Bezpečnostní střípky: bankovní zloději přichází s automatizovanými nástroji

Jaroslav Pinkava 25. 6. 2012

Pravidelný pondělní přehled informací vztahujících se k problematice bezpečnosti IT. Z novinek tohoto týdne upozorníme na studii týmu Rosse Andersona k měření nákladů spojených s kyberkriminalitou, na přehled podvodů, které se objevují v sociálních sítích a zveřejněna byla další sada přehledů.

Přehledy

Nová zpráva společnosti Imperva má název Hacker Intelligence Initiative, Monthly Trend Report #11. Je zaměřená na problematiky související s CAPTCHA: jaké postupy jsou používány a které techniky (a k čemu) dnes kriminální strana pro obcházení CAPTCHA používá.

Byla vydána zpráva společnosti McAfee – Technology Security Assessment for Capabilities and Applicability in Energy Sector Industrial Control Systems. Spolu s MCAfee zprávu připravila také Pacific Northwest National Laboratory (PNNL). Zpráva konstatuje nárůst kybernetických hrozeb a sabotáží, které se týkají kritické infrastruktury. Viz komentáře:

Výsledky přehledu společnosti ZoneAlarm ukazují na generační rozdíly – The Generation Gap In Computer Security: A Security Use Survey From Gen Y To Baby Boomers. Mladí lidé podceňují bezpečnostní rizika a přeceňují své znalosti ohledně počítačové bezpečnosti, to je jedno z zjištění. Viz také komentáře k výsledkům tohoto přehledu –

Obecná a firemní bezpečnost IT

Predicting Malicious Behavior, to je recenze stejnojmenné knihy. Jejím autorem je Gary M. Jackson. Kniha vychází tento měsíc v nakladatelství Wiley, má 552 stran. Najdete ji na Amazonu.

Šest nejhloupějších nápadů v počítačové bezpečnosti – The Six Dumbest Ideas in Computer Security. Zajímavý rozbor, autor vychází z vlastních pozorování:

  • Default Permit
  • Enumerating Badness
  • Penetrate and Patch
  • Hacking is Cool
  • Educating Users
  • Action is Better Than Inaction

Measuring the Cost of Cybercrime – jak měřit náklady spojené s kybernetickou kriminalitou. Studie týmu pracovníků (na čele s Rossem Andersonem z britské university v Camridge) bude prezentována na akci 11th annual Workshop on the Economics of Information Security (WEIS), která se koná v Berlíně 25. a 26 června 2012.
Komentář ke studii je na stránce Tech boffins: Spend gov money on catching cyber crooks, not on AV (vládní peníze věnujte na dopadení kyberkriminálníků, nikoliv na antiviry).
V tomto článku je také odkaz na starší, ale v dané souvislosti zajímavou studii The Cost of Cybercrime. Tato studie, kterou zpracovala Detica (BAE subsidiary), byla kritizována za nadhodnocení nákladů spojených s kyberkriminalitou.
Další komentář k studii Andersenova týmu je na stránce Governments should spend more to cybercriminals, researchers say.

USA a špatné stránky legislativy týkající se kybernetické bezpečnosti a příbuzných problematik – 10 Terrible Tech Laws That Have You in Their Bull's-Eye. Autorka článku si vzala na paškál rovnou desítku takovýchto zákonů (či jejich návrhů).

Kdy bude konec tomu, aby koncoví uživatelé dopláceli na online podvody? Situace se bohužel stává stále více nepřehlednou, a to i přes fungování edukačních programů v organizacích. V článku When Will End Users Stop Being Fooled By Online Scams? je zmíněno několik výchovných programů (Mad Security, Hadnagy’s social engineering testing, PhishMe´s phishing education service), které by měly v tomto směru pomoci.

Britské podnikání je na tom v EU nejhůře, co se týče ochrany informací – UK businesses worst in Europe at protecting information. V článku jsou prezentovány výsledky výzkumu, který provedly společnosti Iron Mountain and PwC. Studie (po registraci) je dostupná na tomto odkazu.

K jednomu e-mailovému podvodu – Is this ´your´ passport being used by email scammers?. Druhá strana přišla dokonce s fotokopii svého osobního průkazu, ale … . Osobou na fotografii se ukázala být předsedkyně australské vlády.
Viz také komentář – Beware of the ”Good Samaritan“ advance fee scam.

