Hlavní navigace

Bezpečnostní střípky: ostuda společnosti HBGary by měla být varováním

28. 2. 2011
Doba čtení: 15 minut

Sdílet

Pravidelný pondělní přehled informací vztahujících se k problematice bezpečnosti IT. Z novinek právě uplynulého týdne vás upozorníme na řadu článků, které se váží k průběhu konference RSA, na rozbor problému bezpečného výmazu dat na SSD discích a třeba na pětici volně dostupných online skenerů.

Přehledy

Zhodnocení průběhu konference RSA připravil Brian Prince – RSA Conference: Security Issues from the Cloud to Advanced Persistent Threats. Letošní konference měla jedno nové téma – cloud computing. Druhým žhavým tématem byla kybernetická válka. Diskuze se v této souvislosti věnovala otázce prevencí útoků a vytváření bezpečnějších aplikací. Jak to na této konferenci (Moscone Center v San Franciscu) vypadalo, ukazuje slideshow Security Goes Platinum: 25 Scenes From RSA Conference 2011.

Kaspersky Lab zpracovaly materiál, který si kladl za úkol předložit pohled na počítačovou kriminalitu v roce 2020 – Cybercrime Outlook 2020 From Kaspersky Lab. Analýza vidí jako nejvýznamnější trendy následujícího desetiletí tyto:

  • Mobilita a miniaturizace
  • Transformace psaní virů na počítačovou kriminalitu
  • Windows si ponechají svoji vůdčí roli
  • Soutěž v mobilních platformách – nebude mít jasného vítěze
  • Sociální sítě a vyhledávače
  • Nákupy na internetu

Zajímavé předpovědi jsou také komentovány v článku Windows Loses Hacker Star Status In Next Decade.

Komentáře ke zprávě 2011 security report, kterou připravila společnost Blue Coat Systems, se objevily v několika článcích. A single click can open door to cybercrime, jediné kliknutí může otevřít dveře počítačové kriminalitě. Citovány zde jsou některé současné trendy pro využívání internetu. Dříve důvěryhodným webům již nelze důvěřovat, říká známá komentátorka Joan Goodchild – 3 reasons trustworthy sites can no longer be trusted. Ve svém komentáři popisuje měnící se charakter aktivit kriminální strany ve vztahu k internetovým stránkám a to zejména v posledním roce. Svůj komentář si připravil také Fahmida Y. Rashid – Cyber-Criminals Co-Opting Trusted Sites into Attack Infrastructure: Report. Spam a phishing v uplynulé době poklesly, ale jsou zde jiné hrozby. Mezi největšími bezpečnostními událostmi minulého roku jsou zmiňovány: Stuxnet, WikiLeaks, mobilní bezpečnost, podvodné reklamy, phishing a útoky v sociálních sítích.

K tomu, abyste se dostali ke zprávě společnosti McAfee: Risk & Compliance Outlook, je nezbytná registrace. Komentář ke zprávě je na stránce 41% of organizations not aware of security risks, obsahuje celkové shrnutí této 22 stránkové zprávy. Až jednačtyřicet procent organizací si není příliš dobře vědomo IT bezpečnostních rizik či je proti nim chráněno. Skoro polovina organizací chce v roce 2011 utratit v průměru o 21 procent více prostředků na rizika a řešení naplňující shodu.

Zpráva k počtu stížností, které se týkají počítačové kriminality, to je dokument 2010 Internet Crime Report, který byl připraven střediskem Internet Crime Complaint Center (IC3). Komentář k jeho výsledkům obsahuje článek Auction fraud complaints prop up declining US cybercrime reports. Jeho autor si všímá poklesu objemu počítačové kriminality, ale zdůrazňuje, že přesto se jedná o druhý největší výsledek za posledních deset let. Další komentář si lze pak přečíst v článku US cybercrime complaints fell 10% in 2010.

