Bezpečnostní střípky: exploity Javy jsou využívány v rekordním objemu

Jaroslav Pinkava 5. 12. 2011

Pravidelný pondělní přehled informací vztahujících se k problematice bezpečnosti IT. Z novinek tohoto týdne upozorníme na řadu přehledů vztahujících se k událostem roku 2011, Anonymous se rozhodli, že budou fungovat jako Robin Hood a média koncem týdně hojně rozebírají situaci okolo „rootkitu“ společnosti Carrier IQ.

Přehledy

Byl vydán nový přehled Symantecu – 2011 Enterprise Encryption Trends Survey report. Komentáře k výsledkům tohoto přehledu jsou na stránkách:

Je zde mj. upozorňováno na častý problém – špatná správa kryptografických klíčů.

Studie (Ponemon Institute) Study on Patient Privacy and Data Security říká, že množství průniků, které se dotklo zdravotnických dat, vzrostlo za poslední rok o 30 procent. Průzkum se týkal zdravotnických zařízení v USA. Stránka, odkud lze studii stáhnout, je zde – Study on Patient Privacy and Data Security.
Další komentář je na stránce Data breaches up 32 percent.

Přehled, který zpracovala společnost PwC konstazuje, že počítačová kriminalita je nyní třetím největším kriminálním problémem – Cybercrime Now Third Biggest Business Crime Issue Says PwC Survey. Britští CIO se nejvíce obávají ztráty reputace. Viz také komentář – Cyber Attacks Occurring More Frequently, Costing Companies More.

Obecná a firemní bezpečnost IT

Britská GCHQ nabírá odborníky z univerzit – Spies Recruit Uni Dons To Combat Cyber Attacks, to je komentář k nyní vydané nové kybernetické strategii britské vlády (obsahuje i video). Také John Leyden v rozsáhlém komentáři diskutuje k jednotlivým pasážím dokumentu – Spooks take the wheel in UK's L650m cyber-war operations. Zabývá se mj. rolí GCHQ. Viz také – U.K. Cyber-Security Strategy Beefs Up Defenses, Information Sharing.

Česko straší útoky hackerů, chystá proti nim zvláštní úřad, z úvodu: Státní úřad na ochranu před kybernetickými útoky začal vznikat v Brně. Podle prvních informací by měl mít na starost pouze kontrolu a ochranu počítačových sítí ministerstev a dalších státních úřadů. Ze hry tak zatím budou například polostátní firmy.

Australia's e­Health record a security ‚disaster‘ – byla vyslovena kritika australského projektu elektronických zdravotních záznamů. Graham Ingram (AusCERT) v tomto duchu vystoupil na konferenci Security on the Move conference v Sydney. Pokud tato data mají být dostupná přes internet kdykoliv a z jakéhokoliv zařízení, vidí Ingram, že je nemožné toto zabezpečit ve vztahu k datovým průnikům.

Evropská směrnice pro ochranu dat, co říká k tomu, jak na zpracování osobních dat v organizacích? Článek EU can't discriminate between public and private personal data diskutuje nad upřesněními formulací z chystané směrnice tak, jak by ji měly chápat legislativy jednotlivých zemí (stanovisko evropského soudního dvoru).
Viz také článek – EU calls for ´one-stop-shop´ for data protection rules.
Další komentář – EU seeks to simplify cross-border data protection compliance.

Slide Show: 10 Tips And Best Practices For Becoming A Data Security Detective aneb 10 doporučení a nejlepších postupů k tomu, jak se stát IT bezpečnostním detektivem. Slideshow přináší doporučení z akce, kterou v říjnu tohoto roku pořádaly InformationWeek a Dark Reading.

Bruce Schneier: nastávající desetiletí bude obdobím obav z dopadů kybernetické války (často neopodstatněných) – Schneier: Teens and treaties – our cyber-war saviors. Schneier v tomto duchu vystoupil na akci The Register and Intel Live 2011 v Londýně.

WikiLeaks odložilo nový systém příspěvků (z bezpečnostních důvodů) – WikiLeaks: Security worries impede new submission system. Problém má spočívat v nedávných kompromitacích protokolu SSL a tudíž nezabezpečené infrastruktuře PKI (ukradené SSL certifikáty).

