Bezpečnostní střípky: pochází Stuxnet ze spolupráce Izraele a USA?

Jaroslav Pinkava 17. 1. 2011

Pravidelný pondělní přehled informací vztahujících se k problematice bezpečnosti IT. Z novinek právě uplynulého týdne vás upozorníme na průvodce ochranou před interními útočníky, na aktivity hackerů a na snahy Sony zabránit škodám po rozbití konzole PS3. Červ Stuxnet byl prý vyvinut v USA a v Izraeli.

Konference

Konference Black Hat DC 2011 probíhá ve dnech 16. až 19. ledna 2011. Její program je na této stránce – Schedule.

Obecná a firemní bezpečnost IT

Top 10 technických hrůz uplynulého desetiletí najdete na stránce Top 10 Tech Scares of the Decade. Sarah Jacobsson Purewal vyjmenovává následující skutečnosti, ty, které podle jejího soudu budily největší obavy:

  • Y2K
  • Červ Conficker
  • MyDoom
  • Anonymous
  • Sledování RFID
  • Vir ILoveYou
  • Technologie povedou k pádu letadel (nestalo se)
  • Červ Witty
  • Koobface
  • Rok 2012

U jednotlivých bodů najde čtenář i odkazy vedoucí na další podrobnosti.

NSA buduje obří datové centrum – NSA building one million square-foot data center. Ležet bude v Utahu na ploše jednoho miliónu čtverečních stop. Viz také komentář – Officials mark start of work on Utah cyber center.

Security lapses at Stats Can, jak na tom s bezpečnostními průniky je Kanada? Kathleen Harris (QMI Agency) zpracovala přehled popisující výskyt datových průniků v Kanadě za několik posledních let.

Autor knihy varuje před čínským a ruským tzv. spinternetem – Author warns of Russia's and China's ‚Spinternet‘ . Jevgenij Morozov (studující nyní univerzitu ve Stanfordu) napsal knihu The Net Delusion, kde varuje před naivními pohledy na demokracii na internetu. Internet se stává efektivním nástrojem, který používají autoritářské vlády k prosazování svých názorů, potlačování disidentů a umlčování svobody slova – říká autor.

Anonymizační síť I2P, byly nalezeny slabiny této služby – Darknets and hidden servers: Identifying the true IP/network identity of I2P service hosts. Adrian Crenshaw si její rozbor připravil pro konferenci Black Hat DC 2011.

Top-10 Guide for Protecting Sensitive Data from Malicious Insiders, to je průvodce zabývající se ochranou citlivých dat před interními škůdci. V přehledu je rozebíráno celkem deset bodů, například: nespoléhejte se jen na nástroje v databázích, monitorujte vše, mějte připraveny auditní logy pro případnou forenzní analýzu kriminality, ochrana webových aplikací, které přistupují do databází atd.

Provoz na pirátských webech je řádově odhadován na miliardy – Online Piracy Web Traffic Reaches Billions. Podle informací, které připravil MarkMonitor, který sledoval 43 pirátských webů, jejich návštěvnost činí 146 miliónů denně či 53 miliard ročně.

RapidShare se brání, nejsme největší digitální pirátský web – RapidShare Calls Piracy Report ‚Absurd‘ . Společnost RapidShare reaguje na zprávu, kterou v minulých dnech vydal MarkMonitor. V ní bylo identifikováno 43 digitálních pirátských webů, mezi nimi i RapidShare.

Podle KPMG byl rok 2010 úspěšný pro podvodníky – 2010 bumper year for fraudsters, according to KPMG. Hodnota podvodů dosáhla 1,37 miliard britských liber, přitom zhruba polovina sumy se týkala veřejného sektoru.

Should the U.S. draft cybersecurity experts? – vzhledem k současné situaci, je třeba povolávat bezpečnostní odborníky? Michael Kassner směruje svoji otázku do podmínek USA, ale nejenom tam. Jako příklad k diskuzi vidí postup Estonska.

