Hlavní navigace

Bezpečnostní střípky: Co je za oponou byznysu s botnety?

4. 4. 2011
Doba čtení: 14 minut

Sdílet

Pravidelný pondělní přehled informací vztahujících se k problematice bezpečnosti IT. Z novinek právě uplynulého týdne upozorníme na novou verzi prohlížeče Chrome, na čerstvou epidemii otrávených odkazů (útoky na weby prostřednictvím SQL injection) a pochopitelně na neusínající aktivity hackerů.

Přehledy

Zpráva společnosti TrendMicro k hrozbám v roce 2010, dominuje farmaceutický spam a mobilní hrozby – Global Threat Trends 1H 2010. Komentář k této 20stránkové zprávě si lze přečíst na stránce Pharmaceutical spam and mobile threats dominate. Počítačovým zločincům hodně pomáhají toolkity, soubory nástrojů zpracované tak, aby pomáhaly krást informace. V roce 2010 jejich využívání významně vzrostlo a vedlo to v tomto roce k velkému nárůstu hrozeb. Nejvíce škodlivých odkazů (a tedy i obětí malware) se nachází v USA a v Číně. Také Rusko bylo význačným zdrojem spamu, který obsahoval škodlivé odkazy.

Špionáž ve společnostech není obtížná a je lukrativní – Corporate Espionage Easier and Lucrative as Companies Under-Report Breaches: Survey. Fahmida Y. Rashid komentuje výsledky zprávy společnosti McAfee. Tento dokument (20 stran) s názvem Underground Economies: Intellectual Capital and Sensitive Corporate Data Now the Latest Cybercrime Currency shrnuje odpovědi 10 000 techno­logických manažerů z řady zemí (nezbytná je registrace). Viz také další komentáře k této zprávě:

Obecná a firemní bezpečnost IT

Krádeže zdravotních ID jsou rostoucí a významnou hrozbou – Medical identity theft a rising and significant threat. Autor článku George V. Hulme upozorňuje na další nepříjemný trend současnosti. Zdravotní informace na černém trhu přináší dokonce větší zisky než data z platebních karet, konstatují odborníci. Typy těchto útoků jsou jiné než ostatní typy útoků směrovaných na krádeže ID, např. z 36 procent jsou jejich původci členové rodin dotyčného.

Prevenci interních podvodů se věnuje rozsáhlejší článek Fraud prevention: Improving internal controls. Daniel Draz v něm přichází s řadou námětů a doporučení. Cílem materiálu je napomoci zesílit interní kontroly. Zvýrazněna jsou zejména potřeby komunikace, rozdělení odpovědností, nezbytnost učit se z chyb, hodnocení rizik týkajících se výskytu podvodů a cesty kontrol.

ČR: Vnitro chystá úřad proti hackerům, odpůrci Velkého bratra varují, z úvodu: Podle nejčernějších scénářů kybernetických válek by v případě úspěšného útoku internetových pirátů mohly zkolabovat banky, elektrárny i doprava. České ministerstvo vnitra se již několik let chystá zbudovat vládní středisko proti internetovým hrozbám, ale jeho otevření lze čekat nejdříve za rok.

Servery NASA, zde zjištěné zranitelnosti ohrožují bezpečnost letů raketoplánů – Critical NASA network was open to Internet attack. Jedná se o šest serverů NASA, zranitelnosti byly zjištěny při kontrole, snad již jsou záplatovány.

China spies suspected of hacking Julia Gillard's emails – čínští špioni a e-maily australské premiérky. Zdá se, že aktivity čínské strany v oblasti kybernetické špionáže mají nyní široký záběr.

Doporučení pro organizace na ochranu před AET (advanced evasion techniques) najdete na stránce Tips for protecting against advanced evasion techniques. Těchto šest doporučení má napomoci ochraně organizací (potřeba odpovídajících znalostí, analýza rizik, zhodnocení existujícího systému záplatování, zhodnocení používaného řešení pro prevenci průniků, centrální správa bezpečnostních zařízení, testy reálného prostředí – jak je obranyschopné).

How to communicate your firm's security strategy aneb jak komunikovat ohledně bezpečnostní strategie vaší firmy. V rozsáhlejším článku známá komentátorka Joan Goodchild rozebírá celkem sedm častých chyb, jsou zde rozebírány takové momenty, které jsou často opomenuty.

