Bezpečnostní střípky: odborníci říkají: „věnujte pozornost bezpečnému používání hesel“

Jaroslav Pinkava 18. 6. 2012

Pravidelný pondělní přehled informací vztahujících se k problematice bezpečnosti IT. Z novinek právě uplynulého týdne upozorníme především na několik vydaných přehledů. Také samozřejmě nelze přehlédnout, že bouře okolo Flame neutichá a řada článků ukazuje cesty podnikům k ochraně a obraně jejich dat.

Přehledy a konference

Co se chystá na konferenci Black Hat USA, se dozvíte na stránce Black Hat Releases Complete Event Schedule. Konference proběhne ve dnech 21. až 26. července 2012 v Las Vegas. Má zde být předvedeno 36 nástrojů, 17 problémů dotýkajících se zranitelností nulového dne a 49 živých demonstrací.

Květen 2012 byl ve znamení prudkého nárůstu malware a spamu, říká komentář Malware, Spam Growth Explodes in May ke zprávě německého poskytovatele e-mailu společnosti Eleven – eleven E-mail Security Report for June 2012: Explosive growth in malware in May 2012 (shrnutí). Kompletní zpráva je pak zde – eleven E-Mail Security Report Juni 2012. V článku je také odkaz na příbuznou studii Mimecast (The Shape of Email), o jejichž výsledcích informují stránky:

Insider threats continue to plague IT managers – interní zaměstnanci dále trápí IT manažery, tento článek je věnován přehledu společnosti Cyber-Ark. Odkaz na samotný přehled najdete na stránce Trust, Security and Passwords Survey. Další komentář k přehledu je na stránce Insider threat as prime security concern.

Zaměstnanci připouští, že odejdou s ukradenými daty, pokud budou propuštěni – Employees Admit They'd Walk Out With Stolen Data If Fired. Také v tomto článku jsou komentovány výsledky přehledu společnosti Cyber-Ark.

Společnost Sophos vydala přehled The Future of Network Security. Je mj. věnován otázce: malé a střední podnikání: rostoucí bezpečnostní požadavky versus stará infrastruktura. Komentáře k výsledkům tohoto přehledu jsou na stránkách:

Obecná a firemní bezpečnost IT

Deset cest, kterými můžete vystavit vaši podnikovou síť hackům, rozebírá v článku Ten Ways to Get Your Business Network Hacked Alan Dunn:

  • Jednoduchá hesla
  • Nedostatek výchovy
  • Povolení neomezeného přístupu všem zaměstnancům
  • Není nastaven a zveřejněn systém pro hlášení bezpečnostních problémů
  • Bývalí zaměstnanci mají stále přístup do sítě
  • Chybí monitoring
  • Záplatování vašeho systému
  • Citlivá data nejsou zašifrována
  • Heslo administrátora
  • Předpokládá se, že vše je v pořádku

Jak monitorovat a kontrolovat privilegované uživatele – How To Monitor And Control Privileged Users, to je výtažek ze zprávy ”Monitoring and Controlling Privileged User Access“, ke které lze na stránkách Dark Reading získat přístup (po registraci). V článku jsou shrnuty některé důležité myšlenky.

Hrozby ohrožující všechny podniky, desítka z nich, která zasluhuje největší pozornost, takovouto slideshow připravil Chris Preimesberger (Security Threats Facing All Enterprises: Top 10 Issues That Need Attention), vyjmenovává následující hrozby:

  1. Excessive Internal Data Access Privileges
  2. Third-Party Access
  3. Political Hactivism
  4. Social Engineering
  5. Internal Negligence
  6. Lack of Transparency in Cloud Service Offering
  7. Rogue Certificates
  8. Mobile Devices in the Workplace
  9. Misuse (Malicious or Nonmalicious)
  10. Physical Attacks

Obdobným směrem je zaměřen článek Five IT security threats and how to combat them, kde je rozebírána tato pětice hrozeb (a cesty, jak s nimi bojovat):

  • Internal excessive privilege
  • Third party access
  • Hacktivism
  • Social engineering
  • Internal negligence

Malé podnikání se nebojí datových průniků – Small businesses not afraid of data breaches, v článku jsou komentovány výsledky šetření společnosti Hartford. Majitelé podniků odpovídali na to, jaký je jejich vztah k osmi praktikám ohledně „nejlepších postupů“ pro ochranu dat (osmice je v článku uvedena včetně výsledných procent).

