Bezpečnostní střípky: nebezpečí sociálních sítí

Jaroslav Pinkava 20. 7. 2009

Pravidelný pondělní přehled informací vztahujících se k problematice bezpečnosti IT. Z novinek tohoto týdne lze upozornit na další informace ke "korejskému" útoku, rozsáhlou příručku k využívání SSL v podnikání a rozhovor s Joannou Rutkowskou.

Přehledy a konference

85 procent amerických organizací postihl v posledních 12 měsících bezpečnostní průnik – 85% of US organizations hit by one or more data breaches within the last 12 months. Je to jeden z výsledků studie 2009 Annual Study: Enterprise Encryption Trends (Ponemon Institute).

Podle dalšího přehledu Ponemon Institute (Business Case for Data Protection. Study of CEOs and other C-level Executives) šéfové (CEO) podceňují bezpečnostní rizika. Jeho výsledky komentuje na stránkách Computerworldu Jaikumar Vijayan – CEOs underestimate security risks, survey finds.

Obecná a firemní bezpečnost IT

Does Google Know Too Much About You? – ví toho Google o vás příliš mnoho? Ian Paul vyčísluje data, která o vás mohl Google shromáždit. Není toho málo a v budoucnu toho bude ještě více …

Dohady pokračují: DDoS útok asi nepocházel ze Severní Koreje – Computer attack may not have originated in North Korea after all. Hlavní server měl snad být umístěn ve Velké Británii (i když to pochopitelně neznamená, že z Británie pocházel i útočník). Viz také – UK, not North Korea, source of DDOS attacks, researcher says.

A dále také – Congressman calls for ´cyber-reprisals´ against North Korea.

Korejský útok – útočníci sbírali také data z infikovaných počítačů  – Hackers ‚extracted data files‘. Tedy tyto počítače byly použity nejen k útokům na weby, ale zároveň z nich byly kradeny informace.

V článku Probe into cyberattacks stretches around the globe najdete informace o probíhajícím vyšetřování (kde byl umístěn hlavní server, který řídil útok).

Názor Bruce Schneiera: tzv. kybernetický útok byl nafouknut – So-called cyberattack was overblown. Vše je spíše o zabezpečení sítí.

Security Maxims – bezpečnostní maxima – zde jsou zformulovány netradiční, ale zajímavé pohledy. Materiál připravila Open Security Foundation.

Pět cest, kterými zaměstnanci prozrazují citlivá data – Solving the DLP Puzzle: 5 Ways Employees Spill Sensitive Data, to je článek Billa Brennera. Navazuje v něm na svůj předchozí článek – Solving the DLP Puzzle: 5 Technologies That Will Help. Rozebírá následující cesty:

  • E-mail poslaný ve zmatku
  • Rizika IM
  • Sociální sítě
  • Nesprávné použití hesel
  • Příliš mnoho přístupu

Na které věci je třeba si dát pozor při vkládání příspěvků do sociálních sítí, k tomu radí Debra Littlejohn Shinder – 10 ways to stay out of trouble when you post to social networking sites.

Čermák: Deset věcí, které byste na Facebooku neměli dělat, tento článek vyšel na Technetu. Najdete zde ve skutečnosti: Top 5 pravidel na Facebooku podle Miloše Čermáka.

Viz ale také – Na které věci je třeba si dát pozor při vkládání příspěvků do sociálních sítí.

Počítačová kriminalita se organizuje jako výnosné podnikání – Cyber crooks get business savvy. Maggie Shiels komentuje zprávu společnosti Cisco.

Jiný komentář (Joan Goodchild) k této zprávě (Cisco 2009 Midyear Security Report) se věnuje problémům SMS a chytrých mobilů – Cisco: SMS, Smartphone Attacks on the Rise.

Viz také – Criminals use enterprise strategies to conduct attacks.

Také bezpečnostní profesionálové jsou postižení recesí. Podle Information Security – Interim Market Report 2009 narostl počet těchto odborníků, kteří hledají práci o 17 procent, zatímco počet nabízených míst klesl o 57 procent – IT security experts hit by recession .