Jak by mohla vypadat počítačová válka s Čínou, to popisuje článek What a cyberwar with China might look like. Je to svým způsobem fascinující čtení, komentuje ho také článek na stránce Fascinating read on what a cyberwar with China might look like. Popisované hypotetické scénáře vychází z dokumentu China’s War in Cyberspace, August–September 2020.

K tomu, jak to provést, aby bezpečnostní politiky fungovaly i ve velkých organizacích, uvádí Reuven Harrison sadu doporučení – How to make security policies work even for the largest organizations , Tato sada (zřetelné zdokumentování politik, dotažení na specifika jednotlivých úseků, snadné začlenění potřebných změn, soulad s cíli podnikání atd.) má napomoci k dosažení těchto cílů.

V útoku na NASDAQ pomáhá se rozebrat i NSA – NSA to Investigate Nasdaq Hack. V komentáři je zmínka o tom, že se jedná zřejmě o útok, který je financován některým státem. Trh s cennými papíry je vysoce zranitelný objekt.

Anonymous

Anonymous spustili nový DDoS útok – proti RIIA (Recording Industry Association of America) – Anonymous Launches New DDoS Attack Against RIAA. Útok přitom následuje po žalobě proti Limewire, aplikaci pro P2P sdílení (její fungování bylo zastaveno v říjnu 2010 – na základě soudního rozhodnutí).

Crude, Inconsistent Threat: Understanding Anonymous aneb kdo a co jsou Anonymous? Tento široký materiál (jeho autorem je Adrian Crenshaw) obsahuje i několik odkazů na videa. Zabývá se motivacemi skupiny Anonymous, její organizací (resp. neexistencí její organizovanosti) a vysvětluje proč označení „skupina“ je nevhodné pro správný popis její existence a jejího fungování.

Software

Záplatováno bylo šest zranitelností prohlížeče Chrome – Google patches six vulnerabilities in Chrome release. Všechny tyto zranitelnosti byly označeny stupněm „high“. Opravy v sobě zahrnuje poslední verze Chrome (10.0.648.204) vydaná minulý čtvrtek.

Také na stránkách bezpečnostní firmy McAfee byly objeveny zranitelnosti – Researchers point out holes in McAfee's Web site. Podle vyjádření firmy však neohrožují bezpečnost ani zákazníků, ani partnerů a ani samotné společnosti.

Novým vlastnostem Firefoxu 4 se věnuje článek Firefox 4 includes new feature for thwarting web attacks. Angela Moscoritolo na stránkách SC Magazine napsala další z komentářů k novinkám Firefoxu. Podrobněji se věnuje CSP (Content Security Policy). Viz také komentář na stránce CSP: Thwarting cross-site scripting and click-jacking attacks.

Proběhla aktualizace ruského balíku exploitů pro systémy SCADA – Russian Security Team to Upgrade SCADA Exploit Tool. Doplněny mají být zranitelnosti, které zjistil italský odborník. Je obtížné říci, jak zjištěné zranitelnosti jsou závažné – 34 SCADA Vulnerabilities Published.

How To Hack the New York Times Paywall… With Your Delete Key aneb jak snadné je prorazit platební omezení New York Times. Jediné, co je třeba, je odstranit z url “?gwh=numbers”. A to prý noviny zaplatily 40 miliónů dolarů za ochrany (ve vztahu k platbám)…

Bezpečnostní odborníci nemají přehled o tom, co je DNSSec – Key security experts unfamiliar with DNSSEC. Vyplývá to z přehledu IID. Klíčovým problémem je nedostatek školících a implementačních služeb. V článku je dán přehled hlavních závěrů tohoto přehledu (50 procent respondentů o DNSSec buď neslyšelo či nechápe její význam, jen 5 procent z nich konstatuje, že jejich organizace implementovala DNSSec pro své domény atd.).

Uživatelé Chrome jsou varováni před zastaralými pluginy – Chrome warns users of out-of-date browser plugins. U poslední verze Chrome přichází toto varování automaticky.

Microsoft Network Monitor je nyní ve verzi 3.4 – Microsoft Network Monitor 3.4. Network Monitor je analyzér sítě, umožňuje odchytit provoz na síti, prohlížet ho a analyzovat.

Jak by šlo zlepšit bezpečnost SSL, k tomuto problému uvádí Ben Laurie na blogu společnosti Google několik námětů – Improving SSL certificate security.

