Bezpečnostní střípky: Facebook a jeho problematická bezpečnost

Jaroslav Pinkava 17. 5. 2010

Pravidelný pondělní přehled informací vztahujících se k problematice bezpečnosti IT. Z novinek právě uplynulého týdne lze upozornit na přehled, který vydala ENISA, na kritizovanou snahu Google ohledně lokálních WLAN a třeba na upozornění na chyby, které dělají nováčkové po instalaci Linuxu.

Konference a přehledy

ENISA vydala rozsáhlou zprávu o stavu síťové a informační bezpečnosti v jednotlivých členských zemích EU – Country Reports. Celkový komentář k této zprávě (která má 750 stran) je zde:

Část zprávy, která se týká České republiky, je na tomto odkazu:

Statistiky ukazují – globální ekonomická krize nezastavila růst kybernetické kriminality – Cybercrime's fi­nancial and geographic growth shows no slowdown during the global economic crisis. Marc Fossi přichází s dalším komentářem k výsledkům zprávy Symantec Internet Security Threat Report XV.

Obecná a firemní bezpečnost IT

Boom kybernetické bezpečnosti, tak celkovou současnou situaci na tomto poli hodnotí článek v autoritativním Washington Post jehož autory jsou Marjorie Censer a Tom Temin – The cybersecurity boom.

Jak se vyvíjí role bezpečnostního manažera? Jon Collins (Freeform Dynamics) v The evolving role of the IT security manager. No longer a voice in the wilderness? informuje o zajímavém materiálu vydaném jejich společností (výzkum, dotazníkovou akci připravila společnost Trend Micro). Grafy uvedené v článku znázorňují charakter odpovědí 80 respondentů na následující otázky:

  • Jak velký dopad má následující (vyjmenována řada faktorů) na to, jak se dnes zabýváte bezpečností?
  • U čeho z následujícího (…) předpokládáte, že bude mít v budoucnu velký dopad na bezpečnost?
  • Jak byste charakterizovali zahrnutí následujícího (…) při definování potřeb a přípravě bezpečnostních rozhodnutí?
  • V ideálním světě, kde (…) byste viděli, že je třeba klást důraz ve vztahu k bezpečnosti a pohledu do budoucna?

Americký senát schválil generálporučíka Keitha Alexandera do funkce šéfa U.S. Cyber Command – Update: Senate confirms Alexander as chief of U.S. Cyber Command. Tato nominace byla očekávána. Cyber Command (Cybercom) byl zřízen loni v červnu, jeho úkolem je čelit rostoucím hrozbám americkým vojenským sítím ze zahraničních i domácích zdrojů.

USA mohou zvažovat vojenskou odvetu za kybernetický útok proti zemi – US response to cyber attacks. Zástupce amerického ministerstva obrany James Miller také ale podotkl, že zatím není vyjasněno, co lze považovat za válečný akt v kyberprostoru.

Velké univerzity opouští Gmail – Major University Dumps Gmail Over Security Concerns. Důvodem je nedostatečná bezpečnost.

E-mail 2.0 – přijde něco takového? Nebezpečí, která na nás číhají v mailech, se množí. Hovoříme o technologiích 2.0, ale e-mail se vrátil zpátky k 0.7. Jak mu vrátit důvěryhodnost, ptá se autor článku Email 2.0: Trying to catch up with the web. Reports of the death of email greatly exaggerated Kieren McCarthy.

Ochraňuj své soukromí online a kdekoliv  – Protect your privacy online and elsewhere. To je článek, v němž jeho autor Dennis O'Reilly informuje o aktivitě ID theft risk assessment, která se konala v rámci týdne Privacy Awareness Week: 2–8 May 2010. Tento test obsahuje celkem 11 kategorií (online nákupy, PC, hesla, vaše peněženka atd.) -zkuste.

Worst-Case Thinking – Esej Bruce Schneiera: Přemýšlíte o tom nejhorším? Schneier zde zdůrazňuje svůj kritický pohled na podobný styl uvažování, který vede často k zbytečnému strachu a panikám. V zajímavé diskuzi ne všichni s ním plně souhlasí.

Ženský pohled na svět kybernetické kriminality přináší následující rozhovor Michaela Kassnera s Shellee Hale – IT security: A woman's per­spective on the world of cybercrime.

Výpočty v oblacích (cloudech) – jaká je situace v USA? Článek Less than half of cloud services are vetted for security je komentářem k výsledkům analýzy, kterou provedla společnost Ponemon. Tyto postupy (výpočty v oblacích) používá více než polovina amerických organizací. Z nich ale méně než polovina věří, že zde existují potřebná bezpečnostní hodnocení.

