Bezpečnostní střípky: osobní data jsou nejčastějším cílem kybernetických útoků

Přehledy

V minulém týdnu přišel Microsoft s následujícím dokumentem – Sex, Lies and Cybercrime Surveys (11 stran). Je věnován, jak už název napovídá, vydávaným přehledům v problematice kybernetické bezpečnosti. Autor ukazuje na někdy pochybné metodologie, které tyto přehledy používají, na vyvozování statisticky nesprávných výsledků. Komentář k němu je na stránce Cybercrime loss estimates about as reliable as piracy estimates. Další komentář – Never trust cybercrime, piracy loss estimates.

Dále byla vydána zpráva (Blue Coat Systems) 2012 Web Security Report. Dokument má 28 stran, z jeho obsahu:

• State of the Threat Landscape
• Malware Networks
• Malnet Strategy: Build Once, Use Often
• Know Your Enemy: The Five Largest Malnets
• Social Networking: An Internet within an Internet
• Luring Users: Follow the Path of Least Resistance
• Malnet Bait: Catching a Wave
• Malware Payloads: Hiding in Plain “Site”
• Top Attack Vectors: Malnet Tactics
• Botnets: The Dangers within Your Network
• Advanced Persistent Threats: Danger Knocking at the Door
• The Mobile Dilemma: New Threat Frontier

How cybercriminals are infecting networks aneb jak kyberkriminalita infikuje sítě, to je komentář k přehledu společnosti Websense (Websense® 2012 Threat Report, 40 stran, nezbytná je registrace), kde na tuto otázku jsou uvedeny následující odpovědi:

• extremely effective social media lures
• evasive and hard-to-detect infiltration of malware
• sophisticated exfiltration of confidential data

Z obsahu dokumentu:

1. Advanced Threat Stages
2. Web Security
3. Data Loss Security
4. Email Security
5. Mobile Security
6. Regional Security

Viz také komentář Websense report discusses the life-cycle of an advanced attack.

Otázkami kybernetické bezpečnosti se zabývala akce Bloomberg Cybersecurity Conference. K dispozici jsou krátké abstrakty vystoupení – Program Agenda.
Komentář ke konferenci najdete v článku Bloomberg Cybersecurity Conference: Understanding Cyber War – and Fighting Back.

Obecná a firemní bezpečnost IT

Okolo návrhu CISPA se objevují názory z obou pólů. Obhajoba CISPA – CISPA Proposal Is Not Son of SOPA, Despite Internet Hype – říká, že to není syn SOPA. Autor v tomto článku vysvětluje rozdíly obou návrhů amerických zákonů k ochraně práv v kybernetické sféře (CISPA = Cyber Intelligence Sharing and Protection Act).

Privacy groups launch protest against CISPA bill – skupiny bojující za ochranu soukromí protestují proti CISPA. V článku jsou v této souvislosti jmenovány: The Electronic Frontier Foundation (EFF), the Center for Democracy and Technology (CDT), the American Civil Liberties Union (ACLU) a Fight for the Future. Hlavním problémem CISPA má být jeho široký záběr.

Bílý dům se přidává k těm, kdo vidí problémy s chystaným zákonem – CISPA – White House raises concerns over CISPA bill. CISPA by měl být tento týden schvalován ve Sněmovně reprezentantů. K jednomu z kritických názorů – Internet Founder Berners-Lee: CISPA a Threat to Privacy Rights.
Viz také komentáře:

• CISPA: Embraced by Facebook, Scorned by Privacy Advocates
• Stop Cyber Spying: Stop CISPA the New Enemy of the Internet

Enterprise Encryption and Key Management Strategy. The Time Is Now – šifrování v podnicích, jak vybrat správnou strategii? Tato devítistránková studie (nutná je registrace) společnosti Vormetric ukazuje na časté problémy při implementaci šifrovacích postupů (jmenovány jsou zde čtyři hlavní) a užitečný seznam vlastností (checklist), které by podniky měly sledovat při volbě poskytovatele těchto technologií.

