Bezpečnostní střípky: Opencard na 29C3

Jaroslav Pinkava 7. 1. 2013

Pravidelný pondělní přehled informací vztahujících se k problematice bezpečnosti IT. Z novinek právě uplynulého týdne vás upozorníme především na další informace z konference 29C3, netradiční seriál k sociálnímu inženýrství a na ještě některé rekapitulace za rok 2012 a předpovědi na rok 2013.

Obecná a firemní bezpečnost IT

Spektrum bezpečnostních hrozeb se rychle rozšiřuje – The threat landscape continues to expand rapidly. Článek obsahuje poznámky k výsledkům přehledu společnosti ThreatMetrix. Hrozby jsou rozděleny do následujících odstavců: Government, E-Commerce and financial services, Enterprise, Insurance, Mobile and social.

29C3: Was aus dem 57-Sekunden-Gesetz wurde, dvojice přednášejících na 29C3 se tentokrát věnovala německé legislativě.
Události se věnuje také komentář:

Podmínky služby mohou být bezpečnostní hrozbou – Terms of Service as a Security Threat. Problémem se zabývá Bruce Schneier, který ho rozebírá na příkladu společnosti Prezi. Všimněte si také připojené diskuze.

Kyberkriminalita v Meklenbursku – je očekáván nárůst trestných činů – Cybercrime-Bilanz: Mecklenburg-Vorpommern erwartet mehr Straftaten. Několik čísel charakterizuje současnou situaci a její vývoj.

Reálný život a aplikace sociálního inženýrství, to je zajímavý, zatím čtyřdílný seriál:

Největšími narušiteli cloudové bezpečnosti jsou top manažeři – The greatest violators of IT cloud security policies: top executives. Článek je věnován výsledkům přehledu společnosti Nasuni (k němu je nezbytná registrace).

Přemýšlíte o protiútoku? Triky k oklamání jsou lepší – Thinking of a counterattack? Deception is better, say experts. Obvykle totiž nezjistíte odkud útok přichází. Navíc takovéto aktivity mohou být i ilegální.

Jak hovořit o bezpečnosti s lidmi tak, aby tomu naslouchali – How to talk security so people will listen (and comply!). Autor článku s tímto cílem osvětluje pět možných technik.

Deset tipů k zabezpečení vaší domácnosti (na které jste nepomysleli) – 10 Home Security Tips You Haven't Thought Of. Tuto slideshow připravila Sue Marquette Poremba.

94 procent zdravotnických organizací ohlásilo v posledních dvou letech datový průnik – Study: 94 Percent of Healthcare Organizations Breached. Článek obsahuje komentář k přehledu společnosti Ponemon Institute – Third Annual Benchmark Study on Patient Privacy & Data Security.

Velký čínský firewall byl aktualizován. Podle některých názorů může Čína nyní také sledovat mezinárodní společnosti, které v zemi fungují – Could China blocking VPNs lead to spying on business?.

Přelom let 2012/2013

China dominates 2012 cybersecurity talking points, Rok 2012 a o čem se hovoří v otázkách kybernetické bezpečnosti. Čína dominuje. Situaci rozebírá Ellyne Phneah.

Security lessons from 2012 – bezpečnostní ponaučení z roku 2012. Jaikumar Vijayan konstatuje, že ve vztahu k apokalyptickým předpovědím se rok 2012 ukázal zase ne tak tragickým. Shrnuje pak významné bezpečnostní události roku.

Věci, které nenastaly: nesprávné bezpečnostní předpovědi pro rok 2012 – The Year That Didn't Happen: 2012's Incorrect Security Predictions. Je určitě užitečné projít si i takovýto přehled obsahující pohled z opačné strany.

Cílené útoky, slabá hesla jsou hlavní rizika roku 2013 – Targeted Attacks, Weak Passwords Top IT Security Risks in 2013. V článku je obsažen komentář k výsledkům zpráv společností Verizon a McAfee. Podle Verizonu se v roce 2012 devadesát procent útoků odvíjelo od slabého hesla anebo od ukradených a zneužitých přihlašovacích dat. V druhé části článku zaznívá varování před trojanem Citadel.

14 globálních IT bezpečnostních výzev pro rok 2013 – 14 global cybersecurity challenges for 2013. S tímto užitečným přehledem přichází David Gewirtz.

