Bezpečnostní střípky: informace z konferencí BlackHat a Defcon

Jaroslav Pinkava 10. 8. 2009

Pravidelný pondělní přehled informací vztahujících se k problematice bezpečnosti IT. Z novinek tohoto týdne lze upozornit na komentáře k situaci okolo hacknutí na Twitteru, informace k postupům vedoucím k bezpečnějším webovým aplikací a třeba na informaci k implementaci antiviru v podnikové síti.

Přehledy a konference

Média se samozřejmě ještě stále vrací k průběhu konferencí Black Hat a Defcon. V letošním roce – možná ještě více než tomu bylo v uplynulých letech – zde byla probírána celá řada zajímavých témat, objevilo se množství významných hacků. Trochu atmosféry z konference Black Hat přináší těchto dvacet pohlednic – 20 Scenes From BlackHat 2009. Dále jeden z ucelenějších pohledů na celý průběh konference Black Hat zpracoval(a) Wendy M. Grossman – All Around My (Black) Hat. A report on the proceedings at the Black Hat security conference 2009.

Top 10 of Black Hat and Defcon aneb Top 10 z konferencí Black Hat a Defcon. Iain Thomson popisuje, co ho nejvíce na těchto akcích zaujalo. Jeho žebříček:

  • 10. Internal hacks
  • 9. Federal Aviation Administration hacking
  • 8. The Feds
  • 7. SMS hacking
  • 6. Software updates
  • 5. Cloud computing
  • 4. AES hacking
  • 3. ATM hacking
  • 2. Microsoft
  • 1. Secure Socket Layer

Elinor Mills také popisuje osobní zkušenosti z účasti na DEFCON 17 (Las Vegas) v tomto roce a konstatuje, že také hackerská komunita stárne. Dále – pobyt mezi hackery, vás může učinit poněkud paranoidními – Hanging with hackers can make you paranoid.

Obecná a firemní bezpečnost IT

Bruce Schneier zpracoval esej, jejíž téma se odvíjí od velkého čínského firewallu – Building in Surveillance. Schneier zde hájí svobodný internet.

Jeff Bardin v poněkud kritickém pohledu – Top Ten Reasons You Know Your CISO Must Go – vysvětluje, co byste měli vědět o způsobu myšlení šéfů (v deseti bodech).

S kritickým pohledem přichází také Kenneth van Wyk, tentokrát je věnován neodpovědnosti na akcích Black Hat a Defcon – Irresponsibility at Black Hat, Defcon. Producenti SW byli o zranitelnostech (ve dvou případech, které autor jmenuje – Apple iPhone SMS a Computrace LoJack laptop firmware) informováni pozdě a neměli dost času na ně zareagovat.

Potom co Melissa Hathaway stáhla svoji žádost o toto místo, není jasné, kdo by měl stát na čele americké kyberbezpečnosti – Cybersecurity Czar Position Still Open.

Rezignace Melissy Hathaway zvyšuje tlak na Obamovu administrativu – Pressure on Obama to move fast on cybersecurity appointment. Nového šéfa kybernetické bezpečnosti je třeba jmenovat urychleně, říká Jaikumar Vijayan ve svém komentáři.

V dalším svém komentáři se Jaikumar Vijayan vrací k současné situaci v USA ohledně jmenování nového federálního šéfa kybernetické bezpečnosti – The cybersecurity job no one really wants. Nadpis článku je více než výmluvný, je to pozice, kterou nikdo nechce.

Podle přehledu, který zpracovala ISACA, neumí 2/3 firem změřit hodnotu svých IT investic – ISACA survey: Two-thirds of firms failing to measure IT value. Přehled byl zpracován na základě odpovědí 1217 profesionálů z devíti zemí.

Computer security – encyclopedia article about Computer security, to je internetová encyklopedie bezpečnosti IT a jeden z odkazů, ke kterým stojí za to se občas vrátit.

Nebezpečí přílišného spoléhání se na dosažené shody dokumentují Charles Cresson Wood a Kevin BeaverThe Dangers of Over-Reliance on Compliance. Zkušenosti posledního času ukazují, že i organizace, které ve svých politikách mají dosažení shody s regulačními ustanoveními a řídí se v tomto smyslu těmito politikami, jsou předmětem datových průniků.

Twitter

Nejprve, již počátkem týdne bylo konstatováno, že filtr malware na Twitteru je málo efektivní – Twitter's malware filter has ‚disappointing results‘, say security experts.

Následné informace oznámily, že Twitter se stal předmětem útoku DDoS,  – Twitter Crippled by Denial-of-Service Attack (také David Silmen – Twitter čelil masivnímu útoku). Útok DoS byl příčinou toho, že Twitter byl po několik hodin nepřístupný. Viz dále:

Předmětem útoku byl účty gruzínského uživatele Twitteru (Cyxymu = Suchumi) na Twitteru, Facebooku, LiveJournal, Google´s Blogger a YouTube, útoky byly prováděny souběžně.

