Hlavní navigace

Bezpečnostní střípky: přehlížet zabezpečení webovských aplikací se nevyplácí

31. 10. 2011
Doba čtení: 16 minut

Sdílet

Pravidelný pondělní přehled informací vztahujících se k problematice bezpečnosti IT. Z novinek právě uplynulého týdne vás upozorníme především na stále nepříliš vyjasněnou situaci okolo malware Duqu, na hackerský útok na inzulinové pumpy (i ty nejmodernější) a na informace ohledně bezpečnosti https.

Přehledy

Přehled společnosti Websense najdete na stránce Security Pros and Cons: IT Professionals on Confidence, Confidential Data, and Today’s Cyber-cons. Je věnován zejména těmto dvěma okruhům otázek:

  • Současné hrozby bezpečnosti organizací a osobní bezpečnosti, včetně APT (pokročilých setrvávajících hrozeb) a moderního malware
  • Informace společností a strategie pro prevenci před ztrátou dat

Komentář obsahující shrnutí výsledků tohoto přehledu napsal Michael Kassner – New Websense survey may surprise you.

Přehled Small Businesses Owners Suffer from False Sense of Cyber Security říká už v nadpise: vlastníci malého podnikání mají falešný pocit kybernetického bezpečí. Přehled sponzoroval Symantec a National Cyber Security Alliance, provedla ho společnost Zogby International.Viz komentář – Businesses Suffer From False Sense of Cyber-Security: Symantec Report. Z výsledků přehledu vyplývá, že dvě třetiny malého podnikání v USA jsou víceméně závislé na internetu, a na druhou stranu 85 procent respondentů si myslí, že jejich společnost je zabezpečena před hackery, viry, malware či datovými průniky. Bližší pohled však ukazuje nedostatky v bezpečnostních politikách a proškolení zaměstnanců (jejich bezpečnostního povědomí).

Obecná a firemní bezpečnost IT

S jakými typy rizik se v organizaci můžete setkat? Danny Bradbury postupně vyjmenovává jednotlivé typy rizik a vysvětluje, jak je vyhodnocovat – So many risks, so little time. The tolerance test.

Americká vláda chce pomoci malému podnikání k ochraně před kybernetickými útoky – FCC unveils tool to help small businesses plan for cyberattack. Během následujících týdnů má být vydán dokument označený jako Small Biz Cyber Planner. V současné době lze využít starší dokument – Ten Cyber Security Tips for Small Business.

Databáze obsahující údaje ke všem občanům Izraele byla dostupná na internetu – Contract worker stole all Israelis´personal information. Technik, který pracoval na smlouvu pro ministerstvo práce, otevřel databázi celému internetovému světu. Data si zkopíroval také s cílem prodat je soukromníkovi.
Viz také komentář – Israeli gov nabs 6 for leaking population register. Personal details of 9 million citizens, including kids, online.

Doporučení spotřebitelům pro bezpečný pohyb po internetu (pocházející z Kanady) najdete na stránce Cyber Security Consumer Tip Sheet . Dokument obsahuje seznam potenciálních rizik spolu s nástroji, které by měly pomoci je minimalizovat.
Viz také doporučení obdobného charakteru – 6 Tips to Beef Up Internet Security for the Holiday. Svátky už jsou sice za námi, ale další přijdou…

The Register: jména a e-mailové adresy 50 000 čtenářů byly (neúmyslně) rozeslány na 3521 adres – The Register exposes personal details of 47,000 readers . Zřejmě – protože jsem také dostal omluvný dopis – jsem mezi postiženými. Asi přibude spamu.

Dokument plný nápadů – 68 great ideas for running a security department. Pro přístup k tomuto sedmistránkovému pdf je nutná krátká registrace.

