Bezpečnostní střípky: online bankovnictví, problémy rostou

Jaroslav Pinkava 1. 3. 2010

Pravidelný pondělní přehled informací vztahujících se k problematice bezpečnosti IT. Z novinek právě uplynulého týdne lze upozornit na recenze k prohlížeči Comodo Dragon, odpovědi na otázku – jaké použít strategické bezpečnostní iniciativy a dále lze upozornit na příručku Social media security toolkit.

Konference a přehledy

Stav internetu na konci roku 2009 – State of the Web Q4 2009 – to je 49-stránkový materiál, který připravila společnost Zscaler Labs (nezbytná je registrace). Čtenář zde najde celou řadu statistik charakterizujících provoz na internetu, uživatele a jimi používané prohlížeče a také statistiky vztahující se k bezpečnosti. Se stručným shrnutím zprávy se lze seznámit v článku End users are the main targets of online attacks (Zeljka Zorz).

V uplynulém týdnu byla vydána zpráva IBM X-Force 2009 Trend and Risk Report (také zde je nezbytná registrace). Takové hrozby jako phishing, zranitelnosti formátů dokumentů se vyskytují stále častěji. Významně zejména vzrostly hrozby směřující na uživatele prostřednictvím nakažených webů. Komentář ke zprávě si lze přečíst v článku Hackers follow the money, IBM research shows.

Obecná a firemní bezpečnost IT

Deset strategických bezpečnostních iniciativ pro každou organizaci formuluje Linda Musthaler (10 strategic security initiatives for every organization):

  1. Provádějte a udržujte kompletní inventář aktiv a zrušte staré systémy tohoto typu
  2. Monitorujte své vztahy s třetími stranami
  3. Rozdělte svoji síť na tolik segmentů, jak to jen lze
  4. Promyslete si znova implementace vašeho bezdrátu
  5. Zašifrujte svá citlivá data
  6. Prozkoumejte anomálie, mohou to být varovné signály
  7. Uzamkněte přístupy uživatelů (je zbytečné, aby každý mohl kamkoliv)
  8. Používejte vícefaktorovou autentizaci všude tam, kde je to možné
  9. Implementujte formální životní cyklus vývoje SW (Software Development Life Cycle – SDLC) a řiďte se jím.
  10. Nezapomeňte všechny proškolit

Vykrádači bytů mají nového komplice – Twitter, Facebook a další, z úvodu: Příležitost dělá zloděje a uživatelé internetu takových příležitostí nabízejí stále víc. Zejména neustálé zpravování okolního světa o tom, kde právě jsou a co dělají anebo kdy a kam jedou na dovolenou, vytváří nové netušené šance i pro bytové zloděje.

Velká Británie – GCHQ varuje: další kybernetické útoky „katastrofálně“ postraší obyvatelstvo – Cyber attacks will ‚catastrophically‘ spook public, warns GCHQ. I takové, které způsobí jen malé škody, povedou k snížení důvěry veřejnosti v britskou vládu. Chris Williams cituje z dokumentu, který byl připraven novým střediskem Cyber Security Operations Centre (CSOC) pro vládu.

Většina organizací je předmětem kybernetických útoků – Study: Most Organizations Now Suffer Cyber Attacks. Joan Goodchild komentuje výsledky zprávy Symantecu vydané v toto pondělí (2010 State of Enterprise Security). Zpráva byla zpracována na základě odpovědí 2 100 manažerů IT ze 27 zemí. Sedmdesát pět procent organizací mělo v loňském roce zkušenost s počítačovými útoky a 42 procent organizací považuje bezpečnost za svůj prioritní cíl (důležitější např. než ochrana před živelními pohromami, terorizmem a tradiční kriminalitou).

Jak měříte efektivnost vašich bezpečnostních postupů? Thomas L. Norman v článku Physical Security Risk and Countermeasures: Effectiveness Metrics ukazuje na některé možné volby metrik (výňatek z jeho knihy Risk Analysis and Security Countermeasure Selection).

Vladimír Kvíz: Chraňte svoje data – šifrujte!. Autor rozděluje data do tří skupin:

data in motiondata at restdata in use

a pro každou skupinu dat diskutuje vhodný způsob jejich ochrany.

Jaké chyby mohou firmy udělat v honbě za dosažení shody? Bill Brenner uvádí pět takových příkladů Five Security Missteps Made in the Name of Compliance.

