Bezpečnostní střípky: jaké bezpečnostní hrozby budou aktuální v roce 2011?

Jaroslav Pinkava 22. 11. 2010

Pravidelný pondělní přehled informací vztahujících se k problematice bezpečnosti IT. Z novinek právě uplynulého týdne vás upozorníme především na přehled volně dostupného bezpečnostního software, dále pak na nově zjištěné podrobnosti k červu Stuxnet a na nové triky bankomatových podvodníků.

Přehledy a konference

Počítačová kriminalita se týká více než dvou třetin uživatelů internetu, říká zpráva Norton Cybercrime Report. Komentář k této zprávě si lze přečíst na stránce Cybercrime strikes more than two-thirds of Internet users.

Probíhají přípravy na hackerský kongres (Chaos Computer Club) – 27C3: Preparations for hacker congress are gaining momentum. Již byl zveřejněn předběžný program této berlínské akce – 27th Chaos Communication Congress.

Zpráva společnosti McAfee – McAfee Threats Report: Third Quarter 2010  – malware je nyní tolik, jak ho nebylo nikdy předtím. Jako na jeden z nejvíce sofistikovaných malware je poukazováno na trojan ZeuS – McAfee: Malware still on the rise (komentář stručně shrnující výsledky zprávy).

Obecná a firemní bezpečnost IT

Obamova administrativa zvažuje plány na zpřísnění ochrany soukromí na internetu – Obama may toughen Internet privacy rules, report says. Součástí těchto příprav je vytvoření speciálního týmu, v jehož čele jsou Christopher Schroeder (ministerstvo spravedlnosti) a Cameron Kerry (ministerstvo obchodu).

Esej Bruce Schneiera je věnována námětu Microsoftu – dát infikované počítače do karantény – Internet Quarantines. Zamýšlí se v ní nad problémy, které by díky takovémuto přístupu vznikly. Připojena je bohatá diskuze.

Začínají se objevovat předpovědi, jaké to bude v příštím roce. Top 10 bezpečnostních hrozeb pro rok 2011 najdete na stránce Top 10 security threats for 2011, připravila je Imperva (spolu s některými doporučeními pro bezpečnostní profesionály):

  1. Nation-sponsored hacking: When APT meets industrialization
  2. The insider threat is much more than you had imagined
  3. Man in the Browser attacks will man up
  4. Misanthropes and anti-socials: Privacy vs. security in social networks
  5. File security takes center stage
  6. Data security goes to the cloud
  7. Mobile devices compromise data security
  8. Hackers feeling the heat
  9. Cyber security becomes a business process
  10. Convergence of data security and privacy regulation worldwide

Deset doporučení pro úspěšný program penetračních testů najdete na stránce Penetration tests: 10 tips for a successful program. Neil Roiter sestavil užitečnou příručku pro ty, kdo provádí penetrační testy. Každý ze zmíněných bodů je podrobně rozebrán.

V incidentu v dubnu 2010 bylo 15 procent internetového provozu přesměrováno čínskými servery – 15 Percent of Internet Traffic Was Redirected Through Chinese Servers, Report. Přesměrování se týkalo také armádní komunikace USA. Není jasné, zda se to odehrálo náhodou či zda zde byl záměr. Viz také komentáře:

Zuckerberg a Google diskutují spolu okolo importu e-mailových adres – Zuckerberg admits fallibility over Gmail block. Dohoda zřejmě hned tak nebude.

Dvanáctku nejvíce nebezpečných online podvodů, před kterými by měli být uživatelé na pozoru v nadcházejících svátcích, sepsala společnost McAfee – The 12 most dangerous online scams (například je zmíněn smishing – phishingové zprávy odesílané prostřednictvím SMS, nabídka „levných“ produktů atd.).

Většina organizací nechápe význam digitálních důkazů – Most organizations don't understand the value of digital eviden. Zajímavé by určitě bylo, kdyby někdo popsal situaci s jejich využíváním v Česku.

FBI tlačí na Google a Facebook – k rozšíření odposlechů – FBI brass ask Google, Facebook to expand wiretaps. Dan Goodin k tomu ve svém komentáři říká – týká se to vývoje aplikací (e-mail, IM, VoIP).

Profesionálové v IT bezpečnosti – nároky na jejich znalosti se vyvíjí – Cyber-Security Job Development Challenges Highlighted in Survey . Brian Prince informuje o výsledcích přehledu, který připravila organizace Information Systems Security Certification Consortium (ISC)2. Tito odborníci mimo jiné poukazují na častý problém – neexistenci plánu jejich pracovního rozvoje.

Pro blížící se obchodní sezónu před svátky připravil DGA Security Systems desítku bezpečnostních doporučení pro obchodníky – 10 security tips for retailers.

