Bezpečnostní střípky: cílený phishing - reálná hrozba na obzoru

Jaroslav Pinkava 16. 5. 2011

Pravidelný pondělní přehled informací vztahujících se k problematice bezpečnosti IT. Z novinek tohoto týdne upozorníme na zjištění okolo nedostatečně chráněných informací na mobilních zařízeních, dostupnost zdrojového kódu trojana Zeus (a jeho nové hrozby) a na další informace okolo hacku společnosti Sony.

Přehledy

Byla vydána zpráva společnosti Microsoft k nebezpečím na internetu – Microsoft Finds Phishing on Social Networks, Malware Attacks Increased. Jedná se o materiál Security Intelligence Report, který byl vydán 12. května 2011 (89 stran). Je zde zhodnoceno období druhého pololetí roku 2010. Vyzdviženy jsou následující škodlivé aktivity: adware, falešné antiviry a phishing na sociálních sítích. Viz také komentář – Windows 7´s malware infection rate climbs, XP´s falls.

Dále se v minulém týdnu objevil dokument, který vydalo IID – eCrime Trends Report: First Quarter 2011. Komentář k jeho výsledkům je na stránce Phishing attacks rise year over year. Rovněž zde je konstatován (v prvním čtvrtletí 2011) nárůst phishingových útoků (o 12 procent, ve srovnání s týmž obdobím v roce 2010). Tento nárůst je zjištěn zejména ve vztahu k útokům na banky mimo území USA.

Obecná a firemní bezpečnost IT

Just say yes: Why banning consumer devices makes your organization less secure aneb proč zákaz soukromých zařízení činí vaši organizaci méně bezpečnou? Zakážete iPady a iPhone? Al Raymond v tomto článku vysvětluje svůj názor na to, proč zde vzniknou problémy a jakého jsou druhu. V podstatě jde o to, že zaměstnanci se naučí tyto zákazy obcházet.

Indie hájí právo na přístup k osobním datům – India defends right to access personal data. Mají tomu napomoci právě zaváděná nová pravidla ve vztahu k internetovým společnostem.

Nastává éra hackování typu „krade se všechno“, říká nadpis článku ‚Steal everything‘ era of hacking. Tento zajímavý komentář (jeho autorem je Dave Lee) je také předmětem diskuze na Schneierově blogu – The Era of „Steal Everything.

Spojené státy chtějí prorazit čínský internetový firewall – US in new push to break China internet firewall. Milióny dolarů jsou investovány do technologií, které mají napomoci obejít cenzuru v Číně, v Íránu a dalších zemích.

Všechno lze hacknout a počítačová kriminalita je málo rizikové podnikání – Everything is Hackable, and Cyber Criminals Can't Be Tracked. Pod tímto provokativním titulkem napsal Roger Grimes článek kritizující dnešní poměry na internetu.

Duševně nemocná sdílela soubory kvůli nízkému sebevědomí, byla přesto uznána vinnou – Mentally ill file-sharer had ‚low self-esteem‘. Na jejím počítači našli 24 000 písniček (karaoke). Jednalo se o 54letou ošetřovatelku. I s takovýmito situacemi se musí poprat justice.

Bezpečnost má být unifikovaná, zjednodušená a aktivnější – Security needs to be unified, simplified and proactive. Článek je věnován vystoupení Gila Schweda na konferenci společnosti CheckPoint v Barceloně (zakladatele a šéfa této firmy).

Zajímavá myšlenka: podnikání by se mělo dívat na bezpečnost jako na vojenskou operaci – Businesses need to look at security as a military operation. Barry Hensley, bývalý plukovník americké armády, poukázal na životnost této analogie a doporučuje využívání koncepce OODA (observe, orient, decide and act).

Existují tři typy interních hrozeb, říkají autoři článku The 3 types of insider threat (Jeffrey R. Jones and Ryan Averbeck). Uvádí v něm pak možné scénáře, které rozebírají.

