like you're being watched at work? You may be right. Ellen Messmer vysvětluje, jak to může fungovat.

Government details key points of its ‚Cyber Crime Strategy‘, as it acknowledges that it is a large and growing problem – britská vláda objasňuje svoji ´Cyber Crime Strategy´. Dan Raywood v tomto článku pak uvádí pět klíčových bodů této strategie. Samotný dokument je na stránce Cyber Crime Strategy. Viz také komentář Johna Leydena – UK.gov revamps cybercrime strategy.

Kybernetickou bezpečností se musí seriózně zabývat i vrcholoví výkonní manažeři – Top execs need to be involved in cybersecurity, study says. Jinak budou čelit vážným problémům. Vyplývá to ze zprávy The Financial Management of Cyber Risk (nezbytná je registrace).

Lékařské tajemství si nemocnice nestřeží, z úvodu: Dvě brněnské fakultní nemocnice propadly v testu, který měl ověřit, jestli se k chorobopisům pacientů může dostat neoprávněný člověk. Reportér MF DNES si oblékl bílý plášť, triko i kalhoty a předstíral studenta medicíny. Zamířil do nemocnic, které spolupracují s lékařskou fakultou, a kde získávají medici praxi. Poznámka (JP): Zdaleka přitom nejsme ještě ve fázi, kdy budou hromadně uložena digitalizovaná data pacientů.

USA: federální soudce tvrdí, že program odposlechů, který provádí NSA, je ilegální – Federal Judge Finds N.S.A. Wiretaps Were Illegal.

Interní zaměstnanci nejsou reálnou hrozbou databázím – Insiders Not The Real Database Threat. Adrian Lane v článku rozebírá otázku: Jsou hlavní hrozbou interní či externí uživatelé?

Útok na ukrajinský hosting nastal poté, co se ho jeho provozovatelé snažili vyčistit od crimeware – Ukrainian cybercrime-friendly ISP hit by fire after clean-up.

Dětským pornem v počítači chtěl poslat do vězení manžela své spolupracovnice – Stalker jailed for planting child porn on a computer. S dotyčnou spolupracovnicí si totiž chtěl začít románek. Na štěstí pro postiženou rodinu nebyl dostatečně šikovný …

Úniky dat, jak se jim bránit? Tom Olzak v Data Leakage: Catching Water in a Sieve poukazuje nejprve na skutečnost, že úniky dat a krádeže dat nejsou totéž. Uvádí sérii doporučení, které pomohou obraně před těmito úniky.

Rizika sociálních sítí jsou málo kontrolována – Social networking risks under little control. To je komentář ke zprávě, kterou vydala společnost Palo Alto Networks.

Google Hlášky (Buzz) jsou předmětem stížnosti na možné porušení soukromí – Lawmakers want FTC probe of Google Buzz. Vyšetřit to má U.S. Federal Trade Commission na základě dopisu amerických zákonodárců.

Vzniká koalice Microsoftu a Google ve jménu ochrany soukromí – Microsoft teams with Google in name of privacy. Spolu s dalšími dvaceti organizacemi vytvořily koalici s názvem Digital Due Process. Cílem je prosadit změny v zákoně Electronic Communications Privacy Act.

Google a Čína

Keep up with Google's privacy and security moves aneb Google ve zprávách. Chad Perrin zde rekapituluje informace, které se ve vztahu ke Google objevily ve zprávách v posledních měsících.

Aurora, tento útok na Google není dílem amatérů, tvrdí nyní společnost McAfee – McAfee: ‚Amateur‘ malware not used in Google attacks. Omlouvá se zároveň za svá předešlá vyhlášení, kdy při analýze zasažených počítačů nalezla stopy vietnamských botnetů. Nyní však společnost McAfee došla k závěru, že s Aurorou tyto botnety nemají nic společného.

Google oznamuje: objevilo se malware, které je cílené na vietnamské aktivisty – Google: Malware targets Vietnamese activists. Je za tím spolupráce Vietnamu s Čínou?

E-mailové účty novinářů hacknuty v Číně – Journalists’ E-Mails Hacked in China. Jednalo se o účty zahraničních novinářů na Yahoo. Viz také komentář Reports made that Yahoo accounts of foreign journalists based in China and Taiwan have been hacked as Google comments on user problems accessing the Hong Kong site.

Kořenový DNS server pro Čínu byl vypnut – After DNS problem, Chinese root server is shut down. Zřejmě prosazování politiky „Velkého čínského firewallu“ vedlo k tomu, že problémy s DNS přesměrováním se objevily také v Chile. Uživatelé, kteří chtěli navštívit Facebook, Twitter anebo YouTube, byli přesměrováni na čínské servery.

Software

Keykeriki (sniffer bezdrátového provozu, nyní ve verzi 2) byl prezentován na konferenci CanSecWest – Keykeriki v2 – CanSecWest 2010 Release. Autoří ještě chtějí své výsledky dopracovat. Viz také komentář Dana Goodina – Kit attacks Microsoft keyboards (and a whole lot more).

