Bezpečnostní střípky: konference RSA 2009

Jaroslav Pinkava 27. 4. 2009

Pravidelný pondělní přehled informací vztahujících se k problematice bezpečnosti IT. Z novinek tohoto týdne lze upozornit na přehled postupů používaných hackery, na analýzu seznamu SANS/CWE 25 nejnebezpečnějších programátorských chyb a na informace, které přišly ze San Francisca, z konference RSA 2009.

Přehledy a konference

V uplynulém týdnu proběhla jedna z největších akcí v IT bezpečnosti konference RSA 2009 – RSA Conference Gets off to a Low Key Start.

Záznam zajímavé diskuze pionýrů kryptografie (Whitfield Diffie, Martin Hellman, Ronald Rivest, Adi Shamir a Bruce Schneier), která proběhla v úvodu této konference najdete na stránce RSA Day 1: Cryptography's Fou­nding Fathers Predict Security's Future. Viz k tomu také:

Další odkazy na témata probíraná v rámci konference jsou umístěny dále v článku.

Akce Infosecurity Europe začne 28. dubna v Londýně – Infosecurity Europe 2009: SC Magazine Preview. SC Magazine připravil při této příležitosti podrobnější příručku:

Obecná a firemní bezpečnost IT

V Brazílii je široce rozebírána aféra s hacknutými vojenskými satelity USA – The Great Brazilian Sat-Hack Crackdown. Jejich transpondéry s otevřenými komunikačními kanály jsou pro komunikaci v tak rozlehlé zemi, jako je Brazílie, ideální. Mezi obviněnými jsou univerzitní profesoři, elektrotechnici, řidiči nákladních aut a farmáři. K problému se vyslovuje také diskuze na SCHNEIEROVĚ blogu – Hacking U.S. Military Satellites.

Pět bezpečnostních trapasů, které se uživatelům stávají při brouzdání internetem, rozebírá JOAN GOODCHILD na webu csoonline.com – 5 Security Flubs Users Make When Browsing the Web:

  1. Slepě si nainstalují kontroly Active X
  2. Důvěřují nevhodným certifikátům SSL
  3. Připustí nepodepsaný obsah
  4. Nechají se unést zvědavostí
  5. Konají ve spěchu a nepřemýšlejí

Václav Žák: anonymní Internet během několika let zmizí, to je článek ONDŘEJE AUSTA na Lupě. Z úvodu: Jednotnou regulaci zajistí pouze poskytovatelé internetového připojení, do budoucna by měla být založena na identifikaci uživatele, míní Václav Žák, předseda regulační Rady pro rozhlasové a televizní vysílání (RRTV), před přijetím nové přelomové evropské směrnice. Tu má Česká republika, stejně jako ostatní země Evropy, implementovat do svého práva nejpozději letos v prosinci. A nově se podle směrnice má dohlížet i na video na webu.

NSA nechce být jedinou odpovědnou institucí za kybernetickou bezpečnost USA – We don't want to run U.S. cybersecurity efforts, NSA chief says. Lt. Gen. Keith Alexander calls for the ‚right partnership‘ with DHS. Naopak očekává užší spolupráci s Ministerstvem národní bezpečnosti (Department of Homeland Security), prohlásil na konferenci RSA generálporučík Keith Alexander. Viz také SCHNEIERŮV blog – NSA at RSA.

MELISSA HATHAWAY vystoupila na konferenci RSA k nové strategii kybernetické bezpečnosti, moc toho však neprozradila. Tady – Remarks by Melissa E. Hathaway – je přepis jejích poznámek. Viz také – RSA 2009: Why the Top U.S. Cyber Official is Losing Sleep (BILL BRENNER).

Agent FBI hovoří o svých zkušenostech z práce na druhé straně – RSA 2009: FBI agent gives inside story of Dark Market bust. KEITH MULARSKI byl po dva roky součástí fóra Dark Market. Jeho účast zde vedla nakonec k šedesátce uvěznění a odvrácení podvodů o velikosti 70 miliónů dolarů.