Vzdáváme své internetové soukromí, říká Cory Doctorow – Why we give away our Internet privacy, according to Cory Doctorow. Z jeho komentáře The Curious Case of Internet Privacy a prózy The Things that Make Me Weak and Strange Get Engineered Away vybral Michael Kassner.
Citát: Free services in exchange for personal information. That´s the ”privacy bargain“ we all strike on the Web. It could be the worst deal ever.

Při projednávání incidentů jsou důležitou součástí rozhovory se zaměstnanci – The Importance Of Interviews In Insider Investigations. O principech, jakými se mají tato interview řídit, hovoří Ericka Chickowski.

Data Breaches: What They Are and How They Can Hurt You aneb populárně: datové průniky, co jsou zač a jak vám mohou ublížit, to je malý přehled určený širokému okruhu čtenářů.

Rozdílnost pohledu CEO a CISO, vypovídají o ní výsledky šetření CEOs Lack Visibility Into Origin and Seriousness of Security Threats. Informaci o něm doplňuje grafické znázornění některých výsledků – infographic. Viz také komentáře:

How Ethical Hackers Make Computers Safer aneb jak etičtí hackeři dělají počítače bezpečnějšími. Autorka vysvětluje zaměření a principy jejich činností.

Jak se bránit proti útokům na infrastrukturu – How To Defend Against Infrastructure Attacks. Článek obsahuje seznam čtyř hlavních hrozeb (v tomto směru) a zároveň i cest, jak se proti nim bránit (připravila ho společnost Gartner):

  • Distributed denial-of-service (DDoS) and denial-of-service
  • Certificate authority (CA)
  • Domain Name Services (DNS)
  • 4G LTE

Byla vydána studie (IBM): Managing Security Threats in the Digital Age. Bezpečnostní hrozby jsou nyní větší než kdy předtím. Jak se s tím má vypořádávat (C-Suite = šéfové) management?

Komise EU říká, že není problémem, když evropská data budou na serverech v USA – All of Europe's data in US servers? We're OK with that – EC bod. Megan Richards (Information Society and Media): důležité je, aby byla zabezpečena a chráněna.

Cyberwar Treaties – Bruce Schneier: potřebujeme mezinárodní dohody ohledně kybernetické války? Autor v této eseji poukazuje na problematičnost položené otázky.

Indie připravuje své plány ohledně obrany proti kybernetickým útokům a ochraně kritické infrastruktury – India to greenlight state-sponsored cyber attacks. Na čele těchto aktivit budou stát Defence Intelligence Agency (DIA) a National Technical Research Organisation (NTRO).

Pokud uživatelé Megauploadu budou chtít svá data, dostanou je, ale musí zaplatit – If Megaupload users want their data, they're going to have to pay. Rozhodnutí vládních úředníků bylo oznámeno v pátek u amerického soudu.

Sociální sítě

LinkedIn chyboval v základních bezpečnostních opatřeních – LinkedIn: Making Insecure Connections. Autor článku hovoří o chybách na třech úrovních – v politice, v praxi a v komunikacích.

Varování, které LinkedIn rozesílá, je chybně blokováno jako spam – LinkedIn user alerts mistakenly blocked as spam. Informuje o tom společnost Cloudmark zabývající se emailovou bezpečností.

LinkedIn – povede existující podoba bezpečnosti k dlouhodobým problémům? Dopady úniku více než 6 miliónů hesel nejsou malé. Před hromadným útěkem uživatelů LinkedIn zachraňuje nyní tuto sociální síť pravděpodobně jen fakt, že je podnikatelsky orientovaná a k tomu existuje jen málo alternativ – Have LinkedIn's security woes permanently damaged the social network?.