Další přehled top hrozeb pro rok 2013 najdete na BankInfoSecurity – Top Threats: The 2013 Outlook. Přehled připravila Tracy Kitten. Body přehledu:

  • Organized Crime´s Motivations
  • Hacktivists Want Attention
  • Other Threats
  • Organized Crime
  • Action Items
  • Hacktivists
  • Nation-States
  • Insiders

Software

Microsoft vydal nástroj opravující zranitelnost nulového dne pro IE – Microsoft Issues Tool to Repair Internet Explorer Zero-Day Security Vulnerability. Tato zranitelnost ovlivňuje verze IE 6,7 a 8.

Elite hacker gang pulls out another IE zero-day from bottomless pocket – kdo dal do oběhu nejnovější zranitelnost IE? Symantec ukázal na hackerský gang označovaný jako Elderwood. Za posledních 20 měsíců tento gang odhalil a použil celkem osm zranitelností nulového dne (pro IE anebo Adobe flash Player).
Viz také komentář – Latest IE attacks connected to espionage group.

Researcher sidesteps Microsoft fix for IE zero-day – nedostatečnost záplaty Microsoftu pro zranitelnost nulového dne IE. Peter Vreugdenhil dokázal obejít tuto záplatu na Windows XP s IE8.

Database hacking: The year that was – hackování databází, co vše se událo. Autor článku komentuje údaje v přehledu na stránce Privacy Rights Clearinghouse. Jsou zde informace ke všem datovým průnikům, které se v USA staly od roku 2005.

Bylo zpřístupněno FreeBSD 9.1 – FreeBSD 9.1 ist freigegeben. O vlastnostech této nové verze si můžete přečíst na stránce Release Notes.

SW Ruby on Rails – všechny dřívější verze ovlivněny chybou SQL injection – All Ruby on Rails versions affected by SQL injection flaw. Uživatelům se doporučuje aktualizovat na nové verze.

Německá BSI vydala varování ohledně bezpečnostní díry ve VLC – BSI warnt vor Sicherheitslücke im VLC Media Player. Je zapotřebí aktualizovat na verzi 2.05.

Průmyslový kontrolní SW v USA je stále stejně zranitelný. Shamoon a Stuxnet, poučení z nich je ignorováno – The lessons of Shamoon and Stuxnet ignored: US ICS still vulnerable in the same way. Informace o dvou útocích přinesl ICS-CERT Monthly Monitor.

Malware

Conficker útočí na milovníky fotografie – Conficker targets photography lovers. Aplikace (Chibo) Hama skener obsahuje variantu Conficker-B.
Viz také komentáře:

McAfee varuje před útoky ransomwaru v roce 2013 – McAfee Says Beware of Ransom-Ware Attacks in 2013, to je další komentář ke zprávě společnosti – 2013 Threat Predictions.
Viz také komentář – McAfee Says Beware of Ransom-Ware Attacks in 2013.

Battling the Google Redirect virus – boj s virem Google Redirect, svoje zkušenosti popisuje konzultant Bob Eisenhardt.

Co dělat, když antivir označí váš program jako malware a vy jste si jistí, že tomu tak není? Lincoln Spector uvádí některé možnosti pro vaši činnost v tomto směru – Is this program malware or a false positive?

Špionážní malware

Tool Aids in Cracking Mysterious Gauss Malware Encryption – je šifrování v špionážním malwaru Gauss blízko rozbití? S novými poznatky přišel odborník Jens Steube.

Hackeři a jiní útočníci

Co útoky DDoS odhalí o vaší bezpečnostní infrastruktuře – What DDoS attacks reveal about your security infrastructure. Organizace, které úspěšněji vzdorují těmto útokům, se podle autora drží následujících pravidel:

  • Increase focus on availability-security
  • Understand the value & meaning of architecture as it relates to attacks
  • Focus on the visibility they can get during an attack / attack detection quality
  • Focus on real-time authentication & mitigation decisions
  • Understand the value of emergency response and retaining offensive attack capabilities

Útok na amerického výrobce plynových mikroturbin – Website of US-based gas turbine maker also rigged with new IE exploit. Jedná se společnost Capstone Turbine Corporation, byla využita zranitelnost IE.

USA a útoky na průmyslové kontrolní systémy v roce 2012, to je předmět článku Industrial Control Systems Faced Nearly 200 Attacks: DHS. Americké ministerstvo národní bezpečnosti registrovalo v roce 2012 celkem 200 takových útoků.

