Bezpečnostní střípky: konference Black Hat

Jaroslav Pinkava 3. 8. 2009

Pravidelný pondělní přehled informací vztahujících se k problematice bezpečnosti IT. Z novinek právě uplynulého týdne lze kromě informací z významné konference Black Hat upozornit například na informaci k úspěšnému prolomení chystaných Windows 7 a třeba na přehled desítky špionážních udělátek.

Přehledy a konference

V uplynulém týdnu proběhly dvě akce významné pro problematiku IT bezpečnosti:

Pozornost médií k těmto akcím je každým rokem větší:

Některé další komentáře se věnují konkrétnějším otázkám:

Na konferenci Black Hat byla oznámena informace o kompromitacích serverů a webů význačných bezpečnostních odborníků – Security elite pwned on Black Hat eve. Mezi oběťmi jsou Dan Kaminsky, Kevin Mitnick, známý komentátor Robert Lemos a další (podrobněji v odstavci Hackeři, v materiálu Zero for Owned).

Americká vláda chce zásadní změny v zabezpečení webů, v jejím zastoupení to ve svém vystoupení prohlásil Robert Lentz  – BlackHat USA 2009: Government Calls For Fundamental Changes to Ensure Web Security. Prioritou číslo jedna je zaměřit se na prostředky, které povedou k zabezpečení a záchranu webů a internetu.

Black Hat Researchers Find ‚Free‘ Parking in San Francisco – účastníci Black Hat ukázali, jak je možné si zajistit bezplatné parkování v San Franciscu. Ukazuje se, že městský parkovací automat nerozpozná pravou parkovací kartu od podvržené.

Některé informace z konference jsou umístěny v dalších odstavcích.

Obecná a firemní bezpečnost IT

Menší rozpočty svazují ruce bezpečnostních profesionálů, vylývá to z z nedávného přehledu RSA Conference (What Security Issues Are You Currently Facing?)  – RSA® Conference Survey Reveals Disparity between Security Needs and Technology Purchases. Několik čísel a výsledků obsahuje také stručnější shrnutí tohoto přehledu na stránce Shrinking budgets tie hands of security professionals. Například uvádí tato fakta. Přestože v praxi se ukazují jako problém nejvíce otázky spojeny s phishingem (v e-mailech) a otázky okolo zabezpečení mobilních zařízení, tak právě technologie, které se věnují těmto potřebám, jsou v nebezpečí, že se nevejdou do rozpočtových nákladů.

Spojené státy hledají talenty pro kybernetickou bezpečnost – Talent search is on for cybersecurity students. Cílem výzvy U.S. Cyber Challenge je nalézt 10 000 mladých Američanů – aby se z nich stali „kybernetičtí strážci a bojovníci“. Viz také – U.S. seeks ´top guns´ for cybersecurity.

Bruce Schneier přichází s trochou humoru: buďte chráněni při pobytu online – Tips for Staying Safe Online. Mezi doporučení se dostalo cosi, co tam zjevně nepatří.

Best data loss prevention tools  – Nate Evans a Benjamin Blakely uvádí několik nástrojů pro prevenci úniku dat (data loss prevency – DLP). Viz také

Se čtyřmi znaky, podle kterých můžeme rozpoznat lháře, seznamuje čtenáře Joan Goodchild na stránkách csoonline.com – 4 Ways to Catch a Liar (rozvádí je podrobněji):

  • napjatý výraz v obličeji
  • váhavá mluva s přestávkami
  • nervózní chování a příliš velký důraz
  • chybí kontakt očí anebo oči uhýbají

Rizika cloud computingu vysvětluje ve své eseji JONATHAN ZITTRAIN – Lost in the Cloud. Tato esej je také komentována v diskuzi na Schneierově blogu – Risks of Cloud Computing.

Software

Darknet, který se opírá o využití prohlížečů, vyvinuli odborníci společnosti HP – HP researchers develop browser-based darknet. Současné prohlížeče prostřednictvím JavaScriptu umožňují také šifrovat.

Přehled desítky zálohovacích utilit pro Linux připravil Jack Wallen – 10 outstanding Linux backup utilities.

Šifrování 2. díl: jak používat TrueCrypt, autorem článku je Martin Zachar. Z úvodu: V prvním díle (Šifrování 1. díl: co to je a jak funguje) jsme se podívali na samotné šifrování. Dnes se podíváme na aplikaci, která jej prakticky využívá k uchování vašich dat a k zamezení přístupu nepovolaným osobám. Dokonce je stavěna i proti prozrazení hesla při mučení (JP: raději bez komentáře).