Malware

Ransomware šifrujúci súbory v novej verzii, zvýšil výkupné na 125 dolárov, z úvodu: GpCode, škodlivý kód typu ransomware šifrujúci súbory a vydierajúci majiteľov infikovaných PC, sa uplynulý týždeň objavil na Internete v novej verzii.
Viz také komentář – New ransomware variant in the wild.

Kdo kontroloval botnet Rustock? Tato otázka zůstává nezodpovězena, konstatuje Brian Krebs ve svém ohlédnutí na nedávnou akci Microsoftu. Krebs se ve svém článku pokouší podívat se hlouběji do ekonomiky tohoto botnetu – Microsoft Hunting Rustock Controllers.

Nová metoda by měla napomoci k odhalení botnetů, které se skrývají za měnícími se doménami – New method finds botnets that hide behind changing domains. Přichází s ní odborníci z texaské A&M University. Na stránce je také několik dalších užitečných odkazů k problematice botnetů.

Incognito Toolkit, to je soubor nástrojů pro šíření malware – The Rise Of Incognito. Na stránce se lze seznámit s výsledky rozboru tohoto souboru nástrojů, provedla ho FireEye Malware Intelligence Lab.

Behind the curtain of a botnet business aneb co je za oponou byznysu s botnety? Joan Goodchild komentuje výsledky nedávného výzkumu (The Underground Economy of Spam: A Botmaster’s Per­spective of Coordinating Large-Scale Spam Campaigns). Na stránce jsou uvedeny i některé další odkazy k problematice botnetů.

Mohou se objevit lacinější následníci červu Stuxnet, to vyplývá z vyjádření Eugena Kasperského, šéfa známé bezpečnostní firmy – Cut-price Stuxnet successors possible: Kaspersky. Jiné zajímavé konstatování – k tomu, aby někdo vyvinul takovéhoto červa, musí mít k dispozici miliónový rozpočet.

Trojan blokující počítač tvrdí, že je od německé policie – Trojan claims to be on police business. Uživatelům s takto infikovaným počítačům se doporučuje – použít recovery CD.

Viry

Dělají vám antivirové programy problémy? Zkuste tyto tipy – Antivirus software driving you mad? 5 fight-back tips. Zpomalení PC, neplánované skeny atd., Bill Snyder ukazuje cesty, jak získat znovu kontrolu nad někdy nežádoucími aktivitami antivirů.

Recyklace virů se útočníkům vyplácí, neinovují, Pavel Čepský na Lupě: Čas od času se objeví nová hrozba, který rozvíří vody počítačové a síťové bezpečnosti. Proč ale vlastně tak zřídka, z jakého důvodu se potýkáme stále dokola se stejnými parazity?

Hackeři

Napadeny byly servery MySQL – MySQL.com Database Compromised By Blind SQL Injection. Hacker použil útok typu „blind SQL injection“. Ukradena byla databáze obsahující jména a hesla uživatelů. Viz také – MySQL.com hacked via… SQL injection vuln.

Ruská počítačová mafie, objevil se již i 3 díl tohoto seriálu – The Russian Cybermafia: RBN & the RBS WorldPay attack. Autoři se tentokrát věnují nechvalně známému RBN (Russian Business Network) a útokům RBS WorldPay.

Počítačové podzemí prodává exploity jako službu, a to spolu s dalšími souvisejícími službami (hosting, rozhraní pro správu) – Cybercriminals selling exploit-as-a-service kit.

Komodity podzemního trhu (bezpečnosti IT) popisuje druhý díl zajímavého seriálu, jehož autorkou je Noa Bar-Yosef The Commodities of Underground Markets. První díl je na této stránce:

Viz také další autorčin článek, který sérii předcházel (dvanáctý díl zajímavého seriálu o počítačové kriminalitě):

Záhadný hack počítačů australské vlády rozebírá článek – Mystery hack pwns Australian government. Podrobnosti nejsou příliš známy, viz ASIO plugs national security gap. Spekulace vedou k hackerům z Číny.

Hackeři zaútočili také na počítače evropského parlamentu – Hackers Hit European, Australian Parliament Computer Networks. Útok následuje po útoku z minulého týdne na počítače Evropské komise (a předtím na francouzské ministerstvo financí) a stojí za ním zřejmě titíž útočníci. Další aktuální komentář – EU parliament suspends webmail after cyber-attack.