The FBI as an ethical hacker? – FBI jako etický hacker? K dalším podrobnostem o aktivitách FBI v tomto směru se rozepisuje SCOTT BRADNER.

Spojené státy chystají nové vojenské velitelství ve vztahu k počítačovým sítím Pentagonu – Home / News / Nation / Washington U.S. to create cybersecurity military command: report. Součástí jeho aktivit mají být i ofenzivní postupy.

Kyberválka: Nové možnosti vedení boje ve 21. století, článek MIROSLAVA HYRMANA na Žive: Zaútočit na cizí stát už nemusí pouze armáda, ale i tým zdatných jedinců, internetových hackerů. Dalším nebezpečím jsou botnety. Zatím rozesílají spam, již brzy se ale mohou obrátit proti nám.

Cyberwar is Bullshit – je kybernetická válka reálný problém či nesmysl? MARCUS RANUM je v názvu své prezentace radikální, viz také komentář Taking Cyberwar Seriously?

Cloud computing je bezpečnostní noční můrou, prohlásil to šéf společnosti Císco JOHN CHAMBERS – Cloud computing a ‚security nightmare,‘ says Cisco CEO. ‚Swamp computing‘ might be a more appropriate name, says one security expert.

Jedna třetina pracovníků by se nechala uplatit kvůli krádeži dat – One third of workers open to bribes for data theft. To je komentář k výsledkům přehledu, který byl připraven pro akci Infosecurity (Londýn, koná se příští týden).

A Cyber-Attack on an American City aneb kybernetický útok na americké město. BRUCE PERENS ve svém článku informuje o útoku, který byl proveden ve čtvrtek 9. dubna 2009 a který odřízl elektronickou infrastrukturu severokalifornského města Morgan Hill. Jednalo se o úmyslné přeříznutí osmi podzemních optických kabelů. Přestože tentokrát nedošlo k žádným velkým škodám obyvatel, autor upozorňuje na nebezpečnost takovýchto útoků.

DAVID KELLEHER popisuje deset cest, které mohou pomoci malému podnikání ve vztahu k bezpečnosti v období recese – 10 ways small business can improve security during a recession:

  1. Zjistěte zranitelnost (audit vašich bezpečnostních opatření)
  2. Monitorujte aktivity
  3. Kontrola přístupu
  4. Zabezpečte informace
  5. Co potřebuje vědět a používat
  6. Politiky pro práci s daty
  7. Jednoduchá komunikace se zaměstnanci
  8. Výchova zaměstnanců
  9. Zálohujte vše
  10. Správa lidí

Software

Bezplatný skener pro on-line hrozby včetně hodnocení potenciální nebezpečnosti webových stránek nabízí AVG, PAVEL LOUDA: LinkScanner, software, který v reálném čase chrání před náhodnými, skrytými i krátkodobými hrozbami na internetu, uvolnila k bezplatnému užívání firma AVG Technologies. Program používá cílenou analýzu pro všechny výsledky vyhledávání přes Google, Yahoo a MSN.

Security experts rate the world's most dangerous exploits, jaké jsou nejvíce nebezpečné exploity? DAN GOODIN v článku tlumočí názory bezpečnostních odborníků, které vyslovil ED SKOUDIS (InGuardians) v rámci panelu RSA konference.

F-Secure nedoporučuje používat Adobe Reader. Na konferenci RSA s tím vystoupil MIKKO HYPPONEN, šéf výzkumu F-Secure – F-Secure advises against using Adobe Reader.

Podrobnější analýzu seznamu SANS/CWE 25 nejnebezpeč­nějších programátorských chyb (který byl vydán v lednu tohoto roku) provedl FRED WILLIAMS (East Carolina University) – Investigating the SANS/CWE Top 25 Most Dangerous Programming Errors List.

