Bezpečnostní střípky: média sledují WikiLeaks

Jaroslav Pinkava 6. 12. 2010

Pravidelný pondělní přehled informací vztahujících se k problematice bezpečnosti IT. Z novinek týdne upozorníme na některá doporučení (sociální sítě, prevence úniků dat), na informaci o situaci s bankovními trojany a začíná nám období, kdy jsou publikovány přehledy za rok 2010 a předpovědi pro rok 2011.

Přehledy

Jaká byla bezpečnost IT v roce 2010 a jaká bude v roce 2011 – What security wrought in 2010 ? Andreas M. Antonopoulos hodnotí své loňské předpovědi. Rozpočty organizací na bezpečnost se v roce 2010 nezvýšily, jak autor předpokládal, také předpověď o tom, že se objeví samopropagující se malware na chytrých mobilech se odkládá na příští rok.

Top 10 záležitostí pro rok 2011, které se týkají soukromí – Top 10 privacy issues for 2011. Tato předpověď společnosti Proofpoint se týká problémů, u kterých se předpokládá, že se budou nejvíce objevovat v diskuzích o soukromí. Například se tu objevuje soukromí a důvěrnost uložených informací, je predikován alespoň jeden velký průnik do sociální sítě, firmy budou více používat politiky k tzv. akceptovatelnému využívání, více budou šifrovat atd.

Desítka největších bezpečnostních historií roku 2010 – The 10 Biggest Security Stories Of 2010, přehled formou slideshow zmiňuje např. toto:

  • Intel koupil společnost McAfee
  • Google vs. Aurora
  • Stuxnet
  • ZeuS – dopadení účinkujících
  • Tanec okolo ochrany soukromí v Facebooku

Desítka největších bezpečnostních pádů roku 2010 – http://www.net­workworld.com/new­s/2010/120210-security-snafus.html?sou­rce=nww_rss, Ellen Messmer a Tim Greene vyjmenovávají:

  • Aurora a útok na Google
  • Čínské ISP přesměrovaly internet
  • Chybná aktualizace antiviru společnosti McAfee
  • Hacknutý seznam účastníků konference Cisco Live 2010
  • Sledovačky společnosti Google (nešifrovaná bezdrátová připojení)
  • Bezpečnostní chyba iPad
  • South Shore Hospital v Massachusets, ztráta zdravotních a finančních informací 800 000 pacientů
  • Drama s ruskými špiony (Anna Chapman atd.)
  • Stuxnet
  • Návrat WikiLeaks

Obecná a firemní bezpečnost IT

Using password cracking as metric/indicator for the organisation's se­curity posture aneb crackování hesel může sloužit jako indikátor (metrika) bezpečnostní solidnosti organizace. Mark Hofman v článku vysvětluje své postupy v jednotlivých krocích a vyjmenovává používané nástroje (fgdump, pwdump, john the ripper, grep, favourite spreadsheet application).

Datové průniky: Čtyři základní cesty k upevnění vašich ochran – Data breaches: 4 fundamental ways to shore up your defenses. Tam Harbert podrobně rozebírá následující body:

  1. Nepřihlašujte se pouze, monitorujte
  2. Vylaďte konfigurace své sítě
  3. Vychovávejte své uživatele
  4. Dokumentujte a monitorujte přístupová práva

Na stránce Selected security book excerpts najdete výňatky z vybraných knih k IT bezpečnosti. Jsou zde potřebné odkazy (na části kapitol a na prodejce) k devíti knihám, které vyšly v nedávné době.

The security data and survey directory  – to je aktualizovaný rozsáhlý seznam užitečných odkazů na csoonlie.com. Přehled je rozdělen podle jednotlivých kategorií (např. správa rizik, fyzická bezpečnost, sociální sítě atd.).

Zameťte za sebou při surfování stopy, Pavel Čepský na Lupě: Pokud během webových toulek potřebujete odstranit údaje o své adrese a počítači, můžete využít několika jednoduchých cest. Specializovanými službami počínaje a anonymními proxy konče.