Americká vláda: je čas k ochraně proti nebezpečím kybernetických útoků – Time to protect against dangers of cyberattack. Autorem článku je John O. Brennan, poradce amerického prezidenta (boj proti terorizmu a národní bezpečnost). Naléhá na potřebu příslušné legislativy.

Insider Threat Deep Dive Report aneb jak veliká jsou rizika pocházející od interních zaměstnanců? Sedmistránkový dokument ukazuje, jak široká je škála detekčních a preventivních protiopatření, která mohou podstatně redukovat hrozby škodících aktivit interních pracovníků. Autor vysvětluje, jak naplánovat a uvést do reality kompletní strategii pro obranu proti interním hrozbám.

Jak vlastně funguje nejčistší poskytovatel internetu ve světě? Manažer švédské telekomunikační firmy TeliaSonera se dělí se svými zkušenostmi – Behind the scenes of the cleanest ISP in the world.

Vláda USA říká: chceme, aby se technické firmy podílely na aktivním boji s hackery v zahraničí – Homeland Security chief contemplating proactive cyber attacks. Vystoupila s tím Janet Napolitano (Homeland Security Secretary). Vystoupení vzbudilo řadu komentářů, objevily se v nich pochybnosti o dopadech takovéhoto jednání.

Chinese and US military square off for cyber war games – Čína a USA bojují v kybernetických válečných hrách. Organizují je Center for Strategic and International Studies (CSIS) a China Institute of Contemporary International Relations. Jedno cvičení se konalo v loňském roce, další má být uspořádáno v květnu. Problémem nepochybně je vzájemná nedůvěra. V článku je zmíněna rozsáhlejší analýza Rotting From Within (ke korupci v čínské armádě).

Vývoz špionážních technologií z Evropy bude podléhat přísnější kontrole – Spy tech exports from Europe face tighter scrutiny. Odpovídající návrh připravuje evropský parlament.

Online podvody – žebříčku amerických měst v tomto směru vévodí New York – New York top city for online fraud activity. V článku jsou uvedena čísla z přehledu ThreatMetrix.

Jak vyhovět požadavkům 21.století na bezpečnost a ochranu soukromí – How to meet the challenges of 21st century security and privacy . V tomto rozsáhlejším článku Richard Power zpovídá Christophera Burgesse (Chief Operating Officer and Chief Security Officer at Atigeo, LLC.) ohledně výzev, kterým dnes čelí bezpečnostní profesionálové.

Dosažení shody neznamená bezpečnost, ale společnosti často takto uvažují – Compliance isn't security, but companies still pretend it is, according to survey. V článku jsou komentovány výsledky přehledu HIMSS Analytics Report: Security of Patient Data.

Evropský parlament schválil zasílání dat leteckých pasažérů do USA – European Parliament agrees to send airline passenger data to U.S.. Data budou depersonalizována po šesti měsících a uložena v databázích po dobu 15 let. Pak teprve budou plně anonymizována.

Podnikání chybí důvěra v bezpečnost dat – Businesses Lack Confidence in Data Security: Report. V článku jsou komentovány výsledky přehledu společnosti Varonis (provider of data-governance software).

Personal Information Is Top Target of Cyber-Attacks: CDW – osobní data jsou nejčastějším cílem kybernetických útoků (data uživatelů, studentů, zaměstnanců a pacientů). Jedna čtvrtina organizací v uplynulých dvou letech měla problém s únikem. Zde najdete komentář k výsledkům přehledu Data Loss Straw Poll (připravil ho CDW, poskytovatel technologických řešení pro podnikání, vládu, vzdělávání a zdravotní péči). Viz také What is the top target of cyber attacks?

Studie The Importance of Ethical Hacking: Emerging Threats Emphasise Need for Holistic Assessments se zabývá významem etického hackingu. Komentáře k výsledkům studie jsou na následujících odkazech:

• Frost & Sullivan´s White Paper (tisková zpráva)
• The importance of ethical hacking

Většina IT administrátorů zvažuje změnu kariéry, říká se v článku Most IT admins considered switching careers due to stress. Podle GFI Software je to kvůli stresu. V článku jsou uvedena čísla z přehledu této společnosti. Chybí nejen odkaz, ale i název přehledu.

