Hlavní navigace

Bezpečnostní střípky: ČR - čtyři dny útoků DDoS

11. 3. 2013
Doba čtení: 16 minut

Sdílet

Pravidelné informace z bezpečnosti IT, které se objevily v právě uplynulém týdnu. Dnes vám nabídneme přehled v současnosti žádaných bezpečnostních dovedností. Objevil se také nový kit exploitů postavený výlučně na exploitech Javy, zajímavý a nebezpečný je útok na zmrazené mobily s Androidem.

Přehledy, konference

Tatsache: Eine auf Massenproduktion ausgerichtete professionelle Malware-Industrie, to je komentář ke zprávě F-Secure Labs: Threat Report. Zpráva je věnována hrozbám druhého pololetí roku 2012. Většina exploitů roku se opírala o využití čtyř zranitelností, dvou ve Windows a dvou v Javě.

Byla oznámena klíčová vystoupení (keynotes) akce Hack in the Box 2013 Amsterdam – Keynotes announced for Hack In The Box 2013 Amsterdam. Akce HITB Security Conference (její čtvrtý ročník) bude zahájena 10. dubna tohoto roku.

S prvními dojmy z RSA konference 2013 se dělí Jon Oltsik, rozdělil je do pěti bodů (Attendance was way up, Advanced Malware Detection and Prevention (AMD/P) was pervasive, Incident detection got a lot of air play, Security integration, Cybersecurity reality) – First Impressions Of The RSA Conference 2013.

Byla vydána zpráva společnosti Websense: 2013 Threat Report. Nezbytná je krátká registrace. Komentář ke zprávě najdete na stránce Websense warnt vor Malware-verseuchten Websites – Websense varuje před weby, které jsou infikovány malwarem. Zpráva informuje o aktuálních hrozbách.

Obecná a firemní bezpečnost IT

Security is changing, organizations are unprepared – situace se stavem bezpečností se mění, organizace nejsou připraveny. Na stránce jsou komentovány výsledky přehledu společnosti F5 Networks – 2013 RSA Security Trends Survey. Respondenty přehledu byli účastníci konference RSA 2013, odpovídali např. na otázku: které bezpečnostní trendy mají největší dopad na požadovanou úroveň bezpečnosti.

Desítku nejlepších bezpečnostních postupů pro podnikání připravil Ken Hess (10 security best practice guidelines for businesses):

  1. Encrypt your data
  2. Use digital certificates
  3. Implement DLP and auditing
  4. Implement a removable media policy
  5. Secure websites against MITM and malware infections
  6. Use a spam filter on email servers
  7. Use a comprehensive endpoint security solution
  8. Network-based security hardware and software
  9. Maintain security patches
  10. Educate your users

Ken Hess také připravil desítku nejlepších bezpečnostních postupů pro spotřebitele (10 security best practice guidelines for consumers):

  1. Always use antivirus software on your personal devices
  2. Always use a device firewall
  3. Keep your operating systems and software up to date
  4. Never download pirated or cracked software
  5. Don´t click on popup windows that tell you that your computer is infected with a virus
  6. Be careful with email attachments
  7. Don´t use public wi-fi hotspots without using a VPN (secure) connection
  8. Use passwords on everything and be sure that they´re strong passwords
  9. Beware of what kind of information you share on social media sites
  10. Review your online accounts and credit report

Vybrané bezpečnostní články Symantecu najdete na jedné stránce – Whitepaper Resource. Jestli jsem to dobře počítal, najdete zde přístup k celkem jedenácti článkům.

Požadavkům FBI na Google je věnován článek FBI data requests to Google outlined in report. Od roku 2009 to bylo každoročně o něco více než 1000 žádostí FBI.

Existují konfliktní názory na odpovědnost ve vztahu k bezpečnosti cloudu – Conflicting views on cloud security responsibility. V článku jsou komentovány výsledky studie, kterou připravily společnosti CA a the Ponemon Institute.
Viz také komentář – Ponemon Prognosis Shows State of Cloud Security Improvements.