Obecná a firemní bezpečnost IT

ENISA , její nyní vydaná studie ke cookies říká – nové varianty ohrožují soukromí – Bittersweet cookies. Some security and privacy considerations. Komentář ke studii je v článku New types of cookies raise online privacy concerns. Jsou zde také shrnuta některá doporučení obsažená ve studii.

Podvodníkovi se dařilo osm let lákat peníze od americké vlády pod záminkou, že pomůže chytat teroristy – Hiding Details of Dubious Deal, U.S. Invokes National Security. Zajímavá historie o programátorovi (jeho jméno je Dennis Montgomery), který od vlády za uplynulé roky dostal více než 20 miliónů dolarů. Tvrdil, že SW, který vyvinul, pomůže varovat před dalšími útoky Al Kajdy atd. Dokonce např. prezident Bush v roce 2003 díky jeho varování nechal vrátit letadla, která letěla přes Atlantický oceán (detekován měl být signál nepřátelských ponorek). Viz také diskuzi na Schneierově blogu – Terrorist-Catching Con Man.

Bahrajn omezil přístup na internet – Bahrain Restricts Internet Traffic, Blocks YouTube in Crackdown on Protests. Používá k tomu filtrování obsahu (video, foto, zvuk).

USA: navrhovaný zákon neumožní, aby prezident disponoval možností „internet kill switch“ – US bill would prohibit Internet ‚kill switch‘ . Autory nového návrhu jsou tři američtí senátoři.

Přístup k volně dostupné příručce Symantecu (nezbytná je registrace) získáte na stránce: Small Business Protection Guide. Víceméně je to P.R. dokument, v odstavci Best Practices je zformulováno – dvanáct doporučení typu nejlepší praktické postupy.

Students of IT security: Career advice from the masters , zde najdete odpovědi odborníků studentům oboru IT bezpečnost. Na otázky odpovídají Andre´ DiMino (Shadowserver Foundation) a Lenny Zeltser ( Savvis + SANS Technology Institute).

Konference Trendy v internetové bezpečnosti: Největším bezpečnostním rizikem je stále sám uživatel, Martin Vyleťal na Lupě: Útočníci mají žně na sociálních sítích. Letos se mnohem více zaměří na mobilní platformy, nejohroženější je Android. Přinášíme vám to nejzajímavější, co zaznělo na konferenci.

Ochrana soukromí a terorismus, další článek na Lupě, tentokrát jeho autorem je Edvard Kožušník: Komu rozdávat osobní data? Jenom leteckým společnostem? Navrhovaná eurounijní směrnice o stíhání terorismu ochranu vašich osobních dat dále problematizuje. Jste i vy potenciální terorista?

Rekordně hloupý kriminálník, ukradl notebook a pak zveřejnil svou fotku na Facebooku na stránkách oběti – ‚The most stupid criminal ever‘ pleads guilty to burglary after he stole a laptop and posted photo of himself on owner's Facebook. 19letý Rodney Knight se vloupal do domova novináře a ukradl zde mj. notebook jeho syna. Co pak následovalo, se nedá jinak vysvětlit, než jeho nepřekonatelnou hloupostí.

K útokům z čínských serverů na americké naftové společnosti se vrací článek Exxon, Shell Said to Have Been Hacked Via Chinese Servers. Michael Riley v něm podrobně popisuje dosud zjištěná fakta. Problémem se zabývá také komentář – Exxon, Shell, BP outed as mystery hack attack victims.

HBGary

Black ops: how HBGary wrote backdoors for the government aneb jak HBGary vytvářela pro vládu zadní vrátka a rootkit. Jsou zde rozebírány aktivity společnost HBGary tak, jak byly informace o nich získány z ukradených e-mailů. Článek obsahuje poměrně podrobné informace. Jak uzavírá autor, tyto e-maily poskytují fascinující informace ohledně původu vládou kontrolovaného malware. Věnuje se jim také komentář – UPDATED: The HB Gary Email That Should Concern Us All.

