Bezpečnostní střípky: proběhla konference RSA

Jaroslav Pinkava 21. 2. 2011

Pravidelný pondělní přehled informací vztahujících se k problematice bezpečnosti IT. Z novinek tohoto týdne upozorníme na nemilosrdnou odvetu skupiny Anonymous společnosti HBGary (a na poučení Tima Greena), vydání draftu k hashovací funkci SHA-4 a na volně dostupnou příručku k bezpečnosti webových aplikací.

Přehledy

Průvodce konferencí RSA 2011 najdete na odkazu Securosis Guide to the RSA Conference 2011. 36 stránek ukáže vše podstatné, s čím se bylo možné na této konferenci potkat. Další řadu užitečných odkazů lze nalézt na stránce RSA, BSidesSF 2011: Issues and events.

Kybernetická válka je hlavním předmětem diskuzí na konferenci RSA – Cyber War Dominates the Landscape at RSA Conference. William Jackson komentuje zatímní průběh konference. Viz také komentář:

Také panelová diskuze odráží dech kybernetické války – RSA Conference: The Fog of Cyber-War . Samozřejmě tento pojem je diskutabilní, ale novináři ho nyní používají dosti často. Článek informuje o panelové diskusi na konferenci, která se k této tématice vázala. V panelu vystoupili mj. Bruce Schneier, Michael Chertoff, John Michael McConnell (bývalý ředitel NSA) a další. Tato diskuze je také předmětem následujícího komentáře – RSA: Act now on cyberwar, security experts caution.

Přichází komplexní trojané a malware nové generace – Complex Trojans and next generation malware is on the way, to je komentář ke zprávě Security Labs Report (M86 Security). Klíčové výsledky zprávy:

  • Roste phishing třetích stran
  • E-mailový spam klesá, zdaleka však není mrtvý
  • Odchycení botnetů a ukončení činnosti programu Spamit.com
  • Roste využívání kitů s virovými skenery, které těží z exploitů a také roste množství útoků v sociálních sítích

Obecná a firemní bezpečnost IT

Poskytovatelé internetového připojení a možné jejich využití pro cenzuru internetu, to je předmětem obsahu dokumentu The slide from “self-regulation” to corporate censorship. Komentář k této zprávě organizace European Digital Rights si lze přečíst na stránce The Real Internet Censors: Unaccountable ISPs?

Vydělávat peníze počítačovou kriminalitou je nyní snadnější než kdy jindy – Making Money From Cybercrime Easier Than Ever. Linda Rosencrance komentuje současnou situaci. Sofistikované kousky malware lze snadno koupit a není obtížné s nimi pracovat. V závěru článku uvádí některá jednoduchá doporučení – k obraně.

Kybernetická zbraň, která může shodit internet – The Cyberweapon That Could Take Down the Internet. Článek hovoří o výzkumu, který je prováděn na univerzitě v Minneapolis Maxem Schuchardem a jeho kolegy. Popisovaný útok vyžaduje mít k dispozici velký botnet (cca 250 000 počítačů, které jsou pod externí kontrolou), ale je reálný. Tým své výsledky prezentoval na akci 18th Annual Network & Distributed System Security Symposium, která proběhla v 6. až 9. února 2011 (San Diego, Kalifornie). Viz také komentář – How to crash the Internet.

Staying Safe: How to Create a Home Cybersecurity Policy aneb bezpečnost vaší počítačové domácnosti. Marquette Poremba uvádí několik pravidel, kterými byste se měli řídit.

Univerzita Palackého bude s vnitrem bojovat proti internetové kriminalitě: Na rizika spojená s virtuální komunikací v kyberprostoru a prevenci kriminality, která je s tím spojená, se zaměří projekt Pedagogické fakulty olomoucké Univerzity Palackého. Škola na něj získala osm miliónů korun z výzvy Ministerstva školství, mládeže a tělovýchovy, spolupracovat na něm bude s Ministerstvem vnitra ČR.

Minulý týden byla vydána Výzkumná zpráva o rizikovém chování na internetu (pedagogická fakulta UP, Olomouc). Na stránce Centra prevence rizikové virtuální komunikace (proč zrovna virtuální?) potom najdete další informace o jeho aktivitách.

