Hlavní navigace

Bezpečnostní střípky: nezáplatované verze Javy jsou stále široce používány

1. 4. 2013
Doba čtení: 14 minut

Sdílet

Pravidelné informace z bezpečnosti IT, které se objevily v uplynulém týdnu. Je zde několik zpráv přehledového typu (např. zpráva společnosti Palo Alto konstatuje, že antivirový SW neumí pojednat nový malware). Širokou reakci médií vyvolal dosud největší útok DDoS a předmětem útoků jsou znovu americké banky.

Přehledy, konference

Byla vydána studie 2013 (ISC)2 Global Information Security Workforce Study. Komentář k jejím výsledkům najdete v článku Hacktivismus, Cyber-Terrorismus und staatlich initiierte Angriffe zählen zu den dringlichsten Sicherheitsbelangen. Z obsahu studie:

  • Survey Objective and Methodology
  • Security Threats and Vulnerabilities, Implications, and State of Readiness
  • People are a Key Tool in Information Security
  • Need and Budget for the Right Information Security Professionals
  • Skills
  • Certification
  • Affiliations
  • Information Security is a Rewarding and Resilient Profession
  • Secure Software Development: Essential but Under-Supported
  • Security Implications of BYOD, Cloud Computing, and Social Media
  • BYOD
  • Cloud Computing
  • Social Media

Dále se objevila zpráva společnosti Webroot: Survey. Web Threats Expose Businesses to Data Loss. Osm společností z deseti je obětí útoků z webů. Studie byla připravena ve spolupráci s lidmi, kteří provádí rozhodnutí ohledně bezpečnosti v USA a Velké Británii.
Viz komentář k této studii – 8 in 10 companies suffered web-borne attacks.

Komentář ke zprávě McAfee Threats Report: Fourth Quarter 2012 najdete na stránce Malware zielt mittlerweile auf unterschiedliche Branchen – Maliziöse URLs überholen Botnets als Verteilungsplattform für Malware. Ve zprávě jsou identifikovány následující trendy:

  • Mehr Bedrohungen, mehr Verfügbarkeit und mehr Industriesektoren
  • Web-Gefahren verlagern sich von Botnets hin zu URLs
  • Anstieg von Infektionen unterhalb des Betriebssystems
  • Böswillig signierte Binärdateien umgehen die Systemsicherheit
  • Mobile Malware auch weiterhin auf dem Vormarsch

Byla vydána zpráva společnosti AlertLogic – State of Cloud Security Report. Pro získání přístupu k tomuto dokumentu je nezbytná registrace. Komentář k jejím výsledkům najdete v článku Targeted attacks and real world hacks. Hlavní závěry zprávy:

  • Cloud není nevyhnutelně méně bezpečný
  • Různá IT prostředí čelí různým hrozbám
  • Prostředí poskytovatele cloudového hostingu obvykle čelí zúženému spektru hrozeb

6. dubna 2013 se v Brně koná Konference Security Session 2013. Web samotné akce najdete na této stránce Security Session.

Obecná a firemní bezpečnost IT

What do users look for in a security solution? – co uživatelé očekávají od bezpečnostního řešení? V článku jsou tlumočeny výsledky přehledu (4715 uživatelů z celého světa), který provedla AV Comparatives. Něco málo přes polovinu respondentů využívá placená řešení. Pětice nejdůležitějších požadovaných vlastností:

  • kvalitní detekční poměr škodících souborů (nezávislý na připojení cloud/online)
  • kvalitní potenciál ve vztahu k odstranění/očištění od malwaru
  • nízký dopad na výkon systému
  • kvalitní obecná/heuristická detekce (nezávislá na připojení cloud/online)
  • kvalitní online ochranný poměr při surfování internetem

Uživatelé vědomě ignorují bezpečnostní pravidla – Employees deliberately ignore security rules. Ukazují to výsledky přehledu společnosti Lieberman Software.

Severní Korea trénuje týmy kybernetických bojovníků – North Korea training teams of ‚cyberwarriors‘. Viz informace v článku Experts: NKorea training teams of ´cyber warriors´.

Our Internet Surveillance State, to je nová esej Bruce Schneiera. Tato esej na žhavé téma obsahuje množství dalších odkazů a na Schneierově blogu je k ní připojena bohatá diskuze.