Ve středu na konferenci Black Hat si bylo možné vyslechnout, jak kompletně obejít ochrany Windows – New attack resurrects previously patched security bugs. Coming soon: The Windows killbit bypass manual. Video lze zhlédnout na tomto odkazu – Ryan Smith. Viz dále – Microsoft rushes to fix IE kill-bit bypass attack.

Proč Adobe a Microsoft čekají s opravami na poslední chvíli? Ptá se Michael Kassner kriticky a aktuálně – Adobe and Microsoft: Why wait until the last minute?. Mimochodem – Apple čekal s opravou iPhone také na poslední chvilku.

BIND crash bug prompts urgent update call – exploit pro BIND 9 je v oběhu na internetu. Systémovým administrátorům se doporučuje aktualizace na verze 9.4.3-P3, 9.5.1-P3 anebo 9.6.1-P1.

Windows 7 Ultimate byly cracknuty – Windows 7 Ultimate RTM Cracked, Fully Validated (Already?). David Murphy informuje o oznámení crackerů a vysvětluje jejich postup. Článek Windows 7 Ultimate activation cracked with OEM master key (Updated) obsahuje další podrobnosti a také reakci Microsoftu.

Jaké jsou současné plány s OpenDNSSEC, to popisuje článek Open source project to secure the Domain Name System. Cílem je urychlení širokého přijetí DNSSEC, což by mělo vést k bezpečnějšímu internetu.

Na konferenci Black Hat byl také prezentován (Dino Dai Zovi) demo rootkit paro Mac OS X – Black Hat: Machiavelli – Demo rootkit for Mac OS X.

Malware

Objevil se vyděračský trojan s pornografickým obsahem- Smut page ransomware Trojan ransacks browsers (tento obsah přidá na každý web, který oběť navštíví).

A také byl objeven nový botnet – s charakterem profesionálního zloděje – Researcher reveals massive ‚professional thieving‘ botnet. Ultra-stealthy Clampi Trojan snags ‚tremendous‘ amount of financial info, money. Clampi Trojan je podle Joe Stewarta (SecureWorks) nejprofesionál­nějším kouskem malware, který kdy viděl. Infikoval již něco mezi stem tisícem a jedním miliónem počítačů. Malware monitoruje přístup celkem na 4500 (!) webů.

The Business of Rogueware, to je nová zpráva PandaLabs. Komentář k této zprávě je obsažen v článku Fake anti-virus programs set to rule the roost. Množství falešných antivirů, které se v poslední době objevují, vede autory zprávy k závěru, že to je v současnosti taková cesta šíření malware, která může růst až do té míry, že zastíní jiné typy malware.

Bootkit obejde šifrování pevného disku – Bootkit bypasses hard disk encryption. Rakouský specialista Peter Kleissner (18 let!) prezentoval na konferenci Black Hat nástroj, který nazval Stoned Bootkit. Nástroj obsahuje rootkit pro Windows, který umí modifikovat Master Boot Record v PC. Pomocí nástroje lze obejít TrueCrypt

Viry

Falešné podvodné antiviry jsou předmětem článku Following the Money: Rogue Anti-virus Software. Brian Krebs v něm informuje o situaci na tomto „trhu“.

Hackeři

Současné špičkové techniky hackerů a pirátů, o nich se můžete dozvědět na stránce Top cracking software methods and piracy groups. V článku jsou shrnuty závěry zprávy, kterou připravila V.i. Labs. Zpráva je orientována na aplikace, které mají vyšší cenu (nejméně 4000 amerických dolarů za jednu licenci).

Útoky SQL injection stále frekventovanější – Steps need to be taken to consider security as SQL injections become more prevalent. James Rendell (IBM) na konferenci (ISC)2 hovořil o současné explozi útoků těchto typů.

Byl hacknut také web MI5 – MI5 website breached by hacker. Použita k tomu byla zjištěná XSS zranitelnost.

Hacker předkládá výsledky své práce – Zero for Owned 5 Summer of Hax. Komentář k tomu napsal Chad Perrin – ZF05 gives us one more reason to use unique passwords. Nepřehlédněte.

Hardware

Desitku špionážních udělátek představuje Tim Greene pomocí slideshow – 10 cutting-edge spy gadgets.

Mobilní telefony

Na konferenci Black Hat proběhla také informace o útoku na iPhone prostřednictvím SMS. Nezáplatovaná chyba v iPhone vede k tomu, že přístroj může být infikován pomocí pouhé SMS – informace k tomu proběhla včera na konferenci Black Hat (společnost Apple byla o zranitelnosti informována již před několika měsíci, žádná záplata však vydána nebyla):

Viz ale už informaci – iPhone OS 3.0.1 fixes SMS security issue.

Spam

Úroveň spamu v současnosti je rekordní a je to rekord všech dob – E-mail stream spammier than ever, reports say. Dosahuje až 92 procent všech e-mailů (McAfee), resp. 94,6 procent (podle MX Logic).

