Bezpečnostní střípky: boj proti spamovým botnetům zaznamenal úspěch

Jaroslav Pinkava 23. 7. 2012

Pravidelný pondělní přehled informací vztahujících se k problematice bezpečnosti IT. Z novinek uplynulého týdne upozorníme na informace k nadcházejícím konferencím, nově objevené špionážní malware Mahdí, zmíníme, co je nového mezi prohlížeči, a podíváme se i na další „úspěchy“ hackerů.

Přehledy

Ve dnech 9. až 11. října 2012 proběhne v Londýně akce RSA Conference Europe 2012. Na stránce Keynotes se můžete seznámit s řečníky chystaných klíčových vystoupení.

Konference DEFCON se koná ve dnech 26. až 29. července 2012 – Schedule. Na citované stránce je zveřejněn její program.

Ten must-see Black Hat 2012 sessions, desítku vystoupení na konferenci Black Hat, kterých byste si měli všimnout, vybrala Jennifer J. Minella. Speciál věnovaný zprávám z konference je na stránce Black Hat 2012: Special Conference Coverage. Postupně se zde budou objevovat další informace.

Zpráva Kindsight Security Labs za druhé čtvrtletí 2012 říká, že infikováno malwarem bylo 14 procent domácích sítí – Report: 14 Percent of Home Networks Infected With Malware In Q2 2012. Se samotnou zprávou se lze seznámit na tomto odkazu: Malware Report – Q2 2012 (dokument má 12 stran).
Viz také komentáře:

Obecná a firemní bezpečnost IT

Hacking Exposed 7: Network Security Secrets and Solutions, to je recenze sedmého vydání stejnojmenné knihy. Autory knihy jsou Stuart McClure, Joel Scambray a George Kurtz. Vyjde v srpnu 2012 v nakladatelství McGraw-Hill Osborne Media a najdete ji na Amazonu.

ENISA Smart Grid Security Recommendations – zde najdete doporučení k ochraně inteligentních rozvodných sítí, která vydala ENISA. Komentář k těmto doporučením je v článku How to make smart grids.

Vydána byla zpráva společnosti McAfee Smarter Protection for the Smart Grid. Její výsledky jsou komentovány v článku Energy grids are prime attack targets. Zmíněny jsou následující hlavní slabiny těchto systémů: zastaralost samotných systémů, automatizace a propojenost různých zabudovaných systémů.

Stačí jen vaše stránka s odkazy, aby vás přivedla na deset let do vězení – Just linking could get you 10 years in jail. Seznamte se s příběhem britského 24letého studenta Richarda O´Dwyera a jeho webu TVShack.net.

Padesát procent těch, kdo mění zaměstnání, ukradne důvěrná data společnosti – 50% Job leavers steal confidential company data. V článku jsou citována fakta z přehledu společnosti Iron Mountain. Jeho respondenty bylo 2 000 pracovníků z Velké Británie, Německa, Francie a Španělska.

Čtyři důvody, proč IT bezpečnost potřebuje správu rizik – 4 Reasons Why IT Security Needs Risk Management. Rozepisuje je Ericka Chickowski:

  • Helps Prioritize The Deluge
  • Translates Security Into Language Of Business
  • Drops Security Fixation On Technology
  • Inserts IT Security In Business´ Big Picture

Po provedených akcích FBI lze očekávat, že internetové podzemí se bude snažit ještě lépe skrývat – FBI stings expected to increase web underground's secrecy. V článku jsou popisovány aktivity FBI v posledních dvou letech (ve vztahu k akci Operation Card Shop).

Dejte sem židli pro bezpečnostního ředitele – Getting the CISO a Seat. Autorka tímto titulkem chce podtrhnout důležitost podílu bezpečnosti na řízení organizace. V článku pak charakterizuje úlohu bezpečnosti v organizaci, její úkoly, součinnostní vazby. Navazuje pak popisem (stručně ve třech bodech) základních rysů moderních bezpečnostních řešení.

