Bezpečnostní střípky: jaké jsou bezpečnostní vlastnosti nového IE9?

Jaroslav Pinkava 21. 3. 2011

Pravidelný pondělní přehled informací vztahujících se k problematice bezpečnosti IT. Z novinek tohoto týdne upozorníme na články zabývající se otázkami bezpečnosti ve vztahu k Windows 7, na nepříjemné prolomení serverů společnosti RSA a na některá doporučení vztahující se k využívání sociálních sítí.

Přehledy

Kromě útoků DoS trpí organizace také jinými typy útoků – Web attackers deface gov't sites, steal from financials. Robert Lemos v tomto článku informuje o datech z průběžně zpracovávaného přehledu Web-Hacking-Incident-Database. Situace, kdy je cílem útoku shození webu, tvoří celou jednu třetinu všech incidentů (15 procent útoků je tzv. defacement, 13 procent jsou krádeže informací). Z hlediska použitých technik – útoky DoS zůstávají na čele pomyslné tabulky (to je ta jedna třetina), následují útoky SQL injection (21 procent) a XSS (9 procent).

Today's Changing Security Threats Demand the Zero Trust Model: A NIKSUN Sponsored White Paper Featuring Independent Research Firm  – jak se mění dnešní bezpečnostní hrozby. Studii (13 stran) s tímto názvem připravil Forrester Research. Nezbytná je krátká registrace.

Obecná a firemní bezpečnost IT

Zálohování jako prostředek pro obranu proti plagiátorství propaguje Mich Kabay – Backups as an anti-plagiarism tool. On sám pracuje jako profesor na universitě. V článku uvádí řadu rozumných doporučení.

Jedním z dopadů zemětřesení v Japonsku jsou také hoaxy a podvody různých typů – Japan Earthquake Triggers Radiation, Toxic Rain Web Hoaxes. Pozor také na falešné weby jakoby sbírající finanční pomoc Japoncům. Viz dále:

Falešné textovky o radiačním nebezpečí vyvolávaly paniku na Filipínách – Bogus BBC Fukushima radiation texts panic the Philippines. Příklad znění takové zprávy: BBC Flashnews: Japan gov´t confirms radiation leak at Fukushima nuclear plants. Asian countries should take necessary precautions. Remain indoors first 24hours. Close doors and windows. Swab neck skin with betadine where thyroid area is, radiation hits thyroid first. Take extra precaution, radiation may hit Philippines.

Pět doporučení pomůže tomu, abyste se vyhnuli podvodům souvisejícím se zemětřesením v Japonsku pochází od Enigma Software (5 tips to avoid Japan earthquake and tsunami scams):

  • Aktualizujte své aplikace a bezpečnostní SW
  • Nikdy neposkytujte informace o své platební kartě či jiné finanční informace prostřednictvím e-mailu či podezřelého webu
  • Nestahujte přílohy z e-mailů týkajících se sbírek vztažených k japonské pohromě
  • Opatrně s videem či s médii, která nabízejí záznamy japonské pohromy
  • Buďte opatrní a aktivně informujte o zřejmých podvodech vztahujících se k japonské pohromě

Byly nalezeny cesty umožňující identifikovat autory anonymních e-mailů – A novel approach of mining write-prints for authorship attribution in e-mail forensics (z omezeného okruhu vytipovaných autorů). Autoři studie používají za tímto účelem celou řadu charakteristik. Viz komentář – Data-mining technique outs authors of anonymous email a diskuzi na Schneierově blogu – Using Language Patterns to Identify Anonymous E-Mail.

USA, Health Net – byla ztracena osobní a zdravotní data 1,9 miliónu zákazníků – Health Net discloses loss of data to 1.9 million customers. Z datového centra zmizely celé disky. Obsahovaly jména, adresy, čísla sociálního pojištění, finanční informace a zdravotnická data.

Krádeže zdravotních identit, lhostejnost stojí stále více, říkají výsledky studie, kterou připravil Ponemon Institute – Medical identity theft: The growing cost of indifference. Podle této studie je odhadováno, že cca 1,5 miliónu amerických občanů je obětí krádeže zdravotnického ID (viz ale předchozí čerstvá informace!).

Ministři obrany zemí EU projednali cesty k prosazování strategií v kybernetické válce – Defence talks to forge EU cyberwar strategy. Setkání ministrů proběhlo ve dnech 10. a 11. března v Bruselu. V parlamentu o tom v pondělí informoval britský ministr obrany Nick Harvey.

