Hlavní navigace

Bezpečnostní střípky: otálí Evropa s kybernetickou bezpečností?

13. 6. 2011
Doba čtení: 15 minut

Sdílet

Pravidelný pondělní přehled informací vztahujících se k problematice bezpečnosti IT. Z novinek právě uplynulého týdne vás především upozorníme na informace k (ne)bezpečnému používání USB zařízení, doporučení ohledně obran proti phishingu a na aktivity nového hráče na hackerském poli – LulzSec.

Přehledy

Evropská agentura ENISA vydala aktualizovanou verzi své zprávy Country Reports – Country Reports. Informace týkající se České republiky jsou pak zde – Czech Republic Country Report. Možná se mi to zdá, ale nezasloužila by takováto informace trochu více kritického pohledu? Viz články v odstavci Evropská Unie.

Cybersecurity, Innovation and the Internet Economy, to je zpráva amerického ministerstva obchodu. Rozsáhlý (77 stran) materiál je komentován v článcích:

Nejfrekventovanější hrozby malware května 2011 zmiňuje komentář k přehledu společnosti GFI Software – Continued attacks on social networks. Útoky na sociální sítě pokračují (podvodné přehledy na Facebooku slibující volné letecké jízdenky či videa k smrti bin Ládina).

Obecná a firemní bezpečnost IT

V organizacích chybí aktivní a agresivní penetrační testování jejich sítí – Proactive, Aggressive Network Penetration Testing Lacking in Organizations. V článku jsou tlumočeny názory Mikea Yaffe (Core Security). Odvolává se na postupy doporučované NISTem.

Chybám lidského hardware aneb sociálnímu inženýrství je věnován článek Bugs in the human hardware. Alan Wlasuk vysvětluje problematiku sociálního inženýrství, uvádí sérii příkladů a komentuje v souvislosti s tím nedávné průniky.

Zatajení datového průniku bude podle amerických zákonů kriminálním činem – US bill would make concealing data breaches a crime. Takto to stanoví chystaný zákon Personal Data Privacy and Security Act.

Shoda není zárukou bezpečnosti, proč tomu tak není, vysvětluje na blogu společnosti RSA Sam Curry – Compliance is not Security.

Tři největší bezpečnostní problémy společností a jak se s nimi vypořádat. V článku How to deal with 3 big corporate security concerns jsou jmenovány a rozebírány virtualizace, mobilita a sociální sítě.

Zajímavou studii najdete na odkazu Sex, lies and Cybercrime Surveys (Sex, lži a přehledy kybernetické kriminality). Zpracovali ji (a popsali zajímavé analogie) pracovníci Microsoftu pro akci Workshop on the Economics of Information Security. Komentář k této studii je obsažen v článku Cybercrime figures ´as true as sexual-conquest scores´.

Bývalý zaměstnanec NSA čelí obvinění za únik informací – Ex-N.S.A. Aide Gains Plea Deal in Leak Case; Setback to U.S.. Thomas A. Drake poskytl informace neoprávněné osobě, reportérovi The Baltimore Sun, zneužil tak počítačový systém agentury.

Mezinárodní souvislosti

Čína varuje Google – zaplatí za svá obvinění Číny – China paper warns Google may pay price for hacking claims. Čínské ministerstvo zahraničí veškerá obvinění odmítá.

Google acting as a ‚political tool‘, says China – Google se chová jako politický nástroj, říká Čína, to je komentář k nedávným vyjádřením čínské strany. Viz také:

USA: jen některé kybernetické útoky budou vyžadovat tvrdou odplatu – Experts: Few cyberattacks are cause for major retaliation. Tento článek přináší informace z panelové diskuze – Center for Strategic and International Studies (CSIS) in Washington, D.C.

Britská vláda plánuje blokaci některých webů – Home Office sets out plan to block websites. Má se jednat zejména o stránky propagující islámský fundamentalizmus a jiné extrémní názory. Plán je součástí aktualizované strategie – Prevent counter-terrorism strategy.

