Bezpečnostní střípky: bankovní trojani jsou stále šikovnější

Jaroslav Pinkava 5. 10. 2009

Pravidelný pondělní přehled informací vztahujících se k problematice bezpečnosti IT. Z novinek právě uplynulého týdne lze upozornit především na nový bezpečnostní software od Microsoftu, sadu informací k počítačové kriminalitě a třeba na postupy pro kontrolu, zda je náš počítač dostatečně záplatován.

Obecná a firemní bezpečnost IT

Obamovo ministerstvo najme 1000 odborníků na kybernetickou bezpečnost – Homeland Security says it will be ‚competitive‘ in hiring up to 1,000 cyber security experts. Jedná se o ministerstvo národní bezpečnosti (Homeland Security Department) a odborníci budou postupně získáváni v průběhu příštích tří let. Viz také – DHS could hire 1,000 more cybersecurity professionals.

Velká Británie je již velmocí v kybernetické válce – UK already ‚major world power‘ in cyberwar. Williams v tomto článku komentuje pochvalné vyjádření amerického odborníka (Scott Borg – US Cyber Consequences Unit).

Jak vypadá dnešní organizovaná počítačová kriminalita? Michael FitzgeraldOrganized Cybercrime Revealed rozebírá různé podoby organizované kybernetické kriminality. Zatím se málo ví, kdo všechno za ní stojí. Některé z těchto organizací jsou strukturované stejně jako klasická mafie. Některé se specializují na prodej určitých produktů či „služeb“. Existující informace o cenách uvádí např.:

  • botnet – průměrná cena 225 dolarů
  • keylogger – 23 dolarů
  • hosting pro phishingový podvod – 2 dolary
  • určité zranitelnosti finančních webů – až 3000 dolarů

Organized Crime and Retail Theft: Facts and Myths – fakta a mýty o organizované kybernetické kriminalitě, Michael Fitzgerald ve svém druhém článku z tohoto týdne uvádí konkrétní informace, které se váží k různým podobám těchto zločinných aktivit. Je zde ale i poukázáno na používaná protiopatření. Kybernetické hrozby budou podstatně větší hrozbou v nadcházejících letech, je třeba být na tuto dobu připraveni.

Cloud computing – šest pohledů na související bezpečnostní problémy shromáždil a csoonline.com Bill Brenner – Defining Cloud Security: Six Perspectives.

Information Security vydalo příručku k ochraně dat (43 stran) – Essential Guide to Data Protection. Obsahuje tyto čtyři statě:

  • ADRIAN LANE: Pragmatic Database Security
  • RICH MOGULL: Is DLP Keeping Your Data Where It Should Be?
  • ADRIAN LANE; RICH MOGULL: Truth, Lies and Fiction About Encryption
  • ERNIE HAYDEN: Creating a Data Lifecycle Strategy

Zajímavý seriál, jehož autorem je Jeff Debrosse, je věnován následujícímu tématu: Počítačová kriminalita – co je jejím obsahem? Jeho jednotlivé díly:

Každý pátý Australan je obětí podvodu s bankovní kartou anebo obětí počítačového hackera, to je neradostná statistika dnešních dní – One in five Australians victim of credit card fraud, hackers.

Jak vytvářet bezpečnostní kulturu v organizaci  – How to Build a Culture of Security. John Edwards připomíná, co je v této souvislosti podstatné.

Američané nechtějí reklamu ušitou dle jejich online chování – Study: US web users reject behavioural advertising. Citizens unexpectedly renounce spying and subterfuge. Vyplývá to z výzkumu, který provedly University of Pennsylvania a Berkeley Centre for Law and Technology. Odpovědělo takto 66 procent respondentů (dospělí američtí občané). Zmiňovaná zpráva je na tomto odkazu.

