Bezpečnostní střípky: iPhone má své vlastní červy

Jaroslav Pinkava 30. 11. 2009

Pravidelný pondělní přehled informací vztahujících se k problematice bezpečnosti IT. Z informací, které přinesl tento týden lze upozornit na doplněný Security Starter Kit, odkazy věnované online bankovnictví a již se začínají objevovat varování souvisejí s předsvátečními online nákupy.

Obecná a firemní bezpečnost IT

Pět zpráv (novinek) z bezpečnosti IT, kterým bychom měli věnovat pozornost – Five security news items that should get your attention. Chad Perrin vybral pětici informací, které si to podle jeho názoru nejvíce zaslouží:

  • NSA pomohlo Microsoftu s bezpečností Windows 7. Diskutuje se o tom, zda by NSA zde mohla mít vytvořena zadní vrátka.
  • Kompromitována byla stránka NSA
  • Společnost IBM oznámila, že má k dispozici prostředek, který umí pracovat se zašifrovanými daty – bez nutnosti je dešifrovat (autorem tohoto nového algoritmu je Craig Gentry).
  • V Takoma Park jako první použili kryptografický hlasovací systém (voting system) MIT.
  • V záři se objevil první červ pro reddit (stránka pro novinky v sociálních sítích, hlasuje se o jejich významu).

McAfee – jaké typy podvodných e-mailů můžeme očekávat s blížícími se Vánoci? V článku McAfee warns about ‚12 Scams of Christmas‘ jich pracovník společnosti McAfee David Marcus identifikoval 12, jsou zde vyjmenovány, např.:

  • podvodné e-maily, které zdánlivě mají charakter charity
  • falešná oznámení od zásilkových služeb
  • žádosti přátel ze sociálních sítí
  • falešné luxusní šperky
  • bezpečné sváteční nákupy (je vaše bezdrátová síť dostatečně zabezpečena?)
  • podvodné maily spojené s hledáním zaměstnání
  • podvodné maily, které se snaží z vás vylákat hesla k účtům či jiná citlivá data
  • vyděračské soubory

Bill BrennerChecklist: 11 Security Tips for Black Friday, Cyber Monday zase uvádí jedenáct bezpečnostních doporučení pro online nákupy před svátky (USA – Den díkůvzdání):

  • Ujistěte se, že máte zapnutý bezpečnostní software
  • Chraňte uživatele před jejich vlastními chybami, jinak řečeno zvyšujte jejich bezpečnostní povědomí
  • Monitorujte síť
  • Segmentujte sítě
  • Stop pro malware v mobilních zařízeních
  • Odevzdávejte hotovost
  • Důvěřuj, ale prověřuj
  • Ověřujte podpisy
  • Transakce opírající se o PIN jsou lépe chráněny
  • Uchovávejte co nejméně dat ke kartám (nechte to na odpovědných institucích)
  • Šifrujte

So Long, And No Thanks for the Externalities: The Rational Rejection of Security Advice by Users aneb jaké mohou být racionální důvody pro zamítnutí bezpečnostních doporučení. Tento méně tradiční pohled na řešení bezpečnostních otázek je také diskutován na Schneierově blogu – Users Rationally Rejecting Security Advice.

Byla vydána zpráva U.S.-China economic and security review commision. Komentář k tomuto rozsáhlému dokumentu (381 stran) je v článku, jehož autorem je Thomas Claburn – China Cyber Espionage Threatens U.S., Report Says. Co se týká nebezpečnosti čínské kybernetické špionáže, je zde v letošním roce konstatován význačný posun těchto aktivit oproti rokům 2008 a 2007.

Americká vláda – je třeba zpřísnit požadavky na pracovníky IT bezpečnosti – FY 2009 FISMA Evauazion Report. Komentář k této zprávě amerického ministerstva vnitra je obsažen v článku Feds To Sharpen Cybersecurity Job Policies.

