Bezpečnostní střípky: největší aktuální bezpečnostní hrozby

Jaroslav Pinkava 10. 5. 2010

Pravidelný pondělní přehled informací vztahujících se k problematice bezpečnosti IT. Z novinek právě uplynulého týdne vás kromě jiného upozorníme na priority Evropské unie ve výzkumu v IT bezpečnosti, články okolo bezpečnosti Facebooku a na udělátka pro bankomaty, o kterých informuje Brian Krebs.

Konference a přehledy

Priority EU výzkumu v IT bezpečnosti řeší materiál Priorities for Research on Current and Emerging Network Trends (96 stran), který připravila ENISA. Je komentován v článku IT security priorities of future EU research. V dokumentu je stanoveno následujících pět stěžejních oblastí:

  • Výpočty v cloudech (v oblacích)
  • Systémy pro detekci a diagnostiku v reálném čase
  • Budoucí bezdrátové sítě
  • Sítě se senzory
  • Integrita dodavatelských řetězců

Článek MessageLabs Intelligence Report – výsledky dubnové zprávy Symantec obsahuje shrnutí zprávy Symantecu ( MessageLabs Intelligence: April 2010 ): Analýza odhaluje, že robotická síť Rustock předstihla robotickou síť Cutwail coby největší robotickou síť jak podle objemu odeslané nevyžádané pošty, tak podle množství aktivních botů, které ovládá.

Obecná a firemní bezpečnost IT

Pět taktik, které používají podvodníci při online prodeji, vybrala a komentuje je Joan Goodchild – 5 top tactics in retail theft today.

Social engineering via paper mail aneb sociální inženýrství papírovou poštou. Nejen e-mail může být zdrojem útoků tohoto typu, Daniel Wesemann uvádí příklady.

Nejnovější podvody a jak se jim vyhnout, takovéto informace přináší článek Latest scams and how to avoid them. Zeljak Zorz v něm předává doporučení Jeana Chatzky (finančního editoru NBC Today).

Hodnocení IT rizik – zkušenosti z reálné praxe se objevují v článku IT risk assessment frameworks: real-world experience. Bob Violino v rozsáhlejším článku seznamuje čtenáře s několika rámci, které jsou pro tyto účely používány:

  • Operationally Critical Threat, Asset and Vulnerability Evaluation (OCTAVE)
  • Factor Analysis of Information Risk (FAIR)
  • The National Institute of Standards and Technology´s (NIST) Risk Management Framework (RMF)
  • Threat Agent Risk Assessment (TARA), a recent creation

Informační bezpečnost – v jakém terénu se dnes pohybuje? Francis Desouza je autorem článku An information security blueprint, part 1, který je věnován aktuální situaci na poli internetových hrozeb. Jeho první část (první ze dvou, pokračování je připravováno) je věnována popisu útočníků nových typů a současných typů zranitelností a opatření k jejich odstranění.

Jakou roli hraje Čína ve světové kyberkriminalitě? Zamyšlení What is China's role in world of cybercrime?, jehož autorem je Victor Godinez, je napsáno u příležitosti probíhající akce Worldwide Cybersecurity Summit v Dallasu.

Sledování chování online spotřebitelů dosahuje alarmující úrovně – Consumer groups: Online tracking at ‚alarming levels‘. Lance Whitney se zde vyjadřuje k dopisu, který byl zaslán Kongresu. Pochází od 11 skupin, které mají za cíl hájit soukromí spotřebitelů.

How Cyber-Crooks Turn Stolen Data into Money on eBay aneb jak počítačoví lapkové vyměňují na eBay ukradená data za peníze. Brian Prince popisuje schéma označované jako „quickswapping“.

Bruce Schneier tentokrát napsal esej na téma: Proč není více teroristických útoků? Je to zajímavé zamyšlení nad aktuální otázkou – Why Aren't There More Terrorist Attacks?.

Šifrování nebrání odposlechům – Encryption Can't Stop The Wiretapping Boom. Andy Greenberg hodnotí situaci v USA, vychází přitom z této zprávy (U.S. judicial system).
Viz také diskuzi – Nobody Encrypts their Phone Calls.

The Biggest Security Threats Right Now aneb k aktuálně největším bezpečnostním hrozbám. Matthew Sarrel zde charakterizuje současnou situaci (malware, Web 2.0, sociální sítě).

