Bezpečnostní střípky: je třeba prosazovat ofenzivní vztah k bezpečnosti IT

Jaroslav Pinkava 16. 8. 2010

Pravidelný pondělní přehled informací vztahujících se k problematice bezpečnosti IT. Z novinek tohoto týdne lze upozornit na materiály konference Usenix 2010, na podrobný přehled situace s malware ve světě a na diskuzi okolo toho, zda je platný důkaz známého problému (P = NP ?).

Konference a přehledy

4th Usenix Workshop on Offensive Technologies proběhl tento týden (9. srpna 2010), jeho program včetně prezentovaných studií najdete na této stránce:

Konference 19th USENIX Security Symposium se konala ve dnech 11–13. srpna 2010. Její program je zde:

a kompletní materiály (20 MB) si můžete stáhnout zde:

CIO – právě jeho úlohou je říci, kterými hrozbami je třeba se zabývat – CIOs must evaluate which threats are worth tackling. V tomto článku Dawinderpal Sahota reaguje na výsledky přehledu McAfee Threats Report: Second Quarter 2010.

Obecná a firemní bezpečnost IT

Také Indie buduje svoji kybernetickou armádu – Spy Game: India readies cyber army to hack into hostile nations' computer systems. Vláda se obává mj. špionáže ze sousedních zemí (Čína a Pakistán), a to i na základě nedávných zkušeností. Zodpovědnými organizacemi za vytvoření příslušných kapacit budou National Technical Research Organisation (NTRO) a Defence Intelligence Agency (DIA). Viz také stručný komentář – India plans to raise own cyber army.

Tuzemské firmy nechrání svá data, v krátkém shrnutí jsou obsaženy výsledky šetření společnosti S&T CZ: Více než třem čtvrtinám českých firem lze snadno ukrást data. Zhruba 75 % firem nemá zpracovanou bezpečnostní strategii, která by zamezila odcizení důležitých firemních dat. Svá data komplexně chrání pouze 5 % společností.

Chraňte svá kritická data, nejen svou infrastrukturu (příručka) – Essential Guide to Data Protection. Dokument se věnuje následujícím problematikám:

  • Monitoring aktivity databází
  • Prevence před ztrátou dat (DLP – Data Loss Prevention)
  • Šifrování a tokenizace
  • a dalším…

Buďte aktivnějšími ve vztahu ke kybernetické bezpečnosti – It’s time to be proactive on cybersecurity. Nová zpráva společnosti McAfee (Security Takes the Offensive) uvádí s tím související sadu doporučení:

  • Use hacker techniques
  • Provide data to help prosecute cybercriminals
  • Share information
  • Implement “shuns” and “stuns”
  • Use tactics that increase risk for cybercriminals
  • Educate

Zprávou společnosti McAfee se zabývají také komentáře:

Samotná zpráva je pak zde:

Security metric techniques: How to answer the ‚so what?‘ – aneb k efektivnosti bezpečnostních metrik. Bill Brenner vysvětluje cesty, kterými by ti, co je používají, měli hájit jejich užitečnost.

Michael Hayden: Hackeři nutí uživatele internetu používat sebeobranu – Hayden: Hackers Force Internet Users to Learn Self-Defense. To je rozhovor s bývalým šéfem CIA a NSA (jako video, je zde také jeho převedení do písemné podoby).

Pět cest, kterými se zaměstnanci pokouší dostat na zakázané stránky – Workarounds: 5 ways employees try to access restricted sites. Joan Goodchild je popisuje včetně doporučovaných protiopatření.

Za únik vojenských informácií na USB kľúčoch potrestali dvoch vojakov, z úvodu: Bratislava. Vyšetrovanie úniku citlivých informácií z armády, ktoré mali na verejnosť postupne preniknúť prostredníctvom troch USB kľúčov, je ukončené. V prípade prvého USB kľúča bolo trestné stíhanie zastavené z dôvodu, že skutok, pre ktorý bolo vedené, sa nestal. V zvyšných dvoch boli za skutky disciplinárne riešení príslušníci Ozbrojených síl (OS) SR.