Vyplatí se počítačová kriminalita? Pohled na tuto často i v minulosti kladenou otázku z hlediska současných čísel přináší Mathew J. Schwartz – Does Cybercrime Pay? (InformationWeek). Jsou zde uvedeny některé odhady toho, kolik kybernetická kriminalita vynáší (velký rozptyl těchto odhadů bohužel není příliš využitelným východiskem). Některé informace se dají odvodit z čísel u dopadených gangů, šedou krajinou však zůstává zbývající kriminalita, která nebyla zachycena. Autor si myslí, že tam ta efektivita není nijak vysoká, a proto konstatuje, že možná je velikost zisků pocházejících z počítačové kriminality přeceňována.

Obama man: ‚Global internet surveillance skyrocketing‘. Think it's bad now? Just wait – autoritářské vlády a svoboda internetu. V komentáři, který je věnován snahám vlád o kontrolu obsahu internetu, je citováno vystoupení Michaela Posnera (US Assistant Secretary of State, Bureau of Democracy, Human Rights, and Labor) – Remarks on Internet Freedom and Responsibility.

Prevence krádeže ID – praktická doporučení v tomto ohledu najdete na stránce Practical tips for identity theft prevention. Stručně jsou v článku zmíněny výsledky přehledu 2011 Identity Fraud Survey Report: Consumer Version Prevention – Detection – Resolution. Následující doporučení pochází od FTC (Federal Trade Commission):

  • Sepište si bezpečnostní plán
  • Proveďte inventář svých dat
  • Proškolujte vaše zaměstnance
  • Chraňte dobře své podnikatelské účty
  • Omezte přístupy k datům (zaměstnancům a členům organizace)
  • Speciálně se vyvarujte bankovních trojanů
  • Monitorujte neustále vaše bankovní účty a platební karty
  • Vyvarujte se také krádeží podnikatelské identity
  • Využívejte dostupné technologie

Proč nápad FBI o separátním internetu nemůže fungovat – Why the FBI’s “new Internet” is a dumb idea. Zajímavý komentář uvádějící některé argumenty. Jiným směrem do budoucna (než vybudováním speciálního internetu) se zabývá návrh Top Government Security Officials Call For Secure OS Development.

Social engineering: My career as a professional bank robber – Sociální inženýrství – jak okrádám banky, vysvětluje Jim Stickley. Stickley je nyní CTO společnosti TraceSecurity, své bohaté zkušenosti využívá v této konzultační firmě. V interview v článku popisuje své experimenty. Viz také paralelní článek – How to rob a bank: A social engineering walkthrough.

Čínská armáda (počítačoví hackeři) je podezřívána z útoku na satelity USA – Chinese Military Suspected in Hacker Attacks on U.S. Satellites. Mělo se to stát v létech 2007 a 2008. Čína to pochopitelně popírá. Viz komentář – Chinese Military Hackers Blamed for Attacking Two U.S. Satellites .
V komentářích je poukazováno na dokument, ve kterém se informace objevila:

Šest smrtících chyb, které dělá podnikání (zdánlivě malé chyby mohou vést k velkým bezpečnostním průnikům) – Six Deadly Security Blunders Businesses Make. Kelly Jackson Higgins na stránkách Dark Reading v rozsáhlejším článku rozebírá následující body:

  • Nevhodně nakonfigurovaný server SSL
  • Přehlédnutí málokdy používaného účtu s vysokými právy
  • Automatické předpokládání toho, že provoz VPN je vždy bezpečný
  • Ignorování zabudovaných systémů
  • Překlepy ve zdrojovém kodu či v konfiguračních souborech
  • Zřejmý – ale stále častý – problém nezáplatování skrytých systémů

Microsoft zrušil obvinění firmy z České republiky – Microsoft drops botnet suit, asks former defendant for help. Jednalo se o jistého Dominique Piatti a jeho firmu dotFREE Group s.r.o. Microsoft tak učinil po revizi a další analýze problému s botnetem Kelihos. Viz také – Fact check clears Czech in botnet case.

Školit zaměstnance ohledně bezpečnosti by je nemělo obtěžovat – Training employees on security measures doesn't have to be boring. Alfonso Barreiro proto dává v tomto směru některá doporučení.