Obavy z obdobných útoků jako byla bomba na Time Square mohou vést k dalším bezpečnostním opatřením – Times Square bomb scare may mean new levels of security in the U.S., says former police chief. Joan Goodchild v rozhovoru s bývalým policejním šéfem (John Timoney) rozebírá možné dopady nedávného útoku na bezpečnostní praktiky používané v USA.

Sociální sítě

„Ďábelská“ rozhraní Facebooku – Facebook's „Evil Interfaces“, takto nazval svůj článek Tim Jones. Kriticky v něm komentuje některé vlastnosti nových rozhraní Facebooku.

Sedm věcí, kterým byste se měli vyhnout na Facebooku, najdete v článku Seven Things You Need To Stop Doing On Facebook. Rick Whiting cituje ze zprávy zveřejněné v Consumer Reports Magazine: June 2010. Viz také komentář – Nearly 1 in 4 Facebook users said to be ignoring security controls (skoro každý čtvrtý uživatel Facebooku říká, že ignoruje bezpečnostní kontroly).

Bezpečnostní díra na Facebooku umožňovala sledovat chat přátel – Video: Major Facebook security hole lets you view your friends’ live chats. Facebook pak zablokoval chat všem uživatelům. Viz také – Update: Facebook bug exposes private chats.

Norton: 44 procent lidí se stalo obětí počítačové kriminality v sociálních sítích – New Survey by Norton Reveals 44 Percent of People Have Been Victimized by Cybercrime on a Social Network. Článek (PR) stručné informuje o výsledcích nového přehledu společnosti Norton.

O čem nás mohou poučit změny v politikách soukromí Facebooku – Lessons to be learned from Facebook privacy changes. Krátké zamyšlení, jehož autorem je Zeljka Zorz. Rozebírá v něm dopady (z větší části nechtěné) informací, které o sobě lidé na webu nechávají. Viz také další článek autora – Deleting yourself from the Web.

Facebook přidává své aplikace k vašemu profilu bez vašeho vědomí – New Facebook Social Features Secretly Add Apps to Your Profile (Updated). Heather Kelly a Nick Mediati vysvětlují, co tyto „novinky“ umí (mj. prozradí historii vašich aktivit vašim přátelům). Reakce Facebooku – měli jsme tam chybu a už byla odstraněna. Viz také článek – Hey, Facebook: You Have Some Serious Privacy and Security Problems.

Software

Open DLP, to je volně dostupný nástroj pro prevenci před ztrátou dat (DLP – Data loss prevention) si lze stáhnout na stránce opendlp.

Roste černý trh s IP adresami – Beware the black market rising for IP addresses. V roce 2011 je očekáváno vyčerpání adres IPv4.

Google chce pomoci s vyhledáváním zranitelností webových aplikací – Do Know Evil: web application vulnerabilities. Přichází proto s vydáním sady nástrojů „Web Application Exploits and Defenses“.

Bezpečnostní rizika programovacích jazyků webových aplikací jsou tématem článku Security risks of web application programming languages. Je to zajímavé srovnání jednotlivých jazyků ve vztahu k různým typům zranitelností. Třeba Perl má historicky největší procento nalezených zranitelností.

Wireshark je ve verzi 1.2.8. Opraveny byly některé chyby tohoto populárního analyzéru síťových protokolů – Wireshark 1.2.8 released.

Malware

Zbot Social Engineering aneb sociální inženýrství Zbotu. Autor se ptá, jste si jistí, že tomu ve vaší organizaci nikdo nenaletí?

Immunet Cloud – co je to? Pomůže v boji proti malware? Zeljka Zorz objasňuje, jak tento projekt (účast je bezplatná) vznikl a jak funguje – Mobilizing a community to fight malware.

Rychle se šíří nový IM červ, a to prostřednictvím Yahoo Messenger (nová varianta již dříve existujícího červa) – New IM Worm Spreading Fast.

Červ I Love You i po deseti letech stále žije – 10 years later, the LoveBug still resonates. Tento červ vynikl zejména svým nezvykle rychlým šířením. Figuruje jako druhý v pořadí v tabulce nejhorších počítačových červů historie – Top 10 Worst Computer Worms of All-Time. Také se ocitnul v přehledu 10 of the Worst Moments in Network Security History.

Hackeři

Hacknuté byly stránky amerického státního pokladu – Hacked US Treasury websites serve visitors malware. Lights on, no one home. Stránky Treasury Department přesměrovávaly (snad již jsou opraveny?) uživatele na stránky s malware.