5 Reasons Why Cybersecurity Is a Tough Nut to Crack – americká legislativa: proč je kybernetická bezpečnost příliš tvrdým oříškem? Autor článku k tomu rozebírá pět dle jeho soudu nejvážnějších důvodů:

  • Soukromé vlastnictví
  • Soukromí a jeho ochrana
  • Soupeřící agentury
  • Měnící se technologie
  • Šíře (záběr) problému

Bruce Schneier se na letošní konferenci RSA věnoval otázkám souvisejícím s novými hrozbami infrastruktuře internetu. Třídílná série článků obsahující přepis jeho vystoupení byla publikována v těchto dnech:

Drones, sub-hunting planes to attack cyber-Chinese army – Taiwan – počítačové válečné hry (cvičení). Probíhaly po pět dnů a zahrnovaly široké spektrum ozbrojených složek Taiwanu.

Čína zveřejnila svůj plán informační bezpečnosti – China lays out glorious eight-point infosec masterplan. Dokument list of recommendations obsahuje osm doporučení (zkuste překlad Google, nedokonalý, ale aspoň nějaký).

Většina společností blokuje cloudové služby – Most companies block cloud services. V článku jsou tlumočena zjištění společnosti Varonis.

Internet Defense League to save the web from evil governments, seznamte se s iniciativou Internet Defense League. Nezisková organizace Fight for the Future ji spustila minulý čtvrtek (19.7.2012). Chce jejím prostřednictvím bránit internetová práva. Stránka iniciativy: The Internet Defense League.

4 tech trends in IT disaster recovery – obnova po pohromě: čtyři technické trendy. Autor článku rozebírá ty klíčové trendy IT, které ovlivňují současné cesty pro obnovu po havárii, živelné pohromě atd. a vedou i k změnám existujících plánů obnovy. Jsou to:

  • cloudové služby
  • virtualizace (servery, desktopy)
  • stále širší používání mobilních zařízení na pracovištích
  • rostoucí popularita sociálních sítí, i jako pracovního nástroje

Australská rozvědka lamentuje nad digitálními stopami – Aussie spy chief laments digital footprints. Zatímco nové technologie umožňují snadnější sběr informací prostřednictvím internetu, práce vlastních agentů je ztížena. Jejich digitální stopy ohrožují utajení organizace, říká ve svém vystoupení šéf australské rozvědky (ASIS) Nick Warner.

Security Is Not Just About Defense [Part One] aneb bezpečnost není jen o obraně. První část článku se věnuje strategiím protiútoků.

Op-ed by President Obama: Taking the Cyberattack Threat Seriously – Obama v otevřeném dopise senátu říká: Berte kybernetické hrozby vážně! Komentář k tomuto oznámení je v článku Obama: Cyber attack serious– threat to economy, national security.
Odborníci s názory obsaženými v tomto dopise nesouhlasí – Obama´s Doomsday Cyberattack Scenario Unrealistic, Experts Say.

NSA má složku na každého občana USA, prohlásil to její bývalý spolupracovník William Binney na konferenci HOPE – NSA hat von jedem US-Bürger ein Dossier angelegt.

Nejlepší bezpečnostní postupy – dá se tento pojem vůbec definovat? Se zajímavým zamyšlením přichází Jon-Louis Heimerl v článku Best Practice: Can You Really Define ‚Best‘ Security?.

Sociální sítě

Kompromitované e-mailové účty, resp. účty v sociálních sítích jsou na prodej: New Russian service sells access to compromised social networking accounts. Informuje o tom Dancho Danchev. Viz také komentář: Compromised online accounts for sale.

Software

Blackhole exploit kit byl aktualizován – Cyber-Criminals Craft Malware Kits to Zero In on Java Flaws . Nový modul dokáže snadno kompromitovat počítače využitím chyby v Javě (byla nalezena před měsícem). Viz také Black Hole Exploit Kit Targeting Java CVE-2012–1723 Flaw.

Byla nalezena bezpečnostní chyba prohlížeče v čtečce Amazonu Kindle Touch – Security hole in Amazon's Kindle Touch. Pracovníci The H připravili web s důkazem této zranitelnosti (proof-of-concept), na stránce najdete také odkaz na video.

Soom.cz: Jak se dělá rajský protlak (o neoprávněném přístupu k zamčeným fotoalbům na serveru Rajce.net). Autor článku, .cCuMiNn., rozebírá bezpečnostní vlastnosti tohoto úložiště.