Ochrana exekutivy – 4 podstatné věci na cestách – Executive protection: 4 essentials for secure travel. BK Blankchtein rozebírá tyto body:

  • Advance work
  • The detail
  • Training
  • K&R (kidnap and ransom)

Spojené státy chtějí přitáhnout hackery do veřejného sektoru – Luring Young Web Warriors Is Priority. It’s Also a Game. Je to jedna ze současných priorit.
Viz také komentář – To Combat China´s Hacker Army, the U.S. Is Copying Its Methods.

The security implications of 420,000 vulnerable hosts – k bezpečnostním dopadům 420 000 zranitelných hostů. Patrick Lambert se vrací k nedávné (nelegální) analýze, která potvrdila, jak snadné je nalézt na internetu zranitelnosti. Internet je stále Divokým Západem.

Většina IT adminů chce končit, a to kvůli stresu – Most IT admins considering quitting due to stress. Přehled GFI Software, o jehož výsledcích článek informuje, se týká Velké Británie.

Security Awareness Training, to je další esej Bruce Schneiera. Důležitost bezpečnostních školení zaměstnanců je někdy rozporována. Někdo to dokonce považuje za ztrátu času. Bruce Schneier k tomu vysvětluje svůj pohled.

C(I)SO: And Now What?: How to Successfully Build Security by Design, to je výňatek ze stejnojmenné knihy. Samotnou knihu najdete na Amazonu. Jejím autorem je Michael S. Oberlaender, kniha má 102 stran, vyšla v lednu 2013.

USA a Rusko (nikoliv Čína) jsou na čele seznamu zemí s poskytovateli nejvíce škodících hostingů – U.S. and Russia–Not China–Lead List of Malicious Hosting Providers. Odpovídající statistiky přichází z World Hosts Report.

Inside the Ring: NSA on cyberwar aneb NSA ke kybernetické válce. Článek je většinou zaměřený na politické aspekty, ale vrací se také do historie. Zmíněn je článek v Cryptologu (NSA), kde již v roce 1997 hovořil Bill Black o potřebě ofenzivního cyberwarfaru.

Špióni MI5 – lidé se za nás podvodně vydávají – MI5 undercover spies: People are falsely claiming to be us. MI5 zveřejnila na svých stránkách varování ohledně finančních podvodů.

Jak si spotřebitelé chrání svá zařízení? Článek A look at how consumers safeguard their devices se obrací výsledkům přehledu, který zpracovala společnost NQ Mobile. Například jen 52 procent uživatelů používá nějaký autentizační postup k ochraně svého zařízení.

Microsoft vydal příručku: Building Global Trust Online Volume 3: Policymaker Guide to Privacy, Safety and Security. Devadesátistránková příručka je určena tvůrcům politik. Z jejího obsahu:

  • Cyber Security – an Overview
  • Cybersecurity Norms
  • Critical Infrastructure Protection
  • Supply Chain Security
  • Collective Defense: Applying Public Health Models to Internet Security
  • Combating Botnets

Ředitel NSA říká, že sdílení informací o hrozbách je kritické pro americkou kybernetickou bezpečnost – NSA Director: Information-Sharing Critical To U.S. Cybersecurity. Generál Keith B. Alexander v tomto duchu vystoupil na symposiu – The Georgia Tech Cyber Security.

Interpol si vybral společnost Kaspersky pro bezpečnost internetu – INTERPOL Taps KGB Tech Wizard Kaspersky for Internet Security. Článek obsahuje i poukázání na některé kritické momenty této volby (Evžen Kaspersky absolvoval odborná školení KGB).

Legislativa, politika

NBÚ žádá větší pravomoci, v případě útoku hackerů chce ovládnout internet, z úvodu: Pokud by se počítačoví hackeři rozhodli v budoucnu ještě masivněji zaútočit na důležité státní servery včetně databází či páteřních bodů české infrastruktury, mohl by stát výrazněji ovlivňovat chod českého internetu, a dokonce nařizovat soukromému sektoru, jak má na situaci reagovat.

Bundesnachrichtendienst (BND) zakládá nové oddělení na obranu proti útokům hackerů – Cyberspionage: BND gründet neue Abteilung zur Abwehr von Hackerangriffen. Mělo by mít až 130 spolupracovníků.
Viz také komentář – BND rüstet mit neuer Abteilung gegen Cyberangriffe.

USA, probíhají diskuze okolo chystaného zákona Computer Fraud and Abuse Act (CFAA) – Draft of cyber bill exacerbates flaws of anti-hacking law. Kopii draftu tohoto zákona najdete na tomto odkazu – copy.

