Bezpečnostní střípky: na čele žebříčku bezpečnostních exploitů je sociální inženýrství

Jaroslav Pinkava 23. 5. 2011

Pravidelný pondělní přehled informací vztahujících se k problematice bezpečnosti IT. Z novinek právě uplynulého týdne upozorníme na některé připravované směry v americké legislativě, varování Microsoftu ohledně stahovaného SW (malware) a zaujme předložená klasifikace jednotlivých typů hackerů.

Přehledy, konference

Seznamte se s prezentacemi z konference Central Ohio InfoSec Summit. Zaujmou např. tyto tři:

Na stránce Hacking Illustrated jsou pak k dispozici i další prezentace z této konference.

ENISA vydala dokument: Consolidated Report of ENISA Working Group on National Risk Management Preparedness. Materiál, který je příručkou pro práci s NRM (National Risk Management) v jednotlivých zemích, má 76 stran. Komentář k jeho obsahu je na stránce A guideline for critical information infrastructure governance.

Obecná a firemní bezpečnost IT

Příručka CISO Guide to Next Generation Threats , to je osmistránkový dokument (FireEye), který charakterizuje současné útoky. Je zde dokumentováno, jak malware překonává existující bariéry jako jsou firewally, antiviry, IPS a filtry e-mailové pošty. Materiál obsahuje také některá doporučení. K dispozici je také další užitečný dokument od FireEye – Advanced Malware Exposed. Obsahuje charakterizaci podob a vlastností současného malware.

Dropbox, to je cloudová služba pro ukládání, objevila se kritika jeho bezpečnostních vlastností – Dropbox ‚insecure and misleading‘ – crypto researcher. Dropbox má 25 miliónů uživatelů. Podle analýzy, kterou provedl Christopher Soghoian (Center for Applied Cybersecurity Research at Indiana University) čelí jeho zákazníci zvýšeným rizikům ve vztahu k datovým průnikům a krádežím ID. Zaměstnanci Dropboxu mají přístup k nezašifrované podobě dat zákazníků. Poznámka: je častou a smutnou situací, že za bezpečnost zákazníků musí bojovat někdo jiný než samotná firma, která službu nabízí.

Obamova administrativa říká, že za pokusy o hackování kritické infrastruktury budou tři roky vězení – Obama gov wants 3 yrs porridge for infrastructure hackers. Je to jeden z návrhů americké vlády, které nyní byly postoupeny kongresu. Přehled všech návrhů je zde – FACT SHEET: Cybersecurity Legislative Proposal.

Vydána byla strategie Bílého domu pro kybernetický prostor – International Strategy For Cyberspace. Tento třicetistránkový dokument je komentován v článku White House releases new cyberspace strategy.

Ten Cybersecurity Tips for Small Businesses aneb deset bezpečnostních doporučení pro malé podnikání. Tuto desítku vydala FCC (Federal Communication Commissions). Širší informace k tomuto tématu jsou předmětem článku Experts: Small firms can take steps to improve cybersecurity.

Odpovědí na hacknutí aktiv Spojených států může být i vojenská akce, říká mj. tento výše uvedený dokument. Je mu také věnován komentář Jiřího Peterky – Bude útok na jednoho (v kyberprostoru) útokem na všechny?

Geolokační data jsou osobními a soukromými údaji – potvrzuje to EU – Location data is personal and private confirms EU watchdog. To je důležitá informace, jak pro uživatele, tak i pro výrobce produktů a poskytovatelé souvisejících služeb.

Bezpečnostní odborník hacknul stránky konkurenta na Facebooku – aby ho kompromitoval – Researcher hacks Facebook to expose rival's private photographs. Skutek dokumentuje nejen neetické jednání, ale také slabiny Facebooku. Viz také komentář – Journalist arrested for article on Facebook privacy flaw.

Bezpečnost nemůže spoléhat jen na techniku – It's the human threat, stupid. Článek obsahuje komentář k vystoupení bývalého operativce FBI Erica O´Neilla na akci 2011 Computer Enterprise and Investigations Conference (CEIC) 2011.