OpenSSL vychází ve verzi 1.0.0 – OpenSSL 1.0.0 released. V článku je uveden seznam změn.

Chyba v PHP umožňuje uhodnout ID na spojení (session ID) – PHP blunders with random numbers. Upozornil na to Andreas Bogk. Jako zdroj náhodných čísel je totiž použit generátor formovaný na bázi lineární kongruence a tudíž, pokud je známo nějaké číslo generované posloupnosti, lze odvodit celou další posloupnost.

Šikovná manipulace s pdf soubory je popsána v článku Escape From PDF. Didier Stevens ukázal, jak bez využití zranitelnosti lze vnutit uživateli, který otevírá pdf soubor, zároveň i spuštění zabudovaného exe souboru. Viz také komentář Johna Leydena – Booby-trapping PDF files: a new how-to.

Přehledný osmistránkový materiál ohledně toho, jak by měl vypadat průběh procesu testování zranitelností zpracoval Gregory Yhan – Vulnerability Testing Process.

Síťový analyzér Wireshark vychází ve verzi 1.2.7 – Wireshark 1.2.7 released. Stáhnout si ho lze z následující stránky (je zde také stručný popis jeho vlastností) – Wireshark 1.2.7.

Malware

Korea se dostala na čelo žebříčku producentů malware – Korea becomes world's biggest malware producer. Autor článku komentuje žebříček, který připravila společnost Network Box. Z Koreje pochází podle něho až 31,1 procent malware, na dalších místech jsou USA (9,3 procent), Brazílie (6,0 procent) a Čína (5,0 procent).

Conficker slaví výročí své aktivace – Conficker zombies celebrate ‚activation‘ anniversary. John Leyden se vrací k jeho historii a stručně hodnotí i aktuální situaci. Viz také – DHS studying global response to Conficker botnet.

Jaké byly útoky v březnu 2010? Článek Report: Ransomware, Botnets On The Rise obsahuje komentář k výsledkům zprávy Fortinet Threatscape Report, která byla vydána minulý čtvrtek. Objevuje se stále více ransomware, botnety jsou aktivnější, útok zneužívající zranitelnost IE se šířil po celém světě.

Viry

Mají antiviry šanci ? Tuto otázku řeší Michael Kassner v rozhovoru s Rickem Moyem, prezidentem NSS Labs – Is there hope for antivirus programs?.

Milióny Číňanů nepoužívají antivir – Millions in China have no antivirus software, survey shows. Owen Fletcher komentuje přehled, který v úterý vydaly čínské organizace (China Internet Network Information Center a China´s National Computer Network Emergency Response Technical Team). Viz také – China hardest hit by latest IE zero-day attacks.

Hardware

Explodující prsní implantáty – ne to není aprílový žert – Explosive Breast Implants – Not an April Fool's Joke. To je titulek, kterým Bruce Schneier uvádí diskuzi na svém blogu.

Můžete důvěřovat své síťové kartě ? V průběhu konference CanSecWest ve Vancouveru bylo ukázáno, jak útočník může převzít úplnou kontrolu nad síťovými kartami v konkrétní síti. V článku Can you still trust your network card ? je uvedeno shrnutí tohoto materiálu.

Programovatelné HID USB zařízení může být využito jako penetrační nástroj – Programmable HID USB Keystroke Dongle: Using the Teensy as a pen testing device. Phantom Keystroker funguje jako USB HID (Human Interface Device) – klávesnice/myš. Autor článku ukazuje, že jeho využití může být širší.

Victorinox unsheathes secure USB stick – USB disk se sám zničí… Pokud vložíte neplatné heslo či otisk prstu, spálí se CPU.

Bezdrát

Přichází varování, které se týká letů, kde je umožněno bezdrátové připojení – Warnings about Wifi-enabled air travel. Autor doporučuje takovýmto případným uživatelům přijmout příslušná obranná opatření (privacy filter) a raději nepracovat na ničem důležitém.

RFID

A Lightweight Protocol to Robust TID-Based Anti-Counterfeiting, to je návrh protokolu proti padělkům RFID. Qi Chai and Guang Gong navrhli a analyzují nový šifrovací mechanizmus, který by měl být odolnější proti pokusům o podvrhy.

Spam

Spammers Turn to Social Networks aneb spameři v sociálních sítích. Ukazuje se, že důvěřivý uživatel otevře spam spíše, pokud přijde jako zpráva od přítele v sociální síti než když dojde jako obvyklý e-mail. Spameři také vytváří v sociálních sítích skupiny s vhodným názvem, který má za cíl přitáhnout do skupiny uživatele a do skupiny je pak zasílán spam.

Forenzní analýza

Volně dostupný kurz forenzní analýzy prohlížečů najdete na odkazu Peter C. Hewitt: Browser Forensics. Materiál, který má 67 stran, je stručně uveden na stránce Browser Forensics.

Break TrueCrypt hard drive encryption quickly, Passware Kit Forensic – umí rozbít šifrování pevného disku TrueCryptem. Je to komerční produkt – umí prý překonat i disky zašifrované BitLockerem. Tento SW (třeba z USB disku) skenuje zašifrovaný disk a vyhledá na něm šifrovací klíče.