Používání jednoho a téhož hesla pro různé účely – k čemu to až pak vedlo? Password Security, How Does It Work? – P. J. Connolly se vrací k smutnému případu, problémům společnosti HBGAry. Podrobně se problému HBGary věnuje následující článek RSA 2011: Winning the War But Losing Our Soul, ke kterému je pak diskuze na Schneierově blogu – HBGary and the Future of the IT Security Industry.

WikiLeaks a Anonymous

Baptistická církev se zapletla s Anonymous – Westboro Baptist Church Tangles with Anonymous. Westboro Baptist Church v Kanadě se dostal do konfrontace se skupinou Anonymous. I když skupina oznámila, že proti církvi útok DDoS nezahájí, stránky církve nebyly dostupné. Autor článku poukazuje na neexistenci jednotného vedení Anonymous, v podstatě každý ze skupiny může vyhlásit, že ji zastupuje. Viz také komentář – Westboro Baptist Church taunts Anonymous over supposed attack plan.

WikiLeaks: čím se poučit od zajíce v pytli – WikiLeaked: Three lessons from the cat in the bag. Mark Gibbs shrnuje ve třech bodech, co nás události okolo WikiLeaks naučily:

  • lidi chtějí vědět, co je to za zajíce, jaký je
  • jakmile jednou zajíc uteče, už ho zpět nevrátíme
  • nikdo, žádný jednotlivec či organizace, není imunní, každému může zajíc utéci

Julian Assange bude vydán do Švédska – WikiLeaks' Assange Loses Fight to Avoid Extradition to Sweden. Blíží se éra WikiLeaks k svému konci, ptá se autor článku.

Analysis: Life after WikiLeaks aneb analýza: život po WikiLeaks. Derek Parkinson shrnuje bezpečnostní ponaučení z celého případu. Je to šikovný přehled, autor se na celý problém dívá z řady pohledů.

Sociální sítě

Objevily se nové clickjacking útoky na uživatele Facebooku – Facebook users subjected to more clickjacking. Italsky mluvícím uživatelům je slibováno šokující video o skutečných ingrediencích Coca Coly.

Na Facebooku sa začali šíriť „nigérijské listy“, upozorňuje Eset, z úvodu: Na sociálnej sieti Facebook sa v poslednej dobe začali šíriť takzvané nigérijské listy, ktoré od používateľov lákajú peniaze za neexistujúce služby. Uviedla to spoločnosť Eset, produkujúca antivírusový softvér.

Podvodná aplikace na Facebooku říká (láká), sledujte, kdo se dívá na vás – Facebook Stalker Tracker Tool Turns Users Into Spammers. V článku Paul Pajares popisuje, jak celá podvodná akce vypadá.

Jak probíhá podniková špionáž prostřednictvím sociálních sítí? Corporate espionage via social networks – na konferenci RSA k tomuto tématu vystoupil Abhilash Sonwane (Cyberoam). Demonstroval, jak informace posbírané na LinkedIn, Facebooku, Twitteru a dalších sociálních sítích mohou rozkrýt ty, kdo provádí rozhodnutí, jaké jsou prováděny aktivity, jak jsou převáděny znalosti, jaké cíle a záměry mají zaměstnanci a jaký je celkový model organizace. Článek dále popisuje výsledky výzkumu, který prováděl tým společnosti Cyberoam.

Software

Na světě je Windows 7 SP 1 – Windows 7 SP1 released. V tomto článku najdete několik doporučení pro bezpečný průběh instalace.

Jak zabezpečit webové aplikace ve vztahu k nezabezpečeným mobilním zařízením, touto otázkou se zabývá článek How to secure Web applications from insecure mobile devices. Brian Musthaler v něm hovoří o principech, které používá produkt společnosti Trusteer – Secure Web Access.