Výzva všem bezpečnostním odborníkům – strýček Sam vás potřebuje – Calling all security experts: Uncle Sam needs you. Potřeby jsou veliké. Článek informuje o dataci, kterou obdržela texaská univerzita v San Antoniu na program pro podporu vzdělávání v kybernetické bezpečnosti. 99 procent absolventů tohoto programu obdrží ihned práci ve federálním sektoru.

Algoritmy kontrolují Wall Street – Algorithms Take Control of Wall Street. Vše jde nyní až neskutečně rychle – na druhou stranu však je třeba si uvědomit, že narostla také rizika, uzavírají popis současného stavu autoři článku.

Muž z Kalifornie kradl nahé fotky z účtů žen – Man nabbed nude pics from women's email accounts. Třiadvacetiletý George Samuel Bronk pronikl do účtů na Facebooku a e-mailových účtů, přiznal vinu, hrozí mu až šest let vězení.

Data breach notifications in Europe – ENISA – Evropa a oznamování datových průniků. Jedná se o požadavky tzv. EU DBN (Data Breach Notification). ENISA analyzovala zákony na ochranu dat (DPA – Data Protection Act) v řadě zemí a také konzultovala některé operátory v těchto zemích. Vyplynuly z toho některé poznatky, v článku jsou shrnuty. John Leyden ve svém komentáři – EU study frowns over data breach notification rules – dává i odkaz na kompletní zprávu – Data breach notifications.

McAfee varuje před počítačovou kriminalitou v roce 2011 a dává užitečná doporučení – Safety advice to protect connected devices. Aktéři počítačové kriminality přichází neustále s novými triky. Pokud se nebudete aktivně chránit, můžete se stát jejich obětí. Aby tomu tak nebylo, je v článku uvedena série doporučení.

Sedm skutečností okolo počítačové kriminality, které by měla znát exekutiva – 7 cyber crime facts executives need to know. V článku Jon Murphy shrnuje obsah 23stránkové zprávy, kterou připravil Ponemon´s Insti­tute.

WikiLeaks

Twitter a data WikiLeaks – právní spory okolo vládních požadavků jsou komentovány na stránce – WikiLeaks lawyer dubs US subpoena on Twitter ‚harassment‘. Viz také – Feds subpoena Twitter for info on WikiLeaks backer.

Assange se pojistil, a to dokumenty, které se mají týkat samotného Ruperta Murdocha – Assange vows to drop ‚insurance‘ files on Rupert Murdoch . Pokud se mě nebo WikiLeaks něco stane, budou tyto materiály zveřejněny, prohlašuje Julian Assange. Zmíněné materiály se týkají také News Corp a Bank of America. Assange podotýká, že WikiLeaks má dnes 2000 webů-zrcadel.

Sociální sítě

Twitter’s Response to WikiLeaks Subpoena Should Be the Industry Standard – Ryan Singel popisuje fakta okolo reakce Twitteru na úřední obeslání ohledně dat aktivistů WikiLeaks. Twitter a jiné společnosti (např. Google) mají ve své politice klauzuli, že nejprve, než předají data soudu, informují o tom osoby, kterých se to týká.

Červ na Facebooku se šíří lákáním na fotoalbum – Facebook worm spread via photo album chat lure. Oběť je infikována malwarem, který nese označení Palevo-BB. Malware se pak dále šíří rozesíláním vytvořené zprávy na kontakty oběti.

Software

Jednoduchost návrhu je důležitou složkou bezpečnosti open source – Design simplicity is an important element of open source security. Chad Perrin pokračuje ve své sérii článků, která je věnována problematice bezpečnosti open source.

K čerstvým záplatám Microsoftu se vrací Brian Krebs na svém blogu Microsoft Plugs Three Windows Security Holes. Záplaty však stále nepokryly pět zranitelností nulového dne, které mohou být použity k útokům na uživatele Windows. Viz také varování Microsoftu – Attacks on IE drive-by bug go wild a informaci Microsoft turns to creative tactic to block IE attacks.

O exploitu, který je cílený na aplikace pro SAP, se dozvíte na stránce Exploits Target SAP Applications. Na konferenci Black Hat ho demonstruje Mariano Nunez Di Croce (společnost Onapsis). Ukazuje, jak lze obejít autentizační portál (SAP Enterprise Portal), vložit zadní vrátka a využít zranitelnost webových služeb SAP.