Z ukradené zdravotní databáze unikly údaje o statutu HIV u pornohvězd – Porn Star HIV Test Database Leaked, The Wikileaks Knockoff That Has the Porn Industry Terrified (pozor na poněkud nezvyklý způsob práce s odkazy na tomto webu). Údajně se jedná o tisícovků pornoherců. Databáze patří Adult Industry Medical Healthcare Foundation (AIM).

Na světě je epidemie otrávených odkazů prostřednictvím útoků typu injection (YouTube url a dalších 380 000 webů) – LizaMoon mass-injection attack reaches epidemic proportions. Jedná se o útok SQL injection velkého rozsahu, který dostal název LizaMoon. Další podrobnosti jsou zde – LizaMoon mass injection hits over 226,000 URLs (was 28,000). Zde – Around 500,000 unique URLs infected by LizaMoon – je uvedeno, že počet infikovaných url přesáhl půl miliónu. Viz také – ‚LizaMoon‘ Mass SQL Injection Attack Escalates Out of Control (masový útok SQL injection – LizaMoon – se vymyká kontrole).
Některé podrobnosti k analýze tohoto útoku najdete na blogu Dancho Dancheva – Dissecting the Massive SQL Injection Attack Serving Scareware.

K hacknutí společností RSA a Comodo

Osamělý íránský hacker bere na sebe odpovědnost za útok na certifikáty společnosti Comodo – Solo Iranian hacker takes credit for Comodo certificate attack. V informaci se pojmenoval jako „ComodoHacker“, má mu být 21 roků. Vysvětluje, že se mu podařilo získat kompletní přístup k InstantSSL (italské větvi), jejímž prostřednictvím Comodo prodává certifikáty. S ukradeným jménem a heslem bylo možné certifikáty vygenerovat během 10 až 15 minut.
Robert Graham (CEO of Errata Security) věří, že hacker mluví pravdu. Viz také:

In Iran, new attack escalates ongoing cyberconflict aneb Írán a kybernetické útoky. Je otázkou zda za útokem na certifikáty vydávané společností Comodo byl skutečně jen jednotlivý hacker či zda tomu ve skutečnosti bylo jinak. Robert McMillan ve svém článku se podrobněji dívá na aktivity Íránu v posledních letech, na ty, které směrovaly k obdobným cílům.

Comodo hacker oznámil, že hacknul další certifikační autoritu – Comodo hacker claims another certificate authority. Kromě tohoto oznámení jsou v článku vysvětleny podrobnosti k útoku na digitální certifikáty společnosti Comodo.

Doména použitá v útoku proti RSA je z USA – Domains Used in RSA Attack Taunted U.S., ale jinak další data ukazují na Čínu. Brian Krebs popisuje informace z neutajovaného dokumentu U.S. Computer Emergency Readiness Team (US-CERT).

Konkurence využívá kompromitaci společnosti RSA – CA Capitalizes on RSA SecurID Breach with a Token Trade-in Program. CA Technologies nabízí své tokeny (CA ArcotID), mohou být využity místo tokenů SecureID.

Také Schneier se na svém blogu věnuje podvrženým certifikátům Comodo – Comodo Group Issues Bogus SSL Certificates. Jako vždy informaci doprovází zajímavá diskuze.
Viz také novější komentář – Comodo compromise expands, hacker talks (obsahuje vyjádření hackera).

Hardware

Nejprve přišla zpráva říkající, že byly objeveny keyloggery na nových noteboocích společnosti Samsung – Is Samsung imitating Sony?. S informací přišel Networkworld – Samsung installs keylogger on its laptop computers a Samsung responds to installation of keylogger on its laptop computers.
Viz také – Samsung investigating report of keylogger on its laptops.

Avšak následně byl Samsung očištěn z obvinění ze spyware na noteboocích – Samsung cleared of shipping laptops with secret spyware. I firma, která vznesla obvinění, je stahuje – Samsung Laptops do not have a keylogger (and it was our fault). Mělo se jednat o chybnou detekci adresáře.

Pokud nešifrujete data v přenosných zařízeních, je to neomluvitelné – Failure to encrypt portable devices inexcusable, say analysts. Analytici to znovu říkají po nedávném úniku dat z BP (ztráta notebooku, který obsahoval osobní data 13 000 jednotliv­ců). Zaměstnanec ztratil notebook během obvyklé služební cesty. Viz také komentář – BP Oil Spill Claimants´ Personal Data Disappears with Lost Laptop.