Bývalý ředitel NSA a CIA volá po transparentnosti americké vlády ohledně kybernetických hrozeb – Former NSA and CIA Director advocates cyber threat transparency. Na této stránce je komentován jeho článek The Future of Things “Cyber”. Je zajímavé, že takováto kritika postupů americké vlády přichází právě od něho. Skrývání incidentů považuje Hayden za kontraproduktivní.

Complexity as the leading security issue – hlavním bezpečnostním problémem je složitost. Článek informuje o výsledcích přehledu, který společně zpracovaly Check Point a Ponemon Institute – Understanding Security Complexity in 21st Century IT Environments. Podle odpovědí (na přehledu se podílelo více než 2 400 bezpečnos­tních administrátorů z celého světa) je správa složitého bezpečnostního prostředí v současnosti největší výzvou, které organizace čelí. Například 55 procent organizací pracuje s více než sedmi dodavateli na zabezpečení své sítě.

Penetrační testy – pohled profesionála k této problematice obsahuje článek Penetration testing and certification. Na otázky v něm odpovídá Stephen Sims (Wells Fargo, San Francisco). Hovoří v něm také o obsahu školícího kurzu, který povede a který proběhne na akci SANS Secure Europe Amsterdam 2011.

Hledáte zranitelné weby? Vyzkoušejte školy – Looking for vulnerable Web sites? Try schools. Podle výsledků studie (zpracoval ji WhiteHat Security) jejich weby patří k těm nejvíce zranitelným. 71 procent škol (podle výsledků studie – WhiteHat Website Security Statistics Report – Winter 2011, 11th Edition Measuring Website Security: Windows of Exposure, je třeba registrace) má neustále na svém webu nezáplatované zranitelnosti (u sociálních sítí to činí 58 procent). Výsledky studie jsou také stručně shrnuty v článku Insecure Websites The Norm, Report Finds.

Facebook a Google musí dodržovat evropská pravidla k ochraně soukromí – Facebook and Google ‚must follow‘ EU privacy rules. EU komisařka Viviane Reding říká, že jinak budou čelit postihům. Její vystoupení souvisí s chystanými úpravami evropské legislativy ve vztahu k ochraně dat a soukromí uživatelů.

Výsledky studie, kterou připravil Ponemon Institute, říkají, že šifrovací technologie hrají klíčovou roli v ochraně dat a dosahování shody – The crucial role of crypto technologies. Informace v tomto přehledu byly získány na základě odpovědí více než 500 auditorů. Viz také informaci – Thales and Ponemon Institute: What Auditors Think about Crypto Technologies?.

Anonymous

Anonymous začal publikovat dokumenty Bank of America – Anonymous collective begins leaking Bank of America emails. Zveřejněné uniklé e-maily nejsou však nijak uspořádány a je obtížné se v nich orientovat. Viz také:

Anonymous se nelíbí aktivita US Air Force k falešným online identitám – Anonymous: Why does the Air Force want to create phony online identities? Jedná se o cesty, kterými vyšetřovatelé pomocí těchto podvržených identit mohou sledovat podezřelé aktivity na sociálních sítích – Americká armáda má software na vytváření falešných online identit.

HBGary

Is This The Girl That Hacked HBGary? – byla tato dívka ze zde komentovaného rozhovoru tou, která hackla HBGary? Vychází tento (jinak velmi zajímavý) článek z pravdivých informací? Viz také komentář Johna Leydena – HBGary´s nemesis is a ´16 year-old schoolgirl´.

Kongres požaduje prověření smluv ministerstva obrany a NSA s HBGary – Congress Asks to Review DoD and NSA Contracts With HBGary. Citace z jeho jednání: „Tento skandál volá po vyšetřování“. Zmiňovány jsou také firmy Palantir Technologies a Berico Technologies.

Interview s Gregem Hoglundem ze společnosti HBGary si můžete přečíst na stránkách csoonline.com – HBGary's Hoglund identifies lessons in Anonymous hack. Hoglund upřesňuje, co se vlastně stalo, k čemu měli hackeři přístup. Dává některá svá doporučení, která by měla napomoci předejít obdobným situacím v budoucnu.

Sociální sítě

Podvody typu „clickjacking“ se šíří ve Facebooku – Click-jacking is spreading on Facebook. Proto si dávejte pozor na různá takzvaná „doporučení“.