UK: ministr slibuje 63 miliónů liber na boj s počítačovou kriminalitou – May promises L63m for cybercrime fight. Theresa May říká, že tato částka bude vydělena z celkové sumy 650 miliónů liber, které jsou určeny (jak bylo oznámeno minulý rok) na obranu kybernetické bezpečnosti Velké Británie.

Obama versus počítačová bezpečnost – zvolena cesta nebývalého posílení – Obama seeks big boost in cybersecurity spending. Počítá se s tím při přípravě rozpočtu na rok 2012. Samozřejmě, že situaci ovlivňují takové události jako WikiLeaks a Stuxnet.

Můžete si přečíst novou esej Bruce Schneiera s názvem Societal Security (společenská bezpečnost). Je to zajímavé zamyšlení s ústřední myšlenkou – bez ní se nelze obejít.

IT profíci připouští, že si ponechávají bezpečný přístup do sítě svého předešlého zaměstnavatele – IT Pros Admit to Retaining Security Access at Former Job Sites: Survey. Připouští to deset procent respondentů přehledu Quest Software Survey: The Current State of Identity Management. jeho výsledky byly oznámeny na konferenci RSA.

Kanadská vláda se stala předmětem útoku z počítačů v Číně – UPDATE 1-Canada hit by cyberattack from China computers:CBC. Minulý měsíc byla zasažena dvě klíčová ekonomická ministerstva (Finance Department a Treasury Board). Viz také komentář – Opinion: ´Chinese hackers´ knock Canadian government agencies offline.

Ovšem – Čína popírá svoji účast na hacknutí stránek kanadské vlády – China denies role in reported government of Canada hack. Podle vyjádření čínské vlády je toto obvinění neopodstatněné.

Došlo k bezprecedentnímu uzavření 84 000 domén – Unprecedented domain seizure shutters 84,000 sites. Jedná se o stránky spojené s mooo.com a zřejmě je zde souvislost s šířením dětské pornografie.

Američtí pacienti věří záznamům papírovým nikoliv však elektronickým – U.S. patients trust docs, but not e-health records, survey shows. Lucas Mearian v článku zprostředkovává závěry analýzy obsažené ve zprávě společnosti CDW. Byla zpracována na základě odpovědí 1000 respondentů.

FBI poukazuje na to, co stěžuje provádění odposlechů – FBI: Web-based services hurting wiretapping efforts. V této souvislosti jsou zmíněny webové e-maily, sociální sítě a služby P2P. Jsou proto diskutovány cesty, které by odposlechy v tomto směru umožnily.

Kyberkriminalita stojí ekonomiku Velké Británie ročně 27 miliard liber – Cyber crime costing UK economy L27bn a year. Ten, kdo počítačovou kriminalitu stále podceňuje, měl by si uzřejmit velikost tohoto čísla. Článek obsahuje komentář k právě vydané zprávě The Cost of Cyber Crime. Viz také – Cybercrime costs the UK L27bn a year.

Co patří mezi trendy současné internetové špionáže: jsou to e-mailové přílohy, unikátní útoky – Email attachments, unique attacks highlight Internet espionage trends. Jednorázové cílené útoky, to je to, co nejvíce zaskočí odborníky a z firem dělá oběti. Konstatoval to Mikko Hypponen (šéf bezpečnostní firmy F-Secure Corp.) na konferenci RSA. V článku jsou další podrobnosti z jeho vystoupení.

Sociální sítě

Jak ukrýt soubory do jpeg obrázků na Facebooku – Embedding hidden files in jpeg images. Tested target : FaceBook. Autor zveřejnil kompletní návod, upozorňuje, že třeba Facebook se takto může stát zdrojem pro warez. Co na to operátoři Facebooku?

WikiLeaks, Anonymous a HBGary

Firmy, dříve spojené s HBGary, ruší své vztahy k ní – Companies sever ties with HBGary, tj. na cestě jsou další nepříjemné dopady „odvety“ skupiny Anonymous.

Rethinking Access Controls: How WikiLeaks Could Have Been Prevented aneb WikiLeaks, jak se tomu dalo předejít. Organizace se nyní ve svých vyjádřeních soustřeďují na Wiki, méně už na Leaks. Přitom vše je především o včerejších chybách, říká autor článku Ken Ammon. Situace s WikiLeaks by měla sloužit nejméně jako alarm pro kontrolu přístupů síťových administrátorů a privilegovaných uživatelů. Organizace by měly přistoupit na modely typu „nulová důvěra“.