Objevily se spekulace (komentář Briana Krebse) – Russia-Georgia Conflict Blamed for Twitter, Facebook Outages – V pozadí útoků na Twitter a Facebook je rusko-gruzínský konflikt? K tématu se dále vrací také článek Security experts scramble to decipher Twitter attack. Je výročí tohoto konfliktu příčinou útoku?

Software

Automated updates: Why they may not be such a good idea – jsou automatické aktualizace dobrým nápadem? Michael Kassner hovoří o nedávno vyvinutém nástroji Ippon a o nebezpečích, která mohou vzniknout jeho využitím a využitím jemu podobných utilit.

Nalezeny byly nebezpečné chyby v XML – XML flaws threaten ‚enormous‘ array of apps. Finská firma Codenomico: chyby jsou obsaženy téměř v každé open source knihovně pro XML. Zneužití některých z nich může vést k spadnutí počítače nebo dokonce je následně možné na počítači dálkově spouštět škodlivý kód.

Bezpečnost webových aplikací – jak se mají firmy bránit proti hackerům – Web Application Security 101: Protecting the Enterprise against Hackers . Mandeep Khera charakterizuje současnou situaci a ukazuje na některé problémové momenty. Důležitost analýzy aktuálních rizik zdůrazňuje také Mary LandesmanSloppy risk assessment raises web fear factor.

Tomuto tématu je také věnován článek Jak zajistit bezpečnost webových aplikací. Z úvodu: Funkční a zátěžové testování výrazně zvyšuje bezpečnost webových řešení, zvláště pokud se jedná o automatizovaný systém.

Malware

ESET: Škodlivý software: celosvětově vládne Conficker, v Česku se nejvíc šíří Bredolab – podle zjištění antivirové firmy ESET se ve světě v červenci nejvíce šířila infiltrace Win32/Conficker. Česko a také Slovensko jsou výjimkou, tady už druhý měsíc vládne trojan Bredolab.

Viry

Mary Brandel v informačně obsažném článku How to Evaluate, Compare and Implement Enterprise Antivirus přináší podrobnější pohled na implementaci antiviru v podnikové síti. Výkonnost je důležitá, ale rozhodně není jediným kritériem.

Hackeři

Hacker (Righter Kunkel) na Defconu ukázal, jak lze kompromitovat letový systém, jak jednoduše narušit Federal Aviation Administration´s a­ir traffic control system – Defcon air traffic control hacker: Excuse me while I change your aircraft’s flight plan.

Nejlepší (a nejhorší) hacky na konferenci Defcon uvádí Kit Eaton v přehledu nejzajímavějších informací – The Best (and Worst) Hacks of Defcon Computer Security Conference 2009 .

Hardware

Elektronické zámky lze cracknout, také toto bylo jedním z témat přednesených na Defconu – Electronic High-Security Locks Easily Defeated at Def. Jedná se o speciální typ zámků, který je používán například ve vládních budovách, v bankách a elektrárnách.

How secure is an optical-fibre network? – jak bezpečné jsou sítě s optickými kabely? Autor článku (Dave Bailey) komentuje závěry zprávy Fibre Optic Networks: Is Safety Just an Optical Illusion?, kterou připravil Romain Fouchereau, anylytik IDC. Popisuje existující tři postupy pro získávání dat z optických sítí.

VoIP

Na Defconu bylo také ukázáno, že aktualizace Skype může přinést do vašeho počítače i malware – Using software updates to spread malware. Cestu k tomu ukázali dva pracovníci izraelské firmy Radware.

VoIP sniffer umožňuje útoky na audio a video konference – DEFCON: Attack on audio and video conferencing made easy . NA Defconu byla prezentována verze 3.0 tohoto snifferu (Jason Ostrom a Arjun Sambamoorthy).

RFID

Feds at DefCon Alarmed After RFIDs Scanned aneb skeny RFID federálních pracovníků na Defconu, to je mj.informace k panelu, který proběhl na konferenci (Meet-the-Fed panel). Na konferenci byly (proto) také prodávány kožené náprsní tašky, které slouží zároveň jako Faradayova klícka.

Forenzní analýza

De-mystifying Defrag: Identifying When Defrag Has Been Used for Anti-Forensics (Part 1 – Windows XP), forenzní analýza : Defrag, jak probíhá identifikace situací, kdy je používán pro antiforenzní účely. První část článku je věnována této problematice pro Windows XP.