WikiLeaks zveřejnilo tzv. Spy Files – Wikileaks Release Spy Files. Jsou na stránce Spy Files. Souběžně s grafickým přehledem bylo zveřejněno 287 dokumentů, například i z firmy Phoenexia z České republiky.
Viz komentář – WikiLeaks: The Spy Files (Anonymous).

Nejpravděpodobnější interní zloděj dat – muž, 37 let, obvykle pracující na technické pozici – Study predicts 37-ish male geeks are most likely insider data thieves. Symantec k takovémuto rozboru využil několik forenzních psychologů.

Analyzing Data To Pinpoint Rogue Insiders aneb jak analýzou dat zjistit interní zloděje. Robert Lemos v tomto článku upozorňuje na některé použitelné technologie (honeypot atd.).

Servery EU obsahují kritické chyby – EU ignoriert mindestens 40 höchst kritische Sicherheitslücken. Na 40 z nich upozornili pracovníci Sicherheit-Online.org již před čtyřmi týdny. Opraveny však stále ještě nebyly…

Jak si poradit s webovými hrozbami roku 2012? John Oates přichází k tomu se svými doporučeními na stránce How to beat 2012's web threats.

Ke komercializaci odstrašujícího SW se obrací článek Inside the shadow world of commercialised spook spyware. Autor v něm popisuje, jak se v posledních létech rozšířila nabídka nástrojů pro kontrolu nad internetovou komunikací, telekomunikacemi vůbec, a to zejména ve vztahu k prodeji těchto nástrojů nejvíce brutálním režimům.

2011 a největší bezpečnostní potíže, jejich rekapitulaci připravila Ellen Messmer – 2011's biggest security snafus.

Hackeři roku 2011, to je další přehled zpracovaný formou slideshow – From Anonymous to Hackerazzi: The year in security mischief-making.

Blížící se svátky

Dvanáctka vánočních podvodů, tuto slideshow připravil Antone Gonsalves – Bah! Humbug! The 12 Scams Of Christmas.

Jak bezpečně nakupovat online – How to shop safely online. Další z řady přicházejících sad doporučení je tentokrát doplněna i množstvím odkazů na podobné stránky. Viz také:

V USA bylo 150 webů zastaveno kvůli prodeji padělaného zboží – 150 websites seized for selling counterfeit goods. Bylo tedy zrušeno 150 domén (situovaných mimo USA, ale pod kontrolou amerických registrátorů).

Předsváteční nákupy a opatrnost s SSL certifikáty, k tomuto se čtyřmi svými doporučeními přichází Ericka Chickowski (Dark Reading) – Four SSL Certificate Management Tips For Holiday E-Commerce Success.

Sociální sítě

Nebezpečný červ se vloupá na účty Facebooku a vkládá tam bankovního trojana – Danger worm hijacks Facebook accounts to inject banking Trojan. Je to varianta trojana Zeus (ale přítomno je také jiné malware). Přišli na to pracovníci CSIS (Dánsko). V článku jsou odkazy na stránky s dalšími podrobnostmi. Viz také – Danish Security Firm Discovers Facebook Worm.

Software

Firewally příští generace, v čem spočívá jejich přínos? Michael Kassner – Next Generation Firewalls: It's all about tu – popisuje jejich klíčové vlastnosti a zmiňuje nedávný přehled Ponemon Institute, který byl této problematice věnován – survey of NGFWs.

Best practices for implementing 2048-bit SSL, tématem této studie jsou nejlepší postupy pro implementaci 2048-bitového SSL Jedenáctistránkový materiál společnosti Citrix obsahuje i zdůvodněné k přesunu z 1024-bitových technologií na 2048 bitů (délka klíče). Ukazuje na cesty potřebné pro upgrade ADC (application delivery controller) a infrastruktury SSL.

Java

Nový Java útok je součástí kitů s exploity – New Java Attack Rolled Into Exploit Kits. Je využívána zranitelnost, která je obsažena v Oracle Java SE JDK a JRE 7 a 6 Update 27 a dřívějších verzích. Záplatované verze Java 6 Update 29, či Java 7 Update 1 již tuto zranitelnost neobsahují. Brian Krebs ve svém článku pak rozebírá, jak tento exploit může být použit.