Společnost HBGary utekla z konference RSA – Hacked and now vandalized, HBGary pulls out of RSA. Její pobočka HBGary Federal zrušila také dříve oznámené vystoupení ke skupině Anonymous. CEO této pobočky Aaron Barr oznámil, že mu bylo vyhrožováno smrtí. Škody, která tato menší, ale přesto významná firma utrpěla, mohou mít do budoucna pro její osud fatální význam. Viz také komentáře:

Harvardský právník bude pomáhat týmu WikiLeaks – US legal expert to advise Wikileaks defence. Zmiňovány v souvislosti připravovanou obhajobou jsou dodatky k americké ústavě (první zaručuje svobodu projevu, čtvrtý svobodu vyhledávání).

Ukradené e-maily firmy HBGary jsou pokladem, zdrojem pro sociální inženýrství, říká autor článku HBGary e-mails are a treasure trove for social engineers. Množství obsažených informací, včetně kontaktů na americké zpravodajské služby, letectvo a různé vládní činitele, to vše se může stát v rukou šikovného sociálního inženýra nebezpečnou zbraní. Dotčené organizace by měly velice pečlivě proškolit postižené zaměstnance, učinit je odolnými proti takovýmto trikům.

Z e-mailů ukradených společnosti HBGary vyplývá, že byl plánován nový typ rootkitu – Stolen HBGary e-mails indicate it was planning a „new breed of rootkit“. Zjištěná fakta uvádí Tim Greene.

Anonymous se vyjadřuje k historii okolo hacku HBGary – Anonymous speaks: the inside story of the HBGary hack. Peter Bright popisuje celý průběh na základě rozhovoru s některými členy skupiny Anonymous. Článek je zajímavý i z technického hlediska (HBGary je bezpečnostní firma). Autor končí slovy: Dokonce bezpečnostní odborníci neuspějí, co teprve my ostatní?
K tématu se váže také komentář – Anonymous security firm hack used every trick in book a řadu dalších odkazů přináší článek More background on the US security firm break-in.

Software

Certifed Lies: Detecting and Defeating Government Interception Attacks Against SSL aneb detekce útoků, které mohou být prováděny (např. vládami) proti SSL a vítězství nad nimi. Vydání podvrženého SSL certifikátu, kdo to může provést? Christopher Soghoian a Sid Stamm v studii (20 stran) rozebírají, jaké proti tomu existují obranné prostředky (plugin do prohlížeče).

SSL a internet: proč není vše v pořádku? Ivan Ristic z firmy Qualys v článku SSL and the Internet: Where is it all going wrong? ukazuje na existující problémy, zřetelně doporučuje používat SSLv3 anebo TLSv1 (namísto ještě stále často používaného SSLv2) a uvádí další doporučení.

Šifrování 101 – absolutní základy – Encryption 101: Keys, Algorithms and You. Pro toho, kdo se chce (snad poprvé) seznámit s idejemi dnešní kryptografie. Ovšem – na webu existuje spousta podrobnějších informací.

Volně dostupná příručka: Web Application Security for Dummies je komentována na stránce Free e-book: Web Application Security for Dummies. Je to již čtvrtá příručka v řadě, kterou připravuje společnost Qualys. Odkazy, odkud si jednotlivé dokumenty lze stáhnout, jsou v závěru článku (nezbytná je registrace). WAS for Dummies má 68 stran, jejím autorem je Mike Shema.

Malware

Pěticei doporučení k tomu, jak odstranit viry a spyware z klientských počítačů, zformuloval Erik Eckel – Five tips for removing viruses and spyware from client machines. Rozebírá následující pětici jednoduchých tipů:

  1. Izolujte disk (dejte ho do odděleného testovacího počítače a vícekrát skenujte pomocí antivirů a antimalware SW)
  2. Odstraňte dočasné soubory
  3. Vraťte disk do systému a znovu oskenujte
  4. Otestujte systém (podrobnosti v článku)
  5. Podrobněji analyzujte zbývající infekce

Top 10 botnets of 2010 aneb top 10 botnetů roku 2010. Článek je komentářem ke zprávě společnosti Damballa – Top 10 Botnet Threat Report – 2010 (8 stran, vydána 14.února 2011). Mimo jiné je zde konstatováno, že počet obětí botnetů vzrostl v roce 2010 o 654 procent (!)- jedná se o poměr mezi jejich počtem na počátku a na konci roku. Další komentář k této zprávě je pak zde – Botnets claim 7-fold increase in victims.