Americké ministerstvo národní bezpečnosti vydalo varování ve vztahu k SW Niagara AX Framework. Tento software je používán pro správu (přes internet) miliónů zařízení. DHS (Industrial Control System Cyber Emergency Response Team = ICS-CERT) varuje před existujícími zranitelnostmi – DHS warns of vulnerabilities in widely used Niagara software.

Extra protection for Windows PCs with EMET – k volně dostupnému nástroji společnosti Microsoft EMET — Enhanced Mitigation Experience Toolkit. Používá techniky zmírňující dopady exploitů zranitelných aplikací a procesů. Autor článku objasňuje jeho vlastnosti a postupy.

Kritika AVG Security Toolbar se objevila na stránce AVG Security Toolbar is the worst foistware I've ever seen. Reakci společnosti AVG najdete zde: AVG responds: Plans to update its toolbar installer, uninstaller (je chystána aktualizace).

Byl vydán nový Firefox 14, defaultně šifruje výsledky vyhledávání Google – Mozilla releases Firefox 14 and encrypts Google searches by default. V článku jsou zmíněny další nové vlastnosti zavedené v této verzi prohlížeče. Viz také komentář – Mozilla ships Firefox 14, patches 18 bugs, encrypts search.

Will Advanced Attackers Laugh At Your WAF? – budou se pokročilí útočníci smát firewallům webových aplikací? S rozborem problému vystoupí na konferenci Black Hat Ivan Ristic (Qualys).

HTML5 WebSockets – o cestách k jejich zneužití se dozvíme na stránce ‚Waldo‘ Finds Ways To Abuse HTML5 WebSockets. Také toto téma bude předmětem vystoupení na konferenci Black Hat. Sergey Shekyan a Vaagn Toukharian přichází s nástrojem Waldo, který otestuje zranitelnosti WebSocket a najde cesty potenciálních útoků.

Co je obsahem technologie ASLR – Google shakes up Android Jelly Bean to fend off malware meanies. ASLR = Address Space Layout Randomization, jejím cílem je ztížit útoky malware. Pozice balíku a knihoven jsou zamíchány, a i když hacker najde zranitelnost, je pro něho obtížné lokalizovat infikované místo.

Malware

Počáteční informace říkala, že botnet Grum žije i po uzavření nizozemských serverů (C&C) – Grum botnet still alive after suffering significant blow. Stále ještě fungovaly dva další takové servery, v Rusku a v Panamě.

Potom ale již informace oznamují, že botnet Grum byl zastaven kompletně – Officials attack Grum: World's third largest botnet (18% of spam). Tj. shozeny byly i jeho c&c servery na Ukrajině a v Panamě. Botnet byl odpovědný za 18 procent veškerého spamu.
Viz další informace v článku Grum Botnet Shutdown Sharply Cuts Spam Levels, but for How Long?.
Hodnocení situace po uzavření botnetu Grum si lze přečíst v článku Global effort stops half the world´s spam.

Watching a Botnet From the Inside, k technikám používaným v boji proti botnetům. Autor článku popisuje techniku, která je označována jako sinkholing. S její pomocí jsou infikované počítače směrovány na servery kontrolované „dobrými hochy“ místo na servery útočníků.

Trojan attack on Maplesoft customers – k útoku trojana na zákazníky Maplesoft. Tzv. bezpečnostní záplata ve skutečnosti „naočkuje“ oběti trojana Zeus. Útok probíhá na adresy zákazníků, které byly ukradeny díky průniku do firemní databáze.

Malware Mahdí

Nově bylo objeveno další špionážní malware – Mahdí – New ‚Madi‘ cyber-espionage campaign targets Iran AND Israel. Objevili ho pracovníci společností Kaspersky Lab a Seculert. Bylo nalezeno více než 800 obětí v Íránu, Izraeli, Afghánistánu a v dalších zemích. Oběťmi byli hlavně podnikatelé pracující na zakázkách pro projekty kritické infrastruktury v Íránu a Izraeli, pro izraelské finanční instituce a různé vládní agentury na Středním Východě. Malware Mahdí není tak sofistikované jako Flame či Stuxnet, Duqu. Útočníci zřejmě ovládali perský jazyk. Viz také:

Madi Malware: Advanced Persistent Threat Or Just A Threat? – Malware Mahdí (Madi):  pokročilá setrvávající hrozba (APT) anebo jen hrozba? Brian Prince se v tomto rozdílu pokouší vyznat. Jedním z citovaných závěrů je poukázání na skutečnost, že pod APT se chápe řada různých situací a přesná definice APT chybí. Malwaru Mahdí jsou věnovány články:

K reakci Íránu na obvinění, že Mahdí pochází z jejich země, se obrací článek Iran: If the Madi cyber-strike was us it would've been another Stuxnet. Íránci to pochopitelně popírají (Western Media Seeking to Play Down Iran´s Cyber Capability by New Virus Story).
Podle KasperskyLab je původ tohoto malware buď amatérský anebo ho někdo vypustil ve spěchu.