Ochrana medicínského výzkumu – z pohledu kybernetické bezpečnosti – je tématem eseje Securing Medical Research: A Cybersecurity Point of View. Bruce Schneier v ní zabrousil do vzdálenější problematiky. Ukazuje na obtížnosti při řešení těchto problémů.

Výchova uživatelů je podstatná v boji proti technikám sociálního inženýrství – User education essential against social engineering attacks. Sociální inženýrství, jeho triky se stávají stále častějším jevem. Využívání lidských slabin je obtížné kontrolovat technickými prostředky.

Myšlence mstít se za kybernetické útoky se obrací článek Cyber revenge is a dish best served by sharing threat data. Na panelu bezpečnostních odborníků bylo řečeno, že nejlépe je v tomto směru, aby organizace sdílely data k hrozbám a tím posílily vlastní obranu.
Tématu se věnuje také článek Companies Hacking Hackers? Some Companies Use Revenge Tactics.

Jaká je situace ohledně průniku mezi kybernetickou špionáží a kyberkriminalitou – The Intersection Between Cyberespionage And Cybercrime? Oba typy útočníků využívají často stejné typy nástrojů (např. trojany Poison Ivy a Ghost). Některé skupiny útočníků z Číny fungují také v obou směrech (zřejmě na smluvní bázi).

Sociální sítě

Krádež hesel LinkedIn podtrhuje nebezpečí cloudu – LinkedIn Password Theft Underscores Cloud Security Dangers . Autor článku tím míní potřebu využívání složitých a unikátních hesel pro přihlašování ke cloudovým aplikacím.

10 doporučení k tomu, jak na Twitteru zůstat v bezpečí, obsahuje stránka – 10 Tips for Staying Safe on Twitter. Některá doporučení obsažená v slideshow pochopitelně platí i pro jiné sociální sítě.

LinkedIn je žalován kvůli úniku špatně zabezpečených hesel – LinkedIn sued over exposure of poorly secured passwords . Žalující strana (Katie Szpyrka, premium LinkedIn user) požaduje náhradu škod ve výši více než 5 miliónů dolarů. Žaloby tohoto typu jsou časté, ale úspěšné jsou jen tehdy, když se podaří prokázat finanční škodu, dodává v závěru článku jeho autor.

Patnáctka podvodů, které se objevují v sociálních médiích, takovouto poučnou a obsažnou slideshow připravila Joan Goodchild – 15 social media scams.

Šestice osobních tajemství, které Facebook o vás neuchrání, autor článku 6 Personal Secrets Your Facebook Profile Isn't Keeping je uvádí jako příklady.

UGNazi, tato hackerská skupina se přihlásila k odpovědnosti za výpadek Twitteru – 6 Personal Secrets Your Facebook Profile Isn't Keeping. Ve středu 21.6 Underground Nazi Hacktivist Group měla způsobit dvouhodinový výpadek Twitteru. Viz ale – Twitter Denies Hacktivists Behind Severe Outage.

Software

Problematiku bezpečnost SAPu (znázorněnou v číslech) zachycuje přehled A Global Survey 2007–2011. Tento 39stránkový dokument připravila společnost ERPScan.

Využívání IPv6 ztíží práci policie – FBI, DEA warn IPv6 could shield criminals from police. V tomto ohledu varují FBI, DEA (Drug Enforcement Administration) a kanadská policie.

Volně dostupné nástroje, které ochrání vaše online soukromí – Free tools to protect your privacy online. V krátkém přehledu jsou jmenovány tyto nástroje: Tor, Jitsi, TrueCrypt, CryptoCat, GnuPG, TAILS.

Čína navrhuje normu pro segmentaci internetu – Chinese operators hope to standardize a segmented Internet. S draftem normy se lze seznámit na stránce DNS Extension for Autonomous Internet(AIP) (byl předložen IETF). Jednotlivé země by tak měly získat větší kontrolu nad vlastní částí internetu.

Kdo kupuje zranitelnosti nulového dne? Autor článku Guess who's buying zero-day vulnerabilities? popisuje, jak se situace v posledních dvou letech v tomto ohledu vyvíjí. Někteří prodejci pak o zranitelnostech neinformují takové firmy Microsoft a Adobe. Článek je uzavírán citací názorů Bruce Schneiera.