Norma ISO 27006 (bezpečnostní audit informačního systému, ISMS) byla aktualizována BSI updates standards for information security auditing. Celý komplex norem 27000 to čeká v roce 2013.

Sociální sítě

Většina rodičů tajně prohlíží účty teenagerů na Facebooku – Most parents secretly access teens´ Facebook accounts. Podle zjištění společnosti AVG tak jedná 60 procent amerických rodičů. V článku jsou uvedena další čísla ze studie AVG. Odkaz na samotnou studii (je to celkem pět zpráv) – Digital Diaries, viz také komentář AVG: Over Half of Parents Peek at Teens' Facebook Accounts.

Software

Nessus byl vydán v nové verzi – Nessus 5.0.1 vulnerability scanner released. V tomto skeneru zranitelností byla provedena řada oprav. Stáhnout si tuto novou verzi lze z odkazu Nessus 5.0.1.

Množství zranitelností webů klesá, ale hackeři jsou stále zručnější – Website vulnerabilities fall, but hackers become more skilled. V článku jsou tlumočena vyjádření Jeremiah Grossmana na akci Open Web Application Security Project conference v Sydney minulé pondělí.

Open source nástroj Hone detekuje komunikující aplikace – DOE Lab Releases Open-Source Attack Intelligence Tool. U infikovaného zařízení zjistí tedy, která aplikace či proces komunikují a s kterou externí sítí. Odkaz pro stažení uvedený v článku mi však v době psaní této informace nefungoval.
Viz také US research lab open sources host-based cyber sensor project.

Počet nacházených chyb v SW klesá, zranitelnosti z nich vyplývající jsou však vysoké – Bounties keep reported bug count low, but severity high. Zpráva 2011 Top Cyber Security Risks Report (24 stran, HP Digital Vaccine Labs – DVLabs) byla vydána ve čtvrtek 19.4. V článku jsou uvedena některá čísla z této zprávy. Tři základní části zprávy mají názvy:

• Vulnerability trends
• Attack trends
• Mitigation

Trojice bezpečnostních úskalí, která mohou vést ke kompromitaci databáze, je analyzována na stránce Three Security Snags That Expose The Database. Autor článku rozebírá následující:

• Insecure Web Applications
• Over-Privileged System Accounts
• Misconfigured Network Segmentation

Web Apps Create New Security Risks – díky webovým aplikacím vznikají nová bezpečnostní rizika. Jejich přehled (na základě výsledků studie společnosti Cenzic z března 2012) uvádí na této stránce obsažená slideshow.

sec-wall: Open Source Security Proxy – sec-wall, to je open source bezpečnostní proxy. Článek informuje, jak tento SW instalovat na Ubuntu a připravit první bezpečnostní konfiguraci.

Je třeba na vašem počítači zakázat Javu? Článek Should You Disable Java on Your Computer? přináší zamyšlení nad současnou situací okolo Javy i ve vztahu k nedávným událostem.

New version of OpenSSL closes security holes in ASN1 parser, nová verze OpenSSL, krátká informace obsahuje i příslušné odkazy pro Ubuntu a OpenBSD.

Malware

Další OS X/Java trojan je na světě – Yet another OSX/Java Trojan spotted in the wild. Kaspersky varuje před hrozbou Backdoor.OSX.Sab­Pub – viz SabPub Mac OS X Backdoor: Java Exploits, Targeted Attacks and Possible APT link.

Stuxnet Loaded by Iran Double Agents – Stuxnet – ke zprávě o íránském dvojitém agentu. Informace vrhá některé světlo na tuto špionážní story. Viz také komentář – Stuxnet worm planted on Iranian PCs via USB stick, site claims.