Proč hackeři útočí na sociální sítě? Staying Safe on Second-String Social Media Sites – Chris Boyd (GFI) vidí následující tři důvody:

  • the vast amount of personally identifiable information housed on these channels
  • the tendency of users to let their guard down when using social-media tools
  • the regularity with which users visit their favorite sites

Software

Servery s MySQL, MariaDB jsou zranitelné vůči útoku na hesla hrubou silou – Password flaw leaves MySQL, MariaDB open to brute force attack. Podstatu této bezpečnostní zranitelnosti vysvětluje Sergej Golubčik na stránce Security vulnerability in MySQL/MariaDB sql/password.c.
Viz také komentář na stránce MySQL vulnerability allows attackers to bypass password verification.

Microsoft se staví za defaultní soukromí v normě Do Not Track – Microsoft renews call for default privacy in ‚Do Not Track‘ standard. Diskuze okolo toho, jak by chystaná norma měla vypadat, ještě nekončí.

Šéf NSA prosazuje využití cloudu pro utajované vojenské kybernetické programy – NSA chief endorses the cloud for classified military cyber program. Generál Keith Alexander v této souvislosti hovoří o řadě výhod a úspor.

EU v tomto dokumentu Opinion 04/2012 on Cookie Consent Exemption říká, jak využívat cookies – legálně. Komentář k této zprávě je na stránce EU group gives extra advice on cookies.

Společnost Apple potichu stáhla ze svého webu srovnání bezpečnosti Mac OS X a Windows – Apple Quietly Removes Windows Security Comparisons From Web Site. Je to zjevný dopad skutečnosti, že hackeři nyní věnují Macům více pozornosti.

Malware

Who Is the ‘Festi’ Botmaster? – Festi – kdo je jeho botmasterem? Brian Krebs hovoří o Pavlu Vrublevském, spoluzakladateli ChronoPay. Ten nyní stojí před soudem, kde je obviňován z využití botnetu proti konkurenci. V článku se také hovoří o Igoru Artimovičovi, který byl ruskými orgány zatčen v loňském roce a měl na útocích DDoS spolupracovat.

Flame

Flame Virus:on trail of mysterious spyware, na této stránce najdete interview s Vitalijem Kamljukem (Russian Global Research and Analysis Team at Kaspersky Lab.). Jeho obsah se týká hlavně nedávných událostí okolo malware Flame. A pochopitelně jsou zmíněny také Stuxnet a Duqu.

Odborníci našli přímé propojení mezi Flame a Stuxnetem – Researchers find direct link between Flame, Stuxnet malware. Roel Schouwenberg (Kaspersky Lab): „We´re very confident that the Flame team shared some of their source code with the Stuxnet group“.
Podrobnosti jsou na blogu – Back to Stuxnet: the missing link.
Viz také komentáře:

Flame – využitý kryptografický útok vyžadoval počítačovou sílu v ceně 200 000 dolarů – Flame's crypto attack may have needed $200,000 worth of compute power. Takovéto ocenění vycházi z cen služeb Amazon´s EC2 Web service.
Viz také komentář – Flame crypto attack very hard to pull off, researcher says.

Flame is Lame – F-Secure: co jsme zjistili o Flame za uplynulé dva týdny. Přehled je podaný trochu méně tradiční formou.

Ellen Messmer k tématu Flame napsala desetistránkový dokument Extinguishing Flame malware. Nezbytná je registrace. Z obsahu:

  • Flame malware’s structure among most complex ever seen
  • Researchers reveal how Flame fakes Windows Update
  • Iran’s discovery of Flame turning into political hot potato
  • ‘Flame’ cyber-weapon went undiscovered for four years
  • Stuxnet and Flame share code,development teams
  • Microsoft’s reaction to Flame shows seriousness of ‘HolyGrail’ hack extinguishing flame malware lFlame malware

Is Flame virus fallout a Chinese, Russian plot to control the Internet? – je Flame rusko-čínskou záležitostí, nepodařený důsledek snahy o kontrolu internetu? Nakolik je tento článek (jeho titulek) spekulací o konspiracích, ponechám na čtenáři.