Ignorujte příručky EU k ochraně soukromí a bezpečnosti – ovšem na vlastní riziko – Ignore EC data privacy and security guidelines at your peril. Kathleen Carroll dokumentuje nevhodnost takovéhoto přístupu na problematice RFID.

Online kriminalita, to je hra na kočku a myš (hackeři vs. bezpečnostní firmy) – Online Crime a Cat-and-Mouse Game for Hackers, Security Companies, to je názorné video – doprovodné texty jsou pod ním zobrazeny.

Bezpečnostní kiksy vyznačující se svou hloupostí – Security blunders ‚dumber than dog snot‘. Bill Brenner informuje z konference Usenix 2010 o vystoupení Rogera G. Johnstona (člen týmu pro hodnocení zranitelností – Argonne National Laboratory). Některé příklady ze skutečného života, které tento pracovník uvedl, jsou vskutku zarážející.

Sociální sítě

Taxonomie dat na sociálních sítích, na takovéto téma vydal svoji esej Bruce Schneier – A Revised Taxonomy of Social Networking Data. Schneier v ní rozděluje tato data do šesti skupin.

  • Služební data, která dává uživatel sociální síti, aby ji mohl používat (jméno, věk nebo i číslo platební karty)
  • Data, která uživatel zveřejňuje na svých vlastních stránkách (fotografie, vstupy blogu, zprávy, komentáře atd.)
  • Data, která uživatel publikuje na stránkách jiných uživatelů
  • Data, která o uživateli zveřejňují jiní
  • Data, která jsou sbírána a která se týkají chování uživatele
  • Odvozená data (z ostatních dat). Příklad – 80 procent přátel uživatele jsou gayové, tj. je velice pravděpodobné, že i uživatel je gay.

Zabýváte se svými nastaveními ve Facebooku? Rozsáhlý článek – Facebook privacy settings: Who cares? – obsahuje celou řadu informací a to jak k historii otázek soukromí ve Facebooku, tak i k praktikám, které jsou dnes doporučovány (včetně popisu existujících zkušeností). Je zde také formulována sada otázek, které by měl výzkum problematiky soukromí v sociálních sítích teprve zodpovědět. Diskuzi k tomuto článku otevřel na svém blogu Bruce Schneier – Late Teens and Facebook Privacy.

Software

Na Defconu byla IPv6 označena za přicházející bezpečnostní noční můru  – Defcon speaker calls IPv6 a ‚security nightmare‘. Dan Goodin v článku komentuje vystoupení Sama Bowne. Po přechodu na tuto verzi nás čekají nekompatibilní firewally, zařízení pro prevenci průniků a další bezpečnostní aplikace.

BlackHat Write-up: go-derper and mining memcaches, článek obsahuje podrobnosti k jedné zranitelnosti výpočtů v cloudech (memcached).Technic­ký popis ukazuje, jak lze takto „dolovat“ data (data mining) – viz také připojená prezentace.

Správa firewallů dnes a zítra je diskutována v článku Firewall Management Today and Tomorrow. Reuven Harrison se v něm nejprve obrací do historie, formuluje pak úkoly dnešních firewallů a podává svoji vizi správy firewallů do budoucna.

Na zranitelnost v OpenSSL 1.0.x Upozornil Georgi Guninski – Vulnerability in OpenSSL 1.0.x. Může být využita prostřednictvím klientovi speciálně vytvořeného certifikátu.

Palm Pre flaw lets hackers bug calls, zde je zase obsažena informace o nové zranitelnosti OS Palm Pre. Záznamy zařízení pak mohou být pod plnou kontrolou útočníka.

80 miliónů webů může být kompromitováno díky chybě v Adobe ColdFusion – 80 million websites could be compromised due to a flaw in Adobe ColdFusion. Zjistila to firma ProCheckUp zabývající se penetračními testy. Podrobnosti k potřebným záplatám najdete na stránce Millions of Coldfusion sites need to apply patches.

Malware

World's Top Malware aneb svět a top malware. Je to článek z července, bohaté informace, které obsahuje, stojí určitě za seznámení (podrobný přehled v tabulkách a grafech).