Deset věcí k ochraně svých dat, které jsou nezbytné pro malé podnikání, popisuje článek Top Ten Things Small Businesses Must Know About Protecting and Securing Their Business Data. Donna R. Childs v něm vybírá podle svého soudu nejdůležitější momenty.

  1. Malé podnikání (MP) musí vědět, která data potřebuje zabezpečit a chránit.
  2. MP musí mít nastaveny procedury k digitalizaci a ukládání důležitých informací (které nemohou existovat pouze ve výlučné papírové podobě).
  3. MP musí mít představu o životním cyklu správy informací.
  4. MP musí zajistit, že dat, která již dále nepotřebuje, se zbaví bezpečnou cestou.
  5. MP musí správně chápat regulační a další ustavení (na shodu), která se týkají zabezpečení a ochrany podnikových dat.
  6. MP musí ustanovit konvence pro jména souborů tak, aby data, která zabezpečuje a chrání, byla správně identifikována.
  7. MP musí zajistit, aby veškerý personál znal správné postupy pro ochranu podnikových informací.
  8. MP musí mít automatizované postupy pro ochranu a zálohování dat.
  9. MP musí chránit svá data na bezpečném místě (mimo vlastní sídlo).
  10. MP musí testovat své zálohy tak, aby byla jistota, že chrání ty informace, o kterých si myslí, že jsou chráněny.

Kybernetická válka je reálnou hrozbou, Michal Černý na Lupě: Nedávný internetový útok na Jižní Koreu znovu ukázal zranitelnost států prostřednictvím čistě virtuálních zbraní. Do slovníku bychom tak měli natrvalo zařadit kyberterorismus. Ale otázkou je, zda přijde opravdová kybernetická válka, a zda se proti ni lze účinně bránit. Nebo už je tu odpověď?

Software

Společnost Verisign přišla se studií, která je věnována problémům bezpečnosti webových aplikací – Best Practices That Improve Web Application Security. Materiál přináší tzv. holistický přístup (v celém komplexu).

Firefox 3.5 obsahuje vážnou DNS zranitelnost – Firefox 3.5 DNS LEAKS like a waterfall. Na stránce najdete její popis i případné její dopady.

Byla vydána příručka věnovaná témat „Bezpečnější podnikáni s SSL“ – The Shortcut Guide to Business Security Measures Using SSL (má celkem 68 stran). Z jejího obsahu:

  • Chapter 1: Security Threats to IT Operations in the Age of Cybercrime
  • Chapter 2: Common Vulnerabilities in Business IT Systems
  • Chapter 3: Developing a High Impact Security Management Strategy
  • Chapter 4: Best Practices for Implementing a Business Centric Security Management Strategy

Byla objevena nová zranitelnost jádra Linuxu – Clever attack exploits fully-patched Linux kernel. Týká se i plně záplatovaných verzí. Viz také – A new fascinating Linux kernel vulnerability.

Bojan Zdrnja: Nmap 5.0 released  – na světě je nová verze Nmap s označením 5.0. Verze obsahuje řadu vylepšení a nových vlastností, viz stručný popis na stránce Nmap 5.00 released

a podrobnosti jsou pak zde – Insecure.Org: Nmap 5.00 Released.

Jednomu využití skeneru Nmap je věnován odkaz NDiff: Comparing two Nmap 5 scans to find changes in your network. Dva různé skeny prostřednictvím Nmap lze použít k posouzení změn, které nastaly ve vaší síti (využitím nové vlastnosti nástroje – Ndiff).

Malware

Rozsáhlé interview s Joannou Rutkowskou najdete na stránkách Exclusive Interview: Going Three Levels Beyond Kernel Rootkits. Joanna odpovídá na široké spektrum otázek, které se týkají problematiky malware, jsou zde uvedena i některá její doporučení.

Byl vydán přehled společnosti Eset: aktuální bezpečnostní hrozby (červen).Mezi nejrozšířenějšími hrozbami se objevil nový trojský kůň, v Česku a na Slovensku je rovněž nejčastěji detekovanou hrozbou. Vyplývá to z pravidelné měsíční zprávy společnosti Eset, která informuje o nejrozšířenějších škodlivých kódech. Informujte své zákazníky a prodejte jim bezpečnostní software.