Sociální sítě

4 Reasons to Worry about Privacy on Facebook neboli čtyři důvody, proč mít starosti s ochranou soukromí na Facebooku. Téma ochrany soukromí na Facebooku potažmo na jiných sociálních sítích se objevuje nyní často (zákonitě). Ian Paul vymezuje následující čtyři kritická místa:

  1. Regrese soukromí
  2. Složitá nastavení, která se soukromí týkají
  3. Nejasné „Vazby“ („Connections“)
  4. Zbavit se různých „Likes and Interests“ (mám rád, zajímá mě) je obtížnější

Pět skrytých nebezpečí Facebooku – Five hidden dangers of Facebook (Q&A). Článek obsahuje interview s Joan Goodchild, v jeho úvodu je vymezeno pět nebezpečí, které na uživatele Facebooku číhají:

  • Vaše informace jsou sdíleny třetími stranami
  • Nastavení vašeho soukromí je transformováno po každé změně designu do méně bezpečné podoby
  • Reklamy na Facebooku obsahují malware
  • Vaši skuteční přátelé vás nechtěně mohou učinit zranitelnými
  • Podvodníci vytváří falešné profily

Facebook najal bývalého činitele Bushovy vlády k obhajobě soukromí – Facebook hires former Bush regulator for privacy defence. Přesnější formulace říká, k ochraně politik soukromí Facebooku ve vztahu k vládním kontrolám.

Sociální sítě přináší potíže regulátorům – Social networking boosts legal, regulatory compliance headaches. Finanční služby, jejich pracovníci komunikují s klienty prostřednictvím Facebooku, Twitteru atd. Totéž se týká jiných významných organizací a firem. Kontrola těchto komunikací společnostmi je však obtížná. Je to dokonce větší problém než e-mail a IM, říká Ted Ritter (analytik společnosti Nemertes Research).

Hacknut byl účet člena představenstva Facebooku a byl použit k rozesílání spamu – Facebook Board Member’s Account Hacked.

Jeden z šéfů Facebooku odpovídá na otázky čtenářů New York Times – Facebook Executive Answers Reader Questions. Otázky se pochopitelně týkaly především ochrany soukromí uživatelů. Komentář k tomuto interview je na stránce – Facebook executive responds to users’ privacy concerns.

A ještě – čtyři věci ohledně vašeho soukromí, o kterých se od Facebooku nedozvíte – 4 things Facebook doesn't tell you about privacy, security. Další článek ze série kritických vystoupení, která se na Facebook v posledních týdnech valí (? napočítal jsem těch bodů pět):

  • Nechceme, abyste si měnil svá nastavení ohledně soukromí
  • Zveřejnění vašich informací z vás může učinit cíl pro podvody (na Facebooku)
  • Máme malou kontrolu přes bezpečnost aplikací
  • Víme, které webové stránky navštěvujete
  • Vaše informace jsou ukládány do míst mimo Facebook

Evropa požaduje změnu politiky soukromí Facebooku – Europe Demands Facebook Privacy Policy Reform. Stefanie Hoffman komentuje oficiální stížnost dle článku 29, kterou připravila skupina evropských agentur na ochranu soukromí s označením Working Party.

Facebook, přihlášení (login) má nyní nové bezpečnostní vlastnosti – Facebook Rolls Out New Login Security Features (Updated). K tématu se váží také články:

Software

Toolbox Firewall audit dos and don'ts, aneb co by měl (a neměl) obsahovat audit firewallu. Neil Roiter zde poradí, čím byste se měli řídit při výběru produktů pro tento účel.

Jak nainstalovat a používat Fireshark, Tom Olzak přichází s návodem na práci s tímto rozšířením Firefoxu – Installing and using Fireshark.

Příspěvkem k penetračnímu testování webů je studie PDF Silent HTTP Form Repurposing Attacks, kterou zpracoval Aditya K Sood (SecNiche Security). Byla vydána tedy již před rokem, její myšlenky jsou však stále aktuální (útoky prostřednictvím JavaScriptu, když je v prohlížeči otevřeno pdf).

The Building Security In Maturity Model (BSIMM) se objevil nyní ve verzi 2 – BSIMM2. Komentář k této edici si lze přečíst v článku Real-world data on software security initiatives. Do dokumentu jsou včleněny zkušenosti řady firem z vývoje SW.

10+ mistakes Linux newbies make aneb 10+ chyb, které nejčastěji dělají nováčkové Linuxu. Jack Wallen přichází se sérií 12 upozornění.

Malware

Falešné dárkové certifikáty (50 dolarů) iTunes přináší malware – Danger! Fake $50 iTunes certificate carries malware. Varování přichází z blogu společnosti Sophos.

Červ pro Skype (založený na rootkitu) si otvírá zadní vrátka – Rootkit-based Skype worm opens backdoors. K tomu, aby si ho oběť stáhla, využívá Backdoor.Tofsee sociální inženýrství.