Pět nenahraditelných aplikací pro vaši klíčenku – Five indispensable apps to carry on a USB stick. V slideshow autor uvádí tyto: SystemRescueCD, Firefox Portable, ComboFix (nástroj pro obnovu dat), FileZilla Portable (ftp klient), Explorer++ Portable (správce souborů).

Vyvarujte se souborů XDP, mohou v sobě obsahovat překódovaná škodící pdf, a to v současné době neumí antiviry detekovat, jak poukazuje Brandon Dixon – Encoding malicious PDFs avoids detection.

What you really need to know about cloud security – co byste skutečně měli vědět o bezpečnosti cloudů. Jeff Vance diskutuje nejprve některé známé průniky (Sony, Epsilon), kde hackeři využili cloud Amazonu jako zdroj výpočetní síly. Následně pak hovoří o hrozbách vyplývajících ze samotného využívání cloudu.

Safe Browsing – Protecting Web Users for 5 Years and Counting – Google k výsledkům pěti let fungování své iniciativy Safe Browsing. Zatímco objem phishingu roste, klesá množství malware. Viz komentáře:

Online sdílení souborů je vysoce rizikovou záležitostí – Online file sharing poses great security risks. V článku jsou prezentovány výsledky šetření, které u malého a středního podnikání provedl Symantec.

Wireshark je ve verzi 1.8.0. Na stránce Get Wireshark najdete všechny potřebné odkazy. Popis vlastností tohoto analyzéru síťových protokolů najdete zde – About Wireshark.

Větší digitální krajina znamená také větší možnosti se skrýt – Broader Digital Landscape Means More Places To Hide. Přichází IPv6, ochrany, které v minulosti fungovaly, mohou v budoucnu fungovat přestat. V současné době dochází k velkým změnám, které jsou charakterizovány trojicí technologií: IPv6, DNSSec a novými globálními vrcholovými doménami.

Co Windows 8 zlepšují ve vztahu k bezpečnosti – How Windows 8 Beefs Up Security. Paul Wagenseil připravil krátký přehled.

Malware

Projekt typu Honeynet cílí na USB malware – Honeynet looks to trap USB malware. USB drive je emulován v obrázkovém souboru a odchytí kopírované malware. Projekt německého studenta je zatím v počátečním stádiu vývoje.

Hackeři šíří trojana, který využívá problém záplatovaný Microsoftem předminulý týden – Hackers spread trojan following Internet Explorer patch. Společnost Symantec označila tohoto trojana přezdívkou Naid. Trojan umožňuje vzdálenou kontrolu počítače.

Ransomware může zaútočit i z nečekaných míst – Ransomware Can Strike Anywhere. V článku je popsána jedna taková situace. Přihodila se studentům při přípravě na ukončení jejich postgraduálního studia, málem přišli o své závěrečné práce. Infekce přišla z WordPress blogu.

Virtual analysis misses a third of malware – virtuální prostředí a malware. Zhruba třetina malware zde zůstává nedetekována, říká bezpečnostní odborník (Gunter Ollmann, Damballa).

Stuxnet, Flame a spol.

Bruce Schneier říká: USA udělaly se Stuxnetem chybu – Stuxnet cyberattack by US a ‚destabilizing and dangerous‘ course of action, security expert Bruce Schneier says. Citát z odpovědí B. Schneiera:
We made a mistake with Stuxnet: We traded a small short-term gain for a large longer-term loss. We can´t undo that, but we can do better in the future.

Mikko Hypponen (F-Secure) zvažuje možnou infiltraci Microsoftu pracovníky CIA, NSA – Researcher: CIA, NSA may have infiltrated Microsoft to write malware. Míněna je tím infiltrace hlavních vývojářských týmů Microsoftu.

Bruce Schneierovi se nelíbí reakce antivirového průmyslu na selhání ve vztahu k Flame – Schneier spanks AV industry over Flame failures. Reaguje mj. na omluvu Mikko Hypponena – Why Antivirus Companies Like Mine Failed to Catch Flame and Stuxnet.
Viz diskuzi na Schneierově blogu – The Failure of Anti-Virus Companies to Catch Military Malware.