Informace japonského ministerstva byly ukradeny – Japan ministry information reportedly stolen in cyberattack. Informace se měly týkat diplomatické politiky. Počítače měly být kontrolovány jihokorejskými servery.

Osobní data 50 000 občanů Ohia unikla díky hackerské skupině AnonAcid – Records of 50,000 Ohio Citizens Leaked by Hacker in OpRollRedRoll. Má to být v rámci operace OpRollRedRoll. Uniklá data obsahují ID, jména, data narození, adresy a další osobní údaje.

Ubisoft probes sudden rash of hijack attacks on gamers' accounts, ke krádežím herních účtů na platformě Ubisoftu – Uplay. Docházelo k změnám e-mailových adres majitelů účtů. Souběžně byly hlášeny kompromitace účtů na Yahoo, Amazonu a EA (pravděpodobně jejich majitelé všude používali totéž heslo).

Indičtí hackeři jsou za únikem utajovaných e-mailů bangladéšských zpravodajců – Hacker leaks Bangladesh Intelligence classified Emails. Jedná se o útok na server Directorate General of Forces Intelligence Bangladesh (DGFI – www.dgfi.gov.bd).

Anonymous

Anonymous: v roce 2013 se vrátíme – Anonymous: ‚Expect us 2013‘. V článku je komentováno jejich vyjádření. Na stránce Anonymous: We'll be back in 2013 jsou uvedeny informace o posledních aktivitách skupiny.

Hardware

29C3 – úspěšný útok na HW šifrování pevných disků – 29C3: successful attack on encrypting hard drives. Demonstroval ho Tilo Müller. Přišel přitom s několika variantami tohoto útoku.

29C3 – přílišná důvěra v USB klíčenky nás může zklamat – 29C3: When USB memory sticks lie. Na konferenci to demonstroval Travis Goodspeed.

Hacker-Attacken auf Autos: Abstürzende Neuwagen – k nebezpečí hackerských útoků na automobily, to je malý výhled do ne příliš vzdálené budoucnosti.

Hackeři prolomili kopírovací ochranu u Nintendo 3DS – Hacker knacken Kopierschutz von Nintendos 3DS. Někteří hackeři (crackeři) hlásí, že mají plný přístup ke všem funkcím Nintendo 3DS.

VoIP

29C3: Big bugging with Cisco VoIP phones – existuje možnost odposlechu prostřednictvím VoIP telefonů společnosti Cisco. Na akci 29C3 na tuto možnost poukázali (a předvedli ji) bezpečnostní odborníci z Columbia University.

Opencard

Milking the Digital Cash Cow. Extracting Secret Keys of Contactless Smartcards – 29C3: ukázka prolomení Opencard. Verze s českými titulky pak zde – YouTube.

Mobilní zařízení

Aplikace pro Android a SSL – Android apps and SSL: Where's the padlock?. Michael Kassner se pokouší rozebrat se v této dosud značně problematické sféře.

Budget mobil se může stát GSM základnovou stanicí – 29C3: Budget mobile turns into GSM base station. Na konferenci 29C3 to předvedl belgický hacker Sylvain Munaut.

Mobilní zařízení se stanou budoucím nástrojem pro DDoS útoky – Mobile devices set to become next DDoS attack tool. Souvisí s tím nedostatečná bezpečnost většiny těchto zařízení. Viz také přehled společnosti – Javelin.

Mobilní malware

Na telefony Čechů útočí trojský kůň. Posílá placené SMS, z úvodu: Majitele telefonů s operačním systémem Android okrádá trojský kůň SMS Boxer. Informoval o tom výrobce bezpečnostního softwaru Eset. Uživatelé přicházejí o peníze tak, že se jejich infikovaný mobil skrytě přihlásí do zpoplatněných SMS služeb. Majitel smartphonu následně tyto příchozí zprávy nevidí, protože je SMS Boxer zablokoval. Uživatel o nich neví, dokud mu nepřijde vyúčtování.

Spam

Abyste mohli nakupovat online musíte se registrovat. Potom ale jste předmětem spamu. Takový je život – bohužel. Autor Ever had to register to buy online – and been PELTED with SPAM? komentuje současnou situaci, řešení nenabízí, ono také není vidět.