Velká Británie, Fusion Cell – vzniká nová kybernetická jednotka chránící britské podnikání – Fusion Cell cyber-unit will defend UK business from cyber-attack, Government announces. Tvoří ji 12–15 elitních bezpečnostních expertů.
Viz také komentář – UK sets up cyber attack information exchange center, týká se Cyber Security Information Sharing Partnership (CISP).

Software

Is uncovering digital vulnerabilities doing more harm than good? – nadělá zveřejnění zranitelností více škod než užitku? Michael P. Kassner uvádí příklady z praxe a v závěru článku říká, že je třeba dále hlouběji posoudit obě strany problému.

Výstraha! Slabé klíče u NetBSD – Weak keys in NetBSD. Volně dostupný Unix-Derivat NetBSD obsahuje chybu v generátoru náhodných čísel.
Viz také komentář – Whoops! Tiny bug in NetBSD 6.0 code ruins SSH crypto keys.

Nezáplatované verze Javy jsou stále široce používány – Unpatched Java Versions Remain Widely Used: Report. Podle Websense 94 procent koncových bodů, které používají Javu od Oracle, má stále nezáplatovaný alespoň jeden její exploit. Viz také komentáře:

12 důvodů, proč veřejné cloudy jsou lepší než ty soukromé – 12 reasons why public clouds are better than private clouds.

Lákadla (honeypots), která koušou, jejich použití k odvetné penetraci – Honeypot that can bite: Reverse penetration, to je vystoupení Alekseje Sincova na Black Hat Europe, komentář k němu najdete na stránce Honeypot Stings Attackers With Counterattacks.

Přišla španělská stížnost na Microsoft kvůli UEFI Secure Boot – Secure Boot complaint filed against Microsoft. Tento mechanismus obsahují Windows 8. V samotném problému se rozebírá Liam Tung na stránce Microsoft Windows 8 UEFI Secure Boot complaint: The case for and against.

Malware

Grum botnet makes a comeback – vrací se botnet Grum. Šíří farmaceutický spam, který odkazuje na nelegální lékárenské weby.

Kaspersky Security Scan odhalil malware na 3 % chráněných českých počítačů, Kaspersky Security Scan je volně dostupná aplikace, která vyhledává v systému malware. Jde o takzvané „Second Opinion Solution”, které nevyžaduje instalaci a je možné ho využít na počítačích, na nichž už běží jiné bezpečnostní řešení. V případě, že objeví malware, vysílá anonymní data do Kaspersky Lab o skenovaném systému a vyhledaných hrozbách. Řešení je k dispozici ke stažení od konce května 2012. Kaspersky Security Scan můžete stáhnout zde.

Účet Evernote sloužil k šíření instrukcí ohledně malwaru – Evernote account used to deliver instructions to malware. S tímto zjištěním a vysvětlením podrobností přichází společnost Trend Micro.
Viz také komentář – Cybercriminals Use Evernote as C&C.

Špionážní malware

Nezáplatovaný nástroj pro vzdálený přístup je darem útočníkům – Unpatched Remote Access Tools: Your Gift To Attackers. Mathew J. Schwartz se ještě vrací ke kampani TeamSpy.

5 (Probably) American Cyberweapons – pětice (pravděpodobně) amerických kybernetických zbraní. Autor článku ve svém přehledu uvádí charakteristiky následujícího malwaru:

  • Stuxnet
  • Flame
  • Duqu
  • Gauss
  • MiniFlame

Podle odborníků NATO byl útok Stuxnetu nelegálním aktem – Legal Experts: Stuxnet Attack on Iran Was Illegal ‘Act of Force’. Článek obsahuje závěry vyplývající z nedávno vydaného tallinského manuálu NATO.
Viz také komentář – Cyberwar playbook says Stuxnet may have been ´armed attack´.

Viry

Antivirový SW neumí pojednat nový malware – Antivirus software fails to spot new malware, Palo Alto finds. Nejrozšířenější programy takto chybují u 40 procent malwaru, říká zpráva společnosti Palo Alto.
Viz také komentář – New study finds malware variants skirting AV, mostly delivered via web.

Hackeři a jiní útočníci

Jižní Korea říká, že označení čínské IP adresy jako zdroje útoku bylo chybné – South Korea says China hack link a ‚mistake‘. Z dalšího šetření vyplynulo, že malware přišel z jedné místní (napadené) banky. Oficiální místa přesto věří, že útok přišel ze zahraničí.



Viz také komentáře – South Korean cyberattacks used hijacked patch management accounts a Spear phishes used to infect South Korean corporate networks.