CIA a velké očekávání, jak pomůže cloud – CIA: Cloud Solving Our Petascale Data Problem. Gus Hunt v tomto smyslu hovořil na akci InformationWeek Government´s Gov­Cloud (Washington, D.C.). Viz také informaci obdobného charakteru – DISA plans a new step toward DOD cloud.

Bezpečnostní tipy pro každý den – Security Tip of the Day: Check the ATM Vestibule Before You Enter It. Na této stránce téměř každý den přibývají jednoduchá doporučení využitelná v každodenním životě.

Sociální sítě

Facebook, byla nalezena závažná chyba – Researcher finds major flaw in Facebook. Penetrační tester objevil chybu, která umožňuje odeslat komukoliv v sociální síti škodlivé aplikace.
O triku spammerů na Facebooku informuje Zeljka Zorz – Facebook spammers trick users into sharing anti-CSRF tokens.

Software

Ještě k problému XML (šifrování) se vrací článek Researchers Crack XML Encryption Mechanism, Propose New Standard. Amazon již na výsledek německých odborníků reagoval některými opatřeními, která směřují proti potenciálním útočníkům. Další komentář – Researchers break W3C XML encryption algorithm, push for new standard.
Samotná studie obsahující příslušný výsledek je na tomto odkazu – How to Break XML Encryption.

Odborníci nalezli díry v cloudu – Researchers find holes in the cloud. V prezentaci s názvem “All Your Clouds are Belong to us” (Cloud Computing: “Wolke” mit Lücken – RUB-Forscher entdecken Sicherheitsmängel bei Amazon), přednesené na akci “ACM workshop on cloud security”, němečtí výzkumníci z bochumské univerzity ukázali několik vážných slabin cloudu Amazonu. Viz také komentáře – Researchers find “massive” security flaws in cloud architectures a Hackers could have TAKEN OVER Amazon Web Services.

Google vyplatil rekordní peníze za nalezené chyby v Chrome – Google pays record $26K in Chrome bug bounties. Zaplatil nyní 26 511 dolarů za nalezení některých chyb (jejich opravy jsou součástí právě vydaného balíku 18 oprav) těm, co je ohlásili.

Bezpečnost databází není jenom DAM (Database Activity Monitoring) – Database Security: More Than DAM. Jon Oltsik uvádí k tomu argumenty a sedm doporučení (nejlepší postupy), které je třeba brát do úvahy. Uzavírá – další myšlenky najdete v materiálech organizací (jako např. NIST, SANS atd.).

Studie ISACA: Web Application Security: Business and Risk Considerations, pro přístup k ní je nezbytná krátká registrace. Stručný komentář k tomuto užitečnému dokumentu (má 16 stran) je obsažen v článku Web application security vulnerabilities and strategies.

Linux a Secure Boot – několik informací k současné situaci přináší článek Linux Foundation, Canonical and Red Hat Weigh In On Secure Boot. Kromě komentáře obsahuje článek některé užitečné odkazy:

Na otázky pak odpovídá James Bottomley z Linux Foundation.
Viz také článek – Linux Foundation releases blueprint for UEFI Secure Boot.

Malware

Německé BSI požaduje na podnicích, aby hlásily infekce Duqu – BSI-Chef: Unternehmen sollten Duqu-Infektionen melden. BSI (Das Bundesamt für Sicherheit in der Informationstechnik), jak je vidět, nebere tyto infekce na lehkou váhu.

Duqu tu mohl být nepozorován již několik měsíců – Duqu highlights AV industry's shor­tcomings. Angela Moscoritolo říká, že to ukazuje na nedostatečnost antivirových řešení.

McAfee tvrdí, že Duqu není hrozbou aplikacím – McAfee Says Duqu Bo Threat To Utilities. Je to zjevně špionážní malware, říká Peter Szor (senior director of research at McAfee Labs).