Exploity Javy jsou open source (Metasploit) – Public Java Exploit Amps Up Threat Level. Brian Krebs upozorňuje, situace by neměla být brána na lehkou váhu.

Hackeři v rekordních množstvích využívají exploity Javy (Oracle) – Hackers launch millions of Java exploits, says Microsoft. Tim Rains (ředitel Trustworthy Computing group společnosti Microsoft) to oznámil v pondělí na základě nedávné zprávy. Většina z těchto útoků využívá již dávno záplatované zranitelnosti.

The Dark Side Of Java aneb temná stránka Javy. Kelly Jackson Higgins se věnuje jednomu z nejčastějších cílů dnešních hackerů. Někteří dokážou bez Javy přežít.

Malware

Více než 100 vládních pákistánských webů se stalo předmětem útoku malware – More than 100 Pakistani Government Sites Under Malware attack. Jedná se o tzv. Godzilla Malware, které měl vytvořit a vypustit indický hacker.

Duqu virus does not affect Azerbainan´s in­dustrial facilities – Duqu se objevil v Ázerbájdžánu. Podle této informace se tomuto viru tam však nepodařilo napáchat jakékoliv škody. Duqu zde byl zjištěn v září.

Programátoři Duqu jsou mistry ve svém oboru, dopustili se však řady amatérských chyb ve vztahu k Linuxu – Duqu attackers: master coders, Linux rookies. To je komentář ke zprávě KasperskyLab (vydané 30.11.2011) – The Mystery of Duqu: Part Six (The Command and Control servers) . Stručné shrnutí těchto výsledků má na své stránce Bill Brenner – Kaspersky Lab releases findings on Duqu.
Další komentář je pak zde – Duqu hackers scrub evidence from command servers, shut down spying op.

Viry

Kyberkriminalita šíří falešné antiviry, které se velice podobají pravým – Cyber-Criminals Peddling Fake AV That Looks Very Much Like the Real Thing. Kaspersky Lab (Dmitrij Bestužev): na podvržené stránce je imitováno rozhraní, které mají antivirové produkty společností Kaspersky Lab, Symantec´s Norton a Avira. KasperskyLab také varuje ohledně souvisejících phisherských kampaní.

avast! Free Antivirus je v nové verzi, poslední aktualizace pochází z 29. listopadu 2011.

Vydána byla beta nové verze Security Essential (volně dostupný antimalware a antivir od Microsoftu) – Microsoft releases new Security Essentials beta. Obsahuje několik nových vlastností a zlepšený výkon.

Hackeři a jiní útočníci

K filipínským hackerům AT&T se vrací článek AT&T hackers have terrorist connections, say Philippines police. Jedná se o osoby s vazbou na islamistickou militantní skupinu Jemaah Islamiyah.

Data 13 miliónů jihokorejských online hráčů hacknuta – Data of 13 mln S.Korean online game subscribers hacked. Uniklá data obsahují ID, jména, registrační čísla a hesla. Neobsahují informace finančního charakteru.

Anonymous provedli defacement australské vládní stránky – Australian Government website defaced by Anonymous . Má to být prý odveta za cenzuru internetu.

Novináři zřejmě hackli i počítač severoirského ministra – Journalists ‚may have hacked NI Secretary‘s com­puter'. Další z obětí hackovacího skandálu ve Velké Británii (phone hacking scandal). Probíhají další slyšení.

Proběhl další útok na KrebsOnSecuri­ty.com, tentokrát zde byla snaha o implantaci malware – Attempted Malvertising on KrebsOnSecurity. Díky použitým bezpečnostním opatřením byl útok neúspěšný, říká Brian Krebs. Rozebírá pak postupy tzv. malvertising.

OSN – uniklo více než 1000 e-mailových adres, uživatelských jmen a hesel – 1000+ UN emails, usernames and passwords leaked. Není jasné, z kterého to bylo serveru (United Nations Development Programme?). Data byla zveřejněna na Pastebin.
Viz také komentáře – UN´s lax security exposed by password-slurping hacktivists a UN Hacked by Anti-„New World Order“ Group.