New York mayor fights identity theft – jaký má plán starosta New Yorku v boji proti krádežím ID? Bloomberg je realista, nikdy nebude úplně možné eliminovat všechny hrozby v tomto směru, některé základní kroky je však třeba učinit. V článku jsou shrnuty do pěti bodů:

  • Internetové kavárny a další veřejná místa budou označeny varováními o rizicích odesílání osobních informací
  • Podporováno bude šifrování – všude
  • Bude probíhat spolupráce s průmyslem s cílem prevence krádeží ID
  • Budou ustaveny nejlepší postupy, připraveny budou normy a praktiky pro práci s personálními informacemi v podnikání (Department of Consumer Affairs )
  • Obětem krádeží ID bude pomáháno vládními a administrativními prostředky během procesu, kdy budou jejich jména očišťována

Software

Prověřte svůj počítač pomocí programu Process Hacker 1.5 – Process Hacker 1.5 released. Zjistí běžící procesy, služby, síťová připojení a mnoho dalšího. Odkaz, odkud si ho lze stáhnout, najdete zde – Process Hacker.

Samurai Web Testing Framework, to je linuxové prostředí (Live CD) nakonfigurované pro penetrační testy, stáhnout si toto CD můžete zde – Sourceforge.net.

Jak zjistíte, je-li daný počítač (s Windows) dostatečně záplatován? Tony BradleyDetermine your Microsoft Windows patch level uvádí trojici vhodných postupů (pro přístup k materiálům je třeba se registrovat):

Firefox by měl v budoucnu chránit proti XSS útokům – Firefox feature looks to foil XSS attacks. Weby by pomocí této technologie (tzv. Content Security Policy) měly mít umožněno specifikovat omezení pro práci se skripty.

OpenSSH 5.3 released, OpenSSH přichází s verzí 5.3. Stránky produktu jsou zde – OpenSSH.

Malware

Objem malware vzrostl v září 2009 o 15 procent. Malware worldwide grows 15 percent in September – ze zprávy Panda Security vybrala statistiky a komentáře k nim napsala Lance Whitney.

Nový botnet schovává příkazy v JPEG obrázku  – New botnet hides commands as JPEG images. Botnet (označovaný jako Monkif/DIKhora) funguje tak, že příkazy ze serveru přichází uschované v JPEG obrázku. Bot ověřuje hlavičku a dekoduje pak zbytek, získá tak příkazy (příkazy jsou kódovány pomocí XOR – 0×4).

Firmy jsou nejčastěji infikovány malými botnety. Vyplývá to z analýzy, kterou provedla bezpečnostní firma Damballa. Vypadá to tak, že tyto útoky jsou cíleny vždy jen na určitou část spektra firem a využívají pak znalost jejich charakteru, komentuje výsledky rozboru pracovník firmy Gunter Ollmann – Firms most often infected by smaller botnets.

Botnet opět ožil a infikuje weby (SQL injection) – After a few months' rest, SQL Web attack spreads anew. Botnet Asprox po několika měsících klidu je opět v činnosti, tímto nejnovějším útokem již bylo infikováno nejméně 2000 webů (podle Shadowserver).

Viry

Security Essential od Microsoftu je k dispozici od úterka 29.září 2009. Program je volně dostupný -Microsoft confirms free security software ships Tuesday.

Nezávislý test: Security Essentials jsou velmi dobré – Independent tester: Security Essentials ‚very good‘. Gregg Keizer v tomto článku komentuje výsledky německé AV-Test.org. Symantec ovšem přichází s jinými výsledky – Rivals mock Microsoft's free security software. Trend Micro, Symantec: je to špatný produkt s velmi průměrnými výsledky… Při příležitosti vydání tohoto SW se objevila řada komentářů, např. :

Problematice virů se svém článku na Živě Moderní viry: Stahujete nebezpečné bezpečí? věnuje Ondřej Bitto: Počítačové viry tu s námi jsou již hodně počítačových let, časem se mění jejich forma i poslání. Dokážou vás ochránit antiviry a pravidelné aktualizace?

Hackeři

Cyber Crooks Target Public & Private Schools, v problému amerických škol a útoky hackerů rekapituluje aktuální situaci Brian Krebs. Poznámka v diskuzi upozorňuje na množství spamu, které má za cíl nábor soumarů. Viz také – School boards hit with cash-stealing Trojan (Robert McMillan) a Clampi Trojan Renews Assault on Bank Accounts. V druhém svém článku – Cyber Gangs Hit Healthcare Providers – Brian Krebs informuje o dalších útocích – na neziskové informace, zdravotnická zařízení. K článku je připojen dlouhý seznam odkazů na další informace o obdobných útocích.