Elektronické bankovnictví

Falešný bankomat oklamal i hackery, účastníky konference DEFCON – Malicious ATM Catches Hackers. Umístěn byl v hotelu, kde byli ubytováni účastníci konference. Nebylo to však nadlouho – Fake ATM doesn´t last long at hacker meet.

Dále, objevila se informace, že bankomaty v Las Vegas asi obsahují malware – Security analyst: Las Vegas ATMs may have malware. The U.S. Secret Service is looking into the situation (Jeremy Kirk). Několik bankomatů prý odepíše požadované peníze z účtu, ale nevydá je. Vznikaly různé dohady, např. zda neexistuje souvislost se zrušenou prezentací k slabinám bankomatů (Black Hat a Defcon).

Avšak – s bankomaty v Las Vegas to nakonec bylo asi jinak – Gaming execs: Despite reports, hackers didn’t touch ATMs. Podle této informace nebyly bankomaty v hotelích napadeny hackery, ale byly deaktivovány z ochranných důvodů – právě kvůli probíhající konferenci Defcon…

Autentizace, hesla

Amazon je kritizován kvůli bezpečnosti ztracených hesel – Amazon criticised for security of lost passwords. Nepoužívá dostatečně bezpečnou metodu.

Velká Británie : nová identifikační karta hacknuta během 12 minut – ID card hacked, cloned in 12 minutes. IT specialista Adam Laurie k tomu použil notebook a mobil Nokia. Byl schopen zkopírovat všechna data na kartě, vytvořit klon karty a změnit informace na tomto klonu. Viz také – Home Office shrugs off ID card hack demo.

Elektronický podpis, SSL

Článek sslsniff je věnován nástroji sslsniff. Jeho verze 0.6 umožňuje útok „null-prefix“, který autor demonstroval na konferencích Black Hat a Defcon.

Normy a normativní dokumenty

Americký NIST minulý týden vydal dva dokumenty, jsou to

widgety

Kryptografie

Na konferenci Black Hat bylo také prezentováno rychlé generování MD5 kolizí pomocí grafických karet ATI – MD5 CHOSEN-PREFIX COLLISIONS ON GPUS. BLACK HAT USA 2009. Samotná prezentace (Marc Bevand) je pak zde – MD5 ChosenPrefix Collisions on GPUs.

Různé

Přehled vychází z průběžně publikovaných novinek na Crypto – News.

Našli jste v článku chybu?
Podnikatel.cz: Babišovi se nedá věřit, stěžovali si hospodští

Babišovi se nedá věřit, stěžovali si hospodští

120na80.cz: Galerie: Čínští policisté testují českou minerálku

Galerie: Čínští policisté testují českou minerálku

Podnikatel.cz: I vám můžou vykrást značku. Braňte se

I vám můžou vykrást značku. Braňte se

Lupa.cz: Další Češi si nechali vložit do těla čip

Další Češi si nechali vložit do těla čip

Vitalia.cz: Voda z Vltavy před a po úpravě na pitnou

Voda z Vltavy před a po úpravě na pitnou

Lupa.cz: Jak levné procesory změnily svět?

Jak levné procesory změnily svět?

Vitalia.cz: Běháte a nehubnete? 6 častých chyb

Běháte a nehubnete? 6 častých chyb

Podnikatel.cz: Tyto pojmy k #EET byste měli znát

Tyto pojmy k #EET byste měli znát

Vitalia.cz: dTest odhalil ten nejlepší kečup

dTest odhalil ten nejlepší kečup

Vitalia.cz: Test dětských svačinek: Tyhle ne!

Test dětských svačinek: Tyhle ne!

Vitalia.cz: Antibakteriální mýdla nepomáhají, spíš škodí

Antibakteriální mýdla nepomáhají, spíš škodí

Měšec.cz: „Ukradli“ jsme peníze z bezkontaktních karet

„Ukradli“ jsme peníze z bezkontaktních karet

Root.cz: Podívejte se na shořelé Samsung Note 7

Podívejte se na shořelé Samsung Note 7

Vitalia.cz: Jak Ondra o astma přišel

Jak Ondra o astma přišel

DigiZone.cz: Budoucnost TV vysílání ve Visegrádu

Budoucnost TV vysílání ve Visegrádu

DigiZone.cz: Nova opět stahuje „milionáře“

Nova opět stahuje „milionáře“

Vitalia.cz: Nová vakcína proti chřipce se aplikuje nosem

Nová vakcína proti chřipce se aplikuje nosem

Vitalia.cz: Tradiční čínská medicína a rakovina

Tradiční čínská medicína a rakovina

Podnikatel.cz: Udělali jsme velkou chybu, napsal Čupr

Udělali jsme velkou chybu, napsal Čupr

Lupa.cz: Odkazy na pirátský obsah mohou být nelegální

Odkazy na pirátský obsah mohou být nelegální