Evropská Unie

Většina EU zemí ignoruje zákon o cookies na webech – Most EU countries ignore law on website cookies. Evropská směrnice k tomto problému vstoupila v platnost 25. května. Jak se však jeví, není dodržována. Kroky v potřebném směru učinily pouze Dánsko, Estonsko a Velká Británie.

EU: za počítačovou kriminalitu bude minimálním trestem pět let vězení (pro nespolupracující provinilce) – Elusive cyber-attackers to face five years' ja. Ministři spravedlnosti se dnes dohodli na předběžných pravidlech, která definují počítačovou kriminalitu a na minimálních trestech pro nejhorší provinilce. Je chystána (zřejmě pro řadu zemí kontroverzní) směrnice – Directive on Attacks against Information Systems. Odborníci se současnými postupy EU nesouhlasí: zákonů máme dost, ale máme málo policistů, kteří by tyto kriminálníky chytali. Také chybí organizační cesty, které by fungovaly i mimo hranice zemí.

Evropa otálí s kyberbezpečností – EU will take a year to set up full cybersecurity agency. Bezpečnostní odborníci poukazují na zdržení okolo ustavení plnohodnotného CERT (Computer Emergency Response Team). Do plného rozběhu to bude trvat ještě nejméně jeden rok, zatímco hrozby jsou aktuální již nyní.

Sociální sítě

Podvodné zprávy na LinkedIn vedou k instalaci malware Zeus na počítačích obětí – Fake LinkedIn Messages Install Zeus Malware on Victims' Computers. Podle společnosti Trusteer je s pomocí souboru nástrojů Black Hole exploit kit instalován trojan Zeus 2. Ukradená data jsou zasílána na server v Číně.

Další chybný postup Facebooku – technologie pro rozpoznávání obličejů je nastavena defaultně – UK watchdog looking into Facebook face-tech row. Britové okolo této situace zahájili svá šetření, komunikují s Facebookem o dopadech na soukromí. EU zatím nereagovala.
Jak tuto techniku Facebooku zablokovat popisuje článek Facebook Privacy: How to Block Facial Recognition.
Problémy bude Facebook mít také v USA – Facebook may have privacy battle on two fronts.

Software

Google má obavy, jeho služba Google Wallet pro mobilní platby by mohla být hacknuta – Google Wallet Security Solid Until its Hacked. Odborníci diskutují cesty, kterými by škodící aplikace na tuto službu mohly zaútočit.

VLC Media Player v nové verzi 1.1.10 odstraňuje zranitelnosti – VLC Media Player 1.1.10 fixes vulnerabilities. Připravována je verze 1.2.0.

Pět fází útoku na webovou aplikaci najdete popsány v článku Insider's view into Web application abuse: 5 phases of an attack. Je to podrobný rozbor situací, se kterými se dnes setkáváme bohužel až příliš často.

Zranitelnosti systémů Siemensu budou přece jen diskutovány na konferenci, a to na akci Black Hat Las Vegas (2. a 3. srpna 2011). Siemens by je již měl mít záplatovány – After delay, hacker to show flaws in Siemens industrial gear.

Bezplatný nástroj vás ochrání před škodlivými odkazy – Free tool protects against harmful links. Jedná se o nástroj společnosti F-Secure – Safe links – Safe links Beta.

Jak fungují postupy pro „otrávení“ výsledků vyhledávání, tomuto tématu se věnuje článek How search engine poisoning works. Společnost Imperva rozkrývá cesty, kterými funguje tzv. Search Engine Poisoning (SEP).

Vysoce hodnocené rozšíření Firefoxu (7 miliónů stažení) narušuje soukromí uživatelů – Firefox add-on with 7m downloads can invade privacy. Jedná se o Ant Video Downloader and Player, kterýžto pogram sbírá údaje o navštívených stránkách a kombinuje je s daty jednoznačně identifikujícími uživatele.