Bezpečnost sociálních sítí, 4 důvody proč si neplést Facebook a ješitnost najdete na stránce Social networking security: 4 reasons why Facebook and vanity don't mix. Joan Goodchild vysvětluje, jaká mohou číhat nebezpečí, když budeme:

  • Uveřejňovat příliš mnoho obrázků
  • Sdílet příliš mnoho informací
  • Mít příliš mnoho přátel
  • Příliš se chlubit

Monitoring sociálních sítí – než začnete, Ivo Minařík na Lupě: V minulých dílech volného seriálu o monitoringu sociálních sítí byla řeč o technikách a nástrojích. Jenže sebelepší pomůcka selhává, když ji používáte ve špatné chvíli nebo špatným způsobem. Podívejme se na kontext, v jakém se celá oblast monitoringu sociálních sítí pohybuje. Začneme, jak jinak, u peněz.

Software

Objevily se útoky zneužívající zranitelnost MHTML – Attacks Use IE to Exploit Windows MHTML Flaw. Tato chyba (týká se samotných Windows) nebyla dosud záplatována, lze si však ze stránek Microsoftu stáhnout nástroj, který počítač v tomto smyslu ochrání. O existujících útocích, které zneužívají tuto zranitelnost:

Pro akci Kentuckiana ISSA 2011 byla připravena tři videa k síťovým snifferům – Network Sniffers Class for the Kentuckiana ISSA 2011.

Objevilo se varování před zranitelností nulového dne v Adobe Flash Playeru – Ongoing attacks target new Adobe Flash Player zero-day flaw. Jsou šířeny excelovské soubory, které obsahují škodící Flash soubor, který se pokouší tuto zranitelnost využít.

Komentář k bezpečnostním charakteristikám nového Internet Eploreru (IE9) si můžete přečíst na stránce Internet Explorer 9 delivers improved security. Nové vlastnosti bezpečnostního charakteru jsou zde ve stručnosti shrnuty. Viz také popis v článku Microsoft releases Internet Explorer 9.

IE9, byl nalezen problém ve vztahu k vlastnosti „Tracking Protection“ – Study finds ‚flaw‘ in IE9 privacy feature. Jedná se o způsob, jakým pracují tzv. Tracking Protection Lists. Viz také další informace, které jsou obsaženy na stránce IE 9´s anti-tracking feature ´flawed´, study finds.

Windows 7 and Security – Windows 7 a bezpečnost, na této stránce jsou dány odkazy na celkem 11 článků, které se touto tématikou zabývají (včetně třeba i použití BitLockeru ve Windows 7).

IPv6 Mýty a skutečnost, díl VI. – Bezpečnostní mechanizmy, Tomáš Podermański, Matěj Grégr na Lupě: Bezpečnost počítačových sítí, společně s jejích rostoucí důležitostí, jistě nenechává nikoho chladným. Přináší protokol budoucího Internetu nějaká bezpečnostní vylepšení oproti IPv4, anebo je se potřeba obávat nových bezpečnostních rizik? Odpověď se pokusíme najít v dnešním dílu věnovanému problematice bezpečnostních mechanizmů protokolu IPv6.

Malware

Arbor Networks našli botnet (a to v USA), který umí DDoS – Arbor Networks Researchers Find U.S.-Based DDoS Botnet. Jedná se o botnet Skunkx. O většině DDoS botnetů se předpokládá, že přichází z Číny, tento příklad ukazuje, že tomu tak nemusí být vždy.

Každý den se objevuje 73 000 kousků nového malware – New Malware Jumps to 73,000 Samples Every Day, Says PandaLabs. Říkají to statistiky PandaLabs za první tři měsíce roku 2011. V roce 2010 toto číslo bylo rovné 63 000. Nejčas­tějším typem malware jsou trojané (70 procent nového malware).

Viry

Také herní konzoly mohou být prostředkem k šíření virů (po domácí LAN) – CanSecWest: game consoles spread viruses within LANs. Korejští odborníci to ukázali na bezpečnostní konferenci CanSecWest.

Hackeři

Reportér od Murdocha si najal počítačového hackera – Murdoch reporter ‚hired computer hacker‘. S jeho pomocí se měl dostat do počítače bývalého zpravodajce.