CAPTCHA pro Facebook – byla rozbita? Jak bylo zjištěno, našli hackeři cestu k tomu, jak automatizovaně vytvářet profily na Facebooku. Stránky jsou využívány k rozesílání spamu, který obsahuje odkazy na stránky se škodlivým obsahem. Útoky hackerů na sociální sítě pokračují – Facebook Captchas broken? Viz také – Facebook shuts down malicious fake profiles.

Bezdrát

Výzkum přichází se speciální krycí malbou, která blokuje signál bezdrátu – Anti-wi-fi paint offers security. Uživatelé tak mohou skrýt svou bezdrátovou síť před okolím

VoIP

Toll fraud is alive and well aneb jak je to s podvody u VoIP? Adam Boone poukazuje na existující zranitelnosti a možné cesty útočníků.

Spam

Pharma scams go global, reports find  – Doba, kdy bude méně farmaceutického spamu, není v dohlednu. Neveselé konstatování vyplývá z průzkumu společnosti MarkMonitor. Potvrzuje to také zpráva bezpečnostní firmy McAfee  – September 2009 Spam Report.

Elektronické bankovnictví

Bankovní trojan krade peníze z vašeho účtu přímo pod nosem – Banking Trojan steals money from under your nose. A to již tehdy, kdy jste k účtu přihlášeni. Zobrazuje přitom falešné informace o vašem účtu. Sofistikovaný trojan je kontrolován serverem, který je umístěn kdesi na Ukrajině.

Dále – sofistikovaný útok proti německým bankovním účtům přichází z Ukrajiny – Online thieves step up bank raids. Podle zprávy společnosti Finjan – Cybercrime Intelligence Report, Issue 3, 2009 – bylo za 22 dní ukradeno 300 000 Euro. Je k tomu používáno sofistikované malware, k jeho šíření jsou používány infikované weby. Trojan má detailní příkazy k tomu, jaký obnos ukrást z kterého účtu (nikdy ho nevyprázdní zcela) a také kam peníze poslat. K tomu má k dispozici čísla bankovních účtů soumarů. Oběti se na obrazovce zobrazuje jen transfer malého množství peněz. Současná recese usnadňuje najímání soumarů. Tito lidé se obvykle nechají přesvědčit, že jsou najímání k legálnímu podnikání. Viz také komentář Johna Leydena – Next-gen Trojan rewrites bank statement. Útok obdobného charakteru proběhl i ve Velké Británii – Man on trial over L600k NatWest phishing scam.

Problému, kdy trojan kontroluje uživatelovo PC i jeho bankovní účty je věnován také komentář na Financial Cryptography – Man-in-the-Browser goes to court. Tento typ trojana v tomto smyslu může vše co uživatel a nepomůže žádná vícefaktorová autentizace. Útoky tohoto typu (Man-in-the-browser) se objevují v poslední době.

Autentizace, hesla

Na téma odautentizace napsal esej Bruce Schneier – Unauthentication. Problém, kterého bychom si měli být všichni vědomi. Pokud se někam přihlásíme, jak je potom toto autentizované spojení ukončováno?

Na problematiku bezpečnosti hesel se z pohledu dnešní doby dívá Andreas M. Antonopoulos  – New secure password rules. Připomíná, že situace v čase keyloggerů se poněkud změnila.

Phishing

Dva rumunští phisheři stojí před americkým soudem – Alleged Romanian phishers (finally) hauled into US courts. Tito dva Rumuni (a dalších pět) čelí obvinění, že pomocí phishingu okradli finanční instituce nejméně o 150 000 dolarů.

APWG: Internet nebyl nikdy dříve tak nebezpečný jako je nyní – Report: The Internet has never been more dangerous. Článek obsahuje vybrané údaje ze zprávy Phishing Activity Trends Report, 1st Half 2009. Statistiky jsou alarmující.