Proč musíte mít své hlavní uživatele pod kontrolou? na tuto otázku odpovídá Bob Tarzey v článku Why you must rein in your power users. Říká, že privilegovaní uživatelé musí být kontrolováni nejméně tak jako běžní uživatelé, ale spíše více. Pokud oni zapříčiní škodu, nebývá to škoda malých rozměrů.

Jaký je současný stav vývoje amerických vojenských kybernetických sil, k tomuto tématu vystoupil jejich šéf (US 24th Air Force, Lackland v Texasu) generálmajor Richard Webber na sympoziu v Los Angeles – US Military cyber forces on the defensive in network battle.

Kybernetické průniky jsou utajovány – Cyber breaches kept secret. V článku agentury Reuters se uvádí, že na zveřejněné případy datových průniků připadá mnohem více takových případů, kdy se o uskutečněných datových průnicích mlčí. Někdy není informována ani FBI (je popisována situace v USA).

Software

Čtyři možnosti, jak relativně lacino monitorovat síť – s cílem sbírat důkazy, uvádí ve svém článku Brandon Gregg – 4 Cheap Options to Monitor Networks for Evidence. Je zde také několik odkazů na další články se související problematikou.

Co se týká top 100 https stránek, jen 24 z nich je zabezpečeno proti poslednímu útoku na TLS – 24 of the 100 top HTTPS sites now safe from TLS renegotiation attacks. Tedy útoku, který je označován jako TLS renegotiation attack. Anil Kurmus demonstroval na příkladu Twitteru, jak využitím této zranitelnosti lze krást hesla.

Cloud computing pros and cons – výpočty v oblacích (cloud computing), jaké jsou jejich klady a zápory, to je komentář ke zprávě Cloud Computing: Business Benefits With Security, Governance and Assurance Perspective, kterou připravila ISACA.

Seznam přání ohledně bezpečnostních vlastností IE 9 připravil Brian Prince – A Security Wish List for Microsoft Internet Explorer 9. Je to reakce na informaci Microsoftu, který v ní uvedl některé podrobnosti k nové verzi prohlížeče Internet Explorer (ohledně novinek, které se vztahují k bezpečnosti, však nebyla žádná zmínka).

MS unleashes legal attack dogs to lick up COFEE spill – jaké jsou současné snahy Microsoftu vzhledem k uniklému nástroji MS COFEE? COFEE (Computer Online Forensic Evidence Extractor) je nástroj určený k sběru digitálních důkazů, není určen veřejnosti. Nyní je v pozměněné podobě dostupný na torrentech.

Exploit pro Internet Explorer byl zveřejněn online, týká se verzí IE 6. a IE 7. Viz komentáře:

O chybě IE 8 zase informuje článek

Jak si správně vybrat bezpečnostní software, nad tím, jaké možnosti mají uživatelé, se zamýšlí Nick Mediati – Picking the Right Security Software. Mezi doporučeními se objevují např. G-Data Antivirus (nedávno úspěšný v testech) a ZoneAlarm.

Strategie, která vede k přesměrování DNS pro chybné požadavky může vést k škodám na internetu – DNS redirect requests can harm the Internet, ICANN says. Mikael Ricknäs komentuje sdělení ICANN (Internet Corporation for Assigned Names and Numbers), které kritizuje často zaužívanou praxi, kdy po chybně zadané adrese někteří operátoři odešlou požadavek na jinou IP adresu (NXDOMAIN substitution), často jí je nějaký informační portál.

Security Starter Kit byl nově doplněn pro rok 2010 – Security Starter Kit. Bezplatně dostupné bezpečnostní programy v něm obsažené (ke každému z nich je uvedena stručná informace):

Komentář k aktualizaci tohoto seznamu je na stránce Big changes in Security Starter Kit 2010.

Malware

Některá rozšíření Firefoxu lze zneužít pro instalaci malware – Some Firefox extensions may be exploited to install malware. Michael Kassner informuje o výsledcích výzkumu, který provedli pánové Suggi Liverani a Freeman (to druhé jméno je pochopitelně pseudonym).