Esej Bruce Schneiera k dohlížecím technologiím najdete na jeho blogu – Technologies of Surveillance. Nepřehlédněte diskuzi.

Dozor bez použití metrik je jen dogmatem – Governance Without Metrics Is Just Dogma. Problém byl diskutován na panelu odborníků na konferenci RSA minulý týden. Ericka Chickowski shrnuje zde přednesené názory.

Technologie Google Glass skončí se soukromím, takovým, jakým ho známe – Oz Senator says Google Glass could ‚end privacy as we know it‘. Říká australský senátor Cory Bernardi. Google může technologii využít k masovému dohlížení.

Americké armádní sítě nejsou připraveny na kybernetické hrozby – U.S. military networks not prepared for cyberthreats, report warns. Článek je komentářem k zprávě Defense Science Board, viz Pentagon cyberdefenses weak, report warns.
Samotná zpráva je na stránce Resilient Military Systems and the Advanced Cyber Threat.
Viz také další komentář – U.S. Cybersecurity Status Weak, Reports Charge.

Téměř každý kriminální čin v New Yorku je nějak provázán s IT – Nearly Every NYC Crime Involves Cyber, Says Manhattan DA. Počet trestních stíhání v Manhattanu, těch která se týkají kybernetické kriminality a krádeží ID, vzrostl za posledních pět let o padesát procent. Hovořilo se o tom na symposiu Cybercrime in the World Today 2013.
Viz také článek Will you stop with all your ´cybering´ already?, který se otázkou zabývá z širšího pohledu.

2013 – jaké jsou nejvíce žádané bezpečnostní dovednosti? V zajímavém a poučném článku vysvětluje svůj pohled Lauren Gibbons Paul – Hot security skills of 2013.

Američtí doktoři nevěří, že pacienti potřebují plný přístup ke svým zdravotním záznamům – U.S. doctors don't believe patients need full access to health records. V článku jsou tlumočeny výsledky přehledu Accenture (NYSE:ACN).

Poptávka po IT bezpečnostních odbornících převyšuje nabídku (USA) – Demand for IT security experts outstrips supply. Hovoří o tom zpráva společnosti Burning Glass Technologies.
Viz také komentář – Reports Show Extreme Demand for Skilled Security Professionals.

How the FBI Intercepts Cell Phone Data – jak FBI odposlouchává data z mobilů? Bruce Schneier na svém blogu komentuje článek FBI Files Unlock History Behind Clandestine Cellphone Tracking Tool.

Five Ways To Better Hunt The Zebras In Your Network – jak bojovat se zebrami ve vaši síti? Zebrami jsou chápáni zaměstnanci a jejich počítače, kteří dělají ve vaší síti cosi podivného. Robert Lemos uvádí pět cest k tomu, jak se s těmito zebrami vypořádat:

  1. Know the network
  2. Collect all the data
  3. Find the foolish zebras
  4. Combine with threat intelligence
  5. Check back on your foolish zebras

Legislativa, politika

CISPA: americká sněmovna reprezentantů a Obamova administrativa se blíží k dohodě – House, Obama Administration nearing an agreement on CISPA. Draft k diskuzi se pravděpodobně objeví v dubnu.

Meldepflicht für Hackattacken: Ministerien wollen IT-Sicherheitsgesetz auf den Weg bringen – Německo a povinnost ohlašovat kybernetické útoky, článek se obrací k návrhu zákona k IT bezpečnosti, který byl nyní předložen k diskuzi. Viz také komentáře:

EU chce drasticky omezit kybernetickou kriminalitu – Drastische Eindämmung der Cyberkriminalität: EU-Kommission legt Cybersicherheitsplan für ein offenes, freies und chancenreiches Internet vor. Byly zveřejněny některé nové plány ohledně chystané kyberbezpečnostní strategie. Článek obsahuje také řadu čísel, která charakterizují dnešní situaci.