Jak se bin Ládin dokázal vyhnout elektronickému vyhledání – How bin Laden thwarted US electronic surveillance. Jeho počítač nebyl připojen na internet. Nahrané zprávy na flashce odnášeli agenti do internetových kaváren a odtamtud zase přinášeli odpovědi. V bin Ládinově úkrytu bylo nalezeno okolo stovky takovýchto flashek. Viz také – How bin Laden emailed without being detected by US.

FBI bude chránit poskytovatele internetového připojení, kteří sledují své zákazníky – FBI fights to protect ISPs that snoop on their customers. V článku Dan Goodin komentuje vyhlášení recently filed court declaration (PDF).

Americký CERT varuje před chybou kontrol kritické infrastruktury (SCADA) – CERT warns of critical industrial control bug. O některých podrobnostech k tomu v článku informuje Dan Goodin

Americká vláda předala kongresu své návrhy ohledně legislativy pro kybernetickou bezpečnost – Obama Bill Would Beef Up Cybersecurity Laws. Je podtrhována nezbytnost aktualizace existujících zákonů. Chystané plány Obamova týmu jsou rozebírány v článku Obama team unveils cybersecurity plan. Viz také komentáře:

Nově upravená legislativa dovoluje americké vládě uzavřít pirátské weby – Revised Legislation Empowers U.S. to Shut Down Piracy Web Sites. Oprávnění k tomu dostane americké ministerstvo spravedlnosti.

Sociální sítě

Facebook: Simply a Spying Machine? aneb Facebook: jednoduše, je to nástroj špionáže? Takto se o něm vyjádřil zakladatel WikiLeaks Julian Assange. V interview pro Russia Times mj. říká, že je to z pohledu celého světa nejobsáhlejší databáze lidí, obsahující k nim značnou dávku podrobností. Tato databáze je dostupná americkým zpravodajským službám.

Facebook přistižen, chyba umožňovala únik osobních dat miliónů uživatelů – Facebook caught exposing millions of user credentials. Informuje o tom Symantec. Chyba snad již měla být záplatována. Viz také – Facebook exposed user data to advertisers: security firm.

Prevence spamu na Facebooku – výsledek je právě opačný. Takovéto varování přináší Paul Ducklin ze společnosti Sophos – PREVENTING SPAM scam on Facebook does exactly the opposite. Viz také komentář Facebook spam prevention scam spreading like wildfire.

O útoku na uživatele Facebooku ze Syrie informovala EFF (Electronic Frontier Foundation) – A Syrian Man-In-The-Middle Attack against Facebook.

Facebook se pokouší zastavit spam a podvody – Facebook Adds Security Features to Stop Spam and Scams. Za tímto účelem byla spuštěna tři nová bezpečnostní opatření – dvoufaktorová autentizace, kroky proti clickjackingu a nový nástroj pro brouzdání, který hodnotí bezpečnost odkazů. Viz podrobnosti na blogu společnosti Sophos – Facebook announces new security features – but do they go far enough?.

Software

Byla objevena jedna nezáplatovaná zranitelnost využitelná proti Windows 7 a IE9 – Unpatched DLL bugs let hackers exploit Windows 7 and IE9, says researcher. S touto informací přišla slovinská společnost Acros Security, bude jí demonstrovat na konferenci Hack in the Box tento měsíc.

Website Security for Webmasters aneb bezpečnost webů pro webmastery, to je užitečný materiál, který se objevil na bezpečnostním blogu společnosti Google.

„Bílí hackeři“ pronikli do sandboxu prohlížeče Chrome – Whitehats break out of Google Chrome sandbox. Jedná se o odborníky francouzské firmy Vupen Security. Podrobnosti průniku sdělí pouze vládním zákazníkům. Dokonce ani Google nedostal tyto informace. Viz také – French researchers demo attack on Chrome.