Infekce z nakaženého PC se může šířit také na webové stránky – PC Infections Often Spread to Web Sites. Brian Krebs – některý dnešní malware (cituje Virut) takovýto potenciál obsahuje.

Hackeři

Hacknutím Twitteru se zabývá článek In Our Inbox: Hundreds Of Confidential Twitter Documents. Hacker „Croll“ získal přístup k většímu množství důvěrných dokumentů Twitteru a svým způsobem je zveřejnil.

Viz také:

Rádoby pirát satelitní TV uvězněn poté, co nabízel 250 000 dolarů za cracknutí přístupové karty  – Feds: Would-be Satellite TV Pirate Offered $250,000 Reward to Smartcard Cracker. Jung Kwak je majitel firmy dovážející satelitní přijímače. Jednalo se mu o kódovací schéma Nagra3.

Hardware

How to use electrical outlets and cheap lasers to steal data aneb jak krást data prostřednictvím elektrického vedení a laciných laserů. Prezentace (jejími autory jsou Andrea Barisani a Daniele Bianco) chystaná pro konferenci Black Hat ukazuje slabiny klávesnic.

Diskuze na Schneierově blogu je věnována problému úniků dat prostřednictvím elektrické sítě – Data Leakage Through Power Lines.

Nebezpečí webových kamer, tiskáren a jiných zařízení s webovým rozhraním popisuje zase ve svém článku John Leyden – Webcams, printers, gizmos – the untold net threats. Ghost in the machine.

RFID

Marek Tichý na Lupě přichází s článkem Ochrana soukromí (nejen) v systémech s RFID čipy: Před pěti lety jsme se obšírně věnovali problémům s ochranou soukromí při nasazení RFID čipů. Jelikož se mezitím realita stala minulostí a budoucnost RFID je dnes, snad neuškodí, když se podíváme na jeden modelový příklad – v podobě pražské OpenCard.

Mobilní telefony

The $99 iphone as an inexpensive tracking device

aneb iPhone jako sledovací zařízení. David Molnar uvádí zajímavý návod (i když, jak se zdá, nebyl z nějakého důvodu funkční až do konce).

Telefonní trojan má potenciál vytvořit botnet mobilů – Phone Trojan ‚has botnet features‘. Jedná se o trojan pro OS Symbian s označením (podle Trend Micro) SYMBOS_YXES.B. Viz také – Zombies bite into Symbian smartphones.

Spam

Spam – jeho současný objem, složení a zdroje jsou rozebrány ve zprávě Marshal8e6 bi-annual TRACElabs report. Komentář k této zprávě je na stránce – Spam now represents 90 percent of inbound email. Kromě problematiky spamu jsou ve zprávě rozebírány také současné webové hrozby a útoky.

Survey: Why do people respond to spam? – přehled se zabýval otázkou: Proč lidé odpovídají na spam? Téměř třetina lidí podle přehledu odpovídá na zprávy,  které podezírá, že jsou spam.

Elektronické finance a online obchodování

Herní finanční instituce přišla na počátku června o množství virtuálních peněz (miliardy). Za incidentem byl jeden ze zaměstnanců EBank – Billions stolen in online robbery .

Podvody v elektronickém obchodu, jaká jsou nejnovější kriminální schémata, to se dozvíte na stránce E-commerce Fraud: The Latest Criminal Schemes. Joan Goodchild zde v rozhovoru s Sebbe Jonesem (2Checkout) rozebírají současné techniky podvodů při online platbách.

Autentizace, hesla

V Česku se objevil nový zločin. Na internetu se krade vaše já: Krádeží identity bude v Česku přibývat. Zatím se pachatelé pokouší jen mstít a roznášet pomluvy, je ale jen otázkou času, kdy dojde i ke krádežím peněz, varují odborníci.

Poznámka (JP): Je připojena docela zajímavá diskuze.