Mobilní telefony

The smartphone: A real bug in your bed aneb chytré mobily v organizacích a bezpečnost. Nigel Stanley říká, že nyní se již nezpochybňuje jejich používání v prostředí firmy, podniku. A proto je nezbytné řešit příslušné bezpečnostní otázky.

Objevila se nová hrozba pro Android. Falešná kopie legitimní aplikace Walk and Text oznámí přátelům, že ukradli SW. Data ukradená z mobilu zasílá na vzdálený anonymní server – Rogue Android app texts humiliating messages.

Spam

Množství spamu opět narůstá, botnet Bagle nahrazuje Rustock – Spam Volumes Dip Slightly as Bagle Botnet Fills Rustock Shoes. Také další botnety bohužel nelení. O situaci informuje Fahmida Y. Rashid, vychází z březnové zprávy Symantecu – MessageLabs Intelligence Report. Viz také komentář – Global spam drops by a third as Rustock botnet is dismantled.

Elektronické bankovnictví

V USA byla oznámena další krádež dat z platebních karet – Maine, Play.com, GSN Customers Hit by Third-Party Data Breach. Týká se to lidí, kteří navštívili stránky Maine, Play.com a Game Show Network. Další informaci obdobného typu najdete na stránce Bank Of America Accounts Hacked. Debit Card Information Stolen.

Prodavačka si pamatovala čísla na kartách, z kont vysála půl milionu, liberecká prodavačka dokázala z kont zákazníků vybrat přes 480 tisíc korun. Stačilo jí několik sekund na to, aby si zapamatovala číselnou kombinaci na jejich platební kartě. Soud jí vyměřil dvouletý trest s čtyřletým odkladem. Podle odborníků je taková krádež mnohem jednodušší, než si lidé myslí (zdá se, že soudy u nás jsou poměrně tolerantní …).

Další informace z minulého týdne říká, že byla ukradena data platebních karet více než 800 členů IEEE – IEEE Reports Breach of 800 Engineers` Credit Card Data. Institute of Electrical and Electronics Engineers (IEEE) oznámil, že se to stalo ve vztahu k registraci na jejich konferenci. IEEE se svými 400 000 členy patří k největším profesním organizacím světa.

Útoky na banky, jsou prováděny podle starého schématu, ale fungují – Teller's Report Ends Tri-State Card Fraud Spree. Tyto incidenty jsou nyní označovány jako tzv. „teller-cash-advance fraud“.

Autentizace, hesla

Cesty pro propojené autentizace (federated authentication) jsou tématem nového článku Rosse Andersona – Can We Fix the Security Economics of Federated Authentication?. Popisuje v něm existující postupy (single-sign-on, SSL, 3D Secure a Open ID) a následně se pokouší najít řešení vhodné pro budoucnost (mobilní peněženky). Materiál je také diskutován na Schneierově blogu – Federated Authentication.

Phishing

Phisherský podvod se maskuje jako aktualizace Adobe – Phishing scam masquerades as Adobe upgrade. Podle zjištění bezpečnostní firm Cloudmark reklamní spam obsahuje poznámku o aktualizaci na nový Adobe Reader, ve skutečnosti však daný odkaz směřoval na podvodnou stránku.

Kryptografie

How to Make Anything Signify Anything aneb biliterální šifry a pohled do jedné ze stránek historie kryptografie.

FBI hledá pomoc při luštění zprávy související s 12 let starou vraždou – FBI asks for help to crack mystery code in 12-year-old murder case. Zájemci mohou vyzkoušet své síly – Help Solve an Open Murder Case.

root_podpora

Použil šifrování staré více než 2 000 let a – byl dopaden – BA jihadist relied on Jesus-era encryption. IT pracovník British Airways byl odsouzen na 30 roků za terorizmus. Islámský aktivista opovrhnul moderními systémy šifrování jako jsou PGP nebo TrueCrypt a místo toho použil šifru, konkrétní podobu které snad sám vymyslel. Tuto šifru popsal Caesar v roce 55 před naším letopočtem.

Různé

Přehled vychází z průběžně publikovaných novinek na Crypto – News.

Byl pro vás článek přínosný?