Problémy cloudu Amazonu vedou k otázkám o využitelnosti cloudů vůbec – Amazon's cloud failed: How can your cloud be better? Výpadek tohoto cloudu minulý měsíc vedl k velkým finančním ztrátám. Viz také – Amazon service outage reinforces cloud doubts.

Většina firem netestuje kódy třetích stran – Most companies skimp on third-party code checks, study finds. Na rozdíl od prověřování vlastních zdrojových kódů je od takovýchto testů často upouštěno (Forrester Consulting). Podrobnosti jsou ve zprávě Forrester Consulting Software Integrity Risk Report.

Rostoucí využívání SSL vytváří nová rizika – The rising use of SSL raises new risks. George V. Hulme komentuje výsledky zprávy The Application Usage and Risk Report (Palo Alto Networks).

Malware

Ke kolujícímu dokumentu o bin Ládinově smrti (obsahuje exploit zranitelnosti rtf) se obrací článek Analysis of an Osama bin Laden RTF Exploit. Použitá zranitelnost byla Microsoftem záplatována v listopadu 2010. Ovšem ne všude je příslušný SW aktualizován …

K podvržení pamětí rootkity se vrací diskuze na Schneierově blogu – Forged Memory. Tato taktika rootkitů (V obraně proti antimalware nástrojům) je poměrně nepříjemnou věcí. Zajímavá diskuze rozvíjející toto téma obsahuje některé náměty.

Multiplatformový botnet útočí na uživatele Maců i Windows – Cross-platform botnet targets both Windows and Mac users. Jedná se o malware s označením IncognitoRAT. Joan Goodchild ve své informaci shrnuje aktivity, které toto malware provádí.

Malware pro Macy již není jen pouhou hrou – Mac malware goes from game to serious. Robert Lemos v článku hodnotí současnou situaci v tomto směru.

New FBI Documents Provide Details on Government’s Sur­veillance Spyware aneb k spyware, které používá FBI. K této zveřejněné informaci je také diskuze na Schneierově blogu – FBI Surveillance Tools.

Bin Ládin a IT: Hrozba jeho jménem žije dál, Pavel Čepský na Lupě: Smrt Usámy bin Ládina rozpoutala další vlnu pokusů o podstrčení malwaru, objevila se staronová lákadla. Útočníci na podobné okamžiky čekají a dychtivě je vyhlížejí.

Hackeři

Podvodníci hackli některé významnější webové stránky (NASA, Stanford) – NASA, Stanford sites hit by search engine scammers. Jejich cílem bylo otrávit výsledky vyhledávačů. Profitují zřejmě z toho, že pro své zákazníky vytváří větší provoz.
Komentář k aktivitám podobného typu napsal Rik Ferguson – Malvertisements: Who should kill them off?.

Aktéři počítačové kriminality přemisťují své aktivity do Kanady – Cyber criminals moving operations to Canada. V článku jsou komentovány výsledky analýzy společnosti Websense. Viz také komentář Canada Becomes Second-Largest Source of Phishing, Malware, Botnet Activity.

Anonymous se musí zabývat interními hrozbami – Anonymous meets its own insider threat. Bill Brener komentuje zprávu pocházející z AnonOps Network. The hackers hacked: main Anonymous IRC servers invaded – hlavní Anonymous IRC server byl hacknut, že by to byl soubor frakcí? Viz také komentáře:

Student informační bezpečnosti podváděl na internetu – Student charged with posting counterfeit coupons to 4chan. Prostřednictvím jím padělaných kuponů přišly firmy o statisíce dolarů. Lucas Henderson nyní čelí vězení až do výše 30 let.

Hackeři zaútočili na webové stránky ruských novin Pravda – Hackers Target Russian Newspaper Pravda's Site. Jedná se o anglické stránky těchto novin. Škodlivé skripty na ně umístěné mohly infikovat počítače čtenářů.

