Hlavní navigace

Bezpečnostní střípky: FBI informuje a také se činí

29. 3. 2010
Doba čtení: 11 minut

Sdílet

Pravidelný pondělní přehled informací vztahujících se k problematice bezpečnosti IT. Z novinek právě uplynulého týdne vás upozorníme především nástroj skipfish od Google, volně dostupné AVG Rescue CD, upozornění na novou knihu Cryptography Engineering a upozornění americké FBI na největší hrozby.

Obecná a firemní bezpečnost IT

Americká armáda: čínské kybernetické útoky v roce 2010 značně narůstají – Military warns of ‚increasingly active‘ cyber-threat from China. Většina těchto útoků je orientována na získání dat, ale ukazuje se, že útočníci mají dostatek zkušeností k tomu, aby takovéto útoky měly dopad na celé sítě.

Akademická studie v Číně vyvolala poplach v USA – Academic Paper in China Sets Off Alarms in U.S.. Student Wang Jianwei se svým profesorem napsali studii, která je rozborem zranitelností americké rozvodné sítě (ve vztahu k počítačovým útokům).

Top 5 internetových podvodů v roce 2009 podle FBI vypisuje Michael Cooney, autor článku The 5 Toughest Internet Scams. Zmíněny jsou:

  • Falešná vyskakující okénka pro antivirový SW
  • Hitman, schéma vyhrožující zabitím, pokud příjemce nezaplatí
  • Ekonomické stimuly
  • Astrologické nabídky
  • Stránky nabízející práci

FBI vydala seznam Top 10 pozicí v kyberkriminálních organizacích – FBI lists Top 10 posts in cybercriminal operations. Je to zajímavý pohled na strukturu těchto organizací:

  • Programátoři (kodéři)
  • Distributoři
  • Techničtí experti
  • Hackeři
  • Organizátoři podvodů (fraudsters)
  • Poskytovatelé hostujících systémů
  • Pokladníci
  • Peněžní soumaři
  • Výplatní
  • Organizační šéfové

Kam směřuje NSA? Noah Shachtman v článku Security Watch: Beware the NSA’s Geek-Spy Complex hovoří o dvou různých strukturách, které se skrývají pod jednou střechou NSA – odposlechy a analýza informací. Ptá se, zda dojde k jejich oddělení.

U.S. Cyber Command je připravena k zahájení své činnosti – U.S. Cyber Command prepped to launch. Čeká se jen, až senát schválí jejího velitele. Generálporučík Keith Alexander má šéfovat jak NSA, tak i této nově vzniklé organizaci.

Slabé státy vystavují EU útokům – Weak states leave EU open to cyberattack. Článek je komentářem k materiálu European Union Committee – Fifth Report. Protecting Europe against large-scale cyber-attacks. Jmenovány jsou Litva, Lotyšsko, Bulharsko, Maďarsko, Rumunsko a Slovensko.

How can we be at cyberwar if we don't know what it is?, to je zase komentář k nyní často diskutované otázce: jak je to vlastně s tou kybernetickou válkou? William Jackson v něm shrnuje nedávné názory politiků k hodnocení současné situace a směrů dalšího jejího vývoje.

Digitalizace zdravotních dat probíhá, ale zároveň narůstají rizika – As health data goes digital, security risks grow. Lucas Mearian poukazuje na možné následky aktivit hackerů v tomto směru a obtížnost úkolu zabezpečení těchto dat. Nestačí pouhé šifrování.

Ukradená data pacientů byla použita v hromadné krádeži ID – Private patient information stolen from Northwestern used in massive identity theft. Krádež se týkala pacientů nemocnice Northwestern Memorial Hospital. Postupně byla ukradená data použita k obohacení členů bandy až v sumě okolo 300 000 dolarů.

Ukradena byla ID 3,3 miliónů studentů (USA) – ID theft hits 3.3 million college students. Jedna z největších krádeží tohoto typu postihla společnost v Minnesotě, která obhospodařuje půjčky studentů.

Velká Británie: policie požaduje, aby internetové kavárny sledovaly své uživatele – Police ask internet cafes to snoop on users. Důvodem má být skutečnost, že někteří usvědčení teroristé používali internetové kavárny pro přípravu svých útoků.