Sociální inženýrství se ocitlo na čele bezpečnostních exploitů – Social Engineering Tops Security Flaw Exploits as Malware Vector. Uživatelé musí být stále více opatrní na to, co otvírají a stahují. Fahmida Y. Rashid komentuje nedávnou zprávu Microsoftu.

Irán je obviňován z hacknutí mobilů jaderných inspektorů – Iran accused of hacking nuke inspectors' phones, PCs. Jedná se o pracovníky OSN. Hacknuty měly být i jejich notebooky, které byly ponechány během inspekce na nějakou dobu bez dozoru. Zpráva Associated Press je zde – Nuclear watchdog fears Iran may have hacked inspectors’ cellphones, laptops.

Bin Ladinově komunikaci je věnována také diskuze na Schneierově blogu – Bin Laden Maintained Computer Security with an Air Gap. Schneierovo sdělení nic nového neobsahuje, zajímavé jsou některé názory diskutujících.

Oddělení IT by měla mít bezpečnostního odborníka na plný úvazek – IT departments should consider a full time data security expert. Určitě to je rozumný náhled (Dan Raywood), který logicky vyplývá z dnešní situace.

Six rising threats from cybercriminals aneb šestice narůstajících hrozeb kybernetické kriminality. John Brandon vyjmenovává a rozebírá následujících šest hrozeb:

  • Malware v textových zprávách
  • Hackování inteligentních rozvodných sítí
  • Podvody s účty sociálních sítí
  • Kyberstalking
  • Hackeři kontrolují vaše auto
  • Rušení a zneužívání GPS

Databázoví profesionálové se nejvíce obávají interních hrozeb – Database Security Faces Greatest Threats from Insiders, Human Errors: Study. A to datových průniků a chyb, jejichž původci jsou spoluzaměstnanci. Výsledky studie, kterou zpracovala firma Application Security (na základě odpovědí od 216 členů International Sybase Users Group), komentuje Fahmida Y. Rashid.

Kasperský chce internetový Interpol – Kaspersky wants Interpol for the web. Vyjádřil se tak na konferenci AusCERT 2011 (Queensland) tento týden. V článku jsou obsaženy i další jeho myšlenky, které zde přednesl.

Sociální sítě

Kalifornská legislativa bude požadovat, aby Facebook a další sociální sítě změnily svoji politiku ochrany soukromí – California Considers Crackdown on Social-Networking Sites Like Facebook. Pokud zákon projde, bude mít význačný dopad na nové uživatele a na uživatele mladší 18 let.

Podvody na Facebooku používají podvržené CAPTCHA z YouTube – Facebook scam uses fake YouTube CAPTCHAs. Zmáčknutí tlačítka Submit vede ke spuštění kódu, který umístí odkaz na video se škodícím obsahem na zdi všech vašich přátel. O jiném podvodu na Facebooku hovoří článek – Facebook survey scam with a twist.

Software

O volně dostupném nástroji, který eliminuje falešné antiviry, píše článek G Data moves to eliminate rogue anti-virus with new cleaning tool. G Data FakeAVCleaner si můžete stáhnout zde

Podle Microsoftu obsahuje každý čtrnáctý stahovaný SW škodící prvek – Microsoft: One in 14 downloads is malicious. Proto dobře zvažujte, až budete stahovat nějaký pro vás potřebný program.

Nový rámec pro publikování zranitelností zveřejnilo Industry Consortium for Advancement of Security on the Internet (ICASI) – New vulnerability reporting framework. Jedná se o dokument The Common Vulnerability Reporting Framework.

Vystoupení Siemensu k zranitelnostem SCADA bylo z bezpečnostních důvodů zrušeno – Siemens SCADA hacking talk pulled over security concerns. Podle této informace je to kvůli tomu, že příslušné informace by mohly být zneužity a je nebezpečné je takto zveřejnit.