Tvůrci malware Mahdí dělají ostudu ostatním tvůrcům malware, říká nadpis článku Creators of Mahdi Spyware are an Embarrassment to Malware Makers Everywhere. Podle pracovníků bezpečnostního výzkumu budí neefektivnost Mahdí rozpaky.

Viry

Aktualizace antiviru od Symantecu způsobí modrou obrazovku Windows XP – Symantec antivirus update crashed Windows PCs, enraging customers. Jedná se o aktualizaci Symantec´s Endpoint Protection 12.1 antivirus software for businesses. Problém se týká jen počítačů, na kterých je nainstalován některý SW třetích stran (Sonar).

Hackeři a jiní útočníci

V Turecku se hackeři dostali k osobním datům policejních informátorů – Turkish Police Informant Files Leaked By Red Hack. Oznámila to skupina @RedHack_EN.

Hacker oznámil průnik k 50 000 účtům společnosti, která provádí nábor IT pracovníků pro Wall Street – Hacker claims breach of 50,000 accounts from Wall Street IT recruiting firm. Zveřejněné soubory obsahují data (podrobné informace) žadatelů o zaměstnání. Hacker je součástí skupiny, která si říká TeamGhostShell.
Viz také komentář: Hacker breaches 50,000 ITWallStreet.com accounts, posts data online.

Desítku historií mladičkých hackerů najdete na stránce Teen Hackers: 10 Stories Of Young Code-Crackers. Formou slideshow se s nimi můžete seznámit na stránkách The Huffington Post.

Útoky DDoS

How To Select A DDoS Mitigation Service – jak vybírat službu pro zmírnění dopadu útoku DDoS? Autor uvádí tři hlavní kategorie DDoS (Volumetric, Layer 3 a Layer 7). Rozebírá motivace útoků DDoS, důvody proč bychom měli být na ně připraveni, a uvádí sadu doporučení.
Viz také podrobnější analýzu v materiálu Why a DDoS Mitigation Service Could Save Your Assets (nezbytná je registrace).

Byla vydána zpráva společnosti Prolexic Quarterly Global DDoS Attack Report, pro přístup k ní je nutná registrace. Shrnutí výsledků zprávy najdete v článku Attackers Back to Burying Victims in Data Deluge.

DDoS Attacks: What They Are, and How to Defend Against Them – útoky DDoS, co jsou zač a jak se jim bránit? Téma článku se v posledním čase neobjevuje poprvé, důvodem je pochopitelně jeho aktuálnost.

Útoky na databáze hesel

Byla napadena databáze hesel ASUS eStore – ASUS eStore Hacked, Administrator Credentials Leaked (Updated). Na Pastebin bylo zveřejněno 23 přihlašovacích dat administrátorů.

Pětina přihlašovacích dat v rukou hackerů pasuje do Microsoft Account – One in five hacked logins match Microsoft Accounts. Byla exponovaná díky hackům, jejichž obětí jsou poskytovatelé jiných služeb (tj. jedná se o vícenásobná použití týchž přihlašovacích dat – jméno, heslo). Microsoft Account je nástroj typu single sign-on pro služby Microsoftu jako jsou SkyDrive, Hotmail, Xbox and Messenger.

Červenec 2012 a hacknutá hesla – takovýto přehled formou slideshow připravil Ken Presti: Breaches & Changes: Seven Incidents that Remind Us About Password Integrity. Zmiňuje tyto oběti útoků: Nvidia, Android Forums, Yahoo, Formspring, Last.fm, eHarmony a LinkedIn.
Jinou rekapitulaci přináší článek Lazy password reuse opens Brits to crooks´ penetration.

Jak chránit svoji identitu, když opouštíme své bydliště? Stránka How to Protect Your Identity While Moving Residences obsahuje popis rizik a několik doporučení např. pro chvíle dovolených.