Organizations, conflicts of interest, and the effect on security – konflikty zájmů v organizacích a jejich dopady na bezpečnost. Chad Perrin rozebírá jeden v praxi objektivně existující problém – střet zájmů z hlediska jeho vztahu k bezpečnostním otázkám.

Země, které nevěnují dostatečnou pozornost kyberkriminalitě, budou Spojenými státy „penalizovány“ – Senate bill seeks crack down on cybercrime havens. Návrh takovéhoto zákona (The International Cybercrime Reporting and Cooperation Act) je nyní projednáván v americkém Senátu. Viz také komentář Briana Krebse – Cybersecurity Policy Roundup.

Pracovník FBI: kybernetické útoky mohou zasáhnout samotné základy existence Spojených států – FBI cyber cop says ‚very existence‘ of US under threat. V článku je komentováno vystoupení Stevena Chabinského z FBI – Cyberattacks an ´existential threat´ to U.S., FBI says (na akci FOSE government IT trade show).

Kybernetický koordinátor Bílého domu Howard Schmidt vysvětluje: v čem je jeho pozice nová, s jakými iniciativami a partnery spolupracuje – Howard Schmidt: Cybersecurity Battle ‚Different‘ This Time.

Kanada je snadnou obětí pro kybernetické útočníky. 17letý kluk může zmrzačit ekonomiku země, to prohlásil bezpečnostní konzultant Dragos Ruiu z Edmontonu na akci CanSecWest Applied Security Conference. Vyzval k větší mezinárodní spolupráci v tomto směru – Canada easy prey for cyber attacker: expert.

Růst počítačové kriminality nastává i díky nedostatkům místních policejních oddílů – Local police falling behind on cybercrime, former chief says. Chief Bill Bratton (policie v Los Angeles): víme, co máme dělat, nemáme k tomu však potřebné zdroje. Vystoupil takto na FOSE 2010 (obchodní výstava ve Washingtonu).

Právnické firmy jsou po bankách dalším cílem hackerů – Law firms are the new banks. Vše je jen o penězích. Právnické firmy nejenže jich mají dostatek, ale zároveň také je u nich shromážděno značné množství kritických dat.

Google a Čína

Čínská cenzura a Google odchází, aktuální vývoj situace okolo vztahů Google vs. Čína je komentován v článcích:

Čínská vláda reaguje rozhněvaně na rozhodnutí Google odejít z Číny – Chinese government reacts angrily to Google decision. Google se přesouvá na adresu v Hongkongu a přestává filtrovat výsledky vyhledávání. Viz také – Google Faces Fallout as China Reacts to Site Shift.

Stopy kybernetického útoku na Google a další americké firmy vedou k čínským vládním orgánům – Cyber-attack on U.S. firms, Google traced to Chinese. To uvádí Bill Gertz ve svém komentáři na stránkách Washington Post. Americký vládní mluvčí prohlásil, že vláda to umí prokázat. S ohledem na nebezpečí dalších útoků však podrobnosti nebudou zveřejněny.

Sociální sítě

Co vše dokázal jeden šikula na Facebooku, s tím se můžete seznámit na stránce Reporter investigating Facebook has his account hacked… by me. Falešný profil, uhodnuté heslo a kompromitace účtu jednoho reportéra byla na světě.

10 důvodů, proč odejít z Facebooku (a jeden, proč tam zůstat) – 10 Security Reasons to Quit Facebook (And One Reason to Stay On). Joan Goodchild říká: zvažte, zda vaše rizika nejsou příliš velká.

Software

skipfish, to je volně dostupný bezpečnosti nástroj od společnosti Google. Je to nástroj, který umí provádět bezpečnostní skeny webových aplikací. Podporovaná prostředí: Linux, FreeBSD 7.0+, MacOS X, a Windows (Cygwin). Komentář k tomuto nástroji je v článku Google releases skipfish, an application security tool.

DEP (Data Execution Prevention), tuto ochrannou technologii lze obejít – Exploit's new technology trick dodges memory protection. Hacker s přezdívkou JDuck přišel s prvními dokumenty PDF, které to umí.

Planning for the Security Features of Windows 7 – Windows 7, jaké jsou nové bezpečnostní vlastnosti tohoto OS? Gartner v této studii přichází ze sadou doporučení. Je zde uvedena analýza novinek ve Windows 7, týká se to následujících součástí OS: AppLocker, User Account Control, BitLocker, Bitlocker To Go, IE 8, DirectAccess, Windows Services Hardening, Windows Firewall, ASLR, DEP and SAfe Unlinking, USB Device Control, Kernel Patch Protection and Signed Device Drivers with 64-bit Windows 7, Network Access Protection, Windows Defender, DNS Security Extension Support, Windows Audit Function a Rights Management Services Client.