Siemens připravuje opravu vážných zranitelností SCADA systémů – Siemens says it will fix SCADA bugs. Spolupracuje na tom s NSS Labs a U.S. Department of Homeland Security´s In­dustrial Control Systems Cyber Emergency Response (ICS CERT).

Add-on pro Firefox narušuje soukromí uživatelů (přitom byl již stáhnut sedmmilionkrát!) – Firefox add-on with 7m downloads can invade privacy. Jedná se o chování Ant Video Downloader and Player, který utajeně sbírá informace o každé stránce, kterou uživatel navštívil.

Příručka The Top 10 Reports for Managing Vulnerabilities, to je volně dostupný materiál ke správě zranitelností. Připravila ho společnost Qualys (má 17 stran, nutná je krátká registrace).

Google navrhuje cestu k urychlení (ustavení spojení) SSL – Google Proposes Way To Speed Up SSL Handshake. Na stránce je kromě komentáře i několik odkazů, odkud lze získat podrobnější informace.

Malware

Mezi top hrozby v dubnu 2011 patřily falešné antviry, infikované výsledky vyhledávačů – Fake AV, SEO Poisoning Top Malware Threats in April. V článku komentuje Fahmida Y. Rashid výsledky přehledu GFI Software.

Geek.com visitors attacked by DIY exploit kit, článek informuje o infikovaných stránkách Geek.com. Je to jedna ze stovek dnešních situací – bohužel. Pracovník zScaler k tomu říká: Users need to be aware that no site is a safe site.

Nový typ scareware tvrdí, že opraví chyby disku a urychlí přístup k datům – Windows scareware fakes impending drive disaster. Oklamaný uživatel má zaplatit 79,50 dolarů – za opravu chyb (tzv. zjištěných podvrženými hláškami).

Ještě k „uniklé“ verzi trojana Zeus se vrací článek Zeus Sourcecode Leak Opens Up New Crimeware Markets: Researchers. Pracovník bezpečnostní firmy M86 se domnívá, že je to pokus přilákat více „zákazníků“, jakási obdoba snah firem, které základní verzi svého produktu dávají zdarma a věří, že si pak kompletní produkt objedná více lidí.

Hackeři

O útoku na islandské weby v minulém týdnu informuje článek Internet attack files sent to RCMP. Access to many Island sites was choked off. Útok DDoS blokoval přístup na weby hostu Islandnet.com.

Kancléř George Osborne informoval o útocích, které jsou prováděny na UK Treasury – Osborne: Treasury hit by hundreds of hacking attacks. V roce 2010 podnikly nepřátelské zpravodajské služby stovky takových útoků. (UK Treasury = ministerstvo financí). Útoky mají vážný charakter a jsou pečlivě plánovány. V průměru se objeví více než jeden takový útok denně.

Hacknuta byla francouzská firma, která oficiálně monitoruje P2P – France's official P2P monitoring firm hacked. Z hacknutých serverů mohly uniknout citlivé informace, francouzská vláda proto zatím pozastavila s firmou TMG (Trident Media Guard) spolupráci (v tomto směru).

Za pádem sítě O2 v Londýně je dobře organizovaný gang – O2's southeastern crash caused by ‚well-organised theft‘. A pravděpodobně mezinárodní, připouští autor komentáře. Nebezpečnost takovýchto útoků je zřejmá.

Velká Británie: student-hacker odsouzen kvůli hernímu trojanu – UK student hacker sentenced over gaming Trojan. Své oběti přesvědčoval, aby si stáhli SW, který umožňuje generování hesel k online hrám (Istealer). Ve skutečnosti zde byl obsažen trojan, který kradl hesla (k e-mailu, IM, online hrám). Student dostal 8 měsíců s podmínkou na 1 rok.

The rise of the chaotic actor: Understanding Anonymous and ourselves, tento článek je věnován hackerům různých typů, Anonymous a dalším. Joshua Corman se v něm pokouší o rozlišení (klasifikací) různých typů těch, které označuje jako chaotické aktéry. Zajímavý model.