Problém obnovy hodně starých záloh diskutuje na stránkách SANS Computer Forensic Investigations Keven Murphy – Custodians of Digital Evidence. Uvádí některá doporučení a odkazy.

Elektronické bankovnictví

Ross Anderson radí, jak dostat od banky zpátky své peníze – How to get money back from a bank. Známý odborník seznamuje čtenáře se situací, které musel sám čelit. Viz také komentář Johna Leydena – Bank security guru: Sue your bank for refund.

Bankovní trojané tvoří téměř dvě třetiny nového malware – Concern over surge in banking Trojans. V prvním čtvrtletí 2010 to bylo přesněji 61 procent. Říká to zpráva společnosti PandaLabs.

Autentizace, hesla

Přehled Symantecu říká, 63 procent uživatelů mění svá hesla zřídkakdy – Living with Passwords. Viz také komentář – Survey: 63% don´t change passwords very often.

A také – slabá hesla uložená v prohlížečích jsou lahůdkou pro hackery – Weak passwords stored in browsers make hackers happy. John Leyden komentuje výsledky nedávného přehledu společnosti Symantec – viz Password Survey Results.

Identifikace lidí prostřednictvím jejich baktérií – Identifying People by their Bacteria. Na Schneierově blogu je diskutován článek CSI´s Latest Clue—Bacteria obsahující informace o výsledku pracovníků univerzity v Coloradu.

Jak hacknu vaše slabé heslo – How I’d Hack Your Weak Passwords ? John Pozadsides vysvětluje postupy, které lze pro nalezení vašeho hesla použít a samozřejmě uvádí i sadu doporučení, které naopak případnému hackerovi situaci ztíží.

Elektronický podpis

SSL certifikát pro doménu, jejímž majitelem nejste, si zajistíte snadno – Security researcher: ‚Trivially easy‘ to buy SSL certificate for domain you don't own. Scott M. Fulton, III popisuje, jaké cesty k tomu existují. Vychází z článku Kurta Seifrieda (Linux Magazine, May 2010).

Normy a normativní dokumenty

Americký NIST v minulém týdnu vydal dokument:

widgety

Kryptografie

Kryptografie s veřejným klíčem a pseudonymy, toto téma je diskutováno na stránce Pseudonyms: The Natural State of Online Identity. Ed Felten zde objasňuje, jak využít digitální podpis pro práci pod pseudonymem.

Různé

Přehled vychází z průběžně publikovaných novinek na Crypto – News.

Našli jste v článku chybu?
Vitalia.cz: Test dětských svačinek: Tyhle ne!

Test dětských svačinek: Tyhle ne!

DigiZone.cz: Ultra HD v praxi a v Portugalsku

Ultra HD v praxi a v Portugalsku

120na80.cz: Co je padesátkrát sladší než cukr?

Co je padesátkrát sladší než cukr?

Vitalia.cz: Voda z Vltavy před a po úpravě na pitnou

Voda z Vltavy před a po úpravě na pitnou

Lupa.cz: Patička e-mailu závazná jako vlastnoruční podpis?

Patička e-mailu závazná jako vlastnoruční podpis?

Podnikatel.cz: Tyto pojmy k #EET byste měli znát

Tyto pojmy k #EET byste měli znát

DigiZone.cz: Technisat připravuje trojici DAB

Technisat připravuje trojici DAB

Vitalia.cz: Jsou vegani a vyrábějí nemléko

Jsou vegani a vyrábějí nemléko

DigiZone.cz: Numan Two: rozhlasový přijímač s CD

Numan Two: rozhlasový přijímač s CD

Root.cz: Hořící telefon Samsung Note 7 zapálil auto

Hořící telefon Samsung Note 7 zapálil auto

Měšec.cz: TEST: Vyzkoušeli jsme pražské taxikáře

TEST: Vyzkoušeli jsme pražské taxikáře

DigiZone.cz: DVB-T2 ověřeno: seznam TV zveřejněn

DVB-T2 ověřeno: seznam TV zveřejněn

Vitalia.cz: Antibakteriální mýdla nepomáhají, spíš škodí

Antibakteriální mýdla nepomáhají, spíš škodí

Podnikatel.cz: Udělali jsme velkou chybu, napsal Čupr

Udělali jsme velkou chybu, napsal Čupr

Vitalia.cz: Muž, který miluje příliš. Ženám neimponuje

Muž, který miluje příliš. Ženám neimponuje

DigiZone.cz: Světový pohár v přímém přenosu na ČT

Světový pohár v přímém přenosu na ČT

Lupa.cz: Adblock Plus začal prodávat reklamy

Adblock Plus začal prodávat reklamy

Lupa.cz: Blíží se konec Wi-Fi sítí bez hesla?

Blíží se konec Wi-Fi sítí bez hesla?

Podnikatel.cz: ČSSZ posílá přehled o důchodovém kontě

ČSSZ posílá přehled o důchodovém kontě

120na80.cz: Nejsilnější alergeny jsou pryč

Nejsilnější alergeny jsou pryč