Několik doporučení k tomu, aby skutečně fungovala správa privilegovaných přístupů (Privileged Identity Management -PIM) si lze přečíst na odkazu Privileged Identity Management: 7 tips to make it work for you . Neil Roiter se v rozsáhlejším článku na csoonline.com (a souběžně vydaném článku téhož autora – Too much access? Privileged Identity Management to the rescue) zabývá cestami, které pomohou k tomu, aby produkty pro PIM pracovaly tak, jak mají.

Sociální sítě

Proč byste nikdy neměli Facebooku důvěřovat, důvody k tomu vysvětluje Chad Perrin – Why you should never trust Facebook.

Bezpečnostní dopady nové e-mailové služby Facebooku jsou předmětem článku Security implications of new Facebook e-mail service. Další možnost pro rozesílání spamu – to je nejčastější kritika. Také je upozorňováno na tu skutečnost, že Facebook bude uchovávat veškerou e-mailovou komunikaci uživatele. Otazné jsou pak možnosti zneužití (ochrany Facebooku nejsou považovány za příliš bezpečné).

Nástroje, které pomohou chránit vaše soukromí na Facebooku, některé možnosti pro využití takovýchto nástrojů uvádí Chad Perrin  – Check out these third-party tools to help safeguard Facebook privacy .

The Paranoid's Guide to Facebook, to je další příručka, tentokrát je určena dokonce i pro paranoiky. Logan Kugler prochází problémovými oblastmi a uvádí některá doporučení. Naprosto bezpečný přístup podle autora – smažte svůj účet na Facebooku…

Facebook message security risks ‚open door to Web 2.0 botnet‘ aneb Facebook otevřel bránu pro Web 2.0 botnety. John Leyden poukazuje na rizika nového systému pro zasílání zpráv, který byl spuštěn nyní na Facebooku.

Na Facebooku jsou prodávány dokonce i falešné pasy a další falešné dokumenty – Fake documents sold on Facebook. Pokud zmíněná nabídka není žert, pak někteří lidé nemají vůbec žádný strach z toho, že budou dopadeni, konstatuje autor článku.

Software

Přehled volně dostupného bezpečnostního SW najdete na této stránce – 39 free security software tools. Ellen Messmer si dala práci a vytvořila takovýto bezesporu užitečný seznam. Článek byl nejprve volně dostupný, později se objevil požadavek na registraci. Také diskuze s dalšími náměty zřejmě zmizela.

Uživatelům Linuxu – jako ochranu před útoky z rozšíření Firesheep nabízí volně dostupné řešení společnost Sophos – Anti-Firesheep Trick Protects Linux Users.

VLC v nové verzi odstraňuje nebezpečnou zranitelnost – VLC Media Player 1.1.5 fixes Windows vulnerability. VLC Media Player 1.1.5 adresuje zranitelnost dotýkající se přístupu Samby do systémů Windows.

Podle výsledku hlasování čtenářů je TrueCrypt nejlepší šifrovací utilitou – Best File Encryption Tool: TrueCrypt.

Lákadla pro detekci průniků pomáhají zajistit bezpečnost sítí – Intrusion detection honeypots simplify network security. Roger A. Grimes zde popisuje své zkušenosti s takovýmito lákadly (honeypots) různých typů.

Open source – k teorii více oči více vidí (vztaženo k bezpečnosti) se obrací autor článku The many eyes that matter for security are the friendly eyes. Chad Perrin rozebírá existující v tomto směru argumenty v komentáři k článku Donovana Colberta – Linux vs. Windows: Suspending logic and reason for blind faith.

Malware

Jak botnet Koobface vydělal dva milióny dolarů za jeden rok – How the Koobface Botnet Made $2 Million in a Year. Koobface prosazuje své „aktivity“ mj. i prostřednictvím sociálních sítí (Facebook, Twitter). Brian Prince v článku informuje o jeho postupech, které rozkrývá analýza Koobface: Inside a Crimeware Network zpracovaná institucí Information Warfare Monitor (IWM).
Viz také komentář – Researchers take down Koobface servers.
Červu Koobface je věnován také článek Koobface takedown exposes money trail.

Nový nebezpečný trojan na obzoru nese označení Trojan.Spy.YEK a může být využíván k firemní špionáži. Vyhledává kritická data, soubory obsahující soukromé informace firem a odesílá je útočníkovi – New Trojan Threat Emerges.

Dosud nejsofistikovanější rootkit útočí na 64-bitová Windows – World's most advanced rootkit penetrates 64-bit Windows. Rootkit TDL známý také jako Alureon se objevil v 64-bitové verzi někdy během srpna tohoto roku. Umí obejít ochrany Microsoftu (podpisovou ochranu Windows). V článku TDL4 Rootkit Bypasses Windows Code-Signing Protection jsou popsány vlastnosti této nové verze.