Čína v letošním roce uvěznila stovky hackerů, ale situace zůstává příšerná – China arrests hundreds of hackers, says situation ‘grim’. V ponděli 29. 11.2010 se to objevilo v prohlášení ministra veřejné bezpečnosti (Gu Jian). Narůstající hacking je velkou hrozbou – Increased hacking poses major threat.

Cyberespionage At A Crossroads aneb počítačová špionáž na křižovatce, Kelly Jackson Higgins komentuje současný vývoj. Potom co se objevily Aurora a Stuxnet, stojí organizace v nové situaci, před novými úkoly v ochraně svých dat a zájmů. A také – organizace by měly být více otevřené v tom smyslu, že informace o průnicích, bezpečnostních incidentech by měly být sdíleny. Viz také další článek s obdobným tématem – Demilitarizing cybersecurity (Q&A). Elinor Mills v něm zpovídá Gary McGrawa (bezpečnostní konzultační firma Cigital).

Jaké je to být ženou v téměř pánském odvětví? Marisa Fagan ví, co je to být ženou v odvětví IT bezpečnosti. Bill Brenner tlumočí její zkušenosti – What it's like to be a woman in a mostly male industry . Např. to, že je zde málo žen, má svůj původ již na školách (malé procento ženských studentek těchto oborů).

USA – Federální obchodní komise konstatuje: jsou třeba nové přístupy pro ochranu soukromí online – FTC: Online Privacy Needs New Approach . A to včetně přístupů „žádné sledování“ (Do Not Track). Doporučení tohoto typu obsahuje dokument (122 stran) Protecting Consumer Privacy in an Era of Rapid Change (December 2010).

Evropa nedůvěřuje praktikám v USA ohledně ochrany soukromí – Europeans concerned over ongoing privacy fraud in U.S.. Některé americké společnosti tvrdí, že jsou certifikovány pro ukládání a zpracování dat pocházejících z Evropy a není to přitom pravda. V celé problematice panuje chaos, tak to charakterizuje autor článku Andreas Udo de Haes.

Soukromí na internetu mizí, deset důvodů, proč tomu tak je uvádí Don Reisinger – Web Privacy Is Gone Forever: 10 Reasons Why.

WikiLeaks

Samozřejmě vzhledem k záběru tohoto také „datového průniku“ objevilo se v médiích nesčetné množství komentářů. Například – informace z Wikileaks říkají, že to bylo čínské politbyro, které nařídilo útok na Googĺe (před rokem) – WikiLeaked US cables link China to Google hack. Anebo:

Cyberattack Against WikiLeaks Was Weak  – kyberútok proti Wikileaks byl slabý. Kevin Poulsen probírá s tím související statistiky. Viz také – Lone hacker theory in Wikileaks DDoS attack.

Wikileaks prozrazuje iránská tajemství – WikiLeaks Reveals Iran’s Secret, Worldwide Arms Hunt. Teherán shání zbraně po celém světě…

Dokumenty Wikileaks obsahují mnoho technických a technologických tajemství – WikiLeaks Missives Contain Many Tech Secrets. Autor článku J. Nicholas Hoover se dívá na statistiky ohledně charakteru zveřejněných informací.

Některým další odhalením Wikileaks se věnují tyto komentáře:

Nechcete, aby se vaše informace ocitly v titulcích s WkiLeaks? Prevent Your Data from Becoming the Next WikiLeaks Headline  – Tony Bradley: WikiLeaks demonstruje, co se stane, když organizace nemají politiky a nástroje k ochraně citlivých dat.
Viz také jiný článek s obdobným zaměřením – Learning from WikiLeaks: What Companies Must Do to Protect Themselves (Jack E. Gold).

Kanada : stojíme před obdobnými hrozbami, jako byla ztráta dat, která zveřejnilo Wikileaks – Canadian cyber-security lax, experts warn. Government and industry are vulnerable to large-scale loss of data, they caution. Varují před tím odborníci. Nepochybně to dnes není pouze kanadský problém.

Bílý dům nařídil bezpečnostní prověrky jako důsledek prozrazených informací – Wikileaks – http://www.com­puterworld.com/s/ar­ticle/9198358/­White_House_or­ders_security_re­view_in_wake_of_Wi­kiLeaks_disclo­sure_?taxonomy­Id=17. Mají být analyzovány procedury používané k ochraně citlivých dat.