High Roller: How to Protect Accounts – automatizované útoky High Roller – jak chránit účty? Článek obsahuje komentář k materiálu Dissecting Operation High Roller (20 stran), který připravily společnosti Guardian Analytics a McAfee. Autorem zde citovaných doporučení je Chris Silveira (Guardian Analytics).

Password Protection: Smart Tips for Fortifying the First Line of IT Security – k aktuální problematice ochrany hesel, v slideshow je obsaženo několik doporučení nejen pro jednotlivce, ale i pro organizace.

Krádeže online identit vzrostly o 200 procent oproti roku 2010 – Online identity theft up 200% since 2010. V prvním čtvrtletí roku 2012 obchodovali podvodníci s 12 milióny jednotek online osobních informací. Autor článku shrnuje některá čísla z poslední doby.

Anonymous

Anonymous spustili stránku charakteru WikiLeaks – Par:AnoIA: Anonymous Launches WikiLeaks-esque Site for Data Dumps. Jmenuje se Par:AnoIA (Potentially Alarming Research: Anonymous Intelligence Agency), má za cíl zveřejňovat data, o jejichž únik se Anonymous „zasloužili“.

Objevují se další podrobnosti k operaci OpSaveTheArctic – Hacktivists lift emails, passwords from oil biz in support of Greenpeace.

Hardware

B-Sides – bude prezentován první open source rámec pro hackování chytrých měřičů – SecureState Consultant to Introduce Smart Meter Hacking Framework at Security B-Sides Vegas. K problematice vystoupí Spencer McIntyre (SecureState´s Research & Innovation Team). Samotný nástroj je dostupný již nyní. Na konferenci Black Hat vystoupí také k obdobně zaměřenému nástroji (OptiGuard) Don Weber ze společnosti InGuardians.
Viz také články:

Samotné konferenci B-Sides je věnována stránka Security B-Sides.

Plastické klíče z 3D tiskárny nahradí i originály speciálních bezpečnostních klíčů – Sicherheitshandschellen mit 3D-Drucker und Lasercutter geknackt. Na konferenci HOPE to demonstroval hacker s přezdívkou Ray. Obrázky najdete na stránce Hackerzy otwierają kajdanki przy pomocy drukarki 3D.

USA: bezpečnost medicínských přístrojů není dobře ošetřena – Medical-device security isn't tracked well, research shows. Malware je obsažen v nemocničních zařízeních, malware ohrožuje bezdrátovou komunikaci některých přístrojů (u pacientů). V článku jsou citovány závěry ze studie šesti odborníků (Harvard Medical School´s Beth Israel Deaconess Medical Center + the Department of Computer Science at the University of Massachusetts at Amherst).

Mobilní zařízení

The growing headache of protecting mobile devices – situace okolo ochrany dat ve vztahu k mobilním zařízením je předmětem přehledu společnosti McAfee. Článek obsahuje shrnutí některých výsledků tohoto přehledu.

BYOD – nejlepší postupy říkají: chraňte data, ne zařízení – For BYOD Best Practices, Secure Data, Not Devices. Autor článku rozebírá změny, které v této problematice (data na mobilních zařízeních) nastaly v posledních letech. Zmiňuje vlastnosti některých moderních řešení.

Dokument: Android Security Overview, stojí za seznámení se s ním, říká se v komentáři Worth Reading: Android security overview.

Systém pro šifrování hlasu pro Android – RedPhone – je nyní open source: RedPhone voice encryption system for Android open sourced. Oznámila to společnost Whisper Systems. Odkazy uvedené v článku vedou k dalším informacím.

Mobilní malware

V červnu 2012 lze hovořit o explozi malware pro Android – Android malware numbers explode to 25,000 in June 2012. Autor článku cituje výsledky společnosti Trend Micro.

Spam

Spam, o kterém se soudilo, že je výsledkem činnosti Android botnetu, byl rozesílán díky zranitelnosti e-mailového klienta Yahoo Android – Yahoo session hijacking likely culprit of Android spam. K tomuto závěru došli pracovníci Trend Micro a Lookout Mobile Security.
Viz také komentář: Traffic Sniffing, Not Botnet, May Have Led to Android Spam Run.