Další datový průnik, tentokrát do vládní agentury v Massachusetts, ohrožena jsou osobní data 210 000 nezaměs­tnaných – Huge Data Breach Puts 200,000 at Risk. Velký datový průnik se týká zhruba 1500 počítačů. Exponována byla data jako jména, čísla sociálního pojištění, identifikační zaměstnanecká čísla, e-mailové a domácí adresy. Také se to mělo týkat bankovních informací. Viz také – Personal data of Massachusetts´ unemployed stolen.

Nejlepší a nejhorší filmy dotýkající se hackování a informační bezpečnosti. Jaký je Váš názor? K diskuzi na toto téma vyzývá Bill Brenner – Best-worst movies about hacking and infosec? Discuss!.

Sony

Krátké interview s Bruce Schneierem na téma hack Sony je na stránce Don't Blame Sony, You Can't Trust ANY Networks. Je k němu otevřena diskuze na blogu – Interview with Me About the Sony Hack. Citát: „No networks, Schneier added, are really secure and people have to come to grips with that“.

Server Amazon.com, jaký byl jeho podíl na útoku proti Sony, to se dozvíte na stránce Amazon.com Server Said to Have Been Used in Sony Attack. Viz také komentář – PlayStation Network hack launched from Amazon EC2.
K současnému stavu – Sony aims to fully restore PlayStation Network, down by hacker attack, by end of May.

Nejprve se objevila informace: Sony se vrací k normálnímu fungování, bezpečnostní problémy však zůstávají – Sony PlayStation Network Returns to Service, Security Problems Remain. Zranitelnost sítě potvrdil John Bumgarner (chief technology officer of the United States Cyber-Consequences Unit). Sami Japonci ještě obnovu fungování sítě nepovolili – Japanese still locked out of PlayStation Network.

Ale potom Sony PSN síť měla skutečně znovu problémy, byl zneužíván exploit pro reset hesla – Report: PSN password resets exploited, accounts compromised again. A došlo znovu ke kompromitaci účtů. Data potřebná k resetu (e-mailová adresa a datum narození) získali hackeři během předešlého útoku. Sony však nyní tvrdí, že problém odstranila. Viz také:

Desítka ponaučení z problémů sítí společnosti Sony, slideshow s tímto tématem připravil Don Reisinger – IT Security & Network Security News & Reviews: Sony PlayStation, Music Network Breaches: 10 Painful Security Lessons.

Hardware

Nová technologie napomůže najít neautorizovaná zařízení v síti – Researcher fingerprints networks to find rogue hardware. Jedná se o tzv. device fingerprinting, v článku Michael Kassner diskutuje s profesorem Raheem Beyah, který řídí tým pracující na tomto výzkumu.

Novým terčem útoků jsou drivery grafických karet – Graphics Card Drivers New Target For Cyber Attacks. Je za tím způsob, kterým je implementováno WebGL, říká britská bezpečnostní konzultační firma Context. Je doporučována ho v prohlížečích zakázat.

Mobilní telefony

Infected Android Apps Can Hijack Your Texts , jak je to s infikovanými aplikacemi pro Android? Není jich málo, v článku je zmíněno, že takových je nejméně 11 a patří mezi ně aplikace jako iBook, iCartoon, iGuide, iCalendar, LoveBaby a Sea Ball.

Z 99 procent mobilů s Androidem unikají citlivá data – 99% of Android phones leak secret account credentials. Vyplývá to z nalezené zranitelnosti související s nevhodnou implementací autentizačního protokolu (ClientLogin). Přišli s tím pracovníci německé univerzity v Ulmu. Viz také:

Google problém řeší – Google rolls out fix for Android security threat.
Viz také doporučení – Android Data Vulnerability: How to Protect Yourself.

Elektronické bankovnictví

Austrálie – o úniku bankovních dat místního šéfa Symantecu píše článek How security chief's bank details leaked. Restaurace chtěla rozeslat svým zákazníkům letní menu, místo toho odeslala nezašifrovanou databázi svých klientů.