V příručce Social media security toolkit Sophos vysvětluje (nezbytná je registrace, je to celý soubor dokumentů a videí a má cca 60 MB):

  • Bezpečnostní rizika sociálních médií
  • Jak bezpečně sociální média používat

USA jsou vysoce zranitelné v kybernetické válce – US likely to lose a cyber war. Článek obsahuje odezvy na slyšení před americkým senátním výborem.Zaznělo zde, že USA právě pro svoje nejvíce vyvinuté sítě jsou snadno zranitelné. Starosti působí zejména zabezpečení rozvodných sítí. Upozorňováno zde bylo nejen na možný nebezpečný budoucí útok, ale i na fakt, že USA jsou již nyní pod stálým tlakem drobných (v měřítku USA) počítačových útoků. Viz také:

Satelitní navigační systémy, také jim hrozí nebezpečí od útočníků – Sat-nav systems under growing threat from ‚jammers‘. Jason Palmer informuje o zde existujících rizicích.

Útočníci se orientují na získávání osobních dat. Zpráva Cyveillance – Attackers focusing on capturing personal data – ukazuje, že phishing zůstává jednou z hlavních hrozeb internetu.

FBI načrtává tři komponenty kybernetických rizik – FBI outlines three components of cyber-risk. Doporučuje používat jednoduchou algebraickou rovnici:

  • Riziko = hrozba x zranitelnost x dopad

Hitler a výpočty v oblacích, zabavte se u  – videa. Komentáře jsou na Schneierově blogu – Hitler and Cloud Computing.

Střet Microsoftu a Cryptome následoval po tom, co na Cryptome byl zveřejněn dokument Microsoftu, který popisuje co MS sbírá o svých uživatelích a co případně předá činným orgánům – Cryptome restored after Microsoft change of heart. Nyní jsou stránky Cryptome opět funkční. V konfliktu se jednalo o dokument Global Criminal Compliance Handbook.

Kritický názor na průběh cvičení kybernetické bezpečnosti v USA popisuje autor článku US officials move to infect Populace with 5T00P.1D virus – google, bombs, Mozilla, oil & barrels of stupidity. Cvičení proběhlo 16. února pod patronací střediska Bipartisan Policy Center (BPC). Autor se pak v článku dotýká i řady jiných aktuálních otázek (Google a Čína, Google a NSA atd.).

More Clues Uncovered In Google Hack, Report Says aneb další zjištění ohledně útoku na Google a spol. Byl nalezen třicetiletý konzultant, který je odpovědný za SW zneužívající zranitelnost Internet Exploreru (který byl později použit a ke kterému měla přístup čínská strana díky jeho zveřejnění na jistém online fóru). Samotný konzultant však nebyl součástí operace. Jak se tedy zdá, přímé důkazy čínské účasti stále chybí.

Software

Comodo Dragon – Za bezpečnější surfování, Josef Vavřina: V článku se podíváme na prohlížeč Comodo Dragon, založený na technologii Chromium, tedy bratříčka známého Chrome. Jméno Comodo si možná spojíte s firewallem, antivirem nebo dalšími aplikacemi z odvětví bezpečnosti.

Podrobnější recenzi prohlížeče Comodo Dragon připravil Zeljka Zorz (pro verzi 1.0.0.5) – A closer look at Comodo Dragon 1.0.0.5.

Jak optimalizovat váš firewall k maximálnímu výkonu? V článku How to Optimize Your Firewalls for Maximum Performance zformuloval Reuven Harrison sadu doporučení.

Chcete kvalitní šifrování? Edward F. Moltzen – Taking Encryption To A Higher Level – doporučuje výběr ze tří následujících variant:

  • Fedora 12, linuxový open source operační systém
  • TrueCrypt
  • PGP Desktop Professional

Na světě je verze 3.0.2 Thunderbirdu – Thunderbird 3.0.2 released. Opraveny byly některé kritické díry, které mohou vést ke kompromitaci systému.

Microsoft varuje před podvodnými Security Essentials – Microsoft warns over rogue Security Essentials. Pro odlišení je použito označení Security Essentials 2010, obsahují Alureon.

Malware

Jak ve vašem podniku bojovat s botnetem Zeus? Brian Prince se v diskusi s dalšími odborníky jednak obrací k vlastnostem tohoto botnetu a jednak rozebírá možnosti protiopatření – Fighting the Zeus Botnet in Your Enterprise.

10 things you didn't know about the Koobface gang aneb 10 věcí spojených s gangem, který stojí za červem Koobface. Dancho Danchev posbíral různorodé informace o červu, který mj. ohrožuje uživatele Facbooku.