Sociální sítě

Na Facebooku koluje podvodná aplikace slibující, že ukáže profily návštěvníků stránek uživatele – Bogus Facebook App Offers to Let Users See Profile Visitors. Ten, kdo klikne na odkaz ve zprávě, se dostane na web, kde je dotázán na umožnění přístupu k svému profilu. Tím ale umožní, že tento profil se stává obětí (virové útoky, uživatele se nedozví, kdo si jeho profil prohlíží atd.). Viz také – Na Facebooku se prý zase šíří červi.

Using social networks safely aneb bezpečně na sociální síti, to je další sada doporučení, která přináší stručné formulace jednotlivých hrozeb.

Nový útok ve Facebooku typu Like přináší variantu červa ZeuS – Facebook Hit With Likejacking, Zeus Malware Attack . Podvodné pokusy byly detekovány společností Sophos.

Software

Obama website XSS Defacement aneb Obamova stránka a XSS zranitelnost. Článek obsahuje důkaz (proof-of-concept), že zranitelnost existuje a je jí možné zneužít.

DNS: When Governments Lie (1) – k DNS a jak probíhalo čínské přesměrování internetu. Earl Zmijewski rozebírá podstatu dvou událostí z jara roku 2010. Pokračování článku je zde – DNS: When Governments Lie (2).

Microsoft a chyba v jádru Windows, která umožňuje obejít UAC jsou předmětem článku ‚Nightmare‘ kernel bug lets attackers evade Windows UAC security. Chyba je využitelná pouze při lokálním přístupu k počítači, nikoliv však při dálkovém.

Armitage, grafické rozhraní pro Metasploit doporučuje Security Monkey – Armitage: The Ultimate Attack Platform for Metasploit . V krátkém článku jsou uvedeny potřebné odkazy.

History Sniffing: How YouPorn Checks What Other Porn Sites You’ve Visited and Ad Networks Test The Quality of Their Data aneb sledování vaší historie: jak pornostránky sledují, které jiné pornoweby jste navštívil. A nejsou to pouze o pornostránky, které hlídají vaši historii – viz výsledky studie An Empirical Study of Privacy-Violating Information Flows in JavaScript Web Applications.

K firewallům nové generace se obrací autor článku Is a next-generation firewall in your future? Tyto firewally (tzv. next-generation firewall – NGFW) mají být mohutné, rychlé, inteligentní. Kdy přijdou a co od nich můžeme očekávat?

DNSSec Resource Center – to je stránka obsahující potřebné informace k problematice DNSSec. Spustil ji Verisign.

Malware

Malware Analysts' Cookbook and DVD , to je recenze stejnojmenné knihy. Tato kniha má více než 700 stránek (a je připojeno DVD s nástroji), vyšla nyní v listopadu 2010 – Amazon. Jejími autory jsou Michael Ligh, Steven Adair, Blake Hartstein a Matthew Richard.

O nejnovějším ransomware (vyděračskému SW) informuje Tony Bradley – Ransomware Attack Resurfaces to Hold Files Hostage. Využita je varianta trojana GpCode, data uživatele mají být zašifrována prostřednictvím algoritmu RSA-1024 a vyděrač chce za klíč pro dešifrování 120 dolarů. Viz také komentář Johna Leydena – Ransomware Trojan is back and badder than ever a také článek Gregga Keizera na Computerwordu – Ransomware rears ugly head, demands $120 to unlock files. Podobu vyděračova varování najde čtenář na stránce Ransomware abounds.

Vyděračské malware v MBR rozebírá Marco Giuliani – Ransomware lands on the MBR. Popisuje podrobnosti k trojanu, který je označen jako Trojan.MBRLock.

Stuxnet

Kód červa Stuxnet je prodáván na černém trhu – Report: Stuxnet code being sold on black market. Článek informuje o zprávě, se kterou přišly Sky News. Jsou zde citovány obavy ohledně dalšího vývoje (zneužití tohoto červa).