Dále také – North Korea Cyber Warfare: Hacking ´Warriors´ Being Trained In Teams, Experts Say.

Špičková čínská univerzita spolupracuje s armádní špionážní jednotkou (PLA Unit 61398) – Top China uni linked to army's cyberspying unit. Jedná se o Shanghai Jiaotong University, jejíž výzkumné zprávy vznikaly ve spolupráci s jednotkou, která je odpovědná za útoky na západní komerční cíle (byla identifikována ve zprávě společnosti Mandiant).
Viz také komentář – Chinese university tied to „APT1“ army cyber unit .

Guccifer emails link Tony Blair to top-secret Bohemian Grove gathering aneb hacker Guccifer a osobní e-maily Tony Blaira. Diskutována v nich byly mj. účast na setkání v Bohemian Grove.

Odkazy na ”likvidátora prohlížeče“ se šíří mezi japonskými uživateli Twitteru – ‚Browser crasher‘ links spread among Twitter users in Japan. Roste množství zpráv, které obsahují odkaz na stránku, která způsobí pád prohlížečů v mobilech a PC.

Too Scared To Scan aneb obavy ze skenování kritických aplikací organizace. To, co provádí útočníci, je i úkolem pro bezpečnostní profesionály společnosti. Organizace nemůže opravit problémy, o kterých neví.

Dosud největší DDoS útok demonstruje sílu nových postupů – Largest-Ever DDoS Campaign Demonstrates Danger of New Attack Method. Útok na Spamhaus dosáhl až 300 Gbps. Útočníci používají překonfigurované servery DNS (open recursive resolvers). Objevilo se k tomu velké množství komentářů:

K situaci okolo DDoS útoku na Spamhaus se obrací článek When spammers go to war: Behind the Spamhaus DDoS. Peter Bright v něm vysvětluje, proč došlo ke konfliktu.
O tom, že celá situace je poněkud zveličena, hovoří článek Biggest DDoS Attack in History?
Viz také komentář – Largest DDoS Attack Ever Is Over; Used Unsecured DNS.

Jak to vypadá, cílem současných kyberútoků je ničení, nejen narušení – Cyberattacks Seem Meant to Destroy, Not Just Disrupt. V článku v New York Times jsou zmíněny některé útoky z poslední doby.

Anonymous

Anonymous sice oznámili, že hackli servery Mossadu, ale … Don’t believe hack claims against Mossad’s website, expert says. Měl být ukraden excelovský dokument obsahující seznam 34 000 agentů Mossadu s některými jejich daty (e-mailové a domácí adresy atd.). Má to být součástí nové kampaně Anonymous – #OpIsrael. Internetový odborník Dr. Tal Pavel však říká, že seznam sice obsahuje jména občanů Izrael, nejsou to však agenti Mossadu.
Viz také komentář – Experts doubt Anonymous Mossad spy outing claims are kosher.

Hardware

Z digitálních kamer může být snadno špionské zařízení – Digital cameras easily turned into spying devices, researchers prove. Daniel Mende a Pascal Turbing na akci Shmoocon 2013 to demonstrovali na kameře Canonu EOS-1D X DSLR.

Bezdrát

Attacking SCADA wireless systems – k útokům na SCADA bezdrátové systémy. Video z akce Shmoocon 2013 ukazuje současný stav této problematiky, cesty útoků, jejich význam a některá doporučení.

VoIP

Microsoft nepředal žádný provoz Skypu policii či jinam – No Skype traffic released to cops or spooks, insists Microsoft. Článek informuje o tom, jak Microsoft odpovídá zákonným orgánům při jejich požadavcích na data (Microsoft´s transparency report).

Mobilní zařízení

Lokační data mobilu dokážou identifikovat jednotlivce – Mobile location data identifies individuals. Konstatují to výsledky americko-belgické studie – Unique in the Crowd: The privacy bounds of human mobility.
Viz také komentář – Anonymized Phone Location Data Not So Anonymous, Researchers Find. V provedené analýze 1,5 miliónu uživatelů zjišťují odborníci z MIT a z Universite Catholique de Louvain (Belgie), že stačí jen málo dat k tomu, aby bylo možné identifikovat 95 procent uživatelů.

Pomalé záplatování mobilů s Androidem vede k zprávám o zranitelnostech – Slow Android Phone Patching Prompts Vulnerability Report. Například společnost Samsung nereaguje na informace o zranitelnostech od odborníků dostatečně včas. Roberto Paleari zveřejnil informace o zranitelnostech 19. března, dosud nebyla vydána záplata, přestože o zranitelnostech byl Samsung informován již v lednu.