Počítačový vir Flame vyvinuly Spojené státy a Izrael, aby zpomalily nukleární úsilí Íránu – U.S., Israel developed Flame computer virus to slow Iranian nuclear efforts, officials say. Autoři článku ve Washington Post hovoří o neoficiálních zdrojích informací, z kterých tyto závěry vyvozují.
Viz také komentáře:

Stuxnet, Duqu, Flame cílily v Íránu na počítače s nelegálními Windows – Stuxnet, Duqu, Flame Targeted Illegal Windows Systems In Iran. Platí totiž, že díky omezení USA ohledně vývozu, nesmí být v Íránu Windows prodávány.

Íránská rozvědka hovoří o plánování velkého kybernetického útoku ze strany USA a Izraele – Iran targeted by ‚massive cyberattack,‘ official claims. Jak ale podotýká agentura Reuter k této tiskové televizní zprávě, není jasné zda se íránské vyjádření týká Flame či nového útoku.
Viz také komentář – Iran: Our nuke facilities still under attack by US, Israelis ´and MI6´.

Hackeři a jiní útočníci

Hacker oznámil, že se mu podařilo proniknout do 79 (!) bank – Hacker claims breach of 79 banks, releases customer data. Reckz0r zveřejnil jako důkaz data zákazníků ukradená z bankovních počítačů.
Ale – Data in possible credit card breach appears to be old, ukradená data, která hacker zveřejnil, mají být stará.

Šest lidí (s vazbou na Anonymous?) bylo uvězněno za útoky na weby Quebecu – > Anonymous arrested? Six nabbed for cyber attacks on Quebec websites. Na akci v různých kanadských místech se podílelo několik policejních složek. Viz také komentář – Mounties, flics, cops snap on bracelets after Québec hacktivism.

Na syrské aktivisty útočí nový trojan – Syrian rebels targeted using commercial Skype trojan. Jedná se o komerční tzv. BlackShades Trojan. Podrobnější jeho popis je na stránce Syrian Activists Targeted with BlackShades Spy Software.

Hacker zveřejnil data zákazníků poté, co vydíraná firma odmítla platit – Hackers leak customer data after firm refuses to pay ransom. Poskytovatel úvěrů online AmeriCash Advance měl zaplatit 15 000 dolarů:
The batch contained the names and e-mail addresses of the applicants, as well as the last four digits of their Social Security numbers and the amount they requested on loan.
Viz také komentář – Hackers publish payday loan emails after failing to levy ´idiot tax´.

6 Biggest Breaches Of 2012 So Far – šest největších průniků roku 2012 (zatím). Autorka vyjmenovává a ve stručnosti popisuje (včetně příslušných ponaučení) následující:

  1. Zappos
  2. University of North Carolina
  3. Global Payment System
  4. South Carolina Health and Human Services
  5. University of Nebraska
  6. LinkedIn

Má nejlepší obrana proti kybernetické kriminalitě být také útočící? Rostoucí počet amerických společností soudí, že ano, alespoň poněkud. Autor článku Should best cybercrime defense include some offense? pak rozebírá různé názory na to, co se v takových situacích bude dít dál.

Společnost Sophos varuje ohledně státem sponzorovaných útoků na evropské firmy – Sophos Warns of State Sponsored Attacks Against EU Companies. Společnost vydala výstrahu, která se odkazuje na dva různé (ale propojené) útoky – na evropského dodavatele leteckých součástek a na evropskou zdravotnickou společnost. V obou případech byla využita nezáplatovaná zranitelnost IE.

Vzácný AutoCADový červ kradl projekty v Peru a odesílal je do Číny – Rare AutoCAD worm lifted blueprints from Peru, sent them to China. Ukradeny měly být desetitisíce nákresů. Viz také komentáře:

Bylo hacknuto americké ministerstvo národní bezpečnosti a také americké námořnictvo – Department of Homeland Security and U.S Navy hacked. Tentokrát za tím má být hackerská skupina s označením Digital-corruption.

Hardware

US-CERT našel bezpečnostní chybu v čipech Intelu – US-CERT discloses security flaw in Intel chips. Chyba umožňuje hackerům získat kontrolu nad Windows či jinými operačními systémy. Mezi zranitelnými OS jsou Windows 7, Windows Server 2008 R2, 64-bitová verze FreeBSD a NetBSD.