Securing a Virtual Environment aneb jak zabezpečit virtuální prostředí. BRIAN FOWLER nejprve vysvětluje podstatu virtualizace a pak se zabývá slabinami, které z používání virtualizace vyplývají a ukazuje také cesty, jak odpovídající zranitelnosti ochránit.

Malware

Black Hat: Researcher releases tool to hide malware – o nástroji, který umožňuje skrýt malware na konferenci Black Hat informoval EREZ METULA, jeho tvůrce. Podrobněji – .NET Framework Rootkits.

Odborníci říkají: je třeba se soustředit na lidi, kteří stojí za botnety  – Researcher argues for CERTs with teeth. Nikoliv tedy pouze na „výsledky“ jejich aktivit (útoky červa Conficker, Storm atd.) A to je úkolem jak bezpečnostních odborníků, tak i složek prosazujících zákony (represivních). Toto zaznělo na konferenci RSA.

Dokonce i vládní systémy jsou součástí botnetů – Gov systems found on 1.9m zombie botnet. Podle analýz, které provedla společnost Finjan, bylo mimo jiné kompromitováno 77 domén patřících vládám Velké Británie, USA a dalším zemím. Viz také – Finjan finds botnet of 1.9m infected computers.

Nové ransomware (vyděračský program) zamkne počítač – New ransomware locks PCs, demands premium SMS for removal. Vyžaduje pro odemknutí zaslání SMS. Není však obtížné problém vyřešit – Dr.Web – generator for deactivation codes.

Viry

Why do people write viruses?, proč vlastně lidé píší viry? CHAD PERRIN v tomto článku rozebírá jednotlivé příčiny.

Hackeři

Jaké jsou hackovací nástroje a techniky a jak chránit svoji síť před nimi? Hacking Tools & Techniques and How to Protect Your Network from Them, to je desetistránkový přehled postupů používaných hackery (ve stručnosti):

  • skenery portů
  • skenery zranitelností
  • snifery paketů
  • rootkity
  • nástroje pro crackování hesel
  • sociální inženýrství

Zmíněny jsou také některé další útoky, v závěru pak autoři uvádí svá doporučení pro ochranu před těmito útoky.

Americká vláda hledá hackery – k ochraně národních sítí – Wanted: Computer hackers… to help government . Další z řady informací, které provází současné snahy americké administrativy pro zlepšení situace na poli kybernetické bezpečnosti.

Hackeři ukradli Pentagonu terabajty dát o F-35, viz také komentáře:

Mobilní telefony

Na konferenci Black Hat byl rozebírán také útok pomocí SMS na mobilní telefony – Mobile-phone web sessions hijacked via SMS. Tento útok (prezentovaný na konferenci třemi italskými bezpečnostními experta) umožňuje útočníkovi kontrolovat internetový provoz na mobilu.

Kriminální živly platí velké peníze za hackovatelné mobily Nokia – Criminals pay top money for hackable Nokia phone. Konkrétní příklad popisovaný v článku uvádí sumu 25 000 euro za mobil Nokia 1100, který původně stál méně než 100 euro. Mobily mají SW problém, který je možné zneužít k hacknutí online bankovních účtů. Viz také – Manipulated Nokia phones intercept SMS.

Nokia neví, proč je ze strany kriminality poptávka po jejích starých mobilech – Nokia: We don't know why criminals want our old phones. Jeremy Kirk uvádí fakta, které ohledně celé záležitosti jsou dosud známa.

Spam

MICH KABAY zveřejnil postupně sérii čtyř článků, která je věnována situaci se spamem v roce 2009:

Jedno PC infikované botem znamená 600 000 spamových zpráv denně – http://www.com­puterworld.com/ac­tion/article.do?com­mand=viewArti­cleBasic&taxo­nomyName=secu­rity&articleId=9131984&t­axonomyId=17&in­tsrc=kc_top. Nejvíce v tomto ohledu vynikají botnety Rustock a Xarvester.