Německo varuje uživatele Firefoxu – Firefox releases security patch. Německé BSI vydalo obdobné varování (problémy s bezpečností) v lednu i vůči IE.

TrueCrypt – průvodce práce s tímto SW (video) najdete na stránce Video: File encryption made simple with TrueCrypt. Názorné video připravil Bill Detwiler.

Zranitelnosti Adobe jsou diskutovány také na Schneierově blogu – PDF the Most Common Malware Vector. Doporučován je následující rychlý zásah: Edit, Preferences, JavaScript, a zakažte Acrobat JavaScript box.

Použijte správný firewall pro ochranu své sítě, Peter Pecho na Lupě: Třetí pokračování seriálu o firewallech a ochraně vašich sítí. Tentokrát podrobněji popíšeme některé z velkých firewallů.

Bezpečnostní firmy varují před dalším útokem, který zneužívá díru v IE – Security companies warn of uptick in new IE attack. Microsoft před touto chybou IE varoval poprvé 9. března s tím, že může být zneužita k cíleným útokům. Ukazuje se však, že exploity jsou nyní již značně rozšířené.

Volně dostupné AVG Rescue CD možná zachrání váš infikovaný počítač – AVG Rescue CD. Komentáře k této informaci najdete na těchto stránkách:

Výzva Pwn2Own – nejprve byl hacknut iPhone – iPhone falls in Pwn2Own hacking contest. Úspěšnými hackery byli Vincenzo Iozzo a Ralf Weinmann. Po prvním dnu z prohlížečů odolával již jen Google Chrome – Researchers hack popular platforms at Pwn2Own contest.

V článku Internet Explorer 8 : Anti Spoofing is a Myth je obsažena kritika přístupu MS týkající se adresového řádku v IE8. Autor poukazuje na nedostatky řešení Microsoftu.

Pět „velkých“ open source bezpečnostních aplikací pro desktop je zmíněno v článku Josepha Guarino 5 ‚Great‘ Open-source Desktop Security Applications:

Zjednodušení systému je tou nejlepší bezpečností – Simplifying systems is the best security. Chad Perrin: přidávání dalších a dalších řádků programu vede jen k nepřehlednosti a možným chybám (včetně těch, které jsou bezpečnostního charakteru). Doporučuje proto několik cest, jak se obdobným problémům vyhnout (minimalistický design, modularita, oddělení funkcionalit).

I šifrovanou komunikaci lze odchytit – Your health, tax, and search data siphoned. Uvádí to výzkumní pracovníci Rui Wang, XiaoFeng Wang, Kehuan Zhang (Indiana University) a Shuo Chen – (Microsoft) v studii Side-Channel Leaks in Web Applications: a Reality Today, a Challenge Tomorrow. Interakce mezi uživatelem a webem je zranitelná vůči útokům typu man-in-the-middle. Další podrobnosti k této analýze přináší Ed Felton v článku Side-Channel Leaks in Web Applications. Viz také Schneierův blog:

Malware

Zeus za vás spočte daně – Zeus wants to do your taxes. V češtině se tedy zatím podobná situace neobjevila (doufám), ale ukazuje to na nápaditost těch, kteří za botnetem stojí.

Malware přepisuje aktualizační funkce aplikací – New malware overwrites software updaters. Toto malware určené pro počítače s Windows se samo maskuje třeba jako aktualizace pro Adobe Reader a přepíše soubor AdobeUpdater.exe.

Viry

Antiviry a velmi jemný parní válec Microsoftu, Jiří Hlavenka na Lupě: Eugene Kaspersky, výřečný zakladatel přední antivirové společnosti Kaspersky Lab, se nedávno opřel do Microsoftu, když z jejich produktu Security Essentials udělal něco jako trhací kalendář.

Hackeři

Rusko zatklo hackera obviněného z krádeže 9,5 miliónů dolarů – Russia Arrests Alleged Mastermind of RBS WorldPay Hack. Viktor Pleščuk je jedním ze čtveřice podvodníků, kteří připravili organizovanou bankomatovou krádež (RBS WorldPay).