Security: Fixing Data Breaches: Tracking the Cost and Damage Toll aneb datové průniky v roce 2010. Odkaz vede na slideshow k výsledkům průzkumu, který provedl Ponemon Institute. Získaná čísla (náklady, četnost průniků, počty kompromitovaných záznamů atd.) jsou zde stručně komentována.

Počítačové systémy kanadské rozvodné sítě jsou infiltrovány hackery – Ottawa urged to fight power-grid hackers. Na vážnost situace upozorňuje průmysl, je požadován aktivnější přístup vlády.

Vysoce sofistikovaný útok cílí na dvoufaktorovou autentizaci (SecurID od společnosti RSA), říká informace RSA breach leaks data for hacking SecurID tokens. Útočníci pronikli do serverů RSA a získali informace, které umožňují kompromitovat zařízení pro dvoufaktorovou autentizaci. Dotýká se to až 40 miliónů jejich uživatelů. Z dostupných informací však vyplývá, že není přesně jasné, které informace byly útočníky při průniku získány. Je pozoruhodné, že předmětem útoku hackerů se stala taková společnost, jakou bezesporu RSA je.
Viz také – RSA warns SecurID customers after company is hacked.
Otevřený dopis Arta Coviello (CIO RSA) včetně doporučení společnosti RSA jejím zákazníkům najdete na stránce – RSA servers hacked, SecurID data taken.

Hardware

Skryté kamery, které vás sledují – Covert Cameras Designed to Spy on You. Kde všude se mohou skrývat, ukazuje tato zajímavá slideshow.

Bezdrát

Domácí uživatelé neumí nastavit parametry bezpečnosti svého bezdrátu – Wi-Fi security befuddles clueless home users. Podle přehledu, který byl proveden ve Velké Británii, se to týká dvou pětin uživatelů. Poskytovatelé internetu a dodavatelé technologií by měli dávat srozumitelnější instrukce, které se těchto nastavení týkají.

VoIP

Organizace Privacy International říká, že Skype není dostatečně bezpečný – Privacy group demands answers from Skype. Tato skupina požaduje, aby Skype zlepšil své VoIP služby a odpovídajícím způsobem chránil soukromí svých uživatelů. Poukazuje na některé problematické momenty (v článku jsou vyjmenovány).

Mobilní telefony

Zařízení s Androidem Windows Phone 7 nebyla na akci Pwn2Own prolomena – Hacking Competition Leaves Android and Windows Phone 7 Devices Undefeated. Totéž se nedalo říci o operačních systémech Apple a Blackberry. Christina Bonnington shrnuje průběh celé akce.

Spam

Botnet Rustock zastaven, objem spamu výrazně klesl – Rustock Botnet Flatlined, Spam Volumes Plummet. V článku jsou také obsaženy informace o tomto botnetu, které pochází ze zprávy SecureWorks – Spambot Evolution 2011.
Viz také komentáře:

Elektronické bankovnictví

Zeus, jeho aktuální verze obsahuje inovaci – ZeuS Innovations: ‘No-$H!+ Reports’. Malware nyní dokáže pečlivě vybírat informace, které pak odesílá „vládci“ botnetu. Samozřejmě v popředí zájmu stojí data, která mohou být nějak spojena s financemi, například čísla platebních karet, přihlašovací data atd.

Kvůli bankomatovým podvodům byli v Thajsku zatčeni čtyři Rumuni – Card details of 5,000 British people among hoard of possessions of gang arrested in Thailand. Dostali se k podrobnostem platebních karet 5000 britských občanů. A vybírali z účtů a vybírali…

Tzv. PIN skimming s platebními kartami s čipem je popisován v článku PIN skimming possible with chip cards, což je komentář k jednomu z vystoupení na konferenci CanSecWest. Maličké elektronické udělátko vložené do otvoru čtečky umí přečíst komunikaci mezi terminálem a čipem a dokonce s touto komunikaci manipulovat tak, aby byl získán uživatelův PIN.

Lepidlo jako zbraň bankomatových podvodníků – Glue-gun goons target unwary ATM users aneb vynalézavost těchto lidí (tentokrát v San Franciscu) opravdu nezná mezí. Viz této informaci také jí věnovanou diskuzi na Schneierově blogu – Glue-gun goons target unwary ATM users. Vhodnou protizbraní proti těmto útokům jsou dotykové displeje bankomatů (a také infomovanost uživatelů). Nevím, jak jsou na tom v tomto ohledu bankomaty rozmístěné v Česku (podle příspěvku v diskuzi tyto displeje třeba v Německu většina bankomatů nemá).