Ten Big Breaches In 2011 – deset velkých datových průniků roku 2011, tato slideshow vyjmenovává (seřazeno v čase) následující: Comodo, RSA, Epsilon, Wordpress, PlayStation Network, Citibank, CyWorld, TRICARE, Facebook, Steam.

DDoS Attacks Spell ‘Gameover’ for Banks, Victims in Cyber Heists – k varování FBI, DDoS útoky vytváří mlžnou clonu pro jiné typy útoků. Oběť se brání útoku DDoS a nepostřehne simultánní a více skrytý útok, který je už skutečnou loupeží finančního rázu. Viz oznámení FBI – FBI Denver Cyber Squad Advises Citizens to be Aware of a New Phishing Campaign.

Anonymous zahajují útok na banky – prý jako Robin Hood – Anonymous launches OpRobinHood against banks. Takto svoji operaci nazvali – OpRobinHood. Na akci spolupracují TeaMp0isoN a Anonymous. V článku je citováno jejich vyhlášení:
In regards to the recent demonstrations and protests across the globe, we are going to turn the tables on the banks. Operation Robin Hood is going to return the money to those who have been cheated by our system and most importantly to those hurt by our banks. Operation Robin Hood will take credit cards and donate to the 99% as well as various charities around the globe. The banks will be forced to reimburse the people there money back.
Viz také:

Jak to bylo s falešným poplachem okolo hacknutí vodní pumpy v systému SCADA – Exclusive: Comedy of Errors Led to False ‘Water-Pump Hack’ Report. Kim Zetter popisuje celou historii i to jak se objevila “záhadná”ruská IP adresa.
Na druhou stranu – FBI: Three Cities Compromised via SCADA Networks.

Hardware

Byla objevena zranitelnost tiskáren HP LaserJet vůči útokům – HP LaserJet printers vulnerable to attacks, researchers warn. Přišli s tím dva pracovníci z Columbia University. Zranitelnost umožňuje převzít kontrolu nad systémem, krást z něho data a dokonce tak může být způsobeno přehřátí zařízení a vznik ohně.
Viz také – Researchers Hijack Printer Using Malicious Firmware Update.
Ale – HP tvrzení těchto odborníků odmítá – HP Refutes ´Sensational´ Claims Of LaserJet Printer Pyrotechnics, viz také – HP douses firebomb printer hack threat.

USA: federálové hledají malware v síťových komponentách vyrobených v zahraničí – Feds Hunt Spyware in Foreign-Made Network Components, Report Says. Důvodem je existence čínského spyware – Obama Invokes Cold-War Security Powers to Unmask Chinese Telecom Spyware. V centru zájmu je čínská firma Huawei.

VoIP

Chyba v Skype umožňuje najít uživatelovu lokaci a zjistit jeho P2P aktivity – Skype flaw reveals users' location, file-downloading habits. Zjistili to pracovníci Polytechnic Institute of New York University (NYU-Poly) a jejich kolegové ve Francii a Německu – Researchers Uncover Privacy Flaws That Can Reveal User´s Identities, Locations and Digital Files.

Mobilní zařízení

V roce 2012 bude mobilní bezpečnost minovým polem – In 2012, a mobile security minefield. Chytré mobily jsou plné zranitelností, které jen čekají na útok, který je bude využívat, říká se v úvodu článku. Tyto útoky přitom mohou být velice různorodých typů.

Nový trojan pro Android rozesílá drahé SMS, je cílen na evropské a kanadské uživatele – Trojan sends premium-rate SMS messages, aims at European and Canadian Android users. S touto informací přichází pracovníci KasperskyLab. Nový trojan nese označení Trojan-SMS.AndroidOS­.Foncy.