Malware Flame bylo vyvinuto vládou Spojených Států. Takto soudí autor článku Flame virus, most sophisticated malicious code ever seen, was developed by U.S. government, v němž vychází z nedávno zveřejněných informací o autorství Stuxnetu a o podobě částí kódu Stuxnetu a Flame.

Viry

Je zde falešný antivir pro Android – FakeAV for Android! There you are!. Byla jen otázka času, kdy se objeví, říká Dancho Danchev a ukazuje na „produkt“ Android Security Suite Premium.

Hackeři a jiní útočníci

Jihokorejské noviny se staly objektem velkého kybernetického útoku – S.Korea warns of retaliation against N.Korea command. Není to v poslední době ojedinělá záležitost tohoto typu.

Hackeři využili na 200 českých serverů k útoku na Lotyšsko. Z úvodu: Zatím neznámým hackerům se v minulých dnech podařilo ovládnout na 200 počítačových serverů, které jsou umístěny v České republice. Zotročené stroje pak piráti využili ke kybernetickému útoku na cíl v Lotyšsku. Vůči jakému konkrétnímu subjektu byl útok veden, počítačoví experti s ohledem na probíhající vyšetřování neupřesnili.

Cyber criminals target travelers, článek obsahuje komentář k varování před hotelovými hackery, které vydalo středisko FBI´s Internet Crime Complaint Center.

Rusko, probíhají útoky DDoS proti opozičním webům – Russland: DDoS-Angriffe gegen kritische Websites. Souvisí to s velkými demonstracemi v Moskvě v minulých dnech.

Anonymous

AnonAustria zveřejnily 2.8 GB e-mailů scientologů – AnonAustria leakt E-Mails von Scientology. Pochází z let 2010 a 2011. Zdůvodnění činu (podle AnonAustria): They are evil. They are dangerous. Everyone must know.

LulzSec Reborn zveřejnili online 10 000 hesel pro Twitter – LulzSec Reborn Posts 10,000 Twitter Passwords Online. Uniklá hesla pochází z aplikace (třetí strany) TweetGif.
Viz komentář – LulzSec Reborn aims to keep hacking movement alive.

Anonymous Member Speaks About Divide in the Collective’s Mission, stránka obsahuje interview s jedním z Anonymous o tom, jak se komunita různí v názorech. Jedni chtějí být jako Joker, jiní jako Batman, říká autorka v úvodu článku.

Hardware

Chytré měřiče jsou hromadnou sledovací technikou, varují ochránci soukromí v EU – Smart meters are ‚massive surveillance‘ tech – privacy supremo. Varování vydala organizace European Data Protection Supervisor.

Skotsko, ukradený notebook obsahoval údaje k bankovním účtům tisíců společností a tisíců osob – Details of ‚vulnerable‘ residents on stolen computer. Celkem zde byla uložena data 38 000 klientů, přitom notebook byl sice chráněn heslem, ale data nebyla šifrována.

Úspěch Flame spočívající ve využívání flash disků je studován hackery – Flame elevates security threat of USB drives. Bezpečnostní odborníci proto varují před touto cestou útoků.

Mobilní zařízení

Implications of the rise of mobile devices aneb k dopadům nárůstu využívání mobilních zařízení. V článku je v této souvislosti uvedeno několik sad doporučení společnosti Gartner.

Byla vydána volně dostupná příručka: Why Should I Care? Mobile Security for the Rest of US. Komentář k tomuto 46stránkovému dokumentu společnosti Veracode najdete na stránce Free mobile security eBook from Veracode. Materiál je určen širokému okruhu čtenářů.

Forenzní analýza

Windows Forensic Analysis Toolkit, Third Edition, to je recenze stejnojmenné knihy. Autorem knihy je Harlan Carvey, vydalo ji nakladatelství Syngress. Kniha má 296 stran, vyšla v únoru 2012 a najdete ji např. na Amazonu.

Elektronické bankovnictví

Objevila se informace o úniku dalších dat z Global Payments – New ID leak from Global Payments. Již dříve byl oznámen únik dat k 1,5 miliónu platebních karet, nyní společnost oznamuje, že současně došlo k úniku dalších dat od menších obchodníků. Viz také – Global Payments says data breach investigation turned up a second breach.