SecureWorks: Duqu a Stuxnet nemusí mít stejný původ – Duqu Trojan Questions and Answers. Výsledky analýzy společnosti SecureWorks jsou komentovány v článku Duqu, Stuxnet link unclear. Jon Ramsey (CTO at Dell SecureWorks) říká, že oboje malware má mnoho komponent, přičemž podobnost je pouze v jedné z nich. Viz také komentář – New Analysis Questions Origins of Duqu Trojan.
Rozhovor s Davem Marcusem (McAfee´s director of security research and communications), který je Duqu věnován, najdete na stránce McAfee: Why Duqu is a big deal.
Novější informace o výskytu Duqu – Duqu incidents detected in Iran and Sudan .
KasperskyLab k Duqu v zatím dvoudílné sérii:

Indie vyřadila server, který byl spojován s malware Duqu – India shuts server linked to Duqu computer virus. Zabaveno bylo některé vybavení počítačového centra v Bombaji. Podle Symantecu tyto komponenty komunikovaly s počítači, které jsou infikovány Duqu.

Popis změn v rootkitu TDL4 si můžete přečíst na blogu společnosti Eset – TDL4 rebooted, komentář k tomu pak v článku TDL4 Botnet Now Even Harder To Kill.

Tsunami trojan, určen pro Maca, vychází ze staršího linuxového trojana – Tsunami Trojan: First Mac attack based on Linux crack. Zatím se o jeho cílech diskutuje, předpokládá se, že je určen pro útoky DDoS. Zajímavé na tomto trojanu je právě fakt, že vychází z linuxové verze (má to být poprvé – jinak jsou převáděny pro Maca trojané z Windows).

Viry

Pro antivir Avira (kvalitní antivirový program zdarma) byla vydána nová aktualizace – Avira AntiVir.

Aktuální situace s falešnými antiviry je popisována na stránce blogu KasperskyLab – Fake AV business alive and kicking. Množství pokusů o útok s pomocí falešných antivirových programů (FAP) v druhém pololetí klesá. Nové FAP se však objevují i nadále. Viz také komentář – Rogue anti-virus less common, but new variants still coming says #kasperskylab.

Hackeři a jiní útočníci

Who Else Was Hit by the RSA Attackers? – útok na RSA v březnu, koho ještě jiného zasáhl? Mělo to být ještě množství dalších firem, které však nebyly ochotné zveřejnit příslušné informace. Brian Krebs přináší jejich seznam, který dosud nebyl publikován. Je v něm i řada velmi známých společností. Viz také komentáře:

Některé zmíněné firmy však úspěšný útok popírají – Firms deny RSA-style security breach.
Viz také diskuzi na Schneierově blogu – Full Extent of the Attack that Compromised RSA in March.

AVG: hacktivismus zpomaluje byznys – AVG: Hacktivism is slowing down business. V interview na otázky odpovídá výkonný ředitel JR Smith.

Kanál Microsoftu pro YouTube byl smazán útočníkem – Microsoft's Y­ouTube channel gets hijacked and wiped clean. Tento oficiální kanál byl v sobotu napaden a všechna videa byla smazána. Hacker je nahradil jinými, která obsahovala nápisy:“We are sponsoring” a “Make us a Background to Get Subbox!!!” Viz také – Your YouTube Account Could Get Hacked.

K novému hromadnému útoku SQL injection se obrací informace na stránce New mass SQL injection attack making rounds. Útok dostal označení jjghui. V článku jsou vysvětleny jeho postupy. Útočníci nejen přesměrovávají na stránku s falešným antivirem, ale také získávají přístup k databázi stojící za webovým serverem a všem datům, která zde jsou. V dalším jsou pak uvedena některá doporučení pro organizace.

Watch out for DNS sub-domain hijacking, tento článek se věnuje útokům typu “DNS sub-domain hijacking”. Na jejich stále častější výskyt upozorňuje Patrick Lambert a uvádí cesty k obraně před těmito útoky.

Pět případů, kdy hackeři chybovali, najdete popsány na stránce Top 5 Hacker Fails: Exploits Gone Bad. Takovýto zajímavý pohled s popisem konkrétních případů přináší JR Raphael (Infoworld). Viz také komentář – How hackers get caught.