Interop: Cyberwar test runs yield information about defenses, článek se mj. zabývá útokem „10 Days of Rain“ (cílený byl na Jižní Koreu, pravděpodobně jejím severním sousedem). Útok DDoS trval celkem deset dní a je posuzován jako útok, jehož cílem bylo ověřit schopnosti Jižní Koreje, jak rychle dokáže situaci zanalyzovat a odpovědět. Autor článku v této souvislosti říká: podoby malware se stávají stále složitějšími.

Sony

V síti společnosti Sony chyběl firewall, běžel v ní zastaralý SW, informoval o tom Gene Spafford, profesor na Purdue University – Sony Networks Lacked Firewall, Ran Obsolete Software: Testimony. V článku jsou uvedeny také názory dalších předních odborníků. Viz také – PSN was running on unpatched Apache server with no firewall.

Sony po zjištění úniku dalších informací odložila restart sítě pro PSN – Sony delays PSN restart as sweepstake data is leaked by hackers. Pro hráče to určitě příznivá zpráva není. Viz také:

Sony zvažuje odměnu za informace, které povedou k dopadení hackera – Sony mulls hacker bounty offer. Výše odměny, kterou Sony poskytne prostřednictvím FBI, nebyla specifikována. Viz také – Sony reported to be considering bounty for PSN attack.

Analytici se přiblížili k rozkrytí příčin hacku systémů společnosti Sony – Security watchers unpick PlayStation hack. Jsou vyslovovány domněnky, které jednak vedou k jednomu nespokojenému (propuštěnému) zaměstnanci, jednak se týkají nezáplatovaných serverů a vlastností v březnu publikovaného Rebug firmware. Viz také tuto informaci – PlayStation Network hack launched from Amazon EC2.

Hardware

Jak FBI sleduje vozidla – rozbor HW, této tématice se věnuje článek FBI Vehicle-Tracking Device: The Teardown. Analyzované zařízení bylo nalezeno ve vozidle jednoho z aktivistů (životní prostředí) v roce 2005. Komentář k tomuto rozboru je na stránce Teardown of Covert FBI Car-Tracking Device Reveals GPS, Long Battery Life.

Bezdrát

Mark Bennett vysvětluje své postupy při hackování WPA (slovníkový útok) v článku Hacking the WPA Airwaves.

VoIP

Nákup Skype Microsoftem přináší nové bezpečnostní výzvy – Microsoft Windows, Skype Integration Poses Security Challenges. Dodavatelé bezpečnostního SW budou muset věnovat větší pozornost integraci s existujícími produkty pro Windows. Není totiž zatím jasné, jak Microsoft sám bude Skype integrovat do svých produktů.

RFID

Krádeže hotelových ručníků s RFID čipy, Bruce Schneier tentokrát na svém blogu otevírá diskuzi k tématu relativně málo důležitému, na druhou stranu obdobný problém (a mající větší váhu) řeší řada jiných organizací – RFID Tags Protecting Hotel Towels.

Mobilní telefony a zařízení

Jak vymazat osobní data z vašeho chytrého mobilu – How to Wipe Personal Data from Your Smartphone. Zbavujete se staršího modelu? Pak tento článek je právě pro vás.

400 procentní nárůst malware pro Android, tento fakt vyplývá z přehledu, který připravily Juniper Networks – 400% increase in Android malware. Celá zpráva je k dispozici (po registraci) zde – Juniper Global Threat Center (GTC): Malicious Mobile Threats Report 2011.

41 procent citlivých informací na mobilních zařízeních je nechráněno – 41% carry unprotected sensitive information on mobile devices. V tomto článku je citována řada statistik obdobného typu, přišel s nimi Origin Storage. Viz také komentář IT professionals demonstrate further lack of knowledge on data security.

Chytré mobily lákají dobře organizované mezinárodní podvodníky jdoucí za ziskem – Smartphones attract organized, international, profit-driven scammers. Článek je věnován vystoupení generála Jasona Weinsteina (a Jessicy Rich) před americkým senáním výborem.