Sociální sítě

Varování od ”Marka Zuckerberga“ vede k únosu účtu – Warning from „Mark Zurckerberg“ leads to account hijacking. Odkaz v e-mailu vede na podvrženou stránku Facebooku.

Software

TLS security: Background on the ‚Lucky Thirteen‘ attack – k nedávno objevené zranitelnosti TLS. Autor článku vysvětluje podstatu útoku ´Lucky Thirteen´.

Společnost Oracle vydala pohotovostní záplatu Javy – Oracle trowels more plaster over flawed Java browser plugin. Záplatované zranitelnosti jsou aktivně využívány. Viz také komentáře:

Objevil se nový kit exploitů, je postavený výlučně na exploitech Javy – Cybercriminals release new Java exploits centered exploit kit. Na stránce k tomu Dancho Danchev uvádí některé podrobnosti.

Bezpečný vývoj – je to nutnost nebo jen žrout peněz? Na konferenci RSA 2013 k tomu diskutovali dva odborníci: Brad Arkin (Adobe) a John Viega (SilverSky) – Secure Development: Must-Do Or Money Pit?.

99 procent webových aplikací je zranitelných vůči útokům – 99 percent of web apps vulnerable to attack.

The SCADA security challenge – k bezpečnosti systémů SCADA. SCADA (Supervisory Control And Data Acquisition) systémy patří mezi méně obecně známé technologie, ale naopak svým významem patří k těm nejdůležitějším. V článku je tato problematika podrobně rozebírána včetně některých doporučení v závěru.

O průběhu letošní výzvy Pwn2Own informuje článek Pwn2Own: IE, Firefox, Chrome and Java go down. IE, Firefox, Chrome a Java již ”podlehly“.
Viz také komentáře:

Yahoo Mail accounts still hijacked daily – e-mailové účty Yahoo – útoky vedou k jejich každodenním únosům.

Malware

Malware a související služby – ceny klesají (díky konkurenci) – Prices fall, services rise in malware-as-a-service market. V článku jsou tlumočena zjištění společnosti Webroot.

Nový Java malware podepsaný ukradeným certifikátem přichází týž den jako poslední záplata – Java malware spotted using stolen certificate.

Špionážní malware

Jak Microsoft zformoval obranu proti špionážnímu malwaru Flame – Flame Windows Update Attack Could Have Been Repeated in 3 Days, Says Microsoft. Problém souvisel jak s neautorizovaným certifikátem Microsoftu, tak i s ukradenou částí Windows Update.

Společnost BitDefender vystopovala MiniDuke až k červnu 2011 – BitDefender traces MiniDuke espionage malware back to June 2011. Tj. vlastní identifikování této kampaně trvalo více než jeden a půl roku. Byly zjištěny její tři verze – červen 2011, květen 2012 a únor 2013.

MiniDuke, kybernetický 007, fungoval v Evropě nejméně 21 měsíců, je shodně konstatováno i v článku Cyber-007 MiniDuke stalked Europe for at least 21 MONTHS. Rumunská zpravodajská služba RSI popisuje miniDuke jako dokonce více nebezpečnou státem sponzorovanou zbraň, než byl Red October – Romanian Intelligence Service: MiniDuke cyber attack could be state sponsored, greater impact than Red October.
Viz také komentář – MiniDuke espionage ring began earlier than first reports suggest.

Společnost Kaspersky zveřejnila nové podrobnosti k špionážnímu malwaru Red October – Kaspersky enthüllt Details der Spionagesoftware Red October. S těmito informacemi vystoupil na Cebitu Costin G. Raiu.

Viry

Čínský gigantický vyhledávač Baidu spustil bezplatný antivir – Chinese search giant Baidu launches free AV. A to v angličtině (Baidu Antivirus 2013).