Hledáte atraktivní obrázky? Google vás může přivést k malware – Google image search being infected by hackers. Jedná se o zneužití Google image search. Můžete být přesměrováni na stránky, které dodají instalaci zlodějského antiviru.

Viry

Hoax o viru na Facebooku dělá větší problémy než skutečný vir. Jedná se o toto varování: WARNING: THERE IS A VIRUS GOING AROUND AGAIN, IF YOU SEE A GIRL WHO KILLED HERSELF OVER SOMETHING HER FATHER WROTE ON HER WALL DO NOT OPEN IT, IT IS A VIRUS AND IT WILL NOT ALLOW YOU TO DELETE IT, PLEASE PASS THIS ON BEFORE SOMEONE OPENS IT. (IT IS A SELF REPLICATING TROJAN).

Antivirová ochrana je ještě otřesnější, než se myslelo – Anti-virus defences even shakier than feared. Security firms attack ‚flawed‘ tests. Tento titulek zvolil John Leyden pro svůj článek, ve kterém komentuje výsledky studie společnosti Cyberveillance. Antivirové firmy však použitou metodologii napadají.
Viz také komentář Dana Raywooda – Claims that anti-virus detections are inadequate are dismissed by vendors.

Falešné antiviry se začaly prodávat i přes telefon, David Polesný informuje – takové pokusy zjistila společnost ESET i zde v Česku. Viz také – Hackeři se snaží napálit české uživatele přes telefon.

Hackeři

Estonec obviněný z hackování bankomatů byl vydán do USA – Estonian extradited to US faces ATM hacking charges. Pomáhal hacknout počítačovou síť společnosti RBS WorldPay, ve výsledku to umožňoval zaměstnancům „kasírovat“ bankomaty (ukradeno bylo 9,4 miliónů dolarů). Celkem se jedná o osmičlennou skupinu (z Estonska, Ruska a Moldávie), která se na těchto „aktivitách“ podílela. Viz také článek – US extradites alleged Russian hacker.

Ve francii uvězněný hacker se zase zabýval podvody s platebními kartami – Credit card trafficker cuffed after nine-month manhunt. Vladislav Anatolievich Horohorin má ukrajinské a izraelské občanství. K jeho dopadení pomohla americká tajná služba.

Zaměstnáváte hackera? Jaké z toho vyplývají klady, zápory a ošklivosti – Hiring hackers: The good, the bad and the ugly. Popisuje je Deb Shinder. Určitě užitečná jsou v článku uvedená doporučení.

Hardware

How an ancient printer can spill your most intimate secrets – jak stará tiskárna může prozradit vaše nejintimnější tajemství. Útok z postranního kanálu zachycující akustické vyzařování a maticová tiskárna u vašeho lékaře mohou být zdrojem kompromitace. Útok (zatím) funguje u textů v angličtině. Jeho autoři (z Německa, Saarská univerzita) o něm budou informovat na konferenci Usenix. S příslušnou studií se lze seznámit na tomto odkazu - Acoustic Side-Channel Attacks on Printers.

Zařízení společnosti Apple jsou zranitelná, varuje Německo – Apple devices are vulnerable to attack, say German security officials. Existují zde (iPhone a IPad) dvě vážné zranitelnosti, na které neexistuje záplata. Pozor na infikované pdf soubory.
Viz také následující informaci – Germany bans BlackBerrys and iPhones on snooping fears. Closed proprietary system not safe for gov. Vzhledem k dramatickému nárůstu útoků v jejich sítích německá vláda nedoporučuje svým úředníkům používat BlackBerry a iPhone.

Fyzická bezpečnost: zámky, biometrie atd., takovéto téma je předmětem článku Physical security with locks, biometrics, and other fallacies. Tom Olzak zde uvádí malý přehled (vybraných) používaných technik i s poznámkami, které se vztahují k jejich bezpečnosti. Na citované stránce – The History of Locks – lze najít celou řadu dalších souvisejících odkazů.