Nebezpečí nezáplatovaných PC je tématem článku Unpatched PCs remain a threat. Stefan Frei (společnost Secunia) vystoupil na tiskové konferenci k Infosecurity Europe a hovořil zde k některým statistikám, které společnost získala.

How to trace MAC address aneb jak vysledovat adresy MAC. Popis nástroje traceroute mac si můžete přečíst na blogu společnosti Cisco.

Wireshark, jeho současná aktualizace je směrována na zranitelnosti – Wireshark updates address vulnerabilities. V článku jsou obsažena jednak vysvětlení, o jaké změny se v aktualizaci jedná, a jednak zde najdete odkazy na stránky, odkud lze nové verze stáhnout.

Google platí rekordní poplatky za nalezení chyb v prohlížeči Chrome – Google pays record bounty for Chrome bug. Jednomu z nálezců zaplatila společnost Google 3 133 dolarů.

Deset variant falešného scareware, pomocí kterého podvodníci kradou vaše peníze, předvádí formou slideshow Fahmida Y. Rashid – Security: 10 Phony Scareware Variants Scammers Use to Steal Your Money.

Malware

Nový rootkit krade práva uživatelů Windows 7 a Windows Server 2008 – New stealth rootkit steals Windows 7, Server 2008 user privileges ‚on the fly‘. Maďarský bezpečnostní odborník (Deloitte) Csaba Barta našel novou cestu útoků.

Jedním typem ransomware (vyděračského SW), které pochází z Ruska, se zabývá článek Russian ransomware SMS smut-scam raised $30k. Oběť po návštěvě porno stránek zjistí, že díky trojanu mu nefunguje počítač. Musí zaplatit 12 dolarů, celkem bylo takovýchto obětí 2500. Některý šikula si takto vydělal skoro 30 000 dolarů…

Stuxnet

Trojan podobný Stuxnetu může způsobit škody v čínských systémech – Stuxnet-Like Trojans Can Exploit Critical Flaw in Chinese Industrial Software. Nalezena byla kritická bezpečnostní chyba v systémech SCADA, které jsou používány v Číně. Zjistil to Dillon Beresford (NSS Labs) – The sauce of utter pwnage.
Další příbuzné komentáře:

Červ Stuxnet byl nejprve testován v Izraeli – Israel Tests on Worm Called Crucial in Iran Nuclear Delay. A to v jaderném komplexu Dimona. Červ byl vyvinut americkými a izraelskými odborníky, tvrdí autoři článku (oficiální místa nic takového nepřiznávají).

Hackeři

Hacknutý byl i web IBM – IBM DeveloperWorks site hacked and defaced. Útočníci hackli stránku IBM DeveloperWorks a vyvěsili tam vlastní zprávy – defaced.

Hackeři kompromitovali severokorejské weby – zesměšňovali budoucího vůdce Kim Jong Una – Hackers mock North Korea heir-apparent birthday boy. A to u příležitosti jeho dvacátých osmých narozenin.

Patnáctku technik pro hackování webů roku 2010 najdete na stránce Final Fifteen – Web Hacking Techniques. Hlasování je nyní ve fázi, kdy se bude vybírat desítka „nejlepších“. Ke každé z technik je zde doprovodný článek.

Skupina Anonymous „zasahuje“ v Irsku – Anonymous hackers strike in Ireland. Kromě toho, že útok způsobil nefunkčnost webových stránek největší opoziční politické strany Fine Gael, byly také kompromitovány osobní údaje 2 000 lidí. Příčina útoku není zatím známa.

Skandinávští hráči hackli server zdravotnického centra, získali přístup k 230 000 osobních záznamů – Scandinavian gamers hack NH medical center to play Call of Duty; compromise records of 230,000. Zdá se, že vše proběhlo víceméně náhodně, přesto by tato skutečnost měla vést k zvýšeným nárokům na ochranu takovýchto dat. Viz také informaci o obdobném průniku do nemocničních serverů – Kadlec computer servers hacked.