Hackeři a jiní útočníci

Společnost Evernote byla zasažena hackery – Evernote hit in hacking attack, users must reset their passwords. Útočníci získali přístup ke jménům, e-mailovým adresám a heslům (jejich osoleným hashím). Viz také:

Sedm poučení z tohoto útoku sepsal Mathew J. Schwartz (Evernote Breach: 7 Security Lessons):

  1. Detail What Attackers Took
  2. Exercise An Abundance Of Caution
  3. Lock Down Weak Points
  4. Don´t Include Website Links In Password Reset Emails
  5. Users: Prepare To Be Spammed
  6. Hack Attack Volume Not Diminishing
  7. Two-Factor Authentication Needed, Please

Nejvíce spektakulární hacky roku 2012 – 2012 – ein Jahr des Grauens – Jürgen Hill tento svůj zajímavý přehled rozčlenil do jednotlivých měsíců.

Odborníci zjistili souvislost mezi hacknutím společnosti Bit9 a nedávnou zranitelností nulového dne Javy – Researchers link latest Java zero-day exploit to Bit9 hack. Jedná se o útok, který byl identifikován v předcházejícím týdnu.

Indie: útoky na infrastrukturu přišly z Číny – India: Attacks on infrastructure came from China. V článku jsou citována opatření, která v tomto směru (obrana před útoky) indická vláda podniká (možná by se něco z toho hodilo i v dnešním Česku).

Vyšetřování průniků – tipy a nástroje – Tips and Tools for Breach Investigations. V přiloženém videu jsou diskutovány zejména tyto problematiky:

  • Areas most frequently overlooked
  • Lessons learned from recent investigations
  • Technology tools to aid investigators

Polsko zaznamenalo kybernetický útok na kancelář premiéra – Włamanie do sieci Kancelarii Premiera? Atakujący miał uzyskać dostęp do poczty pracowników KPRM. Útočník se měl dostat k obsahu e-mailových účtů nejdůležitějších osob ve státě.

Botnety

Potřebujete armádu zabijáckých zombií? Je vaše, za pouhých 25 dolarů máte 1000 PC – Need an army of killer zombies? Yours for just $25 per 1,000 PCs. Ceny se mění podle toho, kde se tato infikovaná PC nachází. Další podrobnosti najdete ne blogu Dancho Dancheva How much does it cost to buy 10,000 U.S.-based malware-infected hosts?.

Nový botnet byl nalezen v Jižní Americe – New botnet found in Latin America. Je označován jako AlbaBotnet a zřejmě je teprve ve vývoji a nebyl použit k útokům.

Útoky DoS a DDoS

Seznamte se – DoS a DDoS útoky, Pěkný článek české provenience, jeho autorem je Martin Čmelík. Také se v souvislosti s útoky DOS vyhýbá použití pojmu hacker, který se dnes objevuje (neoprávněně) v mediálních titulcích. Při popisu motivace útočníků jsem poukázal na ještě jeden bod – snahu zakrýt útok hackera (ten proběhne skrytý v mračnu útoků DoS). To se objevilo v několika útocích v jiných zemích. Bohužel tuto možnost některé české články v médiích rovnou vylučují, nemyslím, že je to správné.

Why DDoS Should Worry Us. acks Gaining Power, Likely Causing More Damage – proč bychom se měli obávat útoků DDoS? Tracy Kitten vysvětluje situaci okolo probíhajících útoků DDoS na americké banky a finanční instituce. Tyto útoky ve své třetí fázi nabírají sílu, délku a sofistikaci. Útoky DDoS zcela nepochybně budou v roce 2013 a nebude se to týkat jen finančních organizací. Útočníci využívají aplikace, které hostují v cloudu a tím stupňují své útoky. Diskutuje se o tom, co útočníci skutečně chtějí. Útočníci testují slabiny systémů, hledají přístup k citlivým systémům, jdou po datech – konstatuje autorka. Banky přitom mají ve světě nejlépe chráněné systémy, co ale teprve mohou očekávat ostatní organizace?
Viz také komentář – Size, Funding of Bank DDoS Attacks Grow in Third Phase.