Google researcher presents video Captcha – Bude Google používat video CAPTCHA? Podle článku má být příští týden prezentována na sympoziu.

Elektronický podpis

Nezálohovaná data HSM (soukromý klíč kořenové CA) jsou zdrojem vážného problému – Loss of data has serious consequences for German electronic health card . Stojí před ním v Německu elektronické karty určené pro zdravotnictví. Všechny starší karty (určené zatím pro testování) musí být vyměněny.

Normy a normativní dokumenty

Americký NIST vydal v uplynulém týdnu dokument:

Kryptografie

Byl vytvořen nový rekord při řešení eliptického diskrétního logaritmu – PlayStation 3 computing breaks 2exp60 barrier. 112-bit prime ECDLP . Autory výsledku jsou Joppe W. Bos1 a Marcelo E. Kaihara1, spolupracovali s nimi také Thorsten Kleinjung1, Arjen K. Lenstra1 a Peter L. Montgomery. Byl vyřešen problém nalezení eliptického diskrétního logaritmu pro eliptickou křivku v prvočíselném 112bitovém poli. Bylo použito více než 200 konzolí PlayStation 3.

Didier Stevens přichází s návodem na steganografický trik – skrytí souborů v pdf dokumentech – Embedding and Hiding Files in PDF Documents (je tu také k stažení potřebný SW). Tomuto problému se také věnuje diskuze na Schneierově blogu – Poor Man´s Stegano­graphy.

widgety

Různé

Přehled vychází z průběžně publikovaných novinek na Crypto – News.

Našli jste v článku chybu?
Lupa.cz: Proč jsou firemní počítače pomalé?

Proč jsou firemní počítače pomalé?

Vitalia.cz: Voda z Vltavy před a po úpravě na pitnou

Voda z Vltavy před a po úpravě na pitnou

Lupa.cz: Blíží se konec Wi-Fi sítí bez hesla?

Blíží se konec Wi-Fi sítí bez hesla?

Root.cz: Hořící telefon Samsung Note 7 zapálil auto

Hořící telefon Samsung Note 7 zapálil auto

120na80.cz: Pálení žáhy: která jídla ne a co nás uzdraví?

Pálení žáhy: která jídla ne a co nás uzdraví?

Podnikatel.cz: Instalatér, malíř a elektrikář. "Vymřou"?

Instalatér, malíř a elektrikář. "Vymřou"?

Podnikatel.cz: Tyto pojmy k #EET byste měli znát

Tyto pojmy k #EET byste měli znát

DigiZone.cz: Numan Two: rozhlasový přijímač s CD

Numan Two: rozhlasový přijímač s CD

Vitalia.cz: Jak Ondra o astma přišel

Jak Ondra o astma přišel

DigiZone.cz: Digi Slovakia zařazuje stanice SPI

Digi Slovakia zařazuje stanice SPI

Lupa.cz: Patička e-mailu závazná jako vlastnoruční podpis?

Patička e-mailu závazná jako vlastnoruční podpis?

Vitalia.cz: Test dětských svačinek: Tyhle ne!

Test dětských svačinek: Tyhle ne!

DigiZone.cz: Wimbledon na Nova Sport až do 2019

Wimbledon na Nova Sport až do 2019

Vitalia.cz: Tahák, jak vyzrát nad zápachem z úst

Tahák, jak vyzrát nad zápachem z úst

DigiZone.cz: Ginx TV: pořad o počítačových hráčích

Ginx TV: pořad o počítačových hráčích

Podnikatel.cz: Byla finanční manažerka, teď cvičí jógu

Byla finanční manažerka, teď cvičí jógu

Podnikatel.cz: Letáky? Lidi zuří, ale ony stále fungují

Letáky? Lidi zuří, ale ony stále fungují

DigiZone.cz: Technisat připravuje trojici DAB

Technisat připravuje trojici DAB

DigiZone.cz: Nova opět stahuje „milionáře“

Nova opět stahuje „milionáře“

Vitalia.cz: Muž, který miluje příliš. Ženám neimponuje

Muž, který miluje příliš. Ženám neimponuje