Spam

V boji proti spamerům mohou být i lepší nástroje než je CAPTCHA – There may be a better way to weed out spammers than CAPTCHA. Chad Perrin vysvětluje problémy spojené s používáním CAPTCHA a obrací se pak k objasnění možností jiných přístupů.

Elektronické bankovnictví

Kompromitované platební terminály v americkém obchodním řetězci – Breach at Michaels Stores Extends Nationwide. Nejméně 70 takových platebních terminálů bylo nalezeno v obchodech řetězce Michaels. Podvod vedl k neoprávněným výběrům z bankomatů až do výše 500 dolarů (použity byly falešné platební karty s ukradenými daty). Jak ke kompromitacím došlo, není jasné. Obětí jsou tisíce a tisíce, konstatuje detektiv Jeff Stolzenburg. Viz také – Michaels Breach Bigger than Reported.

Objevil se nový bankovní trojan, který konkuruje trojanům Zeus a SpyEye – Newly emerged banking Trojan challenges ZeuS-SpyEye duopoly. Tohoto trojana s označením Sunspot Trojan zatím detekuje jen 21 procent antivirových programů (podle analýzy, kterou provedl Virus Total).

Gang, který používal bankovní trojany, byl rozbit finskou policií – Banking Trojan gang busted by Finnish police. Oběťmi útoků byli zákazníci Finnish Nordea Bank, celková ztráta činila 1,2 miliónu euro.

K zdrojovému kódu pro Zeus, který je dostupný na internetu se věnuje autor článku ZeuS source code freely available on the net. Jedná se o verzi 2.0.8.9 tohoto trojana. Není příliš jasné, kdo tuto verzi pustil do oběhu a proč. Podle komentáře to mohl být i někdo z poskytovatelů AV SW. Viz také komentář Roberta Lemose na stránkách csoonline.com – Zeus leaks give tools to researchers, attackers.

Únik zdrojového kódu pro Zeus bude znamenat více bankovního malware – Zeus Source Code Leak Means Even More Banking Malware to Hit the Web. Nyní se k možnostem, které dává Zeus, dostávají i méně zdatní počítačoví „loupežníci“. Viz také – Source code leaked for pricey ZeuS crimeware kit. Zdá se, že vývojáři takovýchto kitů stále více čelí hrozbám, které stojí i před tradičním SW (bezpečnostní záplaty, pirátství, ochrana IP, požadavky na vlastnosti, dokonce se to týká i P.R.).

Autentizace, hesla

Nalezená zranitelnost implementace OpenID umožňuje krádež identit – Identity theft with OpenID. Varování vydala OpenID Foundation.

Phishing

Reálné hrozbě na obzoru, kterou je cílený phishing, je věnován článek Spear Phishing: Beyond the Common Sense Defense. Ram Mohan se charakterizuje dnešní situaci po krádežích miliónů e-mailových adres (Epsilon, Sony atd.). Hledá cesty k obraně, uvádí sadu doporučení.

Neotvírejte tento e-mail aneb jak redukovat nebezpečí phishingu – Don't open that email! How to reduce the threat of phishing. Linda Musthaler v odvolání na zprávu Verizon 2010 Data Breach Investigations report (66 stran, tento materiál byl zpracován ve spolupráci s United States Secret Service) poukazuje na růst využívání různých sociálních taktik při snahách o průnik do systémů. Článek obsahuje i několik dalších užitečných odkazů a doporučení.

Elektronický podpis

De-Mail: rozumnější než datové schránky? Jiří Peterka na Lupě: Naše datové schránky jsou v mnoha aspektech světovým unikátem. Příklad Německa a jeho služby De-Mail ukazuje, že řada věcí mohla (a asi i měla) být jinak.

Škody, které mohou přinést problematické certifikáty, toto téma je rozebíráno na blogu společnosti F-Secure – Problematic Certificates. Certifikačním autoritám je doporučováno zpřísnit prováděné kontroly. Další podrobnosti jsou v přiloženém videu.