IRC botnet umírá… ale ještě ne úplně. Paul Roberts v článku Report: IRC Botnets Dying…But Not Dead informuje o zjištěních monitorovací firmy Team Cymru.

Geographic Distribution of Malware, k zeměpisným charakteristikám malware. Autor článku zde představuje několik grafů, které ukazují rozdělení malware na jednotlivé země z různých pohledů – četnost „špatných“ IP adres, crackeři hesel, původci spamu, hostingy botnetů a phisherské stránky.

Reverzní inženýrství rootkitu ZeroAccess, podrobný čtyřdílný článek věnovaný této problematice si lze přečíst na stránce Step-by-Step Reverse Engineering Malware: ZeroAccess / Max++ / Smiscer Crimeware Rootkit.

Stuxnet

New Stuxnet Details May Shed Light on True Target – zjištěny byly nové podrobnosti k červu Stuxnet. Měly by napomoci odhalit jeho pravé cíle, říkají analytici ze společnosti Symantec – Stuxnet: A Breakthrough.
K těmto novým informacím se objevila řada dalších komentářů:

Novou verzi analýzy červa Stuxnet společností Symantec si lze přečíst zde – W32.Stuxnet Dossier.

Společnost Trend Micro vydala nástroj pro detekci červa Stuxnet – Trend Micro releases free Stuxnet detection tool – dostupný je bezplatně.

Stuxnet změnil pohled na počítačovou bezpečnost – Experts: Stuxnet changed the cybersecurity landscape. Grant Gross ve svém článku shrnuje dopady existence tohoto červa z pohledu na celkovou situaci v IT bezpečnosti, zejména však co se týká průmyslových kontrolních systémů.

Viry

Čtvrtina uživatelů internetu již obdržela pozvánku od falešného antiviru – Scareware cold-callers target 1 in 4. K informacím, které vydala britská vláda.

Hackeři

Raketa, kterou viděli v Kalifornii – je to akt čínských hackerů? Dohady v tomto článku  – California Missile: Chinese Cyberwar or DOD ‘Accident’? – zní značně fantasticky, jedno je zřejmě fakt, raketu viděli.

Problémem spolupráce interních zaměstnanců s kyberkriminálními aktéry se zabývá článek Cybercriminals, Insiders May Work Together To Attack Businesses. Robert Lemos rozebírá scénář, který se v poslední době objevuje stále častěji.

Gonzales – to je největší počítačový zločinec – The Great Cyberheist. Alespoň podle objemu ukradených financí, odhad je 400 miliónů dolarů. Rozsáhlejší článek popisuje jeho příběh. Viz také komentář – The Great Cyberheist.

Podrobnější popis DDoS útoku na Barmu je v článku Attack Severs Burma Internet, Craig Labovitz zde uvádí některé statistiky.

Hackeři se snaží dostat do výsledků vyhledávání k britské královské rodině  – Hackers hop onto royal engagement search results. Zajímají vás podrobnosti ze života Kate Middleton? Pak opatrně, nevíte, na kterou stránku se dostanete.

Německý hacker využil služby pro pronájem výpočtů (cloud computing) k hacknutí SHA-1 hashí – German hacker uses rented computing to crack hashing algorithm. Cena za jeden hash – dva dolary. Podrobnosti ke svým postupům k tomu sepsal autor zde – Cracking Passwords In The Cloud: Amazon’s New EC2 GPU Instances. Poznámka: funguje to pro hashe hesel, které jsou v délce od jednoho do šesti znaků.

Spam

Spam související s blížícími se svátky je již zde – Holiday spam e-mail runs start off. Anglickojazyčný spam snad není pro naše uživatele tak nebezpečný, ale kdo ví, jací chytráci se najdou u nás?

Elektronické bankovnictví

Evropské banky upozorňují na nový typ útoků na bankomaty – European banks see new ATM skimming attacks. Řada bank přidala do bankomatů zařízení, které má uživatele chránit před útoky typu skimming (přečtení dat z karty). Ukazuje se však na řadě míst, že útočníci tato zařízení úspěšně odstraní a nahradí je svými – modifikovanými pro skimming.

Ruské banky jsou vyšetřovány pro možnou účast na hackerských útocích v USA – Russian banks probed for involvement in U.S. hacker attacks. Může tu být i souvislost s trojanem Zeus (jeho autorem má být ruský hacker).

Autentizace, hesla

Identity Theft Council, to je nové místo, kam se mohou obracet oběti krádeže ID. O cílech a postupech tohoto centra informuje Michael Kassner – Identity Theft Council: A resource for identity-theft victims.

Administrátorská hesla, to je Achillova pata bezpečnosti (Admin Passwords are the Achilles Heel of Security). Tony Bradley poukazuje na problémy, které se objevují v praxích administrátorských hesel.