Irán potvrdil, že Stuxnet zasáhl centrifugy – Report: Iran confirms Stuxnet hit centrifuges. Vyplývá to z pondělního prohlášení iránského prezidenta Ahmadinežáda. Viz také – Iran Blames Malware for Causing Nuclear Program Problems. Aktuální komentář k situaci okolo červa Stuxnet si lze přečíst zde – In cyberspace, a good offense is NOT always the best defense.

Zabitý vědec v Iránu byl iránský top odborník na červa Stuxnet – Nuclear scientist killed in Tehran was Iran's top Stuxnet expert. Prof. Majid Shahriari měl šéfovat týmu, který bojuje s červem Stuxnet.

Hackeři a počítačová kriminalita

Cybercrime Untouchables? aneb nedotknutelná počítačová kriminalita? Brian Krebs se zamýšlí nad „podnikáním“ jistého Sergeje Kozyreva známého pod pseudonymem Zoomer.

Bylo ukázáno, jak podvodníci mohou rychle získat velké peníze jednoduchými podvody – Experiment reveals how scammers earn huge money with simple scams. Svým experimentem (falešné vstupenky na svatbu prince prodávané online) to demonstrovala britská organizace Scam Detectives.

Security: Botnet Boon: How Scammers Cash In, o tom jaké jsou výnosy z botnetů, jak podvodníci kasírují peníze. Fahmida Y. Rashid v slideshow uvádí základní cesty těchto podvodníků k penězům.

Lady Gaga – němečtí hackeři zísali přístup k jejímu počítači – German hackers „gained access to Lady Gaga’s computer“. A nejenom k tomuto počítači, ale i k počítačům dalších 50 hvězd. Dvojice hackerů zřejmě již měla co vysvětlovat německé policii.

State-owned France 24 is in turmoil over boardroom ‚spying‘ claims je francouzská státní televize France 24 doupětem hackerů? Podle článku tomu nasvědčuje probíhající vyšetřování.

Hackeři napadli server hostující ProFTPD – Hackers poison well of open-source FTP app. Tři dny si toho nikdo nevšiml a každý, kdo odsud stahoval populární open source aplikaci, měl ji infikovanou – se zadními vrátky umožňujícími přístup do systému.

Počítačoví piráti berou Vánoce útokem, Miloslav Fišer na Novinkách kromě varování přináší i některá doporučení.

Hardware

Keyboard Acoustic Emanations: An Evaluation of Strong Passwords and Typing Styles, k akustickému vyzařování klávesnice se obrací Tzipora Halevi a Nitesh Saxena. V této studii zkoumají autoři jeho využití pro odposlech (náhodných) hesel.

Organizacím se nedaří kontrolovat USB zařízení – Organizations still fail to control USB devices, to je komentář k výsledkům přehledu, který připravila společnost CREDANT Technologies.

Malware se může skrývat i v jiném HW než jen v přímo samotném PC (Secure Network Technologies). V článku Attack of the Trojan printers je diskutován útok trojanských tiskáren.

Mobilní telefony

Varování pro uživatele iPhone, phishing to zde má snadnější – Researcher warns of iPhone phishing peril. A to díky tomu, že prohlížeč Safari skrývá adresový řádek prohlížené stránky. Uživatel se tak snadno může stát obětí podvržené webové stránky.

Spam

Top 10 Countries Sending Spam, zde najdete top ten zemí, ze kterých je rozesílán spam. Na prvním místě se objevuje … Rusko. Viz přiložené grafy a tabulky (připravila je ICSA Labs) – Spam Data Center.

Ruský občan jako jeden z největších šiřitelů spamu – Feds pursue Russian, 23, behind ? of ALL WORLD SPAM. Týkalo se to období zhruba před dvěma roky, než byla ukončena činnost tzv. Mega-D botnetu. Oleg Nikolajenko byl tehdy zdrojem cca. jedné třetiny veškerého spamu. Činnost Mega-D botnetu byla narušena v lednu 2009 díky zásahu bezp. firmy FireEye. Viz také informaci – FBI Agent: Russian Was Mega-Spammer.