Reálný počítačový průnik vyžaduje úsilí a čas. Není to jako ve filmech, kde hrdina levou rukou rozbije šifrovací schéma s dnešními nejsilnějšími kryptografickými algoritmy – Real security breaches take time.

The DDoS attack survival guide aneb jak přežít útok DDoS, to je soubor odkazů (příručka) na články, které se váží k tomuto tématu.

Albert Gonzalez a jeho cesta z Wall Street do vězení – Coder Journeys From Wall Street to Prison. Po dlouhém vyšetřování dostal tento hacker 20 roků – dosud nejvyšší trest za provinění takovéhoto charakteru.

Nový útok překoná všechny antivirové ochrany – New attack bypasses virtually all AV protection. Bait, switch, exploit! Praktický exploit pro nalezenou metodu není jednoduchý, vyžaduje velké množství kódu, realistické scénáře však podle autorů existují. Obranou proti těmto útokům by bylo, kdyby antiviry používaly tzv. System Service Descriptor Table (SSDT).

Moderní hackerské postupy jsou vysoce cílené – Modern hack attacks are developing a laser focus. Rozebírá je Brian Musthaler, uvádí čtyři základní kroky těchto postupů:

  • Stadium 1: Průnik
  • Stadium 2: Zpřístupnění
  • Stadium 3: Získání kořisti
  • Stadium 4: Únik ven

Zároveň se také věnuje v této souvislosti některým doporučením (dosažení shody, ochrana informací, správa systémů a bezpečnost infrastruktury).

Hardware

Nechte harddisk, ať vám sám předem řekne, že končí, Radek Kubeš: Ztráta obsahu pevného disku počítače nebo zálohy na disku externím může znamenat katastrofu. Přitom je poměrně snadné zjistit, v jaké kondici váš harddisk je. A v případě, že se blíží konec jeho dní, si včas přenést data jinam.

Bezdrát

Sada nástrojů pro crackování bezdrátu je prodávána v Číně – WiFi Cracking Kits. Bruce Schneier na svém blogu uvádí diskuzi k informaci Wi-Fi key-cracking kits sold in China mean free Internet.

Mobilní telefony

iPad a nejnovější iPhone byly opět cracknuty – Hackers release jailbreak for iPad and newer iPhones. Objevil se SW, který na těchto zařízeních umožňuje instalaci stovek neschválených aplikací. Viz také – New jailbreak application gets iPad users free 3G.

Nový program změní iPad na iŠpiona. Brian Krebs informuje o aplikaci Mobile Spy společnosti Retina-X Studios (v podobě služby s cenou cca 100 dolarů za rok) – New Software Turns iPad into iSpy.

Elektronické bankovnictví

Každý desátý má PIN své platební karty zároveň i napsaný – Millions risk card crime through own fault. Too many consumers at risk from writing down Pin, to komentář k přehledu Which? Viz také další komentáře:

Former Con Man Helps Feds Thwart Alleged ATM Hacking Spree aneb k jednomu bankomatovému podvodníkovi. Kevin Poulsen v článku popisuje souvislosti jednoho případu, kde hlavní roli hrál jistý Thor Alexander Morris. Seznámit se s dalšími podrobnostmi lze v dokumentu Complaint.

Na světě je nový multiplaformový rootkit pro bankomaty  – Hacker develops multi-platform rootkit for ATMs. Připravil ho a povídat o něm na konferenci Black Hat Las Vegas (v červenci) bude bezpečnostní odborník (v titulku článku označený jako hacker) Jack Barnaby.

Fun with ATM Skimmers, Part III aneb zábava s bankomatovými udělátky, část třetí. Obrázky vše vysvětlí. Tentokrát se autor věnuje evropským podvodníkům.
Předešlé články Briana Krebse, které byly věnované této problematice:

Autentizace, hesla

Shifty Passwords (hrátky s hesly), to je zamyšlení nad cestami, jak vytvářet na pohled komplikovaná hesla. Ovšem – své konkrétní postupy si nechávejte pro sebe.

Hledají se soumaři pro převod peněz – Money mules wanted. Společnos F-Secure přišla s třemi příklady těchto postupů (Corporate Identity Theft). Zeljka Zorz doplnil k tomu svůj komentář.

Phishing

Cory Doctorow se stal obětí phishingu – Cory Doctorow Gets Phished. Známý spisovatel a publicista (i v oblasti bezpečnosti IT) prostě tentokrát uvěřil zaslané zprávě – Locusmag (v době psaní této informace však odkaz na Locus nefungoval).