Spammers Target Dropbox Users, k spamu, který byl cílený na Dropbox. Různí uživatelé v Evropě se stali příjemci zpráv informujících o stránkách pro gamblery.

Elektronické bankovnictví

Spy Software Aims to Corral Money Mules – k prostředkům kontroly peněžních mezků (mules). Brian Krebs popisuje imaginární firmu VIP One a její potenciální možnosti v tomto směru (využití sledovacího SW – spy SW).

Platební karty v Německu – na platebních terminálech je možné ukrást PIN: German EC cards: PINs can be stolen at card terminals. S popisem útoku přišel Thomas Roth z berlínské společnosti Security Research Labs (SRLabs) .

How to Beat Banking Trojans aneb jak se poprat s bankovními trojany. Populárně napsaný článek varuje před existujícími nebezpečími.

Autentizace, hesla

KeePass Password Safe vydán ve verzi 1.23. Je to volně dostupný, open source správce hesel, v článku jsou popsány jeho základní vlastnosti a je zde také odkaz, odkud si ho lze stáhnout.

Phishing

Proofpoint: cílený phishing směruje na každou druhou organizaci – Spear phishing targets one in two organizations. V článku jsou uvedeny výsledky přehledu, který zpracovala tato firma pro konferenci Microsoftu TechEd, červen 2012.

Phishing Activity Trends Report 1st Quarter 2012, komentář k výsledkům této zprávy (APWG) je v článku Phishing websites reach all-time high. Počet phishingových webů v únoru dosáhl čísla 56 859, což je zatím absolutní rekord.
Další komentář – Phishers Target Record Number of Brand Websites: APWG Report.

Různé

Přehled vychází z průběžně publikovaných novinek na Crypto – News.

Našli jste v článku chybu?
Lupa.cz: Elektronika tajemství zbavená. Jak s ní začít?

Elektronika tajemství zbavená. Jak s ní začít?

Lupa.cz: Co najdete uvnitř kosmické sondy?

Co najdete uvnitř kosmické sondy?

Vitalia.cz: Ženy, které milují příliš, jsou neštěstí

Ženy, které milují příliš, jsou neštěstí

Měšec.cz: Kurzy platebních karet: vyplatí se platit? (TEST)

Kurzy platebních karet: vyplatí se platit? (TEST)

120na80.cz: Plíseň na nehtech je potřeba léčit včas

Plíseň na nehtech je potřeba léčit včas

Podnikatel.cz: Zajímavý paradox: Daří se vedle konkurence

Zajímavý paradox: Daří se vedle konkurence

DigiZone.cz: Hodlá Markíza skončit v DVB-T?

Hodlá Markíza skončit v DVB-T?

Měšec.cz: Co když na dovolené přijdete o kartu?

Co když na dovolené přijdete o kartu?

DigiZone.cz: Fotbal na O2 TV Sport posiluje

Fotbal na O2 TV Sport posiluje

Vitalia.cz: Skutečně zdravá škola je ve 160 školách zdarma

Skutečně zdravá škola je ve 160 školách zdarma

120na80.cz: Využijte léčivé vlastnosti měsíčku

Využijte léčivé vlastnosti měsíčku

120na80.cz: Víte, co je svobodná menstruace?

Víte, co je svobodná menstruace?

Lupa.cz: Hackujete? Můžete mít problém sehnat práci

Hackujete? Můžete mít problém sehnat práci

Vitalia.cz: Kedlubna, neobyčejná zelenina

Kedlubna, neobyčejná zelenina

120na80.cz: Bylinka pro dobrý sex. Jaká to je?

Bylinka pro dobrý sex. Jaká to je?

Lupa.cz: Nechcete datacentrum? Jsou na prodej

Nechcete datacentrum? Jsou na prodej

Lupa.cz: Samořídicí taxíky jsou tu. Začíná s nimi Uber

Samořídicí taxíky jsou tu. Začíná s nimi Uber

Podnikatel.cz: OSA zdraží, ale taky přidá nový poplatek

OSA zdraží, ale taky přidá nový poplatek

Podnikatel.cz: Pozor na vykuky, imitují služby České pošty

Pozor na vykuky, imitují služby České pošty

Podnikatel.cz: Novela zákoníku práce. Řeší homeworking

Novela zákoníku práce. Řeší homeworking