Webové aplikace, jejich zranitelnosti jsou novým zdrojem pro počítačovou kriminalitu – Web applications are the new vulnerability to cybercrime. V závěru komentáře shrnuje autor svá doporučení jejich uživatelům (spotřebitelům):

  • Věnujte pozornost navštěvovaným stránkám (zda jsou dostatečně vyspělé)
  • Neklikejte na jakékoliv reklamy či vyskakující okénka
  • Povolte pop-up okénka jen u stránek, kde si jste jistí
  • Aktualizujte svůj prohlížeč na jeho poslední verzi
  • Použijte vyhledávač Google k tomu, abyste se ujistili, že stránka je bezpečná (z obecného pohledu)
  • Ptejte se autora stránek, jaké použil zabezpečení
  • Využívejte virtuální kartu, která bude právě expirovat
  • Spouštějte často antispyware
  • Mažte cookies
  • Mějte na svém počítači kvalitní antivir

Nebezpečí, která číhají na uživatele SSH, jsou rozebírána v článku Protect yourself from closed source SSH. Chad Perrin zde vysvětluje existující problémy a dává několik doporučení.

Správa šifrovacích klíčů je velkým problémem organizací – Management of encryption keys proves to be a major challenge for businesses. Tento článek informuje o výsledcích průzkumu společnosti Venafi. Přehled byl zpracován na základě odpovědí z 471 organizací s více než 5000 zaměstnanci.

Některé volně dostupné bezpečnostní nástroje (online skenery) najdete zde – Free Online SCANNERS. Stránka zprostředkovává přístup k celkem pěti takovým skenerům:

Deset rozšíření pro větší bezpečnost Google Chrome, Michal Černý na Lupě: Rozšíření určených pro Google Chrome je celá řada. V dnešním přehledu se podíváme na deset z nich, které se snaží učinit používání tohoto prohlížeče bezpečnějším. Řeč bude o nástrojích pro práci s cookies, blokování skriptů či reklam nebo podpoře šifrovaného přenosu dat.

Malware

Nákup nového počítače, souvisí s tím pokus o ransomware? Zajímavá informace o zvláštním pokusu prostřednictvím telefonu je uvedena na stránce A New Type of Ransomware or What?.

RSA 2011: Microsoft's How-To For Healthy PCs, Microsoft na konferenci RSA: jak na zdravá PC? Článek obsahuje komentář k vystoupení pracovníka Microsoftu Scotta Charneye.

Pokročilá verze trojana Zeus zaútočila na zákazníky polské ING – Advanced Zeus Trojan hits Polish ING customers. Tentokrát útočí dokonce na jednorázová hesla (!) zasílaná na mobil prostřednictvím SMS (dvoufaktorová autentizace). Útočník se pak dostane do účtu oběti a může s ním disponovat.
Viz také:

Ambitious malware variant signed with fake digital signature, na internetu se objevilo také malware podepsané podvrženým digitálním certifikátem. Varianta malware je zdánlivě podepsána certifikátem společnosti Avira, teprve po důkladné prohlídce se dá zjistit, co není v pořádku. Není to poprvé, co se o to pokouší některá z variant malware Zeus.

Detekce infekce botnetem vyžaduje novátorskou taktiku a stálý monitoring – Detecting Botnet Infections Requires Novel Tactics, Constant Monitoring. Komentátor Fahmida Y. Rashid ve svém článku popisuje, jak by měly postupovat firmy ve vztahu k této hrozbě. Tlumočí názory některých odborníků. Tradiční cesty příliš nepomohou, doporučovány jsou mj. filtry internetového provozu.

Hackeři

Iranians hack into VOA website  – iránští hackeři a stránky Hlasu Ameriky (defacement). Sami sebe označují jako Iranian Cyber Army. Jestli tato skupina je součástí aktivit iránské vlády, je pod otazníkem. Událost je také předmětem komentáře na stránkách Computerworldu – Iranian cyber army strikes again, hits Voice of America.