Cesty, kterými útočníci převádějí ukradená data popisuje článek How Attackers Get Away With Data. Proniknutí do bankovního systému nemá smysl, pokud útočník nemá připravenu cestu, kterou bude data, ke kterým získal přístup, převádět jinam. Známý komentátor Brian Prince v článku rozebírá příslušné postupy útočníků. Podkladem mu je vystoupení (Sean Coyne) na konferenci Black Hat.

Počítačoví zločinci skrývají ukradená data přímo pod nosem majitele – Cyber criminals hiding sensitive data under owners' noses. Tento nic přitom netuší, říkají odborníci z KasperskyLab. Postup útočníků je přitom následující. Po průniku do systému oběti si zde útočník vytvoří určité úložiště (drop zone), obvykle je v něm 14 GB dat. Data jsou tu uložena do té doby, než jsou prodána.

Hacknutý notebook umožnil datový průnik do Pentagonu, jeho jednotky pro platební karty – Hacked Laptop Causes Data Breach at Pentagon Federal Credit Union. Finanční data (PenFed) příslušníků americké armády tak mohla být kompromitována. Přesný rozsah kompromitace není znám, zjištěn byl zatím únik dat 514 obyvatel New Hampshire.

Hardware

Ochrana dat na přenosných zařízeních, toto téma je předmětem článku Protecting Data on Portable Drives (Tony Bradley). Dva či více terabajtů dat snadno strčíte do kapsy. Co však s ochranou těchto dat? Co vše se může stát – porucha disku, jeho krádež. Šifrujte, zálohujte.

Peep show, aneb ve světě nezabezpečených webových kamer – Peep show: inside the world of unsecured IP security cameras. Opět platí (jako u jiného HW) – měňte defaultní uživatelská jména a hesla, často jsou totiž dostupná na stránkách výrobce.

Školy, domovy a auta jsou nejčastějšími místy, kde jsou kradeny notebooky – Schools, homes and cars are the most prominent places to have a laptop stolen. Následují pak úřady a univerzity (koleje) – podle Absolute Software.

Zloději aut v budoucnu nebudou potřebovat klíč, stačí jim anténa – Car Theft by Antenna. Vyplývá to ze zprávy, která bude přednesena na akci Network and Distributed System Security Symposium – Relay Attacks on Passive Keyless Entry and Start Systems in Modern Cars. Popisovaný útok má fungovat nezávisle na tom, jaká kryptografie a jaké protokoly jsou použity pro přenos signálu z klíče do auta.

Sony PS3

Sony po fatálnej kryptografickej chybe v PS3 žaluje jej objaviteľov. Z úvodu článku: Spoločnosť Sony v utorok zažalovala skupinu fail0verflow a Georga Hotza, ktorí prekonali kryptografickú ochranu v PlayStation 3 zabraňujúcu spúšťaniu kódu neautorizovaného a nepodpísaného spoločnosťou Sony.

Sony požaduje stáhnout informace o rozbití (jailbreak) PS3 z internetu – Sony Asks Court to Remove PlayStation 3 Jailbreak From Net . Společnost Sony se odvolává na Digital Millennium Copyright Act a další zákony. Autor článku rozebírá celý případ i v návaznosti na zjištění amerického soudu, který potvrdil legálnost obdobného rozbití (jailbreak) iPhone.
Viz také informaci – Signed homebrew software for the Playstation 3, vydaný kousek programu lze použít k podpisu vlastního SW, který pak lze spouštět na PS3.

Zatím nebude vydán žádný soudní příkaz ohledně hackerů PS3 – No court order against PlayStation hackers for now. Stížnosti společnosti Sony nebylo vyhověno.

Bezdrát

Cloud Amazonu EC2 lze použít ke crackování hesel bezdrátu – Amazon EC2 Used to Crack Password Encryption on Wireless Networks. Jak, to ukazuje Thomas Roth na konferenci Black Hat ve Washingtonu, která se konala 16. a 17. ledna 2011. Jedná se o šifrování WPA.PSK. Heslo je takto získáno obvykle během dvaceti minut. Viz také – Researcher cracks Wi-Fi passwords with Amazon cloud. Zde je podotknuto, že Roth konstatoval, že doladěním programu lze potřebnou dobu (ke cracknutí hesla) zkrátit až na šest minut. Viz také – Hacker Shows How Cloud Could Wash Out Wireless Security. Obě slabiny (SHA-1, WPA) jsou známy již delší dobu, Roth vidí nóvum právě ve využití cloudu Amazonu pro masivní paralelizaci výpočtů.