Operace proti botnetům a problémy, které s tím souvisí, jsou předmětem článku Botnet Takedowns Can Incur Collateral Damage. Na operacích proti botnetům se dnes podílí více firem a často dochází k tomu, že (nechtěně) aktivity jedné firmy poškodí či zničí práci jiné firmy. Problematickou v této souvislosti je i existence různých legislativních ustanovení v různých zemích.
Viz blog Briana Krebse – Microsoft Responds to Critics Over Botnet Bruhaha.

Google varuje operátory tisíců hacknutých webů – Google warns the operators of thousands of hacked web sites. Infikované stránky jsou používána k přesměrování na web se škodícím obsahem.

Zdrojem pro šíření trojana Flashback pro Macy byly nejspíše infikované americké blogy Wordpress – Infected WordPress blogs blamed for Mac Flashback Trojan. Viz informace v analýze společnosti Kaspersky – The anatomy of Flashfake. Part 1.
Informace z konce týdne pak říká, že stále je velký počet Maců infikován – Flashback botnet not shrinking, huge numbers of Macs still infected.

Nejčastějšími cíly pro útoky malware jsou nyní Macy, iPady a iPhone – Macs, iPhones, iPads Are Now Bigger Targets for Malware, Attackers. Přehlídku takovéhoto malware obsahuje předložená slideshow.

Hackeři a jiní útočníci

Hackerská skupina potvrdila zatčení svého lídra – Hacktivist group confirms arrest of its leader. Jedná se o skupinu TeaMp0isoN a 17letého hackera z Birminghamu, který má přezdívku TriCk.

Defending against Advanced Persistent Threats – jaké jsou cesty obran proti APT? Alfonso Barreiro ve svém článku podává definici této bezpečnostní kategorie a popisuje bezpečnostní přístupy, kterými by se organizace v souvislosti s APT měla zabývat.

Jak se jen dostali dovnitř? Napoví průvodce hledáním zdroje APT – How Did They Get In? A Guide To Tracking Down The Source Of An APT. Na odkazu je výňatek z materiálu uveřejněného na UBM TechWeb (tam je nutná registrace, potřebný odkaz je na pravé straně stránky), je zde upozorňováno na použitelné nástroje.

Rakouská policie zatkla 15letého mladíka podezřelého z 259 hacků – Austrian Police Arrest 15-year-old Suspected of 259 Hack Attacks. Měl je provést v průběhu prvních 3 měsíců tohoto roku. Viz také komentář – Austrian police task force arrests “country´s youngest hacker”.

Bral jste ze špatných kapes, vzkázali Kalouskovi hackeři, když napadli jeho stránku. Internetové stránky ministra financí Miroslava Kalouska napadli ve středu hackeři. K útoku se hlásí dvě skupiny hackerů – Raptor_hackerz a Anonymous. Situace pak měla pokračování – Hackeři opět napadli stránky ministra financí Miroslava Kalouska.

Kyberkriminalita útočí na hotelové hosty – Cybercrime Concierge: Spyware Steals Hotel Guests' Credit Card Numbers. Data z hotelových počítačů, které slouží k přihlašování návštěvníků, jsou předmětem útoků trojanů. Na černém trhu je za tímto účelem možné zakoupit balík programů. Jeho cena je 280 dolarů, jak uvádí společnost Trusteer. Viz komentář Trojan sneaks into hotel, slurps guests´ credit card data.

Internetová TV může být hacknuta – Security Concern : Internet Enabled TV can be hacked !. A může to být cesta, jejímž prostřednictvím hackeři infiltrují váš domov či podnikání. Viz informace v článku Spoiler Alert: Your TV Will Be Hacked.

Britské centrum pro potraty se stalo předmětem útoku hackerů – UK abortion provider under threat from hackers. Datový průnik (British Pregnancy Advisory Service) vedl ke krádeži osobních dat 10 000 žen.
Viz komentář – 2,500 copycat hack attempts on abortion provider site – report.

Anonymous

Anonymous downs Home Office site for second time – UK a Anonymous o minulém víkendu (14.4). Nepřístupné byly stránky Home Office (Wikipedia), ke kompromitaci interních informací však nedošlo. Oznámený útok na GCHQ byl neúspěšný.
Viz také – Anonymous Hackers Attack CIA, British Intelligence Sites.