Malware

Kaspersky: webové služby Amazonu hostují bankovní malware – Amazon Web Services Hosting Banking Malware: Kaspersky. Týká se to nejméně jednoho takovéhoto serveru (pro cloud), říká Dmitrij Bestužev, odborník společnosti Kaspersky. Amazon na jeho informace dosud nereagoval.

Opravář počítačů (specialista na Macintosh) instaloval spyware, aby mohl pozorovat ženy – Police: Mac technician installed spyware to photograph women. Dvacetiletý mladík (z okolí Los Angeles) měl ale smůlu, jiný opravář doporučil oběti zavolat policii.

Autoři malware spoléhají na to, že uživatelé neaktualizují – Malware writers rely on users not updating. V článku jsou komentovány výsledky analýzy, kterou provedla společnost G Data SecurityLabs. Je zde uveden žebříček malware programů (top 10).

Viry

Popularita bezplatných antivirových programů roste – Free antivirus programs rise in popularity, new survey shows. V článku jsou tlumočeny výsledky přehledu zpracované certifikační firmou OPSWAT. Ukázána jsou procenta, která si jednotlivé programy ulamují z tržního koláče.

Hackeři

Charlie Miller (hacknul iPhone) říká, že hackeři jsou úspěšní díky chybám v SW, mohou za to dodavatele technologií – Prominent iPhone Hacker Blames Vendors' Buggy Code for Security Breaches. Miller vystoupí k tomuto problému 9. června na akci NATO – International Conference on Cyber Conflict (koná se v Estonsku).

V útoku proti uživatelům Gmailu byl využit exploit pro Flash – Hackers exploit Flash bug in new attacks against Gmail users. Zranitelnost byla záplatována 6. června.

Byly iTunes hacknuty? Objevily se problémy tuctů uživatelů s aplikací pro Sega – Kingdom Conquest a také s řadou dalších aplikací. Není zatím jasné, zda se jedná o široký útok na iTunes či zda byly hacknuty jednotlivé účty uživatelů. Viz komentář:

Každý čtvrtý americký hacker je informátorem FBI – One in four US hackers ‚is an FBI informer‘. FBI a americká tajná služba si prostřednictvím hrozby vězení vytváří síť informátorů. V této souvislosti je zmiňován i Adrian Lamo (předal informace o Manningovi vojenským autoritám). Zatímco LulzSec jsou příliš čerstvým fenoménem, skupina Anonymous již na své kůži aktivity tajných služeb ucítila.
Viz k tomu také diskuzi na Schneierově blogu – 25% of U.S. Criminal Hackers are Police Informants.

Kybernetičtí útočníci se opírají o využívání cloudů a virtuálních prostředí – Cyber-Attackers Taking Aim at Cloud and Virtualized Environments. Jednak cloudy používají jako výchozí body útoků a jednak útočí proti cloudovým službám organizací. V článku jsou komentována vystoupení zástupců firem Dell SecureWorks a PerspecSys na akci Cloud Expo.
Viz také článek – Virtualized environments painfully insecure? – Je virtuální prostředí bolestivě nechráněné?.

Desítka největších kybernetických útoků v květnu 2011 je na stránce 10 Biggest Cyber Attacks In May podána formou slideshow. Čtyři útoky z této desítky se týkají společnosti Sony.

„Hvězdný“ hacker zatčen – We've got star hacker ‚nsplitter‘ – police. Osmnáctiletý řecký mladík je podezřelý z hacknutí webů Interpolu a řady amerických agentur. Poprvé se tomuto mladíkovi podařilo hacknout stránku Interpolu, když mu bylo teprve 15 let. Podle článku získal ilegálně také přístupy k stránkám NSA, FBI a Pentagonu (v roce 2009). Kromě jiného se tento mladík zabýval také podvody s platebními kartami. Čelí nyní nejméně pěti létům vězení.