Elektronický podpis

Datové schránky po půl roce, Jiří Peterka na Lupě: Od spuštění datových schránek již došlo k určité změně pohledu na to, co a jak vyžadují elektronické dokumenty, abychom s nimi mohli dlouhodoběji pracovat. Na scénu se například vrací časové razítko, a chystá se i institucionální archiv všech datových zpráv. A jaké nové nástrahy čekají na uživatele datových schránek v květnu a v červnu?

Normy a normativní dokumenty

Americký NIST v uplynulém týdnu vydal dokument:

Kryptografie

Znovuoživení steganografie, Martin Malý píše na Lupě: Steganografie je technika ukrývání komunikace tak, aby vůbec nebylo vidět, že komunikace probíhá. Pokud státní aparát nevidí, že se nějaká komunikace odehrává, nepátrá po jejím obsahu. A v poslední době na internetu tato technologie zažívá renesanci.

Vlastimil Klíma komentuje nedávný výsledek Alexe Biryukova a Dmitry Khovratoviche – Další pěkný kryptoanalytický výsledek k AES-256.

Cryptanalysis of the DECT Standard Cipher, obsahem této studie je kryptoanalýza standardní šifry pro DECT. DECT Standard Cipher (DSC) je proprietární algoritmus používaný pro zabezpečení bezšňůrových telefonů. Článek obsahuje informace o tom, jak postupy reverzního inženýrství byl získán popis algoritmu a o následně provedené jeho analýze, která ukázala jeho slabiny.

Různé

TopTen českých hoaxů a řetězových zpráv za duben 2010, připravil ho jako vždy server hoax.cz.

Přehled vychází z průběžně publikovaných novinek na Crypto – News.

Našli jste v článku chybu?
DigiZone.cz: ČTÚ zveřejnil aktualizovaný D-Book

ČTÚ zveřejnil aktualizovaný D-Book

Lupa.cz: Co vzal čas: internetové kavárny a herny

Co vzal čas: internetové kavárny a herny

Měšec.cz: Udali ho na nelegální software a přišla Policie

Udali ho na nelegální software a přišla Policie

DigiZone.cz: Jetelín končí. Prima ho vyřadila

Jetelín končí. Prima ho vyřadila

Podnikatel.cz: Babiš bude mít přehled o vašich účtech

Babiš bude mít přehled o vašich účtech

Podnikatel.cz: Novela zákoníku práce. Řeší homeworking

Novela zákoníku práce. Řeší homeworking

Podnikatel.cz: Kauza z Vinohrad pokračuje. Policie se omlouvá

Kauza z Vinohrad pokračuje. Policie se omlouvá

Vitalia.cz: Za její cukrovkou stojí rodiče

Za její cukrovkou stojí rodiče

120na80.cz: Víte, co je svobodná menstruace?

Víte, co je svobodná menstruace?

Měšec.cz: Platíme NFC mobilem. Konečně to funguje!

Platíme NFC mobilem. Konečně to funguje!

Vitalia.cz: Galerie: Strouhanka ze starých rohlíků? Kdepak

Galerie: Strouhanka ze starých rohlíků? Kdepak

Měšec.cz: TEST: Vyzkoušeli jsme pražské taxikáře

TEST: Vyzkoušeli jsme pražské taxikáře

Vitalia.cz: 9 potravin, které nesmí chybět v jídelníčku těhotné

9 potravin, které nesmí chybět v jídelníčku těhotné

Podnikatel.cz: Týká se vás EET? Chtějte od berňáku posudek

Týká se vás EET? Chtějte od berňáku posudek

Měšec.cz: Kurzy platebních karet: vyplatí se platit? (TEST)

Kurzy platebních karet: vyplatí se platit? (TEST)

Měšec.cz: Test: Výběry z bankomatů v cizině a kurzy

Test: Výběry z bankomatů v cizině a kurzy

DigiZone.cz: První Ultra HD (4K) Blu-ray je tady

První Ultra HD (4K) Blu-ray je tady

DigiZone.cz: AXN u FreeSatu měsíc zdarma

AXN u FreeSatu měsíc zdarma

Lupa.cz: Kdo vykrádá LinkedIn? Zjistit to má soud

Kdo vykrádá LinkedIn? Zjistit to má soud

Měšec.cz: Co když na dovolené přijdete o kartu?

Co když na dovolené přijdete o kartu?