Kingpin – How One Hacker Took Over the Billion Dollar Cyber Crime Underground, to je výňatek ze stejnojmenné knihy. Tato vypráví historii Maxe Vision, počítačového hackera, který „přeběhl na temnou stranu“.

Běloruský hacker, kterého do USA vydala ČR, stojí před americkými soudy – Belarusian admits running site that catered to 2000+ ID thieves. Dmitrij M. Naskověc provozoval webové fórum, kterým napomáhal tisícům zlodějů digitálních identit. Čelí nyní trestu v maximální možné velikosti 37, 5 roku vězení. Rozsudek bude vynesen v květnu.

Hardware

SSD disky, o existujících problémech s bezpečným výmazem dat na nich uložených se hovoří v článku Flash drives dangerously hard to purge of sensitive data. Výsledky nedávného výzkumu budou tento týden prezentovány na konferenci Usenix – Reliably Erasing Data from Flash-Based Solid State Drives.
Viz také komentář – Many SSDs and USB flash drives can´t be securely wiped.

Fotografie vašich fyzických klíčů mohou posloužit k jejich duplikování – Captured images of your physical keys can be used to make copies. Není to nová informace, ale Chad Perrin upozorňuje, že nedávno na diskusním fóru objevil celou řadu fotografií kroužků s klíči.

Dbejte o bezpečí svých notebooků – Road warriors: Secure your laptops. M. E. Kabay přichází s celou sadou rozumných doporučení, která se týkají různých ohledů, v této první části článku diskutuje možná fyzická poškození: taška, elektrická síť, krádeže. Druhá část článku (věnována je programovému zabezpečení, šifrování atd.) je pak zde:

Xbox Kinect Vs. Sony PS3: How 2 Companies Handle Hacking , Xbox Kinect versus Sony PS3, jak se dvě firmy různě staví k hackingu. O přístupu společnosti Sony po hacku PS3 toho bylo napsáno v nedávné době dost. Microsoft naopak hackery vybízí – Microsoft invites hackers to experiment with its Xbox Kinect… to help take the technology to the next level.

Mobilní telefony

Smartphone Security Threats Overdramatized, Experts Say aneb bezpečnostní hrozby pro chytré mobily jsou poněkud dramatizovány. Bill Snyder hovoří o svých dojmech, které získal na příslušné části programu RSA konference. Uvádí tři důvody, proč mobilní malware je vzácné.

Bezpečnostní šok, aplikace pro Android posílá soukromá data otevřeně – Security shocker: Android apps send private data in clear. Mobily s Androidem posílají takto data do aplikací Facebook a Google Calendar a také je odtud takto přijímají. Ukázal to univerzitní profesor Dan Wallach. Viz také připomínku pracovníka společnosti F-Secure – Facebook HTTPS: Is Done Better Than Perfect? (problém s SSL na Facebooku).

Spyware na zařízeních se Symbian je tématem článku Spyware compromises 150,000+ Symbian devices. Podle NetQin Mobile existuje nyní více než tucet variant spyware typu Spy.Felxispy a infikováno je nejméně 150 000 zařízení. Spyware ke svému šíření používá vlastnost Conference Call (bez vědomí uživatele zařízení).
Viz také další informaci obdobného typu – Online banking trojan attacks Windows Mobile smartphones.

Mobilní spyware – ePhoneTracker funguje na Androidu, BlackBerry, iPhone iOS, Symbian OS a šesti chytrých mobiles s Windows Mobile. Je určeno těm, kdo chtějí sledovat své děti či zaměstnance – Mobile spyware tool helps paranoid spouses prove themselves right.

Spam

Lékárenský spam a infiltrace sítí SpamIt, Glavmed, o tomto se lze dozvědět několik informací z článku SpamIt, Glavmed Pharmacy Networks Exposed. Brian Krebs popisuje, jak to vše vlastně funguje.

Elektronické bankovnictví

Stay-at-home PayPal crook used stolen funds to buy gold bullion aneb o ukradených penězích z PayPal účtů uživatelů eBay. Odměnou dotyčnému pachateli za ukradených 185 000 liber nyní bude tři a půl roku vězení.