ČR a útoky DDoS

Situaci, kterou dosud český internet nezažil, zaznamenávala a komentovala média.
Den první, pondělí:

Den druhý, úterý:

Den třetí, středa:

Den čtvrtý, čtvrtek:

Celkovou situaci pochopitelně hodnotila také řada článků:

Anonymous

Anonymous usmiřují boj mezi hacktivisty – Anonymous becomes peacemaker as hacktivists battle. Stali se prostředníkem mezi malajskými a filipínskými hackery. Ti si vzájemně napadali weby.

Anonymous hackli největšího producenta platiny – World's largest platinum producer ‚Anglo American‘ hacked by Anonymous. Kompletní databáze společnosti ´Anglo American´ se objevila online. Obsahuje mj. osobní data 122 investorů. Útok má být součástí Operation Green Rights.

Anonymous hackli Constantin Film – Vergeltung für drei.bz: Anonymous hackt Constantin Film. Má to být reakce na uzavření warezového webu drei.bz.

Hardware

High-Tech bezpečnostní produkty v domácnostech. V čem skutečně pomohou? Nad těmito problémy se zamýšlí Michael Kassner – High-tech home security products: Who are they really helping?. Iritující jsou situace z reality: bezpečnostní dveře ovládané nedostatečně zabezpečeným bezdrátem, chytré televize s připojením na internet atd.

Mobilní zařízení

Studie ukázala na bezstarostnost při zacházení s mobilními zařízeními – Studie zeigt Sorglosigkeit im Umgang mit mobilen Geräten. V článku jsou komentovány výsledky ročního průzkumu Microsoft Computing Safety Index (MCSI).

Německá vláda nakupuje BlackBerry 10 (s rozšířenou bezpečností) – 10 with Enhanced Security Wins Hefty Order from Germany. Má to být jediná platforma, která splňuje požadavky NATO a může zároveň fungovat jako chytrý telefon s připojením k internetu.

Nový útok umožňuje získat kryptografické klíče ze zmrazených mobilů s Androidem – Researchers grab cryptographic keys from Frozen Android Phones.
Viz také komentář – Freezedroid: Researchers discover cold can unlock secured Android phones.

Mobilní malware

Google Play a malware cílící na uživatele Androidu – Mobile Malcoders Pay to (Google) Play. Se svými zkušenostmi se dělí Brian Krebs.

Malware může infikovat váš mobil vzdušnou (OVER-THE-AIR) aktualizací – Malware-flingers can pwn your mobile with OVER-THE-AIR updates. Způsobují to zranitelnosti procesorů základního (bázového) signálu. Konstatují to zjištění tříletého projektu GSMK CryptoPhone.

Report: Android is home to 96% of new mobile malware – zpráva F-Secure konstatuje, že 96 procent nového mobilního malwaru cílí na Android. Zprávu společnosti najdete na tomto odkazu Mobile Threat Report.
Viz také komentáře:

Situaci s malwarem pro Android hodnotí článek Android malware problem should not be ignored, researchers say.

Spam

Šiřitelé spamu, v nové zprávě společnosti Sophos jsou na vrcholu žebříčku znovu Spojené Státy – USA is number one! (…for spam). Spam nemusí nutně mít původ v USA, ale je šířen americkými počítači.

Elektronické bankovnictví

Současnými útoky na americké banky se zabývá článek http://www.informationweek­.com/security/attacks/bank-attackers-restart-operation-ababil/240150175. Skupina Izz ad-Din al-Qassam Cyber Fighters oznámila v úterý na Pastebin fázi tři tzv. operace Ababil. Problémy začínají oznamovat zákazníci Bank of America, Capital One, Citibank, PNC Bank, Union Bank a Wells Fargo.
Viz také komentáře:

Autentizace, hesla, ID

How passwords can wreck your two-factor authentication – jak hesla mohou zničit vaši dvoufaktorovou autentizaci. Patrick Lambert vysvětluje zkušenosti svých přátel.