Bezpečnost platebních karet – jeden trend, který budí obavy – Worrying trend in credit card data security. Statistiky BitDefenderu říkají, že 97 procent respondentů (celkem jich bylo 2210 ve věku od 18 do 65 let) nakupuje zboží a služby online. Z dotázaných pak 57 procent sděluje, že v odpovědích dávali citlivé informace potenciálním podvodným požadavkům. 73 procent z nich vědělo o existenci phishingu.

Ukradená data k platebním kartám jsou inzerována na Twitteru – Stolen credit card numbers advertised via Twitter. Informuje o tom F-Secure.

Biometrie

Skener otisků prstů, který pracuje na dálku – informace k němu obsahuje článek Fingerprints Go the Distance. A to až do dvou metrů – dokáže to zařízení AIRprint. Viz tomuto tématu věnovanou diskuzi – Fingerprint Scanner that Works at a Distance.

widgety

Kryptografie

Kritické poznámky ke knize Bruce Schneiera Practical Cryptography jsou sepsána na stránce Practical Cryptography Corrected . Některá doporučení (snad převzatá ze starších titulů) nejsou již dnes plně pravdivá, říká autor deseti poznámek Bram Cohen. Viz také připojenou diskuzi.

Různé

Přehled vychází z průběžně publikovaných novinek na Crypto – News.

Našli jste v článku chybu?
Vitalia.cz: Inspekce našla nelegální sklad v SAPĚ. Zase

Inspekce našla nelegální sklad v SAPĚ. Zase

Podnikatel.cz: Udělali jsme velkou chybu, napsal Čupr

Udělali jsme velkou chybu, napsal Čupr

DigiZone.cz: Test LG 55UH750V aneb Cena/výkon

Test LG 55UH750V aneb Cena/výkon

Vitalia.cz: Jak Ondra o astma přišel

Jak Ondra o astma přišel

Vitalia.cz: 5 důvodů, proč jet na výlov rybníka

5 důvodů, proč jet na výlov rybníka

Vitalia.cz: Tohle jsou nejlepší česká piva podle odborníků

Tohle jsou nejlepší česká piva podle odborníků

120na80.cz: Co je padesátkrát sladší než cukr?

Co je padesátkrát sladší než cukr?

Podnikatel.cz: Takhle se prodávají mražené potraviny

Takhle se prodávají mražené potraviny

DigiZone.cz: Světový pohár v přímém přenosu na ČT

Světový pohár v přímém přenosu na ČT

Lupa.cz: Jak se prodává firma za miliardu?

Jak se prodává firma za miliardu?

Lupa.cz: Aukro.cz mění majitele. Vrací se do českých rukou

Aukro.cz mění majitele. Vrací se do českých rukou

DigiZone.cz: Rapl: seriál, který vás smíří s ČT

Rapl: seriál, který vás smíří s ČT

Lupa.cz: Jak levné procesory změnily svět?

Jak levné procesory změnily svět?

Vitalia.cz: Test dětských svačinek: Tyhle ne!

Test dětských svačinek: Tyhle ne!

DigiZone.cz: Ginx TV: pořad o počítačových hráčích

Ginx TV: pořad o počítačových hráčích

Vitalia.cz: Muž, který miluje příliš. Ženám neimponuje

Muž, který miluje příliš. Ženám neimponuje

Vitalia.cz: Když všichni seli řepku, on vsadil na dýně

Když všichni seli řepku, on vsadil na dýně

Podnikatel.cz: Babišovi se nedá věřit, stěžovali si hospodští

Babišovi se nedá věřit, stěžovali si hospodští

Podnikatel.cz: Byla finanční manažerka, teď cvičí jógu

Byla finanční manažerka, teď cvičí jógu

120na80.cz: Hrbatá prsa aneb mýty o implantátech

Hrbatá prsa aneb mýty o implantátech