Hacknutí automobilu bylo prezentováno na konferenci Usenix – Cars hacked through wireless tire sensors. Bezdrátové senzory automobilu, které kontrolují tlak v pneumatikách (týká se to amerických automobilů, které jsou vyráběny po roce 2008) umožňují útok vzdáleného útočníka.
Viz také článek – Known by their wheels.

Mobilní telefony

Pro odemknutí iPhone4 vydal Dev Team novou verzi ultrasn0w – iPhone 4 carrier unlock released by Dev Team.

RIM a Saudská Arábie se dohodli na monitorování dat z BlackBerry – RIM, Saudi Arabia agree on BlackBerry data monitoring. Research In Motion (RIM) a Saudská Arábie uzavřely k tomu předběžnou smlouvu. Viz také – Saudis grant RIM a BlackBerry reprieve.

Chytré mobily jsou výzvou podnikové bezpečnosti – Smartphone wave challenges enterprise security. Ellen Messmer se ve svém článku pokouší poukázat na problémy se stále častějším využíváním těchto mobilů související, problémy, kterými by se organizace měly zabývat.

Security researcher warns on UAE BlackBerry replacements (spyware v BlackBerry), Spojené arabské emiráty prostřednictvím svého mobilního operátora (Etilasat) hledají různé cestičky…
Problémům okolo BlackBerry je věnován článek Otakara Schöna – Telefon, který vyvolal „válku světů“.

První SMS trojan pro Android, jeho detekování oznámil Kaspersky – First SMS trojan for Android detected.

Chytré mobily – heslo k nim lze rekonstruovat z otisků prstů na obrazovce – Smartphone Security Thwarted by Fingerprint Smudges. To je komentář k dalšímu materiálu, který byl prezentován na konferenci Usenix. Samotná studie je zde – Smudge Attacks on Smartphone Touch Screens.

Zveřejněn byl „nebezpečný“ exploit pro iPhone. Exploit umožňuje, že iOS lze používat i pro jiné účely než původně zamýšlené, včetně hackerských (malware) – ‚Dangerous‘ iPhone exploit code goes public.

Spam

Příjemci nejsou jedinými oběťmi spamu. M. E. Kabay k tomu říká: některá jména zmíněná v spamové zprávě mohou být stejně tak obětí jako příjemce zprávy. Původce spamu může být někde zcela jinde – Recipients not the only victims of spammers.

Elektronické bankovnictví

Britské banky jsou zasaženy masivními podvody pocházejícími od botnetu Zeus – U.K. bank hit by massive fraud from ZeuS-based botnet. Zatím zjištěný rozsah podvodu je odhadován na 675 000 Euro. Viz také:

Další podrobnosti k botnetu Zeus, který nyní útočí na britské banky lze najít v článku Zeus botnet raid on UK bank accounts under the spotlight. Jeho autor označuje tuto verzi Dia číslem 3 a informuje o rozdílech této verze oproti předešlým. Viz také článek Toma Espinera – Zeus attack nets £675,000 from UK bank customers.

Phishing

Phisheři vám za vaše heslo k Facebooku nabízí bezpečnost – Phishers offer false security in exchange for your Facebook password. Ochrání vás před spamem… Dávejte pozor, kam se přihlašujete!

Elektronický podpis

How to render SSL useless – Ivan Ristic v tomto videu hovoří k rozbití SSL. Přednáška je z konference OWASP AppSec Research 2010.

Malware a kradené digitální certifikáty (resp. podpisy k nim), toto téma má nyní určitou publicitu. Varianta trojana Zeus používá digitální certifikát, který patří k produktu ZbotKiller společnosti KasperskyLab. Ale příslušný soukromý klíč nebyl ukraden, k malware je připojen podpis jiného souboru. U červa Stuxnet byla situace jiná, zde podpisy byly skutečně validní – Malware Stealing Digital Certificates Raises Security Concerns.

Biometrie

Ještě k hacknutí biometrického zámku na Defconu se vrací článek ‚Gross insecurity‘ of high-tech locks exposed. Zámek, jehož cena je okolo 200 dolarů, lze otevřít jednoduchou svorkou na papíry. V článku jsou uvedeny podrobnosti a videa. Viz také – Bypass a $200 biometric lock with a paperclip.