Elektronické bankovnictví

Několik doporučení pro bezpečné online bankovnictví připravil Lincoln Spector (PC World) – Bank Online Safely.

Ke zranitelnostem mobilních bankovních aplikací se obrací článek Mobile banking apps may be vulnerable: Testing and results. Michael Kassner komentuje výsledky některých testů.

Aktuální situaci s bankovními trojany se věnuje článek – Zeus Trojan Merger with SpyEye, Other Banking Malware Worry Researchers. V současné době nejde jen o spojení trojana ZeuS se SpyEye, ale je tu celá řada dalších stejně nebezpečných. Zmíněny jsou Feodo, URLZone, Ares.

Normy a normativní dokumenty

V minulém týdnu IETF vydalo následující draft:

Kryptografie

Byl proveden úspěšný útok z postranního kanálu na AES – Cache Games – Bringing Access Based Cache Attacks on AES to Practice. Autoři (Endre Bangerter, David Gullasch a Stephan Krenn) říkají, že se jim podařilo vytvořit plně funkční implementaci tohoto útoku.

Statistická analýza kandidátů na SHA-3 (redukované verze) je obsažena v studii Statistical Analysis of Reduced Round Compression Functions of SHA-3 Second Round Candidates. Výsledky mohou být využitelné pro další kryptoanalýzu.

widgety

Kryptologové crackli systém pro prokazování původnosti digitálních obrázků – Cryptographers crack system for verifying digital images. Oznámila to ruská společnost Elcomsoft.

Různé

Přehled vychází z průběžně publikovaných novinek na Crypto – News.

Našli jste v článku chybu?
DigiZone.cz: Parlamentní listy: kde končí PR...

Parlamentní listy: kde končí PR...

Podnikatel.cz: Babišovi se nedá věřit, stěžovali si hospodští

Babišovi se nedá věřit, stěžovali si hospodští

DigiZone.cz: Pokrytí ČRo Plus se opět rozšířuje

Pokrytí ČRo Plus se opět rozšířuje

Podnikatel.cz: Udělali jsme velkou chybu, napsal Čupr

Udělali jsme velkou chybu, napsal Čupr

120na80.cz: Co je padesátkrát sladší než cukr?

Co je padesátkrát sladší než cukr?

DigiZone.cz: Wimbledon na Nova Sport až do 2019

Wimbledon na Nova Sport až do 2019

Vitalia.cz: Muž, který miluje příliš. Ženám neimponuje

Muž, který miluje příliš. Ženám neimponuje

Lupa.cz: Aukro.cz mění majitele. Vrací se do českých rukou

Aukro.cz mění majitele. Vrací se do českých rukou

Vitalia.cz: 5 pravidel proti infekci močových cest

5 pravidel proti infekci močových cest

Vitalia.cz: Když všichni seli řepku, on vsadil na dýně

Když všichni seli řepku, on vsadil na dýně

Podnikatel.cz: Instalatér, malíř a elektrikář. "Vymřou"?

Instalatér, malíř a elektrikář. "Vymřou"?

Lupa.cz: Jak levné procesory změnily svět?

Jak levné procesory změnily svět?

DigiZone.cz: O2 Sport zbrojí na derby pražských S

O2 Sport zbrojí na derby pražských S

Vitalia.cz: Voda z Vltavy před a po úpravě na pitnou

Voda z Vltavy před a po úpravě na pitnou

Lupa.cz: Jak se prodává firma za miliardu?

Jak se prodává firma za miliardu?

Podnikatel.cz: Byla finanční manažerka, teď cvičí jógu

Byla finanční manažerka, teď cvičí jógu

Vitalia.cz: Tahák, jak vyzrát nad zápachem z úst

Tahák, jak vyzrát nad zápachem z úst

Vitalia.cz: Jak Ondra o astma přišel

Jak Ondra o astma přišel

Lupa.cz: Hackeři mají data z půlmiliardy účtů Yahoo

Hackeři mají data z půlmiliardy účtů Yahoo

DigiZone.cz: Funbox 4K v DVB-T2 má ostrý provoz

Funbox 4K v DVB-T2 má ostrý provoz