Co se děje v situacích, kdy někdo chce ukrást něčí identitu – What it's like to steal someone's iden­tity. Joan Goodchild ve svém článku popisuje postupy, které používá Chris Roberts při svých penetračních testech.

Problémy práce s hesly se zabývá na Lupě Pavel Čepský:

Phishing

Narostly útoky týkající se e-obchodu a herních firem – E-commerce and online gaming phishing attacks surge. V článku jsou uvedeny některé statistiky z šetření, které provedla společnost IID.

Biometrie

Will ears replace fingerprints as a form of ID?z – nahradí uši otisky prstů? To je komentář k studii A Novel Ray Analogy for Enrolment of Ear Biometrics. Autoři inzerují vysoké procento úspěšnosti této metody.

Nový biometrický postup se zabývá pohyby očí – For Your Eyes Only. Rozhraní pro něj je jednoduché, příslušná osoba sleduje pohyb cíle na obrazovce a kamera snímá pohyb očí. Výhodou tohoto postupu má být dynamika, nejedná se tedy o měření statických parametrů. Systém má být nyní široce testován. Viz také diskuzi na Schneierově blogu – New Biometric. Problémem může být skutečně otázka, zda zjištěné charakteristiky se udrží v delším časovém intervalu.

Kryptografie

K šifře umístěné na soše Kryptos na nádvoří CIA se vrací článek http://www.wi­red.com/threa­tlevel/2010/11/­kryptos-clue/. Stále ještě poslední část nápisu zůstává nerozluštěna. Autor však nyní zveřejnil určitou pomůcku.

Různé

Top ten českých hoaxů a řetězových zpráv za říjen 2010 – užitečné informace, nezaškodí si je připomenout.

widgety

Vydáno bylo další číslo (IN)SECURE Magazine issue 28 (listopad 2010). Z obsahu:

  • Database protocol exploits explained
  • Review: MXI M700 Bio
  • Measuring web application security coverage
  • Inside backup and storage: The expert's view
  • Combating the changing nature of online fraud
  • Successful data security programs encompass processes, people, technology
  • Sangria, tapas and hackers: SOURCE Barcelona 2010
  • What CSOs can learn from college basketball
  • Network troubleshooting 101
  • America's cyber cold war
  • RSA Conference Europe 2010
  • Bootkits – a new stage of development

Přehled vychází z průběžně publikovaných novinek na Crypto – News.

Našli jste v článku chybu?
DigiZone.cz: Test LG 55UH750V aneb Cena/výkon

Test LG 55UH750V aneb Cena/výkon

Vitalia.cz: Jak Ondra o astma přišel

Jak Ondra o astma přišel

Vitalia.cz: Jaký je rozdíl mezi brambůrky a chipsy?

Jaký je rozdíl mezi brambůrky a chipsy?

Lupa.cz: Další Češi si nechali vložit do těla čip

Další Češi si nechali vložit do těla čip

Vitalia.cz: Voda z Vltavy před a po úpravě na pitnou

Voda z Vltavy před a po úpravě na pitnou

Vitalia.cz: Tohle jsou nejlepší česká piva podle odborníků

Tohle jsou nejlepší česká piva podle odborníků

Lupa.cz: Jak se prodává firma za miliardu?

Jak se prodává firma za miliardu?

DigiZone.cz: Ginx TV: pořad o počítačových hráčích

Ginx TV: pořad o počítačových hráčích

DigiZone.cz: Numan Two: rozhlasový přijímač s CD

Numan Two: rozhlasový přijímač s CD

DigiZone.cz: Wimbledon na Nova Sport až do 2019

Wimbledon na Nova Sport až do 2019

120na80.cz: Co je padesátkrát sladší než cukr?

Co je padesátkrát sladší než cukr?

DigiZone.cz: Světový pohár v přímém přenosu na ČT

Světový pohár v přímém přenosu na ČT

DigiZone.cz: Rapl: seriál, který vás smíří s ČT

Rapl: seriál, který vás smíří s ČT

120na80.cz: Hrbatá prsa aneb mýty o implantátech

Hrbatá prsa aneb mýty o implantátech

Podnikatel.cz: Dva měsíce na EET. Budou stačit?

Dva měsíce na EET. Budou stačit?

DigiZone.cz: Mordparta: trochu podchlazený 87. revír

Mordparta: trochu podchlazený 87. revír

DigiZone.cz: Parlamentní listy: kde končí PR...

Parlamentní listy: kde končí PR...

Podnikatel.cz: Instalatér, malíř a elektrikář. "Vymřou"?

Instalatér, malíř a elektrikář. "Vymřou"?

Podnikatel.cz: Babišovi se nedá věřit, stěžovali si hospodští

Babišovi se nedá věřit, stěžovali si hospodští

Vitalia.cz: dTest odhalil ten nejlepší kečup

dTest odhalil ten nejlepší kečup