Hackerům se méně daří vysávat bankovní účty, konstatuje to studie, kterou vydala organizace Financial Services Information Sharing and Analysis Center (FS-ISAC). V článku Hackers having less success in draining bank accounts jsou uvedena některá čísla z této studie dokumentující tento vývoj.
Viz také komentář – Banks: Hackers more aggressive in attacking customer accounts .

Autentizace, hesla, ID

How Companies Can Beef Up Password Security – jak společnosti mohou posílit bezpečnost hesel. V reakci na průniky do databází hesel společností LinkedIn, eHarmony a Last.fm diskutuje Brian Krebs spolu s Thomasem H.Ptacekem: proč několik společností dělá tytéž chyby a jak by se situace měla změnit do budoucna.

Bezpečné používání hesel, několik sad doporučení tohoto typu najdete na stránce Tips for safe password use. Týkají se reakce na současné útoky, ochrany osobních dat ve veřejných sítích a vlastní bezpečnosti hesel.
Doporučení Rogera Thompsona (ICSA) najdete na stránce Password security, one step at a time. Rozdělil je do dvou částí – co dělat, a čemu se naopak vyhnout.

Izrael vyžaduje (v případě možného podezření) na příchozích pasažérech hesla k emailovým účtům – Israel steps up email border checks. Viz k tomu diskuzi na Schneierově blogu – Israel Demanding Passwords at the Border.

Útočníci používají rozkrývání hesel jako zadní vrátka – Attackers Turn Password Recovery Into Backdoor. Autor článku se vrací k útoku na emailové účty společnosti CloudFare. V článku jsou v této souvislosti uvedena některá doporučení.

Implementing Two Factor Authentication with Google Authenticator – implementace dvoufaktorové autentizace prostřednictvím Google Authenticator. Google Authenticator je softwarově založený token pro dvoufaktorovou autentizaci. Je dostupný pro iOS, Android a BlackBerry operační systémy. Dává šestimistné číslo, čas a pořadové číslo, což právě je tím druhým faktorem. Podrobně k postupům uživatele vysvětluje toto video na You Tube.

Objevily se vysoce kvalitní padělky osobních průkazů (ID) pocházející z Číny – Overseas forgers' fake IDs can fool even the experts. Problému se věnuje i Bruce Schneier na svém blogu – High-Quality Fake IDs from China.

Autentizace a autorizace – hlubší pohled na problematiku – Authentication and Authorization Deep Dive report. Po registraci získáte přístup k jedenáctistránkové studii s názvem ”Authentication and Authorization Deep Dive report“. Z popisu: Roger Grimes offers a short course on the topic, including clear explanations of identity, access control, and the forensics of user activity, with a special section on the latest developments. This Deep Dive will show you how to apply authentication, authorization, and accounting to your business computing infrastructure – the right way.

Naming and Shaming the Plaintext Offenders aneb weby, které vám při potvrzování hesla ho zasílají zpátky v otevřené podobě. Brian Krebs kritizuje tyto praktiky. Bohužel se s nimi setkáme často i na českých webech.

Phishing

Back to basics: Defending against phishing attacks – návrat k základům: Jak se bránit útokům phisherů. Nejlepší obranou je připravenost uživatelů, v této souvislosti je v článku uvedeno několik doporučení.

Zjištěný pokus o cílený phishing je nejspíš součástí velké kampaně – Digital Bond Spear-Phishing May Link to Larger Attack Campaign. Objevena byla podobnost útoku na společnost Digital Bond s jinými útoky.
Další komentář k situaci je obsažen v článku Attacks Targeting US Defense Contractors and Universities Tied to China. Viz také – Phishing Email Targeting DigitalBond Linked to Other Campaigns.

Top 3 globální trendy phishingu najdete v článku Looking At The Top Three Global Phishing Trends. Autor jmenuje a dokumentuje tyto:

  • Consolidation of Targets
  • Explosive Chinese Phishing Growth
  • Plunging Phishing Uptimes

Elektronický podpis

Microsoft reviduje svoji správu certifikátů – Microsoft revises its certificate management. Podrobnosti jsou na stránce Certificate Trust List update and the June 2012 bulletins.
Další komentář – Microsoft overhauls certificate management in response to Flame PKI hack.