Utajovaná aplikace na miliónech chytrých mobilů odchytává stisknuté klávesy – BUSTED! Secret app on millions of phones logs key taps. Jedná se o aplikaci společnosti Carrier IQ ze Silicon Valley. Trevor Eckhart to demonstroval (odkaz na video je v článku) na handsetu EVO, který resetoval do továrního nastavení. Monitoruje stisky káves, zeměpisnou polohu zařízení i všechny přijaté SMS.
Viz také komentář – Researcher proves hidden software logs everything on mobile phones.
 Popis:

Jak nalézt ve svém chytrém mobilu rootkit společnosti Carrier IQ a jak se ho zbavit – Finding and cleaning out your smartphone’s Ca­rrier IQ poison. Tento spyware rootkit obsahují milióny chytrých mobilů. Autor článku vysvětluje postupy jak mobil vyčistit. Obdobně – How to turn off Carrier IQ on your iPhone.
Viz ale – BUSTED TWO: Carrier IQ monitor-ware on iPhones too?
Další komentáře:

New mobile security challenges, jaké jsou nové mobilní bezpečnostní výzvy? Sean Sullivan (bezpečnostní poradce F-Secure) vybírá a komentuje následující trojici:

  • Windows XP je stále favoritem mezi počítačovou kriminalitou
  • Windows Phone 7 vstupují do hry
  • Tabletové bankovnictví bude nejbezpečnější cestou pro banky

Dvanáctka nejvíce rizikových chytrých mobilů – podrobně k jednotlivým mobilům – The 12 Riskiest Smartphones. Antone Gonsalves připravil tuto slideshow na základě přehledu společnosti Bit9 (informováno o něm bylo minulý týden).

Studie ukazuje na vážnou zranitelnost Androidu – Systematic Detection of Capability Leaks in Stock Android Smartphones. Komentář k této studii je v článku Android glitch allows hackers to bug phone calls. Zjištěná slabina systému umožňuje útočníkům utajeně zaznamenávat telefonní konverzaci, monitorovat geolokační data a získat bez povolení přístup k citlivým zdrojům.

Mobilnímu spyware je věnován článek Mobile spyware raises ethical, legal questions. Autor v něm popisuje produkt firmy Flexispy a klade otázku o jeho etičnosti.

Elektronické bankovnictví

Three charged for ATM skimming spree – probíhá soud s bankomatovými podvodníky z Manhattanu. Byli zatčeni (dva z nich, třetí je kanadský občan) v květnu tohoto roku. Jedná se o tyto osoby: Nikolai Ivanov, Iordan Ivanov a Dimitar Stamatov (podle jmen jsou bulharské národnosti).

Stopy po bankomatových podvodnících byly nalezeny v 20 obchodech v Silicon Valley – Credit-Card Skimmers Found in Silicon Valley Supermarkets. Podvržené čtečky byly již odstraněny a byla přijata opatření k zvýšené opatrnosti ve všech 234 obchodech Lucky Supermarkets (tohoto řetězce se útok týkal). Není zatím jasné, zda v některých případech podvodníci uspěli. Zajímavý na tomto případě je zejména jeho rozsah.

Cyber security trends for financial services in 2012 – kyberbezpečnostní trendy pro finanční služby v roce 2012. Společnost Booz Allen Hamilton sestavila přiložený seznam deseti trendů, kterých by si banky a další finanční služby měly všímat, pokud chtějí zůstat na čele IT bezpečnosti

Autentizace, hesla

Anonymita bloggerů je v ohrožení – Anonymous bloggers in danger of being exposed. Stačí používat nástroj Google Analytics k zjišťování návštěvnosti svého webu a máte smůlu, říká Andy Baio, který si potřebné postupy vyzkoušel v praxi.
Viz také – Google Unmasks Bloggers´ Hidden Identities, Putting Some at Risk.

Jaké dnes existují cesty k autentizaci uživatelů? Malý přehled nejčastějších postupů zpracoval Alfonso Barreiro – Authenticating users: Going beyond the password.

Phishing

Exposing 25 Facebook phishing websites aneb 25 phisherských webů na Facebooku. Autor článku (kromě přehledu takovýchto webů) varuje před triky phisherů, ukazuje příklad.
Phishingu v blížících se svátcích je věnován také článek Holidays Are Prime Time for Phishing Scams .

O phishingovém podvodu na Facebooku, který uspěl ve Francii, informuje článek – French Facebook phishing scam: 5,000 accounts compromised.

The New Phishing Threat: Deception & Social Engineering, k této studii je nezbytná registrace na bankinfosecuri­ty.com. Studie (Proofpoint, 7 stran) se zabývá následujícími okruhy problémů:

  • Poslední trendy phishingových útoků ukazují, že tyto jsou cíleny nejen na finanční účty, ale také na citlivá data společností.
  • Několik příkladů dokumentuje, jak komplexní phishingové útoky fungují.
  • Cesty k obraně proti nejnovějším typům phishingových ú­toků.