Ve Francii byl zatčen hacker, který pronikl do Obamova účtu na Twitteru – French police make arrest in hijacking of Obama's Twitter account. Je jím 25letý nezaměstnaný (s přezdívkou Hacker Croll), jeho motivem nebyl finanční zisk.

G-mail varuje uživatele: dejte si pozor na podezřelé aktivity na svém účtu – Gmail now warns users of suspicious account activity. O postupech společnosti Google v tomto směru informuje Gregg Keizer. Viz také Detecting suspicious account activity (Google Online Security Blog).

TJX hacker dostal 20 let – TJX Hacker Gets 20 Years in Prison. Albert Gonzalez šéfoval bandě počítačových zlodějů, která ukradla data k více než 90 miliónům karet. Článek přináší k celé situaci řadu podrobnějších informací.

Hardware

Moderní kopírovací zařízení, to je zlatý důl pro zloděje – High-tech copy machines a gold mine for data thieves. Aneb co vše může nalézt na jejich pevném disku jen trochu šikovný spolupracovník či návštěvník?

Managing Those Forgotten Mechanical Key. mechanické a elektronické zámky, jak vlastně fungují v praxi ? Michael Fitzgerald provádí v článku užitečná srovnání praktických využití. Aktuálnost neztrácí také odkaz na článek z roku 2005 – 19 Ways to Build Physical Security into a Data Center (Sarah D. Scalet).

Joanna Rutkowska si položila otázku: lze důvěřovat hardware? Ačkoliv máte ty nejlepší SW ochrany, dodržujete bezpečné postupy, přesto se můžete setkat např. s tím, že výrobce HW do něho zabudoval zadní vrátka. Joanna vysvětluje, jaké zde mohou existovat problémy – Trusting Hardware.

Mobilní telefony

Útoky na chytré mobily nejsou již jen záležitostí teorie – Smart Phone Attacks: Here and Now. Bill Brenner vysvětluje, proč je to dnes již aktuální nebezpečí. Odkazuje se na doporučení uvedená v článku (jeho autorem je Joan Goodchild) – There´s an Insecure App for That.

Spam

Hackers hit where they live – odkud přichází útoky (spam)? Podle umístění serverů přichází třetina útoků z USA. Jestliže se však podíváme na IP adresu odesilatele, pak je rozložení jiné: Čína 28,2 procent, Rumunsko 21.1 procent a USA 13,8 procent (MessageLabs).

Výsledky jiného, poněkud odlišněji orientovaného přehledu najde čtenář na stránce Millions continue to click on spam (Messaging Anti-Abuse Working Group) – bezpečnost e-mailu, kdo otevře jeho přílohu či klikne na odkaz ve spamu. Celá zpráva je pak zde – 2010 MAAWG Email Security Awareness and Usage Report.

Elektronické bankovnictví

Brian Krebs se ještě jednou obrací k bankomatovým podvodům – Would You Have Spotted this ATM Fraud?. Informuje o nových pokusech podvodníků v tomto směru.

Elektronický podpis

Studie Certifed Lies: Detecting and Defeating Government Interception Attacks Against SSL se zabývá bezpečností SSL, ukazuje existující slabiny. Je komentována na stránce Why the browsers must change their old SSL security (?) model. Další komentáře najdete na stránkách:

Biometrie

Deset stisknutí klávesy a hackera lze identifikovat – Foiling fraudsters in just 10 keystrokes. John Hill informuje o výzkumu, který probíhá na univerzitě v Newcastle.

Kryptografie

Bruce Schneier vydal novou knihu: Cryptography Engineering. Je to vlastně aktualizovaná verze knihy Practical Cryptography. Knihu lze nalézt například na – Amazonu. Oficiálně vyšla 15. března, má 384 stran. Spoluautory knihy jsou Niels Ferguson a Tadayoshi Kohno (poslední připravil toto přepracované vydání).

root_podpora

Co je to homomorfní šifrování a proč by nás mělo zajímat – What is Homomorphic Encryption, and Why Should I Care?. Craig Stuntz objasňuje podstatu těchto přístupů. Mimo jiné ale zmiňuje, že současný stav těchto metod neumožňuje dost dobře připravit konkrétní řešení vhodné pro praxi.

Různé

Přehled vychází z průběžně publikovaných novinek na Crypto – News.

Byl pro vás článek přínosný?