Akce Microsoftu proti botnetu Waledac asi nebude mít dostatečný dopad – Researchers question Microsoft's botnet take-down. Podle Joe Stewarta (SecureWorks) nebylo pozorováno žádné snížení úrovně spamu. Viz také komentář – Microsoft claims Waledec botnet scalp.

Viry

VirusTotal Uploader  – bezplatně důkladně prověří vámi zaslané soubory. Použito bude různých 40 antivirových skenerů, které zjistí, zda daný soubor je pro váš počítač bezpečný. O této službě informuje Erik Larkin.

Hackeři

Téma hackeři a čínské školy je předmětem článku Hacking Inquiry Puts China’s Elite in New Light. David Barboza se na stránkách New York Times pokouší nahlédnout do nitra čínských škol, které byly nedávno obviněny z útoku na Google. Viz také – Diverse group of Chinese hackers wrote code in attacks on Google, U.S. companies.

Hackování Oracle z internetu – Hacking Oracle from the Web: Exploiting SQL Injection from Web Applications., Sumit Siddharth diskutuje techniky typu SQL injection. Viz také – autorův blog.

Hardware

Hackování IP kamer (Linksys) je věnován článek Hacking Linksys IP Cameras (pt 6). Je to šestý díl seriálu, odkazy na předchozí pokračování jsou v článku.

Diskuze na Schneierově blogu se věnovala také problému zneužití kamer na školních noteboocích – Remotely Spying on Kids with School Laptops. Není bez zajímavosti, stojí to za to si ty názory přečíst.

FBI vyšetřuje případ zneužití webových kamer na noteboocích žáků školy v Pennsylvánii – Irate parents in Pa. say schools use ‚Peeping Tom technology‘. Do vyšetřování případu, který vzbudil širokou pozornost veřejnosti, vstoupili federální úředníci.

KeyKeriki, to je snifer bezdrátové klávesnice – KeyKeriki. Projekt obsahuje HW i SW.

Mobilní telefony

Rootkity pro chytré mobily a iPad, informuje o nich iPad and smartphone rootkits demo'd by boffins. Odborníci demonstrovali možnost využití těchto technik a poukazují na jejich vysokou nebezpečnost.

Červ Yxe se šíří pomocí MMS – oMore on Yxe. Právě detekovaný červ Worm.SymbOS.Yxe.e má platný digitální podpis. Viz také – Return of the Yxe worm.

Spam

Nová vlna spamu zasáhla Twitter: Buď větší a vydrž déle… – New spam wave hits Twitter: „Get bigger and have sex longer“. No, místo viagry je pravděpodobné, že zájemce chytí jinou havěť. Autor článku upozorňuje: pokud uvidíte nějakou nezvyklou zprávou zaslanou vaším jménem, změňte své heslo co možná nejdříve. Viz také:

Forenzní analýza

Využitím hashí při forenzní analýze obrazu disku se zabývá článek – Extracting Known Bad Hash Set From NSRL. Tony Rodrigues hovoří k využití knihovny hashí pro techniky, které šetří při forenzní analýze čas.

Elektronické bankovnictví

Konzultační firma (IT) přišla tento měsíc o 100 000 dolarů díky online bankovnímu podvodu – IT Firm Loses $100,000 to Online Bank Fraud. Počítač, se kterým firma komunikuje s bankou, je jediným takovým. Podle zástupce firmy je skenován proti virům a malware. Banka se hájí tím, že útočník v procesu autentizace dokázal správně odpovědět na dvě otázky (s utajovanými odpověďmi), s bankou komunikoval z IP adresy v New Hampshire (tam také sídlí postižená firma). Není zatím jasné, zda útočník použil proti firmě trojana typu Zeus. Jaké bude pokračování? Banka se snaží vysledovat kam odešly peníze. Firma prostřednictvím svého právního zástupce připravuje žalobu na banku.

Další žaloba na banku – z účtu ukradeno 800 000 dolarů – Texas firm countersues bank in connection with $800,000 cyber theft. Texaská firma Hillary Machinery Inc. of Plano žaluje banku PlainsCapital bank of Lubbock – nedostatečně ochránila její finance. Není to první žaloba tohoto typu a určitě nebude ani poslední.