K jinému útoku – AntiSec Targets Michigan Law Enforcement Agency.

Anonymous chtějí na britské GCHQ v sobotu zaútočit znovu – Anonymous UK vows to target GCHQ again. Osoba s přezdívkou Winston Smith, která vystoupila s těmito vyjádření, se podle svých slov netají s tím kdo je, a předpokládá své zatčení.
Viz také – Anonymous to launch attacks on government, McDonalds.

Anonymous nabízejí alternativu k Pastebin – Anonymous offers alternative to Pastebin.com. Nové stránky se nazývají AnonPaste. Viz také článek Anonymous deploys Zerobin to create AnonPaste.

Anonymous se vyslovují za legalizaci marihuany – Anonymous Pushes Pot Legalization with ‚Operation Cannabis‘ a spustili “Operation Cannabis” (20. dubna).

Další člen Anonymous byl zatčen – Anonymous Hackers Not Smart On Anonymity, Feds Say. John Anthony Borell III (21 let) se měl podílet na aktivitách Anonymous proti policejním webům v Utahu letos v lednu.

Anontune: The New Social Music Platform From Anonymous – Anontune – o nové sociální hudební platformě pro Anonymous. Jsou v počátcích a mají velké ambice…

Anonymous musí slevit, jinak neuspějí, říkají odborníci – Anonymous Must Evolve Or Break Down, Say Researchers. Hnutí má nyní komplexní a chaotický charakter. V této souvislosti je citována série článků Building a Better Anonymous – Philosophy, která chce pomoci při profilování tohoto hnutí.
Viz také – Probing Anonymous hacktivists a serious challenge for researchers.

Hackeři shodili oficiální stránky Formule One – Anonymous crashes Formula One site over Bahrain protests. Protestují tak proti Grand Prix v Bahrainu. Viz také – Anonymous Hackers target F1 website in Bahrain GP protest.

Hardware

„Bezpečnost“ zabudovaná v systémech je nebezpečnější a dražší než obvyklé zranitelnosti SW – Embedded system security much more dangerous, costly than traditional software vulnerabilities. Výrobci zabudovaných zařízení často nemají dostatek zkušeností ohledně toho, jak navrhovat bezpečné zabudované systémy. Záplatování (při nalezených chybách) u koncových uživatelů nepřichází v úvahu.

Firewall může zastavit hackování medicínských zařízení – Firewall Can Stop Medical Device ‚Hacking‘. Na prototypu MedMon pracují odborníci z univerzit (Purdue a Princeton). Viz také informace v článku Wearable Firewall Stops Pacemaker Hacking.
Problematikou se ze širšího problému zabývá článek What´s To Stop Hackers From Infecting Medical Devices?

Také Bruce Schneier se obrací k hackování chytrých měřičů spotřeby proudu – Smart Meter Hacks. Diskuze na Schneierově blogu je uvedena odkazem na nedávný článek Briana Krebse, který se touto problematikou zabýval.

Mobilní zařízení

Does your flashlight app know where you are? Probing Android permissions – k problému s povoleními v Androidu. Kromě popisu praktických situací se autor článku obrací k výzkumu (zatím neukončenému), jehož výsledkem bude tzv. App Scanner.

Mobilní telefony vystavují podnikání masivním rizikům – Mobile phones expose businesses to massive risks. Říkají to (mimo jiné) předběžná čísla z přehledu PwC a Infosecurity Europe.
Viz také komentář – PwC 2012 Information Security Breaches Survey: Preliminary findings report continued mobile insecurity .

Is Your Smartphone Safe? – je váš chytrý mobil bezpečný? Sadu osmi doporučení v tomto směru připravil Alan Wlasuk.