Podívejte se na mé CV (pokud chcete přijít k nějakému malware) – ‚Please look my CV‘ (if you want to get infected by malware). To je zajímavá informace o zatím méně běžném triku útočníků.

Falešný test kompatibility Windows 7 skrývá vir – Falešný test kompatibility Windows 7 skrývá vir. Technet: Zájem o nový operační systém od Microsoftu se i několik měsíců po jeho vydání pokoušejí zneužít počítačoví podvodníci. Vytvořili vir, který se schovává za možnost nechat si otestovat počítač na kompatibilitu s Windows 7.

Hackeři

Twitter byl hacknut mužem z Turecka – Twitter hacked on accident by Turkish man. Podařilo se mu najít a využít chybu v programu – a to zcela náhodně. Viz také – Twitter hit by major disruption.

Nový útok DoS používá webové servery jako zombies – New DoS attack uses Web servers as zombies. Elinor Mills uvádí svůj článek obrázkem rozhraní, přes které je útok zahajován. Stačí zadat IP adresu, časový interval útoku a port, na který má být útočeno.

Facebook identifikoval hackera, který prodával 1.5 miliónů jeho účtů – Facebook IDs hacker who tried to sell 1.5M accounts. Kirllos má být ruský hacker, který však operuje někde mimo území Ruska. Pravděpodobně se však k informacím o tolika účtech nedostal (jak prohlašoval).

Car hackers can kill brakes, engine, and more – hackeři automobilů mohou vyřadit brzdy, motor a další … Článek informuje o výsledcích výzkumu, které byly předneseny na konferenci v Oaklandu – Experimental Security Analysis of a Modern Automobile. Byly nalezeny nové postupy, o jejich možnostech až mrazí.

Hardware

Tamper Evident Microprocessors aneb o metodách k detekování útoků na HW. Studie obsahuje popis postupů, které autoři nazvali TRUSTNET a DATAWATCH. Viz komentář – ´Tamper evident´ CPU warns of malicious backdoors.

USA – ukraden byl notebook s daty 207 000 armádních záložáků – Laptop theft exposes data on 207,000 army reservists. Data byla v momentu krádeže na CD, které bylo v jednom z ukradených notebooků. Pochopitelná otázka: proč tato data nebyla zašifrována?

Bezdrát

Vaše WLAN před Googlem neschováte – There's No Hiding Your WLAN from Google . Google chce vytvořit mapu lokálních WLAN. To se nelíbí advokátům uživatelů. Viz také komentáře:

Německo rozhodlo -  co se týká provozu bezdrátové sítě, majitel odpovídá za její zneužití k pirátství – German Wi-Fi networks liable for 3rd party piracy. ve connection open, risk fine. Tj. soukromí uživatelé odpovídají za to, zda si svoji bezdrátovou síť zabezpečili dostatečně proti zneužití kýmsi dalším.

Spam

Trocha analýzy podvodných mailů nezaškodí, seznamte se proto s článkem The anatomy of a scam email message. Do svého spamového filtru se v něm dívá Michael Kassner.

Kaspersky, byly zveřejněny výsledky k vývoji spamu v 1. čtvrtletí 2010 – Spam evolution: January-March 2010. Facebook se jako první sociální sítě dostal mezi špičkové cíle phishingu (5,7 procent všech útoků, celkově čtvrté místo v žebříčku). Viz komentář – Facebook, the new phishing target .

Forenzní analýza

Xplico, to je forenzní nástroj pro analýzu sítě (open source) – Xplico: Network forensic analysis tool. Stáhnout si ho můžete z tohoto odkazu – Xplico.

Elektronické bankovnictví

Hacky bankomatů budou demonstrovány na akci Black Hat USA – ATM hacks to be demonstrated at Black Hat USA. Barnaby Jack – v loňském roce nakonec se svou prezentací nemohl vystoupit. Letos se však chystá znovu a s rozšířenou její podobou.

Ještě k varování společnosti VISA se vrací Jaikumar Vijayan a rozebírá související okolnosti – Visa fraud alert puts banks, payment processors on guard.

Polská banka jako první v Evropě používá ve svých bankomatech biometrii (jako alternativu PINu) – Biometric cash machine lands in Europe. Touchy feely PIN-killer uses fingerprints. Jak tato technologie vypadá, si můžete prohlédnout na obrázku zde.

FBI chystá akci proti peněžním soumarům – FBI Promises Action Against Money Mules. Zřejmě se bude jednat o úpravu legislativy a následné prosazování těchto změn povede k důslednějšímu potrestání těchto soumarů.

Nové cesty útoků využívají zahlcení mobilu oběti – http://www.wi­red.com/threa­tlevel/2010/05/­telephony-dos/. Útočník zahltí mobil (tj. vlastně útok DoS) a mezitím vyprazdňuje konto oběti.