Spam

Spam proniká do sociálních sítí a mobilů – Spam moving to social networks and mobile. Zde nachází i „úrodnější“ půdu. Proto – není zvláštní důvod radovat se z toho, že úroveň spamu v posledních měsících klesla.

Rustock awakens, spam volume back up – botnet Rustock se probudil, objem spamu opět narostl. Joan Goodchild – podle nedávné zprávy Symantecu došlo k poklesu objemu spamu právě díky tomu, že Rustock byl „zticha“. Nyní se tento botnet vrátil ke své aktivitě.

Zdroje spamu z pohledu zeměpisu popisují informace na stránce USA number one as spam becomes more malicious – na prvním místě jsou USA. Společnost Sophos publikovala svoji pravidelnou zprávu (Dirty Dozen), v článku jsou shrnuty její výsledky.

widgety

Phishing

Phishingový útok na Raiffeisenbank: najde se ještě nějaký hlupák? Pavel Čepský na Lupě: Leden kromě jiného přinesl také další phishingový pokus, jenž rozvířil vody bezpečnosti českého Internetu. Jde o povedenou variantu vedenou proti klientům online bankingu, oprášení původního konceptu. Má ale ještě vůbec šanci na úspěch?

Různé

Přehled vychází z průběžně publikovaných novinek na Crypto – News.

Našli jste v článku chybu?
120na80.cz: Co je padesátkrát sladší než cukr?

Co je padesátkrát sladší než cukr?

Lupa.cz: Jak se prodává firma za miliardu?

Jak se prodává firma za miliardu?

DigiZone.cz: Sony MP-CL1A: miniaturní projektor

Sony MP-CL1A: miniaturní projektor

Vitalia.cz: Tohle jsou nejlepší česká piva podle odborníků

Tohle jsou nejlepší česká piva podle odborníků

Lupa.cz: Patička e-mailu závazná jako vlastnoruční podpis?

Patička e-mailu závazná jako vlastnoruční podpis?

DigiZone.cz: Digi Slovakia zařazuje stanice SPI

Digi Slovakia zařazuje stanice SPI

DigiZone.cz: Rapl: seriál, který vás smíří s ČT

Rapl: seriál, který vás smíří s ČT

DigiZone.cz: Na jaká videa se vlastně díváme

Na jaká videa se vlastně díváme

Měšec.cz: TEST: Vyzkoušeli jsme pražské taxikáře

TEST: Vyzkoušeli jsme pražské taxikáře

DigiZone.cz: Samsung EVO-S: novinka pro Skylink

Samsung EVO-S: novinka pro Skylink

Vitalia.cz: 5 chyb, které děláme při skladování potravin

5 chyb, které děláme při skladování potravin

Podnikatel.cz: Babišovi se nedá věřit, stěžovali si hospodští

Babišovi se nedá věřit, stěžovali si hospodští

DigiZone.cz: Ginx TV: pořad o počítačových hráčích

Ginx TV: pořad o počítačových hráčích

DigiZone.cz: Wimbledon na Nova Sport až do 2019

Wimbledon na Nova Sport až do 2019

DigiZone.cz: Funbox 4K v DVB-T2 má ostrý provoz

Funbox 4K v DVB-T2 má ostrý provoz

Lupa.cz: Další Češi si nechali vložit do těla čip

Další Češi si nechali vložit do těla čip

Vitalia.cz: dTest odhalil ten nejlepší kečup

dTest odhalil ten nejlepší kečup

Podnikatel.cz: Byla finanční manažerka, teď cvičí jógu

Byla finanční manažerka, teď cvičí jógu

DigiZone.cz: DVB-T2 ověřeno: seznam TV zveřejněn

DVB-T2 ověřeno: seznam TV zveřejněn

Podnikatel.cz: Takhle se prodávají mražené potraviny

Takhle se prodávají mražené potraviny