Elektronické bankovnictví

DDoS útoky – předpověď pro rok 2013 – DDoS Attacks: 2013 Forecast. Tracy Kitten pokračuje v sérii článků, které jsou věnovány této problematice. Vyhlídky nejsou optimistické.

DDoS hacktivisté – žádná americká banka není chráněná – DDoS Hacktivists: No U.S. Bank is Safe. Skupina Izz ad-Din al-Qassam Cyber Fighters varuje – připravuje nové útoky. Viz také komentáře:

Elektronický podpis

Objevily se podvržené certifikáty pro google.com – Browser makers rush to block fake Google.com security cert. Díky omylu ho vydala turecká certifikační autorita Turktrust (v srpnu 2011).
Viz také komentář – Google finds unauthorized certificate for google.com domain, scrambles to protect users.
Stanovisko společnosti Google je pak zde – Enhancing digital certificate security.
Reakce společnosti Turktrust je komentována v článku Rogue Google SSL certificate not used for dishonest purposes, Turktrust says.
Další komentáře:

Jak se bránit proti kompromitovaným certifikátům – Defending Against Compromised Certificates. Doporučení na dvou dvoustranách vydala NSA.

Kryptografie

Codebreaking and the Stalingrad pocket battles – luštitelé šifer a bitva u Stalingradu, to je zajímavé historické ohlédnutí.

RSA factorization in the real world – přednáška na 29C3 je zajímavým přehledem týkajícím se jednoho z nejčastěji používaných kryptosystémů. Ve svém vystoupení jeho autoři (Daniel J. Bernstein, Tanja Lange, Nadia Heninger) říkají například, že NSA by již dnes měla umět faktorizovat RSA 1024.

Různé

Přehled vychází z průběžně publikovaných novinek na Crypto – News.

Našli jste v článku chybu?
Lupa.cz: Olympiáda zakázala GIFy. Moc to nepomáhá

Olympiáda zakázala GIFy. Moc to nepomáhá

Vitalia.cz: „Sjíždět“ porno není bez rizika

„Sjíždět“ porno není bez rizika

Měšec.cz: Do ostravské MHD bez jízdenky. Stačí karta

Do ostravské MHD bez jízdenky. Stačí karta

120na80.cz: Víte, co je svobodná menstruace?

Víte, co je svobodná menstruace?

Vitalia.cz: Očkování je nutné, říká homeopatka

Očkování je nutné, říká homeopatka

Lupa.cz: Samořídicí taxíky jsou tu. Začíná s nimi Uber

Samořídicí taxíky jsou tu. Začíná s nimi Uber

Lupa.cz: Hackujete? Můžete mít problém sehnat práci

Hackujete? Můžete mít problém sehnat práci

Měšec.cz: Co s reklamací, když e-shop krachuje?

Co s reklamací, když e-shop krachuje?

Lupa.cz: Co najdete uvnitř kosmické sondy?

Co najdete uvnitř kosmické sondy?

Měšec.cz: Udali ho na nelegální software a přišla Policie

Udali ho na nelegální software a přišla Policie

Měšec.cz: Kurzy platebních karet: vyplatí se platit? (TEST)

Kurzy platebních karet: vyplatí se platit? (TEST)

Podnikatel.cz: OSA zdraží, ale taky přidá nový poplatek

OSA zdraží, ale taky přidá nový poplatek

120na80.cz: Kam umístit silikony?

Kam umístit silikony?

Lupa.cz: Kdo vykrádá LinkedIn? Zjistit to má soud

Kdo vykrádá LinkedIn? Zjistit to má soud

Měšec.cz: Se stavebkem k soudu už (většinou) nemusíte

Se stavebkem k soudu už (většinou) nemusíte

Měšec.cz: Ceny PHM v Evropě. Finty na úspory

Ceny PHM v Evropě. Finty na úspory

DigiZone.cz: Hodlá Markíza skončit v DVB-T?

Hodlá Markíza skončit v DVB-T?

Měšec.cz: Platíme NFC mobilem. Konečně to funguje!

Platíme NFC mobilem. Konečně to funguje!

Podnikatel.cz: Česká pošta vycouvala ze služby ČP Cloud

Česká pošta vycouvala ze služby ČP Cloud

Lupa.cz: Měřičům síly hesla se nedá věřit. Víte proč?

Měřičům síly hesla se nedá věřit. Víte proč?