Nový bankovní trojan dostal pojmenování OddJob. O jeho vlastnostech hovoří Amit Klein (CTO společnosti Trusteer) – OddJob Banking Trojan Hijacks Sessions, Bypasses Logout Attempts. Umí zrušit odhlášení oběti z komunikace s bankovním účtem, oběť si tedy myslí, že je již odhlášena, ale podvodník zůstává na drátě (je stále ve spojení s účtem). Podvodník se pak tváří jako legitimní uživatel a může provádět bankovní operace.
Viz také – Oddjob Trojan keeps banking sessions open after victims log out anebo New bank Trojan employs fresh tricks to steal account data.
Další podrobnosti jsou zde – New Financial Trojan Keeps Online Banking Sessions Open after Users “Logout”.
O tomto bankovním podvodu, ale i o dalších informuje na svém blogu Brian Krebs – Sold a Lemon in Internet Banking.

Objevují se podvody typu: pomozte vybrat peníze z účtů bývalých arabských prominentů – Polyglot 419 scammers target German and Welsh speakers. Stačí, když zaplatíte malý poplatek… Viz také – Mubarak advance-fee fraud scam.

USA: magnetické proužky na kartách pomáhají bankomatovým podvodníkům. Dalším problémem jsou takové technologie jako Bluetooth (bezdrátové technologie umožní stáhnout kamerou zachycené PINy, v průběhu jednoho odpoledne je takto získáno podvodníky až 2500 PINů) – říká John Pearce (ADT Security Services) – U.S. Mag Stripe Fuels ATM Skimming.

Na holandskou banku byl proveden DDoS útok, zůstala po něm offline – DDoS attack forces Dutch bank offline. Služby banky Rabobank byly nedostupné nejméně po celý víkend.

Autentizace, hesla

Viete si správne ustrážiť vaše heslo? :-). Nasledujuce obrázky vám poradia ako zvýšit vašu bezpečnosť. Neodporúčame brať na ĺahkú váhu :-)

Phishing

PayPal phishing campaign hits inboxes, nedávné phisherské maily jsou adresovány uživatelům PayPal. Autor článku varuje, pozor na zprávy obsahující v předmětu „Please confirm your identity“.

Elektronický podpis

EU hledá cesty, jak elektronické podpisy a e-identifikace mohou napomoci růstu ekonomiky. Podle stručné informace v článku E-signatures needed to boost the EU’s digital economy zahájila konzultace v tomto směru Evropská komise. Vítány jsou názory všech.

O2 Důvěryhodný archiv zajišťuje dlouhodobě právní jistoty elektronicky podepsaných dokumentů. Služba O2 Důvěryhodný archiv, která prošla jako jediná v ČR certifikací Elektrotechnického zkušebního ústavu, je v současnosti jedinou certifikovanou službou pro časově neomezenou ochranu elektronicky podepsaných dokumentů.

Normy a normativní dokumenty

V uplynulém týdnu vydal americký NIST dokument:

Kryptografie

Další v minulém týdnu NISTem vydaný dokument je věnován aktuálnímu stavu výzvy pro SHA-3:

Sumarizuje vyhodnocení 14 kandidátů druhého kola výzvy a výběr pěti kandidátů třetího (posledního) kola celé soutěže.

root_podpora

NSA na konferenci RSA sdělila, že algoritmus DES neobsahoval žádná zadní vrátka – NSA reveals its secret: No backdoor in encryption standard. Vystoupil k tomu Dickie George, technický ředitel NSA. Hovořil také k tomu, jakou roli měla NSA při přípravě normy DES. NSA provedla určité změny v S-boxech, které byly provedeny s cílem posílit bezpečnost algoritmu.

Různé

Přehled vychází z průběžně publikovaných novinek na Crypto – News.

Byl pro vás článek přínosný?