Normy a normativní dokumenty

Americký NIST vydal v uplynulém týdnu dokument:

Kryptografie

Problematická kvantová kryptografie má soupeře – Quantum Cryptography Outperformed By Classical Technique. Laszlo Kish (Texas A&M University in College Station) přišel s myšlenkou opřít se o termodynamické zákony. Podrobnosti jsou objasněny v článku Information theoretic security by the laws of classical physics.

Různé

V pražském bordelu je sex zdarma, pokud povolíte jeho snímání na internet – Inside a Prague Brothel, Where Sex Is Free If You Perform for the Web. Kamery jsou rozmístěny ve čtyřech rozích pokoje, na stropě je obrazovka.

widgety

Vyšel The Hacker News Magazine: MALWARE (Issue #12 – June 2012). Z popisu obsahu: You will learn lots from our regular author, Perluigi Paganini as he takes you through the history of malware and its consequences. We introduce two new authors, Charlie Indigo who will get your mind to thinking about the future of internet security and just what kind of world we will be living in. Gerald Matthews gives us an overview of malware and how the FBI, of all people, helped us out. Our founder, Mohit Kumar writes about the topic in general and Ann Smith ,Our Executive Editor, of course, will wow you with a thorough provoking editorial.

Přehled vychází z průběžně publikovaných novinek na Crypto – News.

Našli jste v článku chybu?
DigiZone.cz: RRTV: frekvence pro Country Radio

RRTV: frekvence pro Country Radio

Lupa.cz: Jak udělat formulář, aby ho vyplnil i negramotný?

Jak udělat formulář, aby ho vyplnil i negramotný?

Podnikatel.cz: Babišovi se nedá věřit, stěžovali si hospodští

Babišovi se nedá věřit, stěžovali si hospodští

Vitalia.cz: Voda z Vltavy před a po úpravě na pitnou

Voda z Vltavy před a po úpravě na pitnou

Měšec.cz: TEST: Vyzkoušeli jsme pražské taxikáře

TEST: Vyzkoušeli jsme pražské taxikáře

Lupa.cz: Jak se prodává firma za miliardu?

Jak se prodává firma za miliardu?

Vitalia.cz: Tohle všechno se dá usušit

Tohle všechno se dá usušit

DigiZone.cz: Budoucnost TV vysílání ve Visegrádu

Budoucnost TV vysílání ve Visegrádu

Lupa.cz: Proč jsou firemní počítače pomalé?

Proč jsou firemní počítače pomalé?

Lupa.cz: Blíží se konec Wi-Fi sítí bez hesla?

Blíží se konec Wi-Fi sítí bez hesla?

Podnikatel.cz: Udělali jsme velkou chybu, napsal Čupr

Udělali jsme velkou chybu, napsal Čupr

Lupa.cz: Adblock Plus začal prodávat reklamy

Adblock Plus začal prodávat reklamy

Měšec.cz: „Ukradli“ jsme peníze z bezkontaktních karet

„Ukradli“ jsme peníze z bezkontaktních karet

DigiZone.cz: Sat novinky: NASA Ultra HD (4K)

Sat novinky: NASA Ultra HD (4K)

Vitalia.cz: Nová vakcína proti chřipce se aplikuje nosem

Nová vakcína proti chřipce se aplikuje nosem

Lupa.cz: Patička e-mailu závazná jako vlastnoruční podpis?

Patička e-mailu závazná jako vlastnoruční podpis?

Vitalia.cz: Antibakteriální mýdla nepomáhají, spíš škodí

Antibakteriální mýdla nepomáhají, spíš škodí

Vitalia.cz: Tradiční čínská medicína a rakovina

Tradiční čínská medicína a rakovina

DigiZone.cz: Nova opět stahuje „milionáře“

Nova opět stahuje „milionáře“

Vitalia.cz: Tahák, jak vyzrát nad zápachem z úst

Tahák, jak vyzrát nad zápachem z úst