Japan parliament hacked – hacknutý japonský parlament. Získaná data byla na serveru kdesi v Číně dostupná nejméně jeden měsíc – Cybercriminals Hit Japanese Parliament. Viz také informaci o dalším útoku – Cyber attacks hit Japan diplomatic missions.

Deset věcí, o kterých jste si mysleli, že nemohou být hacknuty, v této slideshow najdete předměty každodenního používání – 10 Things You Didn't Know Could Be Hacked.

Účastník Tour de France byl odsouzen za hackování antidopingové laboratoře – Trojan hack lands cycle star Floyd Landis with suspended sentence. Jedná se o známého cyklistu Floyda Landise (v roce 2006 Tour de France vyhrál), dostal 18 měsíců podmíněně.

Švédsko – hacknuto a online bylo 210 000 přihla­šovacích údajů – Swedish password hacking scandal widens. Data pochází nejméně ze 60 webů, jedná se tak o největší bezpečnostní průnik švédské historie. Viz také komentář – Sweden´s Largest-Ever Hack Hits Politicians and Journalists.

Zkušenosti z praxe k útokům APT přináší článek Chasing APT: Persistence Pays Off. Brian Krebs se podrobně rozepisuje o konkrétní situaci jedné firmy (nepřála si být jmenována).

Anonymous

Anonymous na Pastebin oznámili další uniklá data – Police data leaked as cop confab kicks off. Mají to být tato data (citát): “more than 600MB of information gained by hacking into Web sites associated with the International Chiefs of Police (IACP), the Boston Police Patrolmens´ Association, and law enforcement agencies in Alabama´s Bir­mingham and Jefferson counties”.

Anonymous a pedofilové – komentáře na internetu – Anonymous shuts down hidden child abuse hub, ve vyjádření pracovníka společnosti Sophos se říká: Their intentions may have been good, but take-downs of illegal websites and sharing networks should be done by the authorities, not internet vigilantes. Viz také – Anonymous shuts down child porn sites, leaks usernames.

Anonymous opět vyhrožují. 5 listopadu zruší web Fox News – Anonymous Hacking Group Says It Will ‚Destroy‘ Fox News Site. Má to být odveta za to, že Fox News negativně informují o účastnících Occupy Wall Street.

A Anonymous se pomstili policii v Oaklandu – Hactivist group #anonymous downs Californian police site after violence. Webové stránky Oaklandské policie byly díky útoku DDoS několik hodin nedostupné, navíc Anonymous začali zveřejňovat některé informace ohledně místních policejních úředníků. Má to být odveta za to, že kalifornská policie použila tento týden silové prostředky proti protestujícím. Viz také – Anonymous Hackers Retaliate Against Oakland PD.

K jinému požadavku Anonymous – Online hackers threaten to expose cartel´s secrets.

Hardware

Prohlédněte si video 5 SECONDS to bypass an iPad 2 password, iPad2 – jak obejít heslo za pět vteřin. Článek navazuje na informace, o kterých zde již byla řeč.

Insulin pump hack delivers fatal dosage over the air aneb hackerský útok na inzulinové pumpy. Tentokrát na konferenci v Miami (Hacker Halted )o něm referoval pracovník společnosti McAfee Jack Barnaby. Jeho vystoupení se týkalo nejmodernějších pump společnosti Medtronic.
Viz také komentář na csoonline.com – The sober lesson of an Insulin pump hack.

VoIP

Skype lze použít při zjišťování nelegálního stahování – Skype can be used to tie users to illegal download activity. Článek shrnuje výsledky obsažené ve studii I Know Where You are and What You are Sharing: Exploiting P2P Communications to Invade Users´ Privacy.

Mobilní zařízení

Android v nové verzi má být bezpečnější – Android upgraded to be more resistant to hack attacks. Android 4.0 (označený také jako Android Ice Cream Sandwich) obsahuje nyní tzv. ASLR (address space layout randomization), vlastnost, která by útočníkům měla ztížit spouštění jejich kódu.
O útocích na mobily s Androidem hovoří článek Android phones are tempting targets for hackers.