Normy a normativní dokumenty

Americký NIST vydal minulý týden dva drafty

Kryptografie

Program CrypterRB obsahuje implementace algoritmu RSA – CrypterRB 1.0 . Jsou zde tři „okénka“: GenKeys, Encode a Decode. Je to freeware, ale pro Mac OS X (verze 10.0 či vyšší).

Může homorfní šifrování zachránit cloud computing? Cílem Michaela Kassnera v článku Homomorphic encryption: Can it save cloud computing?  je přiblížit myšlenku homomorfního šifrování a její význam čtenářům. Říká však: není to řešení, které již dnes lze použít.

Společnost Cryptography Research byla koupena společností Rambus Inc. – Rambus to pay $342.5M for Cryptography Research. Společnost Cryptography Research (Paul Kocher a další) je známa řadou svých vynikajících výsledků, například v oblasti DPA (Differential Power Analysis).

widgety

Ochrana diskových šifrovacích systémů proti útokům na paměť je předmětem studie Protecting Drive Encryption Systems Against Memory Attacks. Leo Dorrendorf v ní popisuje nový přístup k tomuto známému problému.

Různé

Přehled vychází z průběžně publikovaných novinek na Crypto – News.

Našli jste v článku chybu?
Lupa.cz: Jak se prodává firma za miliardu?

Jak se prodává firma za miliardu?

Lupa.cz: Patička e-mailu závazná jako vlastnoruční podpis?

Patička e-mailu závazná jako vlastnoruční podpis?

Podnikatel.cz: Udělali jsme velkou chybu, napsal Čupr

Udělali jsme velkou chybu, napsal Čupr

Lupa.cz: Jak důležitá je u firemních počítačů spotřeba?

Jak důležitá je u firemních počítačů spotřeba?

120na80.cz: Co je padesátkrát sladší než cukr?

Co je padesátkrát sladší než cukr?

Podnikatel.cz: Tyto pojmy k #EET byste měli znát

Tyto pojmy k #EET byste měli znát

Podnikatel.cz: Poslanci chtějí sebrat majetek Bakalovi

Poslanci chtějí sebrat majetek Bakalovi

DigiZone.cz: Samsung EVO-S: novinka pro Skylink

Samsung EVO-S: novinka pro Skylink

Vitalia.cz: Test dětských svačinek: Tyhle ne!

Test dětských svačinek: Tyhle ne!

DigiZone.cz: Funbox 4K v DVB-T2 má ostrý provoz

Funbox 4K v DVB-T2 má ostrý provoz

DigiZone.cz: Ginx TV: pořad o počítačových hráčích

Ginx TV: pořad o počítačových hráčích

120na80.cz: Zázrak ze smetiště: co léčí lopuch?

Zázrak ze smetiště: co léčí lopuch?

DigiZone.cz: Digi Slovakia zařazuje stanice SPI

Digi Slovakia zařazuje stanice SPI

Podnikatel.cz: Byla finanční manažerka, teď cvičí jógu

Byla finanční manažerka, teď cvičí jógu

DigiZone.cz: Wimbledon na Nova Sport až do 2019

Wimbledon na Nova Sport až do 2019

DigiZone.cz: Světový pohár v přímém přenosu na ČT

Světový pohár v přímém přenosu na ČT

Podnikatel.cz: Instalatér, malíř a elektrikář. "Vymřou"?

Instalatér, malíř a elektrikář. "Vymřou"?

Podnikatel.cz: Babišovi se nedá věřit, stěžovali si hospodští

Babišovi se nedá věřit, stěžovali si hospodští

Lupa.cz: Cimrman má hry na YouTube i vlastní doodle

Cimrman má hry na YouTube i vlastní doodle

Vitalia.cz: Jak Ondra o astma přišel

Jak Ondra o astma přišel