Top 10 svátkových phisherských podvodů, slideshow ukazuje cesty těchto útočníků – Slide Show: Top 10 Holiday Phishing Scams.

Elektronický podpis

Další návrh na úpravu fungování protokolu SSL přichází z Google – Certificate Authority Transparency and Auditability. Zpracovali ho bezpečnostní odborníci společnosti Ben Laurie a Adam Langley. Viz komentář – Google researchers propose fix for ailing SSL system.

Kryptografie

Cryptanalysis vs. Reality, kryptoanalýza a realita, Jean-Philippe Aumasson (Nagra Kudelski) zpracoval hezkou přednášku (66 stran slajdů, hashdays security & risk conference – October 26th – 29th 2011) k této tématice. Kromě celkového pohledu se orientuje na dva okruhy problémů: fyzické útoky a útoky na algoritmus. O autorovi se dozvíte na stránce Jean-Philippe Aumasson.

Crack GCHQ's code and become the next James Bond – výzva GCHQ: rozbijte šifru! Zájemci o to stát se luštitelem šifer, vyzkoušejte své schopnosti na stránce Can you crack it?. Vyzkoušet si své schopnosti mohou pochopitelně i ti, kteří nechtějí pracovat pro GCHQ.

widgety

Různé

The Rise and Fall of Bitcoin, Bitcoin, jeho růst a pád. Benjamin Wallace v rozsáhlejším článku popisuje vznik a další děni okolo této digitální měny.

Přehled vychází z průběžně publikovaných novinek na Crypto – News.

Našli jste v článku chybu?
Root.cz: Podívejte se na shořelé Samsung Note 7

Podívejte se na shořelé Samsung Note 7

Vitalia.cz: 5 důvodů, proč jet na výlov rybníka

5 důvodů, proč jet na výlov rybníka

Vitalia.cz: Tradiční čínská medicína a rakovina

Tradiční čínská medicína a rakovina

DigiZone.cz: Wimbledon na Nova Sport až do 2019

Wimbledon na Nova Sport až do 2019

DigiZone.cz: Další programatické formáty

Další programatické formáty

Podnikatel.cz: Nemá dluhy? Zjistíte to na poště

Nemá dluhy? Zjistíte to na poště

DigiZone.cz: Nova opět stahuje „milionáře“

Nova opět stahuje „milionáře“

Lupa.cz: Patička e-mailu závazná jako vlastnoruční podpis?

Patička e-mailu závazná jako vlastnoruční podpis?

Vitalia.cz: Test dětských svačinek: Tyhle ne!

Test dětských svačinek: Tyhle ne!

DigiZone.cz: Regionální tele­vize CZ vysílá "Mapu úspěchu"

Regionální tele­vize CZ vysílá "Mapu úspěchu"

Lupa.cz: Cimrman má hry na YouTube i vlastní doodle

Cimrman má hry na YouTube i vlastní doodle

Vitalia.cz: Tesco nabízí desítky tun jídla zdarma

Tesco nabízí desítky tun jídla zdarma

Měšec.cz: „Ukradli“ jsme peníze z bezkontaktních karet

„Ukradli“ jsme peníze z bezkontaktních karet

Vitalia.cz: Jak Ondra o astma přišel

Jak Ondra o astma přišel

Lupa.cz: Blíží se konec Wi-Fi sítí bez hesla?

Blíží se konec Wi-Fi sítí bez hesla?

Lupa.cz: Odkazy na pirátský obsah mohou být nelegální

Odkazy na pirátský obsah mohou být nelegální

120na80.cz: Co je padesátkrát sladší než cukr?

Co je padesátkrát sladší než cukr?

Lupa.cz: Další Češi si nechali vložit do těla čip

Další Češi si nechali vložit do těla čip

Lupa.cz: Adblock Plus začal prodávat reklamy

Adblock Plus začal prodávat reklamy

Lupa.cz: Jak levné procesory změnily svět?

Jak levné procesory změnily svět?