Uvězněna byla skupina hackerů z Anonymous – IT Security & Network Security News Arrest of ‚Anonymous‘ Hacker Group Members Claimed by Spanish Police. Jedná se o tři členy této skupiny, zatčeni byli ve Španělsku (Barcelona). Všichni zatčení jsou Španělé ve věku okolo 30 let.

Viz také:

Oznámen byl útok na stránky herní společnosti Codemasters – Codemasters pulls website after hackers pwn customer database. Uživatelům je doporučována výměna hesla. Hackeři získali přístup k databázi uživatelů, k jejich osobním datům (jména, uživatelská jména, e-mailové adresy, data narození atd.).

RSA

Potvrzeno, ukradená data k RSA SecurID posloužila k hacknutí Lockheed Martin – Stolen RSA data used to hack defense contractor. Potvrdila to samotná společnost Lockheed Martin. Viz také komentář – China linked to new breaches tied to RSA.

Společnost RSA nahradí tokeny SecureID novými téměř u všech svých zákazníků – RSA Agrees to Replace Security Tokens After Admitting Compromise. Rozhodnutí předcházela rozsáhlá forenzní analýza a spolupráce s vládními a armádními agenturami a firmami. Jaké s tím souvisí náklady pro společnost RSA, je rozebíráno v článku Questions asked on the cost implications of RSA replacing SecurID.
Související doporučení připravila společnost Wave Systems – Concerned with the vulnerability of authentication tokens?.

Dokáže RSA napravit ztracenou důvěru? Článek Can RSA repair the broken trust? přináší kritický náhled na postup společnosti po nastalém průniku (nedostatek informací pro veřejnost) a autor uvádí osm doporučení pro uživatele RSA tokenů.

Společnost RSA ustavila svého prvního bezpečnostního ředitele (chief security officer). Je jím Eddie Schwartz z firmy NetWitness (v dubnu tuto firmu koupil vlastník RSA, společnost EMc) – RSA appoints security chief amid blistering criticism. Viz také komentář – In wake of breach, RSA names chief security officer.

LulzSec

LulzSec hacknul bezpečnostní firmu spolupracující s FBI – LulzSec hacks FBI liaison and security. Jedná se o firmu InfraGard sídlící v Atlantě. InfraGard působí jako firma zprostředkující kontakty FBI se soukromým sektorem. Do situace je zamíchán ještě Karim Hijazi, šéf bezpečnostní firmy Unveillance, která se specializuje na analýzu botnetů. Celá situace, jak se zdá, je zatím ještě zamotaná a na vyjasnění toho, co se vlastně všechno stalo, si budeme muset ještě počkat. Viz komentáře:

Na server Nintendo zaútočila hackerská skupina Lulz Security – Nintendo server attacked by hacking group Lulz Security. Jedná se o server jedné z poboček Nintendo v USA. Naštěstí žádná uživatelská data neunikla.

Sony, Nintendo, FBI-Partners Hit by Latest LulzSec Hacks – hackerská skupina LulzSec: shrnutí dosavadních aktivit a hrozeb do budoucna. Tvrdí o sobě, že hackují pro zábavu, nikoliv pro peníze. Na svém účtu na Twitteru prohlašují – chystáme další útoky, budou větší cíle.
Aktivity této skupiny hodnotí ve svém článku i Bill Brenner (cso.online.com) – LulzSec knows how to have fun. But where are the grownups?.
Viz také – Hackers attack FBI; Say ´We accept your threats, NATO´.

Sony provádí šetření okolo možného hacku další své stránky – Sony shuts down site to investigate possible hack. Jedná se o její web Brazilian Music site.
Viz také komentáře:

Skupina LuLzSec zaútočila na stránky bezpečnostní firmy Black & Berg Cybersecurity Consulting (Hacker Challenge), odmítla odměnu 10 000 dolarů.

Skupina LulzSec „dusila“ kanadského premiéra – Canadian Prime Minister ‚Choked‘ in Website Hack. Hackla stránky kanadské konzervativní strany a umístila tam zprávu říkající, že premiér byl převezen do nemocnice potom, co se začal dusit u snídaně. Také byly smazány jména a e-mailové adresy tisíců sponzorů strany.