Kapesní příručka pro ochranu mobilních zařízení – Pocket Guide To Securing Mobile Devices, takto nazval svůj článek Robert Lemos. Klade v něm důraz na tyto body:

  • Znej hrozby
  • Používej pouze ověřené prodejny aplikací
  • Kontroluj svůj účet
  • Antivirus – stále pod otazníkem

Spam

Spammeři vytvořili své vlastní služby pro zkrácené url – Spammers create their own URL shortening services. To je další “nápad”, jak obejít bezpečnostní opatření. Viz také – Symantec: Spammers Enticing Victims With Shortened URLs a Spammers Using Own URL-Shortening Services for Pharmacy Spam.

Elektronické bankovnictví

NSA pomáhá bankám v boji proti hackerům – Exclusive: NSA helps U.S. banks battle hackers. Předává jim zpravodajské informace o zahraničních hackerech. Viz také komentáře:

Autentizace, hesla

Přehled Password 2011 zpracovala společnost Lieberman Software Corporation, komentář k přehledu je na stránce Poor Password Security Poses Big IT Problem. Žádný optimismus (uživatelé používají hesla odpovědněji) z výsledků studie nevyplývá.

TOR, nová verze obsahuje opravy – s cílem znemožnit deanonymizační útok – New Tor Release Fixes De-Anonymization Attack. TOR projekt vydal novou verzi klientského SW. Kromě zmíněného cíle verze obsahuje řadu dalších oprav (bezpečnostních a z hlediska ochrany soukromí).

Phishing

Česká spořitelna varuje před hackery, kteří lákají z klientů údaje, z úvodu:“Česká spořitelna (ČS) zaznamenala v uplynulé době první případy nového typu podvodných e-mailů, kterými hackeři lákají z klientů důvěrné údaje o nich a jejich kreditní kartě”. Neboli phishing v Česku.

Elektronický podpis, SSL

Tool lets low-end PC crash much more powerful webserver. Denial-of-service attack targets SSL – je tu další útok na SSL. Německá skupina (The Hacker´s Choice) zveřejnila nástroj THC-SSL-DOS pro útoky DDoS, lze jím zcela vyřadit server z internetu – blog.
Viz také – Researchers Release Attack Tool That Cripples Secure Websites a Tool Lets Single Laptop Take Down An SSL Server.

Projekt The EFF SSL Observatory, jeho cílem je zkoumat situaci okolo certifikátů SSL, které jsou používány k šifrování spojení s weby – https. Výsledky, které byly dosud získány, shrnuje komentář (At least) 4 web authentication authorities breached since June.
Viz také – Further evidence of Certificate Authority break-ins a EFF Data Shows Five CAs Compromised Since June.
K problematice je otevřena diskuze na Schneierově blogu – The Security of SSL.
Peter Eckersley začal psát sérii článků k bezpečnosti https – How secure is HTTPS today? How often is it attacked?.

Kryptografie

Objevil se nový typ útoku na kvantovou kryptografii – Uncrackable quantum crypto undermined by new attack. Bell test blinded by lasers. Článek je komentář k informaci, která vyšla v Nature – Lasers illuminate quantum security loophole.

Vyřešena byla tajemná historická šifra – Copiale Cipher – Mysterious ‘Copiale Cipher’ Cracked. Rozluštit dokument o 105 stranách se podařilo teprve po třech stoletích od jeho vzniku. Dokument popisuje rituály a politické snahy tajné společnosti v 18. století v Německu. Viz také komentář – Computer analysis, online translator, intelligent guesses crack ancient German code.

UX DAy - tip 2

Fully Homomorphic Encryption with Polylog Overhead, jak název studie říká, známí autoři v ní popisují plně homomorfní šifrování, které lze provádět s polylogaritmickou náročností. Článek obsahuje jednak příslušné teoretické důkazy a jednak také některá doporučení pro efektivnější praktické výpočetní postupy.

Různé

Přehled vychází z průběžně publikovaných novinek na Crypto – News.

Byl pro vás článek přínosný?