Viry

Viry skryté v antivirech, Ondřej Bitto na Živě: Jednou z moderních hrozeb jsou podvodné aplikace, v čele s falešnými antiviry. Poslední dobou jejich počet stoupá – jak fungují a jak se proti nim úspěšně bránit?

Hackeři

Japonská stránka Symantecu se stala další obětí rumunského hackera Unu – Symantec Japan website bamboozled by hacker. Plaintext passwords revealed. John Leyden informuje o nalezené zranitelnosti typu Blind SQL Injection.

A jeden speciální hack – stránky kláštera Shaolin – Hacks of Chinese temple were online kung fu, abbot says. Představený shaolinského kláštera to charakterizoval jako online kung fu.

Co znamená únik e-mailů k změnám klimatu ve vztahu k trendům hacktivismu? V článku Climate Change E-mail Leak Indicates ‚Hacktivism‘ Trend se Stefanie Hoffman pokouší zařadit tento únik dat do širších souvislostí. Viz také článek

Mobilní telefony

Malware na iPhone je žhavým tématem posledních dní. První skutečně škodlivý červ se objevil v Holandsku – IT: First Malicious iPhone Worm In the Wild on Saturday November 21, @03:37PM . Viz také komentář Johna Leydena – First malicious iPhone worm slithers into wild.

Nový červ pro iPhone krade bankovní data, staví botnet – New iPhone worm steals online banking codes, builds botnet. Rychlost, se kterou se vyvíjí situace s malware pro iPhone, je varující. Viz také – New iPhone password: „ohshit“.

Elektronické bankovnictví

Jaké jsou bezpečnostní hrozby online financím v roce 2010? Ori Eisen v Online financial security threats: What can we expect in 2010? ukazuje na pětici v tomto směru největších hrozeb a v druhé pětici poukazuje na to, kde bychom měli být především opatrní.

  • Další rozšíření phishingu a objevení se SMShingu
  • Na scéně budou podvody
  • Nábor soumarů
  • Útoky botů
  • Otevírání online účtů (Demand Deposit Accounts – DDA) bude poskytovat podvodníkům další výhody.

A tedy čeho se v roce 2010 obávat:

  • Vzdálené depozity
  • Mobilní bankovnictví
  • Podvody běžící vícekanálově (např. kombinace informací získaných online s bankomatovými podvody)
  • Maskování citlivých dat
  • Objeví se více trojanů typu „URLZone“

Současným bankovním trojanům se v článku New Banking Trojan Horses Gain Polish věnuje Robert Vamosi. Popisuje vlastnosti těchto typů malware a uvádí jejich příklady – URLzone, Silentbanker, Zeus a Clampi.

Používejte pro online finanční transakce PC, které je určeno jen k těmto účelům – Take a tip from the Feds. FBI advice to use a dedicated PC for online transactions is both practical and low cost. Martin Courtney komentuje doporučení, které pochází od FBI. I domácí uživatelé mohou někde v garáži vyhrabat staré zaprášené PC, stačí vlastně, aby na něm fungoval prohlížeč.

ENISA zpracovala dokument k online bankovnictví prostřednictvím evropských eID karet  – Privacy and Security Risks when Authenticating on the Internet with European eID Cards. Celý název materiálu (41 stran) je Privacy and Security Risks when Authenticating on the Internet with European eID Cards. Komentář k němu je na stránce Online banking security risks through European eID cards.

Pět doporučení pro zabezpečení komunikace se zákazníky zpracoval Chad Perrin – Five guidelines for secure customer communication. Ideální politika by měla obsahovat pětici charakteristik, které jsou dále popsány, týkají se kryptografických digitálních podpisů, používání standardních šifrovacích protokolů, využívání prostředků pro verifikaci digitálních podpisů, používání zabezpečených webových stránek s přístupem TLS a konstatování, že je třeba nevyhovět těm zákazníkům, kteří (z důvodů vlastní pohodlnosti) nejsou ochotni podřídit se zaužívaným bezpečnostním postupům.