LuzSec varuje NHS (National Health Service, Velká Británie) ohledně kompromitovaných hesel – LulzSec warns NHS about compromised passwords. Tentokrát k zneužití získaných informací nedošlo… Jinak – to je nějakých aktivit během jediného týdne…

Hardware

Irongeek přináší na svém webu prezentace k přenosným bootovacím zařízením (USB/CD/DVD) – Portable Boot Devices (USB/CD/DVD). Autor sám hodnotí své poznámky jako nepříliš uspořádané, doufá však, že přináší hodně informací.

Pět otázek, které byste měli klást ve vztahu k bezpečnosti tabletů, formuluje ve svém článku 5 questions to ask about tablet security Joan Goodchild:

  • Můžeme/měli bychom podporovat tablety?
  • Jaká jsou rizika související s tablety a dalším spotřebitelsky orientovanými mobilními zařízeními?
  • Můžeme akceptovat tato rizika?
  • Věříme uživateli?
  • Jak bychom měli využívat určité nové informace, které jsou nyní dostupné prostřednictvím tabletů a jiných mobilních zařízení?

Unruly USB Devices Expose Networks to Malware – USB zařízení a nekázeň vystavují síť nebezpečí malware. Studie (8 stran) společnosti Lumension ukazuje, jaká zde číhají nebezpečí, proč USB malware je tak úspěšné a uvádí sérii doporučení.

VoIP

Reakci společnosti Skype na informaci ohledně provedeného reverzního inženýrství programu Skype komentuje autor článku Skype denounces ‚nefarious‘ reverse engineering. Ve vydaném prohlášení Skype říká, že podnikne veškeré kroky, aby zabránila obdobným pokusům (Bušmanov chce z programu vytvořit open source verzi).

Mobilní telefony

iOS 5 – provedený průnik značí, že lze provozovat i neschválené aplikace – Hackers jailbreak iOS 5 in under 24 hours. Hackerům (iPhone Dev Team) to trvalo méně než 24 hodin.

Informaci o Nessusu pro Android najdete na stránce Run Nessus on your Android device. Program Nessus Android application si lze bezplatně stáhnout zde – Android Marketplace.

Android Market: nalezeny další infikované aplikace – More Infected Apps Found in Android Market. Obsahují dva druhy malware s označením Plankton and YZHCSMS. Plankton byl nalezen v deseti aplikacích, které byly staženy celkem 210 000 krát.

Spam

Phisherské formuláře z Google Docs použity k deaktivačnímu spamu pro účty Google – Gmail deactivation spam run leads to phishing forms on Google Docs. Varování před takovýmito e-maily přinesla společnost Sophos.

Uživatelé Pixmanie si stěžují na bombardování spamem – Pixmania users report scam-spam bombardment. Podle vyslovených domněnek buď byla hacknuta zákaznická databáze anebo byla prodána do více bezohledných rukou. Samotná společnost se zatím nevyjádřila.

Elektronické bankovnictví

Čtyři muži byli obviněni z krádeže 1,5 miliónu dolarů prostřednictvím bankomatových podvodů – Men pocket $1.5m in alleged ATM skimming spree. Používali elektronická zařízení k zaznamenávání vkládaných PINů (podvržené klávesnice). Jedná se převážně o rumunské občany, své kejkle prováděli na Manhattanu, v Chicagu a Miami po dobu 14 měsíců – až nakonec byli dopadeni.