Mobile device data recoveries surge – obnova dat z mobilních zařízení. Podle společnosti Kroll Ontrack požadavky v tomto směru narostli v roce 2012 oproti roku 2011 o 55 procent. V článku jsou dále rozebírány příčiny požadavků na obnovu dat.

iPhony jsou nejvíce ”zranitelné“ mezi chytrými mobily – iPhones most ‚vulnerable‘ among smartphones. Říká to Yves Younan, výkonný šéf SourceFire, který je autorem zprávy společnosti – 25 Years of Vulnerabilities.

Back up, wipe and restore your iPad – iPad – jak ho zálohovat, vymazat a znovu obnovit. Pokud iPad chcete prodat, je třeba, aby neobsahoval vaše osobní informace.

Mobilní malware

Android malware cílí na tibetské a ujgurské aktivisty – Tibetan and Uyghur activists targeted with Android malware. O útoku informují odborníci z Kaspersky lab. Malware nese označení Backdoor.AndroidOS.Chuli.

Elektronické bankovnictví

Slovinsko: pětice výtečníků vyprazdňovala s pomocí malwaru bankovní účty – Five cuffed for stealing 2M euros via e-banking hacks. Měla tak přijít až ke dvěma miliónům euro.

Botnet vSkimmer cílí na platební terminály připojené na Windows – vSkimmer Botnet Targeting Payment Card Terminals Connected to Windows. Informuje o tom společnost McAfee – VSkimmer Botnet Targets Credit Card Payment Terminals.
Viz také komentáře:

Evropský bezpečnostní tým pro bankomaty informuje o podvodech – European ATM Security Team on fraud losses. European ATM Security Team (EAST) vydal svou první zprávu European Fraud Update for 2013. Největší ztráty z těchto podvodů se objevují v USA, následují Dominikánská republika, Brazílie a Mexiko.

Cash Claws, Fake Fascias & Tampered Tickets aneb bankomatové podvody zase trochu jinak. Brian Krebs zmiňuje případy, kdy podvody typu skimming se týka již nejen samotných bankomatů, ale i některých příbuzných zařízení. Vychází z informací European ATM Security Team (EAST).

Americké banky a nové útoky DDoS – TD Bank, KeyBank Confirm DDoS Attacks. Expert Says Other Banks Affected by New Methods. Tyto útoky mají dopad na online bankovní služby. Útoky jsou nyní složitější, využívají nové nástroje, konstatuje se v závěru článku.

Rozbita byla globální síť podvodů s platebními kartami – Authorities bust global credit card fraud network. Na operaci Pandora-Storm se podílelo s Europolem 20 orgánů činných v trestním řízení z různých zemí (z Evropy, Ameriky a Austrálie).
Viz také komentář – Global credit card fraud network dismantled.

Také American Express se stal předmětem útoku DDoS – DDoS Strikes American Express. K útoku se přihlásila skupina Izz ad-Din al-Qassam.

Autentizace, hesla, ID

How I became a password cracker aneb jak jsem se stal crackerem hesel. Rozsáhlý článek obsahující spoustu zajímavých informací napsal dle vlastních zkušeností Nate Anderson.

Britská zpravodajská agentura uchovává hesla v otevřeném tvaru – UK intelligence agency stores passwords in plain text. Týká se to GCHQ a objevil to universitní student Dan Farrall.

Phishing

Spicing up phishing attacks takto vypadají ochucené phishingové útoky. Fraser Howard se podrobněji dívá na některé techniky phisherů, které jsou používány v posledních měsících.

Normy a normativní dokumenty

OASIS aktualizuje populární normu PKCS 11 pro mobil a cloud – OASIS Enhances Popular Public-Key Cryptography Standard, PKCS #11, for Mobile and Cloud. Na řešení se podílí více než 25 organizací.

Byl vydán draft:

Kryptografie

Společnost Entrust říká, že eliptické křivky nahradí v několika letech RSA – Entrust puts down stake in the future of mobile security and digital certificates. Proč – to vysvětluje Entrust CEO Bill Conner.

root_podpora

Různé

Top April Fools' Day hoaxes throughout history – největší aprílové hoaxy historie, jejich přehled (a některá doporučení) připravila Kaspersky Lab.

Přehled vychází z průběžně publikovaných novinek na Crypto – News.

Byl pro vás článek přínosný?