Check Point přišel s novými zařízeními na obranu proti útokům DDoS – Check Point Launches New DDoS Protection Appliances. Obvykle se komerční informace na těchto stránkách neobjevují. Tato si snad zaslouží výjimku.

Chytré televize jsou zranitelné vůči kybernetickým útokům – Smart TVs are vulnerable to attacks. Společnost Codemicon otestovala v tomto směru šest modelů televizorů. Výsledky testů jsou shrnuty ve zprávě Smart TV Hacking: Crash Testing Your Home Entertainment. Podrobnosti zranitelností nejsou zveřejněny – kvůli ochraně uživatelů těchto televizorů.

Mobilní zařízení

Pracovníci s BYOD jsou vážným bezpečnostním rizikem – BYOD workers pose serious security risks. V článku jsou prezentovány výsledky analýzy, kterou provedla společnost Fortinet.

Mobilní malware

Tokio – bylo uvězněno šest mužů v souvislosti s malware pro Android – Six in Tokyo slammer after Android smut scam. Šestice (mezi nimi byli i tři výkonní šéfové IT) je podezřelá z vývoje viru, který byl distribuován na dospělácké weby. Pokud si aplikaci uživatel stáhnul na mobil, ta požadovala zaplacení částky 99 800 jenů.

Falešný „Android Security Software“ je mobilní verzí trojana Zeus – Fake Android Security Software Is Mobile Version of Zeus Trojan: Kaspersky. Společnost Kaspersky našla několik škodlivých mobilních aplikací tvářících se jako bezpečnostní SW, které tento trojan obsahují.

App Store společnosti Apple byla obviněna, že obsahuje malware – Consumer Affairs Victoria says App Store contains malware. Tvrdila to agentura Consumer Affairs Victoria. Další vývoj okolo tohoto obvinění je popsán v článku Consumer Affairs Victoria drops App Store malware claim. CAV ho ze svých stránek (po komunikaci s Apple) stáhla.

Spam

Proč autoři nigerijských podvodů říkají, že jsou z Nigerie? Rozsáhlý a zajímavý materiál (Why do Nigerian Scammers Say They are from Nigeria?), který připravil pracovník Microsoftu Cormac Herley, je komentován v článku Nigerian scams are hyper-efficient idiot finders. Autor materiálu dochází k závěru, který nepotěší, podvodníkům tohoto typu se daří najít vhodné oběti.
Viz také diskuzi na blogu Bruce Schneiera – Far-Fetched Scams Separate the Gullible from Everyone Else.

Elektronické bankovnictví

Minulý týden byla publikována zpráva společnosti Trend Micro – Automatic Transfer System, a New Cybercrime Tool. Z obsahu devítistránkového dokumentu (týká se automatizovaných nástrojů, které kriminální strana používá a které ji umožňují vyprazdňovat bankovní účty, aniž by tito lupiči sami museli být online):

  • Existing ATS Versions Seen in the Wild
  • ATSs in the Cybercriminal Underground
  • Most Targeted Countries
  • Other Targets

Komentáře ke zprávě jsou v článcích:

Trojané Zeus a SpyEye jsou zpátky a útočí na banky v reálném čase – Zeus, SpyEye Trojans Back to Attacking Banks in Real Time. Další komentář ke zprávě společnosti Trend Micro poukazuje na útoky nových verzí těchto trojanů na banky, které využívají dvoufaktorovou autentizaci.

Tipy pro bezpečnost mobilního bankovnictví – Top Mobile Banking Security Tips. V této slideshow Davey Alba uvádí a ve stručnosti rozebírá následující body:

  • What is mobile banking?
  • Banking apps
  • The common threats
  • Stolen smartphones
  • Phishing
  • Malware
  • Fraud
  • How you can stay safe
  • The Apple advantage
  • Watch out for Wi-Fi
  • Bottom line

Autentizace, hesla

Pozor na krádeže identity na dovolené – Beware Identity Theft While on Vacation. Lidé slepě věří cestovním kancelářím, hotelům v místech, kam cestují. Kriminalita to ví a těží z toho. Nejsnadnějším cílem krádeže bývá počítač. Hotelové pokoje nejsou bankovním trezorem. V druhé části článku uvádí autorka sadu užitečných doporučení.