Elektronický podpis

Do datových schránek se dá vloupat, tvrdí odborníci, z úvodu: Datové schránky nejsou bezpečné, pohodlně se do nich dostanou tisíce poskytovatelů internetového připojení, tvrdí odborníci z bezpečnostní firmy 4 Safety. Na důkaz v úterý pod dohledem novinářů vnikli do čerstvě zaregistrované datové schránky.

Co je nedostatečně bezpečné? Datové schránky nebo osvěta?, Jiří Peterka na Lupě: Podcenění základních principů bezpečnosti, stejně jako podcenění potřeby kvalifikované osvěty, se autorům a provozovatelům datových schránek nyní vrací jako bumerang zpět na jejich hlavu. Společnost 4Safety v úterý názorně předvedla novinářům, k čemu toto podcenění může vést. Aneb: jak se nechat oblafnout, i když přesně dodržíte to, co vám stát (bohužel nesprávně) radí.

Normy a normativní dokumenty

Americký NIST vydal v uplynulém týdnu dokument:

Kryptografie

Rozbitá tajná šifra Al-Kajdy – Bruce Schneier přichází se zajímavým námětem pro diskuzi na svém blogu – Al Qaeda Secret Code Broken.

widgety

Na stránkách Cryptology ePrint Archive se objevily tyto zajímavé odborné studie věnované problematice kryptografického párování:

Různé

Přehled vychází z průběžně publikovaných novinek na Crypto – News.

Našli jste v článku chybu?
Vitalia.cz: dTest odhalil ten nejlepší kečup

dTest odhalil ten nejlepší kečup

Vitalia.cz: Jaký je rozdíl mezi brambůrky a chipsy?

Jaký je rozdíl mezi brambůrky a chipsy?

Podnikatel.cz: Babišovi se nedá věřit, stěžovali si hospodští

Babišovi se nedá věřit, stěžovali si hospodští

DigiZone.cz: Digi2GO u Alza.cz a s balíčkem Sport zdarma

Digi2GO u Alza.cz a s balíčkem Sport zdarma

120na80.cz: Co je padesátkrát sladší než cukr?

Co je padesátkrát sladší než cukr?

DigiZone.cz: Numan Two: rozhlasový přijímač s CD

Numan Two: rozhlasový přijímač s CD

DigiZone.cz: Nova opět stahuje „milionáře“

Nova opět stahuje „milionáře“

Lupa.cz: Patička e-mailu závazná jako vlastnoruční podpis?

Patička e-mailu závazná jako vlastnoruční podpis?

DigiZone.cz: Parlamentní listy: kde končí PR...

Parlamentní listy: kde končí PR...

DigiZone.cz: Wimbledon na Nova Sport až do 2019

Wimbledon na Nova Sport až do 2019

DigiZone.cz: DVB-T2 ověřeno: seznam TV zveřejněn

DVB-T2 ověřeno: seznam TV zveřejněn

Podnikatel.cz: Dva měsíce na EET. Budou stačit?

Dva měsíce na EET. Budou stačit?

Podnikatel.cz: Instalatér, malíř a elektrikář. "Vymřou"?

Instalatér, malíř a elektrikář. "Vymřou"?

Lupa.cz: Aukro.cz mění majitele. Vrací se do českých rukou

Aukro.cz mění majitele. Vrací se do českých rukou

Podnikatel.cz: Udělali jsme velkou chybu, napsal Čupr

Udělali jsme velkou chybu, napsal Čupr

Vitalia.cz: Muž, který miluje příliš. Ženám neimponuje

Muž, který miluje příliš. Ženám neimponuje

Vitalia.cz: 5 důvodů, proč jet na výlov rybníka

5 důvodů, proč jet na výlov rybníka

Lupa.cz: Další Češi si nechali vložit do těla čip

Další Češi si nechali vložit do těla čip

DigiZone.cz: Mordparta: trochu podchlazený 87. revír

Mordparta: trochu podchlazený 87. revír

Lupa.cz: Hackeři mají data z půlmiliardy účtů Yahoo

Hackeři mají data z půlmiliardy účtů Yahoo