Autentizace, hesla

Jaká tajemství skrývá váš počítač? Asi je jich více, než sami tušíte. Robert L. Mitchell informuje o testu provedeném pomocí nástroje Identity Finder (jeho volně dostupná verze vyhledá však pouze hesla a čísla platebních karet v některých adresářích) – Identity Finder: What secrets are hidden in your computer?.

Phishing

Za dvě třetiny phishingu v druhém pololetí 2009 je odpovědný gang Avalanche pocházející z východní Evropy – Report blames ‚Avalanche‘ group for most phishing. Vyplývá to ze zprávy APWG (Anti-Phishing Working Group) – Global Phishing Survey: Trends and Domain Name Use in 2H2009.

Elektronický podpis

Proč elektronické podpisy nejsou věčné?, Jiří Peterka na Lupě: Doba platnosti certifikátů, na kterých jsou založeny elektronické podpisy, je zcela záměrně omezována v čase, tak aby tyto certifikáty neplatily příliš dlouho. Proč je tomu tak a co si počít s dokumentem, jehož elektronický podpis je založen na již neplatném certifikátu? Pokud ho někomu předložíme, musí jej příjemce akceptovat, nebo ho může odmítnout s poukazem na to, že již nemůže provést všechny zákonem požadované úkony, nutné pro ověření jeho platnosti?

Kryptografie

Jak také lze vybudovat steganografický kanál – Steganographic Command and Control: Building a communication channel that withstands hostile scrutiny. Adrian Crenshaw ukazuje na možnost využití pro řízení botnetů steganografického kanálu s napojením na sociální sítě, resp. pro skrytí sítí (označovaných jako darknet). Diskutuje anonymizační potenciál sociálích médií.

O tom, jak probíhala faktorizace RSA-180, informuje studie Factorization of RSA-180. Nejedná se přímo o nový rekord, tím je faktorizace čísla o 768 bitech (232 dekadických znaků). Toto číslo se 180 dekadickými znaky má délku 600 bitů. Přesto je zajímavé si přečíst informaci o použitých postupech.

Různé

Přehled vychází z průběžně publikovaných novinek na Crypto – News.

Ohodnoťte jako ve škole:

Průměrná známka 1,80

Našli jste v článku chybu?
Zasílat nově přidané názory e-mailem
120na80.cz: Zjistěte, zda je vaše klíště infikované

Zjistěte, zda je vaše klíště infikované

120na80.cz: Jak si udržet zdravou vaginu

Jak si udržet zdravou vaginu

120na80.cz: Tady se vaří padělané léky

Tady se vaří padělané léky

Podnikatel.cz: Byznys nešlape? Jeden se věší, druhý ne

Byznys nešlape? Jeden se věší, druhý ne

DigiZone.cz: Šlágr TV dostala pokutu 100 000 Kč

Šlágr TV dostala pokutu 100 000 Kč

Podnikatel.cz: Alza radí e-shopům, jak opustit Heureku

Alza radí e-shopům, jak opustit Heureku

DigiZone.cz: V RS7 ukončila vysílání Retro Music Television

V RS7 ukončila vysílání Retro Music Television

Podnikatel.cz: Různé podoby lahve Coca–Coly. Úchvatné

Různé podoby lahve Coca–Coly. Úchvatné

DigiZone.cz: Šlágr TV: pokuta 100 tisíc za on-line

Šlágr TV: pokuta 100 tisíc za on-line

DigiZone.cz: Stream představil souboj žroutů

Stream představil souboj žroutů

120na80.cz: Poznáte, který z léků je pravý?

Poznáte, který z léků je pravý?

Vitalia.cz: Vydával se za český, prozradila ho DNA

Vydával se za český, prozradila ho DNA

Měšec.cz: Udali ho na nelegální software a přišla Policie

Udali ho na nelegální software a přišla Policie

Vitalia.cz: Proč máme prasklý chléb nejraději?

Proč máme prasklý chléb nejraději?

Podnikatel.cz: Využijte v byznysu nulové tarify

Využijte v byznysu nulové tarify

DigiZone.cz: Podzim přinese sport Viasat Ultra HD

Podzim přinese sport Viasat Ultra HD

Podnikatel.cz: Proměny stavebnice Seva. Znáte ji?

Proměny stavebnice Seva. Znáte ji?

Vitalia.cz: Dnešní patolog o mrtvolu téměř nezavadí

Dnešní patolog o mrtvolu téměř nezavadí

120na80.cz: Co jí dělá? Sklerotizaci

Co jí dělá? Sklerotizaci

DigiZone.cz: Panasonic v Praze uvedl TV pro rok 2016

Panasonic v Praze uvedl TV pro rok 2016