Phishing

Phishingové e-maily nové generace útoční na klienty České spořitelny. V polovině března letošního roku byly zaznamenány podvodné e-maily, které se opět snaží z klientů České spořitelny získat důvěrné informace. Tyto phishingové e-maily jsou o to zákeřnější, že neodkazují na žádné falešné stránky, ale podvodný formulář samy přímo obsahují.

Phisherské podvody používající HTML přílohy e-mailů (nový trik) – Phishing scam in an HTML attachment. Tento trik objevily M86 Labs. Další podrobnosti najdete v článku Hackers learn new trick to duck Firefox, Chrome anti-phishing measures.

Elektronický podpis, datové schránky

Z banky do datové schránky, Jiří Peterka na Lupě: Poslanci chtějí umožnit bankám fungovat jako CzechPointy. Chtějí také otevřít správcovské rozhraní datových schránek všem poskytovatelům internetových služeb.

Normy a normativní dokumenty

Pracovní skupina IETF TLS vydala v minulém týdnu následující draft:

widgety

Kryptografie

Japonští vědci vyvinuli kvantovou verzi kryptografických systémů s veřejným klíčem – Physicists Develop Quantum Version of Public Key Encryption. Akinori Kawachi (Tokyo Institute of Technology) se svými spolupracovníky opírá své řešení o problém, který je obtížné v jednom směru vyřešit, ale je snadné provést toto v opačném směru. Systém je bezpečný i proti útokům z kvantových počítačů. Ovšem – jeho praktické nasazení nelze očekávat v nějaké dohledné době.

Různé

Přehled vychází z průběžně publikovaných novinek na Crypto – News.

Našli jste v článku chybu?
Vitalia.cz: Voda z Vltavy před a po úpravě na pitnou

Voda z Vltavy před a po úpravě na pitnou

Podnikatel.cz: Insolvence LevneElektro.cz? Začíná boj o peníze

Insolvence LevneElektro.cz? Začíná boj o peníze

Podnikatel.cz: Byla finanční manažerka, teď cvičí jógu

Byla finanční manažerka, teď cvičí jógu

DigiZone.cz: Nova opět stahuje „milionáře“

Nova opět stahuje „milionáře“

Lupa.cz: Jak se prodává firma za miliardu?

Jak se prodává firma za miliardu?

Vitalia.cz: 5 důvodů, proč jet na výlov rybníka

5 důvodů, proč jet na výlov rybníka

Vitalia.cz: Tahák, jak vyzrát nad zápachem z úst

Tahák, jak vyzrát nad zápachem z úst

Podnikatel.cz: Znáte už 5 novinek k #EET

Znáte už 5 novinek k #EET

DigiZone.cz: Světový pohár v přímém přenosu na ČT

Světový pohár v přímém přenosu na ČT

DigiZone.cz: Test: brýle pro virtuální realitu Exos Urban

Test: brýle pro virtuální realitu Exos Urban

DigiZone.cz: Ginx TV: pořad o počítačových hráčích

Ginx TV: pořad o počítačových hráčích

Podnikatel.cz: Takhle se prodávají mražené potraviny

Takhle se prodávají mražené potraviny

Lupa.cz: Hackeři mají data z půlmiliardy účtů Yahoo

Hackeři mají data z půlmiliardy účtů Yahoo

120na80.cz: 3 preventivní vyšetření na odhalení rakoviny

3 preventivní vyšetření na odhalení rakoviny

Podnikatel.cz: Dva měsíce na EET. Budou stačit?

Dva měsíce na EET. Budou stačit?

DigiZone.cz: Mordparta: trochu podchlazený 87. revír

Mordparta: trochu podchlazený 87. revír

DigiZone.cz: Rapl: seriál, který vás smíří s ČT

Rapl: seriál, který vás smíří s ČT

Vitalia.cz: Jsou vegani a vyrábějí nemléko

Jsou vegani a vyrábějí nemléko

Lupa.cz: Aukro.cz mění majitele. Vrací se do českých rukou

Aukro.cz mění majitele. Vrací se do českých rukou

Podnikatel.cz: Instalatér, malíř a elektrikář. "Vymřou"?

Instalatér, malíř a elektrikář. "Vymřou"?