Normy a normativní dokumenty

Nová norma pro práci s platebními kartami bude vydána v září – Revisions to credit card security standard on the way. Jedná se o Payment Card Industry Data Security Standard 2.0. Oproti předešlé verzi 1.2 by neměla obsahovat veliké změny, bude ale podrobněji objasňovat požadavky normy vztahující se k podnikové bezpečnosti.

Kryptografie

Byl známý problém P= NP? vyřešen? Rovnost neplatí, říká Vinay Deolalikar z HP Research Labs a v této téměř stostránkové studii – P ≠ NP – přináší důkaz. Pokud někdo nenajde v těchto rozsáhlých matematických úvahách chybu, pak je to fantastický výsledek a blahopřejeme! O některých dopadech tohoto výsledku si můžete přečíst v článku Informatická bomba. Problém P=NP vyřešen!

Názor Bruce Schneiera a diskutujících na jeho blogu  – P ≠ NP?.

widgety

Připomínky k prezentovanému důkazu P=NP, jejich určité shrnutí se objevilo v článku Researcher claims solution to P vs NP math problem. Jak je z jeho obsahu vidět, názory odborníků se různí. Jeden dokonce natolik nevěří důkazu, že nabídl autorovi 200 000 dolarů ze své kapsy, pokud se ukáže, že důkaz je korektní. Jiní říkají, že i když by se našla v důkazu chyba, autorem prezentované techniky jsou novátorské a mají svou cenu. Viz také – Deolalikar Responds To Issues About His P≠NP Proof.

Různé

Přehled vychází z průběžně publikovaných novinek na Crypto – News.

Našli jste v článku chybu?
Lupa.cz: Kde leží hardwarový pupek světa?

Kde leží hardwarový pupek světa?

Vitalia.cz: Muž, který miluje příliš. Ženám neimponuje

Muž, který miluje příliš. Ženám neimponuje

Vitalia.cz: Tohle jsou nejlepší česká piva podle odborníků

Tohle jsou nejlepší česká piva podle odborníků

120na80.cz: Galerie: Čínští policisté testují českou minerálku

Galerie: Čínští policisté testují českou minerálku

Podnikatel.cz: „Lex Babiš“ Babišovi paradoxně pomůže

„Lex Babiš“ Babišovi paradoxně pomůže

Lupa.cz: Cimrman má hry na YouTube i vlastní doodle

Cimrman má hry na YouTube i vlastní doodle

Lupa.cz: Jak levné procesory změnily svět?

Jak levné procesory změnily svět?

DigiZone.cz: Technisat připravuje trojici DAB

Technisat připravuje trojici DAB

Lupa.cz: Patička e-mailu závazná jako vlastnoruční podpis?

Patička e-mailu závazná jako vlastnoruční podpis?

Vitalia.cz: Tesco nabízí desítky tun jídla zdarma

Tesco nabízí desítky tun jídla zdarma

Podnikatel.cz: Letáky? Lidi zuří, ale ony stále fungují

Letáky? Lidi zuří, ale ony stále fungují

Vitalia.cz: Voda z Vltavy před a po úpravě na pitnou

Voda z Vltavy před a po úpravě na pitnou

DigiZone.cz: DVB-T2 ověřeno: seznam TV zveřejněn

DVB-T2 ověřeno: seznam TV zveřejněn

DigiZone.cz: Digi Slovakia zařazuje stanice SPI

Digi Slovakia zařazuje stanice SPI

DigiZone.cz: Světový pohár v přímém přenosu na ČT

Světový pohár v přímém přenosu na ČT

120na80.cz: Co je padesátkrát sladší než cukr?

Co je padesátkrát sladší než cukr?

DigiZone.cz: Wimbledon na Nova Sport až do 2019

Wimbledon na Nova Sport až do 2019

Vitalia.cz: 5 chyb, které děláme při skladování potravin

5 chyb, které děláme při skladování potravin

DigiZone.cz: Parlamentní listy: kde končí PR...

Parlamentní listy: kde končí PR...

Podnikatel.cz: Nemá dluhy? Zjistíte to na poště

Nemá dluhy? Zjistíte to na poště