Forenzní analýza

Informativní přehled o podstatě počítačové forenzní analýzy najde čtenář na stránce Computer Forensics: Breaking down the 1’s and 0’s of cyber activity for potential evidence. JOSEPH COWARD zde rozebírá, jak jsou digitální důkazy sbírány, jak jsou pojednávány, uchovávány a analyzovány. Poukazuje na používané nástroje a uvádí některé příklady z praxe.

Elektronické bankovnictví

Brit žaluje banku ohledně záhadných výběrů z jeho (Chip-and-Pin) účtu – U.K. Man Sues Bank Over ‚Phantom‘ Withdrawals from Chip-and-PIN Account. Výběry byly provedeny i přestože systém Chip-and-Pin, který Velká Británie používá, by měl být oproti útokům obdobného charakteru bezpečný.

Autentizace, hesla

Nový červ umí obejít CAPTCHA pro G-mail – Worm solves Gmail's CAPTCHA, creates fake accounts. Vytváří tak nové účty, přístupové informace k nim jsou pak zasílány spamerům.

Společnost Google testuje nové postupy pro CAPTCHA – What's up, bot? Google tries new Captcha method. Metoda je založena na určování orientace obrázků, kteroužto člověk snadno rozpozná, pro počítač je to však obtížné.

Normy a normativní dokumenty

Pracovní skupina IETF pkix vydala v uplynulém týdnu tři následující drafty:

widgety

Americký NIST vydal draft

Různé

Přehled vychází z průběžně publikovaných novinek na Crypto – News.

Našli jste v článku chybu?
Vitalia.cz: Antibakteriální mýdla nepomáhají, spíš škodí

Antibakteriální mýdla nepomáhají, spíš škodí

Lupa.cz: Proč jsou firemní počítače pomalé?

Proč jsou firemní počítače pomalé?

DigiZone.cz: Světový pohár v přímém přenosu na ČT

Světový pohár v přímém přenosu na ČT

Root.cz: Hořící telefon Samsung Note 7 zapálil auto

Hořící telefon Samsung Note 7 zapálil auto

Lupa.cz: Aukro.cz mění majitele. Vrací se do českých rukou

Aukro.cz mění majitele. Vrací se do českých rukou

DigiZone.cz: Wimbledon na Nova Sport až do 2019

Wimbledon na Nova Sport až do 2019

Podnikatel.cz: Byla finanční manažerka, teď cvičí jógu

Byla finanční manažerka, teď cvičí jógu

DigiZone.cz: Digi Slovakia zařazuje stanice SPI

Digi Slovakia zařazuje stanice SPI

Vitalia.cz: Tahák, jak vyzrát nad zápachem z úst

Tahák, jak vyzrát nad zápachem z úst

Vitalia.cz: Test dětských svačinek: Tyhle ne!

Test dětských svačinek: Tyhle ne!

Vitalia.cz: Jak Ondra o astma přišel

Jak Ondra o astma přišel

Vitalia.cz: Voda z Vltavy před a po úpravě na pitnou

Voda z Vltavy před a po úpravě na pitnou

120na80.cz: Nejsilnější alergeny jsou pryč

Nejsilnější alergeny jsou pryč

Vitalia.cz: Tradiční čínská medicína a rakovina

Tradiční čínská medicína a rakovina

Lupa.cz: Cimrman má hry na YouTube i vlastní doodle

Cimrman má hry na YouTube i vlastní doodle

Vitalia.cz: 5 chyb, které děláme při skladování potravin

5 chyb, které děláme při skladování potravin

Lupa.cz: Jak se prodává firma za miliardu?

Jak se prodává firma za miliardu?

Vitalia.cz: Tohle jsou nejlepší česká piva podle odborníků

Tohle jsou nejlepší česká piva podle odborníků

120na80.cz: Galerie: Čínští policisté testují českou minerálku

Galerie: Čínští policisté testují českou minerálku

Podnikatel.cz: ČSSZ posílá přehled o důchodovém kontě

ČSSZ posílá přehled o důchodovém kontě