Administrátoři Google Apps mohou vyžadovat použití dvoufaktorové autentizace – Google Apps admins gain two-step security powers. Viz informaci na stránce Two new security features for Google Apps.

Phishing

Phishing: not just for banks – phishing se netýká jenom bank. V článku je na důkaz tohoto tvrzení uvedena řada příkladů phishingu jiného typu.

Kryptografie

Společnost Fujittsu rozbila kryptografický systém založený na párování – Fujitsu cracks 278-digit crypto. Klíč měl být v délce 978 bitů a má to být nový rekord v tomto směru. Bohužel informace v článku neupřesňuje, o jaký konkrétní kryptografický algoritmus se jednalo. I použitá metoda je popsána velmi obecně, počkáme na odborný článek.
Viz také obdobný komentář – Researchers set new cryptanalysis world record for pairing-based cryptography.

Různé

Vyšel ClubHack Magazine Issue 29, June 2012. Z jeho obsahu:

widgety

  • Tech Gyan – Playing Bad Games: Anatomy of a Game-Server DDoS Attack
  • Tool Gyan – Scapy Primer
  • Mom´s Guide – Hypertext Transfer Protocol
  • Special Feature – Impact of Cybercrime on Businesses
  • Legal Gyan – SECTION 66D – Punishment for cheating by personation by using computer resource
  • Code Gyan – Preventing Cross Site Scripting… Is it a myth!
  • Matriux Vibhag – MITM with Ettercap
  • Poster – ”An attacker won´t ring a bell before attacking“

Na stránce ClubHack Magazine najdete pak i starší čísla tohoto indického magazínu publikovaného v angličtině.

Přehled vychází z průběžně publikovaných novinek na Crypto – News.

Našli jste v článku chybu?
Vitalia.cz: dTest odhalil ten nejlepší kečup

dTest odhalil ten nejlepší kečup

Vitalia.cz: Tohle jsou nejlepší česká piva podle odborníků

Tohle jsou nejlepší česká piva podle odborníků

Vitalia.cz: Tahák, jak vyzrát nad zápachem z úst

Tahák, jak vyzrát nad zápachem z úst

Lupa.cz: Jak levné procesory změnily svět?

Jak levné procesory změnily svět?

DigiZone.cz: Konference Radiokomunikace se blíží

Konference Radiokomunikace se blíží

Vitalia.cz: 5 chyb, které děláme při skladování potravin

5 chyb, které děláme při skladování potravin

Podnikatel.cz: Takhle se prodávají mražené potraviny

Takhle se prodávají mražené potraviny

Vitalia.cz: Jsou vegani a vyrábějí nemléko

Jsou vegani a vyrábějí nemléko

DigiZone.cz: DVB-T2 ověřeno: seznam TV zveřejněn

DVB-T2 ověřeno: seznam TV zveřejněn

Měšec.cz: TEST: Vyzkoušeli jsme pražské taxikáře

TEST: Vyzkoušeli jsme pražské taxikáře

Podnikatel.cz: Babišovi se nedá věřit, stěžovali si hospodští

Babišovi se nedá věřit, stěžovali si hospodští

Podnikatel.cz: Udělali jsme velkou chybu, napsal Čupr

Udělali jsme velkou chybu, napsal Čupr

Lupa.cz: Patička e-mailu závazná jako vlastnoruční podpis?

Patička e-mailu závazná jako vlastnoruční podpis?

Vitalia.cz: Fyzioterapeutka: Chůze naboso? Rozhodně ano!

Fyzioterapeutka: Chůze naboso? Rozhodně ano!

Vitalia.cz: Test dětských svačinek: Tyhle ne!

Test dětských svačinek: Tyhle ne!

Lupa.cz: Blíží se konec Wi-Fi sítí bez hesla?

Blíží se konec Wi-Fi sítí bez hesla?

120na80.cz: Co je padesátkrát sladší než cukr?

Co je padesátkrát sladší než cukr?

Vitalia.cz: Voda z Vltavy před a po úpravě na pitnou

Voda z Vltavy před a po úpravě na pitnou

DigiZone.cz: Samsung EVO-S: novinka pro Skylink

Samsung EVO-S: novinka pro Skylink

DigiZone.cz: Ginx TV: pořad o počítačových hráčích

Ginx TV: pořad o počítačových hráčích