Elektronické bankovnictví

Nově bylo ukradeno pravděpodobně více než půl miliónu dat k platebním kartám – Network Solutions warns merchants after hack . Týká se to serverů, které hostuje společnost Network Solutions.

UK's national ID card unveiled – UK – již je známo, jaká bude definitivní podoba britské ID karty. Bude zaváděna v letech 2011 až 2012, obsahuje více dat než řidičský průkaz, dále dva otisky prstů a fotografii (vše zakódované v čipu). V článku je i fotografie karty s objasněním jednotlivých vlastností karty.

Autentizace, hesla

Poradíme vám, jak se na internetu schovat a zamést stopy, to je článek Jakuba Dvořáka na Technetu. Z úvodu: Navštívíte-li jakékoliv internetové stránky, okamžitě se o vás jejich provozovatel dozví celou řadu osobních informací. Vaše identita, např. IP adresa, může být navíc zneužita k nelegální činnosti. Pokud chcete surfovat na síti anonymně, vyzkoušet můžete například program JAP.

Elektronický podpis

Efektivnost varování SSL certifikátů uživatelům webů je mizivá – Crying Wolf: An Empirical Study of SSL Warning Effectiveness (autory této studie jsou Joshua Sunshine, Serge Egelman, Hazim Almuhimedi, Neha Atri a Lorrie Faith Cranor z Carnegie Mellon University). Práce je komentována v článku Web users ignoring security certificate warnings.

Také na konferenci Black Hat byly prezentovány útoky na SSL:

Normy a normativní dokumenty

Americký NIST v uplynulém týdnu vydal dokument:

Kryptografie

Méně tradičnímu zaměření kryptografie je věnována studie Position Based Cryptography. Jejím předmětem je kryptografie opírající se o využití místa.

widgety

Oznámen byl nový útok na AES  – Another New AES Attack. Bruce Schneier : „Jedná se fakticky o praktický plně efektivní útok proti AES s deseti cykly“ (kompletní AES má 14 cyklů). Po informaci následuje zajímavá diskuze.

Různé

Přehled vychází z průběžně publikovaných novinek na Crypto – News.

Našli jste v článku chybu?
DigiZone.cz: Sony MP-CL1A: miniaturní projektor

Sony MP-CL1A: miniaturní projektor

Podnikatel.cz: Udělali jsme velkou chybu, napsal Čupr

Udělali jsme velkou chybu, napsal Čupr

Vitalia.cz: Test dětských svačinek: Tyhle ne!

Test dětských svačinek: Tyhle ne!

120na80.cz: Co je padesátkrát sladší než cukr?

Co je padesátkrát sladší než cukr?

DigiZone.cz: DVB-T2 ověřeno: ČRa doplňují seznam

DVB-T2 ověřeno: ČRa doplňují seznam

Lupa.cz: Patička e-mailu závazná jako vlastnoruční podpis?

Patička e-mailu závazná jako vlastnoruční podpis?

Lupa.cz: Cimrman má hry na YouTube i vlastní doodle

Cimrman má hry na YouTube i vlastní doodle

DigiZone.cz: Parlamentní listy: kde končí PR...

Parlamentní listy: kde končí PR...

DigiZone.cz: Digi Slovakia zařazuje stanice SPI

Digi Slovakia zařazuje stanice SPI

DigiZone.cz: Světový pohár v přímém přenosu na ČT

Světový pohár v přímém přenosu na ČT

Podnikatel.cz: Babišovi se nedá věřit, stěžovali si hospodští

Babišovi se nedá věřit, stěžovali si hospodští

DigiZone.cz: DVB-T2 ověřeno: seznam TV zveřejněn

DVB-T2 ověřeno: seznam TV zveřejněn

Vitalia.cz: Tahák, jak vyzrát nad zápachem z úst

Tahák, jak vyzrát nad zápachem z úst

Podnikatel.cz: Byla finanční manažerka, teď cvičí jógu

Byla finanční manažerka, teď cvičí jógu

DigiZone.cz: Wimbledon na Nova Sport až do 2019

Wimbledon na Nova Sport až do 2019

Lupa.cz: Hackeři mají data z půlmiliardy účtů Yahoo

Hackeři mají data z půlmiliardy účtů Yahoo

DigiZone.cz: Technisat připravuje trojici DAB

Technisat připravuje trojici DAB

DigiZone.cz: Samsung EVO-S: novinka pro Skylink

Samsung EVO-S: novinka pro Skylink

Lupa.cz: Jak se prodává firma za miliardu?

Jak se prodává firma za miliardu?

DigiZone.cz: Ginx TV: pořad o počítačových hráčích

Ginx TV: pořad o počítačových hráčích