Bankomatové podvody – jak nenaletět, k tomu Joan Goochild – ATM Skimming: How to Recognize Card Fraud – uvádí několik doporučení:

  • Podívej se, zda nad místem pro vkládání karty není umístěna čtečka
  • Ukrývej svůj PIN
  • Vyhýbej se pomocím ochotných lidí
  • Monitoruj svůj účet pravidelně

Spolehlivost důkazů opřených o Chip and PIN v bankovních sporech – Reliability of Chip & PIN evidence in banking disputes. Autor popisuje metodu, která umožňuje zneužití platební karty typu Chip and PIN bez znalosti PINu. Navazuje na nedávný článek napsaný jím ve spolupráci s profesorem Andersonem a dalšími. Viz také autorův komentář – Reliability of Chip & PIN evidence in banking disputes.

Autentizace, hesla

Pas s Elvisovou fotkou byl použit pro demonstraci slabin kontrolních systémů – http://edition­.cnn.com/2010/TEC­H/02/19/passpor­t.security/in­dex.html . Adam Laurie a Jeroen Van Beek takto demonstrovali co je možné pomocí falešného biometrického čipu. Viz také – Prošli jsme s biometrickým pasem Elvise, chlubí se „etičtí hackeři“.

Biometrie

Jaké jsou Klady a zápory biometrické autentizace? V odpovědi na tuto častou otázku Zeljka Zorz stručně poukazuje na fakt, že přes určitou pohodlnost při využívání těchto technik existují dnes již dobře známé nevýhody (otisk prstu máme jediný na celý život, při „kompromitaci“ ho nemůžeme změnit – Pros and cons of biometric authentication.

Normy a normativní dokumenty

Americký NIST vydal v uplynulém týdnu následující čtyři dokumenty

Kryptografie

Příklady steganografie jsou rozebírány v článku Unicode and LSB Steganography program examples. Autor ukazuje na možnosti využití pro tyto účely Unicode a LSB (Least Signifigant Bit – nejméně význačného bitu).

Různé

Přehled vychází z průběžně publikovaných novinek na Crypto – News.

Našli jste v článku chybu?
Lupa.cz: IT scéna po brexitu: přijde exodus vývojářů?

IT scéna po brexitu: přijde exodus vývojářů?

120na80.cz: Jak se zbavit nadměrného pocení?

Jak se zbavit nadměrného pocení?

Měšec.cz: Do ostravské MHD bez jízdenky. Stačí vaše karta

Do ostravské MHD bez jízdenky. Stačí vaše karta

DigiZone.cz: DAB už i z Košic. A překvapivě!

DAB už i z Košic. A překvapivě!

DigiZone.cz: Jaký byl Pražský výběr v režii TV Prima

Jaký byl Pražský výběr v režii TV Prima

Vitalia.cz: Tohle je Břicháč Tom, co zhubnul 27 kg

Tohle je Břicháč Tom, co zhubnul 27 kg

Vitalia.cz: Cvičení tabata: na hubnutí i posilování?

Cvičení tabata: na hubnutí i posilování?

120na80.cz: I tuto vodu můžete pít

I tuto vodu můžete pít

DigiZone.cz: Jsou obchody připraveny na DVB-T2/HEVC?

Jsou obchody připraveny na DVB-T2/HEVC?

Podnikatel.cz: 3 velké průšvihy obchodních řetězců

3 velké průšvihy obchodních řetězců

Podnikatel.cz: Profese budoucnosti? Úředník nepřežije

Profese budoucnosti? Úředník nepřežije

Měšec.cz: Se stavebkem k soudu už (většinou) nemusíte

Se stavebkem k soudu už (většinou) nemusíte

Měšec.cz: Nový sazebník mBank radost nedělá

Nový sazebník mBank radost nedělá

Měšec.cz: Platíme NFC mobilem. Konečně to funguje!

Platíme NFC mobilem. Konečně to funguje!

Lupa.cz: eIDAS: Nepřehnali jsme to s výjimkami?

eIDAS: Nepřehnali jsme to s výjimkami?

DigiZone.cz: Ve Varech představeni i noví "Četníci"

Ve Varech představeni i noví "Četníci"

Vitalia.cz: Taky je nosíte? Barefoot není pro každého

Taky je nosíte? Barefoot není pro každého

Podnikatel.cz: Polská vejce na českém pultu Albertu

Polská vejce na českém pultu Albertu

Vitalia.cz: Signál roztroušené sklerózy: brnění končetin

Signál roztroušené sklerózy: brnění končetin

Lupa.cz: Největší pitominy s logem “nyní smart a připojené”

Největší pitominy s logem “nyní smart a připojené”