Elektronický podpis

Internet Explorer nyní podporuje i bezplatné digitální certifikáty – Internet Explorer supports free certificates. Jedná se o certifikáty společnosti StartCom pro podpis e-mailů a pro SSL. Jediné, co StartCom ověřuje, je e-mailová adresa.

Normy a normativní dokumenty

Americký NIST vydal draft NIST IR 7628: Smart Grid Cyber Security Strategy and Requirements. Komentář k vydání této příručky obsahuje článek Security catalogue presented for smart electrical power grids.

Dále NIST vydal následující dva dokumenty

Kryptografie

Soutěž SHA-3 pokračuje – novinky komentuje Vlastimil Klíma.

Dva příspěvky mladých slovenských autorů přijaty na ASIACRYPT 2009 – CryptoWorld.

A Stick Figure Guide to the Advanced Encryption Standard (AES) aneb o kryptografii v komiksu. Viz také komentáře na Schneierově blogu – A Stick Figure Guide to AES.

Schneier se na svém blogu obrací k jednomu „také návrhu“ kryptoschematu – The Doghouse: Crypteto. Nejde jen o kritiku CRYPTETO (snake-oil cryptography), ale také o pohled na Bruceho argumentaci.

Různé

Reproducing Keys from Photographs – Klíče k fyzickým zámkům – k jejich výrobě stačí fotografie. Diskuze na Schneierově blogu se vrací k tomuto tématu. Vychází z odkazu na systém SNEAKEY:

Přehled vychází z průběžně publikovaných novinek na Crypto – News.

Našli jste v článku chybu?
Lupa.cz: eIDAS: Nepřehnali jsme to s výjimkami?

eIDAS: Nepřehnali jsme to s výjimkami?

Měšec.cz: Nový sazebník mBank radost nedělá

Nový sazebník mBank radost nedělá

DigiZone.cz: Kauza technik: oficiální vyjádření Novy

Kauza technik: oficiální vyjádření Novy

DigiZone.cz: ČT nasadí i pokračování Pana Selfridge

ČT nasadí i pokračování Pana Selfridge

120na80.cz: Tipy pro odvodnění organismu

Tipy pro odvodnění organismu

Měšec.cz: Se stavebkem k soudu už (většinou) nemusíte

Se stavebkem k soudu už (většinou) nemusíte

Vitalia.cz: Strečink podle internetu? Raději ne

Strečink podle internetu? Raději ne

Podnikatel.cz: Místa, kde hází podnikání klacky pod nohy

Místa, kde hází podnikání klacky pod nohy

120na80.cz: Řepík má protizánětlivé účinky a detoxikuje

Řepík má protizánětlivé účinky a detoxikuje

Podnikatel.cz: Nereaguje na výzvu ČOIky, zaplatí milion

Nereaguje na výzvu ČOIky, zaplatí milion

Podnikatel.cz: Fotogalerie: Jesenka už má skoro 50 let

Fotogalerie: Jesenka už má skoro 50 let

Vitalia.cz: Petr Koukal: Až rakovina mi zkvalitnila život

Petr Koukal: Až rakovina mi zkvalitnila život

120na80.cz: Nyní středně velké riziko

Nyní středně velké riziko

Měšec.cz: Do ostravské MHD bez jízdenky. Stačí vaše karta

Do ostravské MHD bez jízdenky. Stačí vaše karta

Vitalia.cz: Sobotní masakr žrádla, chlastu a zábavy

Sobotní masakr žrádla, chlastu a zábavy

DigiZone.cz: Markíza HD a Dajto? U Digi TV asi minulost

Markíza HD a Dajto? U Digi TV asi minulost

Měšec.cz: Zelená karta – kde neplatí povinné ručení?

Zelená karta – kde neplatí povinné ručení?

DigiZone.cz: Přechod na DVB-T2? Kolem miliardy...

Přechod na DVB-T2? Kolem miliardy...

Podnikatel.cz: Kanceláře jako kóje? Špatný vtip

Kanceláře jako kóje? Špatný vtip

DigiZone.cz: Loewe Subwoofer 300 pro televizory

Loewe Subwoofer 300 pro televizory