Phishing

Cílený útok na japonské a čínské novináře využívá zprávu Mandiant k APT1 jako návnadu – ‚Time Bomb‘ Attack Out Of China Defused. Má za tím být jiná čínská hackerská skupina, informuje Seculert – The Chinese Time Bomb.
Viz také komentář – APT1-Themed Spear Phishing Campaign Linked to China.

New class of industrial-scale super-phishing emails threatens biz – k současným podobám phishingu. V článku jsou komentovány výsledky zprávy společnosti Proofpoint – Longline Phishing: A New Class of Advanced Phishing Attacks (nezbytná je registrace). Autoři definují tzv. phishingové útoky s více návnadami (longline phishing attacks) a pak se jimi podrobněji zabývají. Osmistránkový dokument má následující obsah:

  • Longlining Defined
  • Preparation of Longline Attacks (The Platform: Botnet/Snowshoe Networks, The Bait: Email Components, Hooks and Lines: Compromised Sites and Malware)
  • Execution of Longline Phishing Attacks (Initial Probe and Testing, Volume Delivery, Long Tail)
  • Results and Effectiveness of Longline Phishing Attacks
  • Defending Against Longline Phishing Attacks

Viz také komentář – Longline phishing attacks rely on mass customization.

Malware přicházející od čínských hackerů směřuje na japonskou vládu – Malware linked to Chinese hackers aims at Japanese government. Infikovaná pdf jsou součástí kampaně cíleného phishingu.

Jak otupit cílené phishingové útoky – How to blunt spear phishing attacks. V článku je uvedena pětice doporučení, jejím autorem je Jim Hansen (PhishMe):

  1. Read the return url backwards, from right to left
  2. Don´t fall for what´s being called the ”double-barreled phish,“ in which you respond to the email with a question
  3. Never open a PDF from someone you don´t know
  4. Never give out your password or other personal/sensitive information in response to an unsolicited query
  5. IT security pros should consider training classes targeted specifically at spear phishing

How Phishing Attacks Are Evolving – jaký je vývoj phishingových útoků? Tracy Kitten tlumočí pohledy Paula Fergusona, člena skupiny APWG (Anti-Phishing Working Group.).

Šiřitelé malwaru těží ze smrti Chaveze – Malware peddlers exploit death of Hugo Chavez. Rozesílaný e-mail obsahuje odkazy na stránky s malwarem.

Elektronický podpis

Java malware byl podepsán certifikátem bezpečnostní firmy – Java zero-day malware ‚was signed with certificates stolen from security vendor‘. Jsem na rozpacích z článku použité terminologie: ukradený certifikát by nevadil (slouží k ověřování podpisu), vadí krádež jemu příslušejícího podpisového klíče. Ten byl ukraden společnosti Bit9.
Viz také příbuznou informaci – Java pfuscht bei Zertifikatschecks.

Biometrie

Italská bankovní skupina vyvinula biometrický systém založený na rozpoznávání cév v dlani. Pro zraněné ruce nefunguje – Bank whips out palm-recognition kit – and a severed hand won't work. Východiskem byla technologie společnosti Fujitsu PalmSecure.

Kryptografie

A Few Thoughts on Cryptographic Engineering – zajímavý blog (Matthew Green) ke kryptografii. Upozornil mě na něj David Šanda – díky. Najdete zde diskutované problémy různého charakteru.

root_podpora

Two is the Fastest Prime – k rychlejším implementacím eliptické kryptografie. Autoři popisují využití nového systému pro reprezentování bodů na eliptické křivce, tzv. ?-souřadnice.

Různé

Přehled vychází z průběžně publikovaných novinek na Crypto – News.

Byl pro vás článek přínosný?