O rozhodnutí jednoho soudního řízení v případě e-krádeže: banka vs. okradená firma informuje Brian Krebs – Court: Passwords + Secret Questions = ‘Reasonable’ eBanking Security. Podle soudu jsou heslo + tajné otázky dostatečnou bezpečností. Argumentováno je tím, že důvodná bezpečnost neznamená absolutní bezpečnost. Výsledek soudu může mít dopad na řadu menších amerických firem. Viz také komentáře:

Citigroup: hackeři se v síti banky dostali k datům platebních karet – Citigroup says hackers access bank card data. Týká se to stovky tisíc majitelů platebních karet. Podle Citigroup však dopad útoku je jen na jedno procento zákazníků. Viz ale:

Autentizace, hesla

Analýza hesel z dat ukradených společnosti Sony ukazuje na neopatrná chování uživatelů – Stolen Sony Passwords Show Weak User Habits. Shrnuty zde jsou některé její výsledky, například více než 50 procent uživatelů používá hesla v délce sedm znaků či méně. Srovnání s jinou ukradenou databází (Gawker) ukazuje, že 2/3 uživatelů (z těch co mají účty jak u Sony, tak u Gawkeru) používá zde shodná hesla. Viz také komentář – Sony hack reveals password security is even worse than feared.

Nový zákon v Tennesee říká, že sdílení hesla je ilegálním činem – Tennessee Makes Password Sharing Illegal. „Zajímavý“ zákon a zajímavá diskuze. I Bruce Schneier na svém blogu soudí, že je to další ze zákonů, který nebude fungovat – Tennessee Makes Password Sharing Illegal.

Phishing

Bezpečnostní tipy pro uživatele účtů G-mailu obsahuje slideshow IT Security & Network Security News & Reviews: Gmail Security Tips to Follow in Wake of China Phishing Attack. Je zde prezentována desítka doporučení (i jako reakce na nedávné phishingové útoky).

Phishing je stále úspěšný – protože jsme důvěřiví. George V. Hulme konstatuje, že po útocích posledních let přestává být phishing jen problémem koncových uživatelů (jak se dlouhé roky na něj nahlíželo) – Phishing still rules, because we're still gullible.

4 bezpečnostní doporučení s ohledem na nedávné phishingové útoky (G-mail, Hotmail a Yahoo) vyplynuly z analýzy společnosti Trend Micro (4 Security Tips Spurred by Recent Phishing Attacks on Gmail, Hotmail, and Yahoo):

  • Přátelům nelze vždy věřit
  • Někdy jste bezmocní
  • Jeden phishingový útok plodí další
  • Vy jste nejspíše v bezpečí
  • Obvyklá doporučení stále platí

Elektronický podpis

Elektronický podpis na rozcestí, Jiří Peterka na Lupě: Česká republika potřebuje vyřešit „dlouhověkost“ elektronických podpisů. Vydá se cestou rozšířených elektronických podpisů a transpozice unijních předpisů, nebo cestou dynamických biometrických podpisů?

Francouzská certifikační autorita v důsledku chyb prozradila svůj soukromý klíč – French certification authority reveals its private key by mistake. Certigna je velká francouská autorita. Podle jejího komentáře se jednalo o klíč, který přinádležel testovacímu certifikátu s již uplynulou dobou platností. Je-li pravda, co říká stanovisko této CA, pak vlastně skutečně k ničemu nedošlo (kromě nevhodného postupu).

Normy a normativní dokumenty

Amerciký NIST v uplynulém týdnu vydal dokument:

root_podpora

Různé

Vyšel (In)Secure Magazin, číslo 30 (červen 2011). Z jeho obsahu:

  • Microsoft´s Exploit Mitigation Experience Toolkit
  • Transaction monitoring as an issuer fraud risk management technique in the banking card payment system
  • IPv6: Saviour and threat
  • The hard truth about mobile application security: Separating hype from reality
  • Don´t fear the auditor
  • Book review: Kingpin
  • Secure mobile platforms: CISOs faced with new strategies
  • Security needs to be unified, simplified and proactive
  • Whose computer is it anyway?
  • 10 golden rules of information security
  • The token is dead
  • Book review: IPv6 for Enterprise Networks
  • Cyber security revisited: Change from the ground up?

Přehled vychází z průběžně publikovaných novinek na Crypto – News.

Byl pro vás článek přínosný?