Mobilní malware

Na oficiálním trhu Google s aplikacemi pro Android byl objeven trojan – Android Trojan distracts Japanese with anime and porn. Slibuje ukázky japonského anime, videoher a porna. Ve skutečnosti krade osobní data. Na Goople Play byl dosud objeven v 15 aplikacích.
Další podrobnosti přináší článek Movie madness: The malware that ate Tokyo. Viz také – Google Removes Malicious Data Stealing Android Apps.

Jiný trojan pro Android odchytává hesla sledováním pohybu ruk – Taplogger Android Trojan cracks touchscreen passwords using handset movements. Vyvinul ho tým bezpečnostních odborníků, viz TapLogger Android Trojan cracks touchscreen passwords using handset movements.
Viz komentář – Proof-of-concept Android Trojan uses motion sensor to determine tapped keys.

Množství incidentů s mobilním malware narůstá – Mobile malware incidents on rise, says smartphone survey. V článku jsou komentovány výsledky zprávy společnosti Goode Intelligence (shrnutí obsahu této zprávy je zde – Third mSecurity Survey, summary PDF).

Spam

Uživatelům e-mailu připravil některé cesty k obraně před spammery Dries Morris (Operations Director at Securicom). V článku E-mail users must stop giving spammers what they want uvádí sadu doporučení. Některá však jsou často jen stěží proveditelná (utajení své e-mailové adresy).

Elektronické bankovnictví

Kompromitovány byly bankovní účty 3 miliónů Íránců – Bank accounts of 3 million Iranians compromised. Khosrow Zarefarid informoval o existujícím bezpečnostním problému. Když na toto oznámení nebylo reagováno, naštval se a hacknul 3 milióny účtů, zveřejnil podrobnosti k jejich uživatelům, čísla karet a PINy. Viz komentář Iranian Bank Accounts Hacked: A Cyber Warfare Hypothesis.

Útoky na bankomaty rozkrývají laxní přístup k bezpečnosti – ATM Attacks Exploit Lax Security. Je zde uveden nedávný příklad z Kanady (osm nemocnic z oblasti Toronta). Kanada sice jako evropské země přešla na normy “chip and PIN”, přesto data karet byla zkopírována a zneužita. V článku je poukázáno na to, že stále je někde využíván magnetický pásek na kartě. Některé evropské země to uvnitř svých hranic to již zakázali. Viz – ATM Cash Trapping on the Rise.

Je mobilní bankovnictví bezpečné? Banky tuto cestu prosazují, uživatelé jsou však nejistí ohledně bezpečnosti toho, co je nabízeno. Autorka článku Making Mobile Banking Safe v jeho závěru cituje pragmatický pohled (Will Irace, Fidelis Security Systems).

Phishing

Phishing for Security aneb sociální inženýrství a phishing. Několik konkrétních příkladů je doplněno doporučeními k obraně proti phishingu. Viz také komentář – New Phishing Scams Prey on Fear of Phishing Scams.

Populárně: co je phishing a jak s ním bojovat – What Is Phishing and How Can I Fight It?. To je další ze série článků obracející se k základním pojmům kybernetické bezpečnosti.

Elektronický podpis

Stránky MI5 neměly platný digitální certifikát – MI5 stinks up website with dead SSL certificate. Ten minulý vypršel 15. dubna, v důsledku zřejmě opomnění byl nový nainstalován až v pondělí ráno. Neobešlo se to pochopitelně bez povšimnutí.

Kryptografie

V minulém týdnu v Cambridge proběhl Eurocrypt 2012:

• Program
• Three paper Thursday: Shamir x3 at Eurocrypt (komentář k některým vystoupením)

Různé

ANU puts quantum random numbers online, kvantová náhodná čísla můžete nalézt online. Každý si může stáhnout unikátní čísla. Ovšem – bezprostředně je používat pro kryptografické účely nedoporučuji.

Phrack Magazine, číslo 68 z 14. dubna 2012 obsahuje řadu zajímavých článků.

Další obdobný odkaz – ClubHACK Magazine Issue 27. Z jeho obsahu např.:

• Sysinternals Suite
• XSS – The Burning issue in Web Application

Přehled vychází z průběžně publikovaných novinek na Crypto – News.