Stuxnet

Jak probíhala infekce červem Stuxnet citlivých míst v Iránu – Report: Stuxnet Hit 5 Gateway Targets on Its Way to Iranian Plant. Kim Zetter komentuje nové informace obsažené v aktualizované zprávě společnosti Symantec – W32.Stuxnet Dossier. Hovoří se zde o pěti organizacích, které jako první byly tímto červem infikovány. Z nich se pak červ šířil dál. Ti, kteří se o problematiku zajímají, mohou využít i odkazy připojené za článkem.

Viz také komentář v The New York Times – Malware Aimed at Iran Hit Five Sites, Report Says
a další komentáře – Stuxnet blitzed 5 Iranian factories over 10-month period a Stuxnet scored quick hit on first target, says researcher.

Anonymous vyhlašuje: získali jsme kód Stuxnetu – Anonymous hacktivists: We've got Stuxnet code. Odborníci se však k tomuto prohlášení (hrozbě) staví skepticky. Kód tohoto malware je značně složitý a v původní podobě byl směrován na specifické cíle.

Izraelský generál označil Stuxnet za jeden ze svých úspěchů – Israeli general claims Stuxnet attacks as one of his successes. Měl to být generál Gabi Ashkenazi – na slavnosti v poslední jeho den v práci (před odchodem do důchodu).

Stuxnet dělá z USB flash disků zbraně hromadného ničení – IT Security & Network Security News Stuxnet Turns USB Memory Sticks into Weapons of Mass Destruction. Trochu nadnesený název použil pro svůj článek Wayne Rash. Volá v něm pro zavedení omezení na používání těchto „klíčenek“. Zamýšlí se nad tím, jaké jsou v tomto směru možnosti.

Hackeři

Rok 2011, rok, kdy hacking se stává hlavním směrem – 2011: The year hacking goes mainstream. Robert X. Cringely shrnuje některé události posledních týdnů, uvádí celou řadu dalších odkazů.

Recovering from a drive-by Java attack via fake security messages aneb jak se vzpamatovat z Java útoku (prostřednictvím podvržených bezpečnostních zpráv). Mark Underwood v článku vysvětluje postupy, které použil v této situaci v praxi.

Night Dragon – zatím je toho málo známo k tomu, aby bylo možné říci něco k jeho cílům. Tento útok představuje hrozbu, k jeho záměrům však toho víme málo. Nejedná se (aspoň pokud je známo) o nějaké specifické malware, spíše jde o sérii útoků, která začala již v listopadu 2009 a která má společné modus operandi – říká Fraser Howard, pracovník společnosti Sophos – Not enough is known about Night Dragon to determine its cause and intentions.

Muž z Kalifornie si vydělal 8 miliónů dolarů. Infikoval počítače, ty pak volaly na prémiové číslo – Man pockets $8m running computer fraud ring. Týkalo se to nejméně 250 obětí z Německa a dalších evropských zemí. Kritické číslo bylo pronajato u německé telefonní společnosti. Dotyčný nyní čelí možnému trestu až ve výši deseti let vězení.

Hacknuté stránky BBC obsloužily návštěvníky s malware – Hacked BBC streaming websites serve up malware. Jednalo se o tzv. streaming websites, tj. stránky odkud je možné stahovat videa. K infekci uživatelova počítače byla postačující návštěva takovéto stránky (při nechráněném prohlížeči). Reagovalo přitom jen devět z celkem 43 prověřovaných (na tuto hrozbu) antivirů.

Roger – Your guide to the seven types of malicious hackers – Grimes přichází s následující typologií hackerů:

  • Počítačoví kriminálníci
  • Šiřitelé spamu a adware
  • Agenti APT (advanced persistent threat)
  • Korporátní špioni
  • Hacktivisté
  • Kybernetičtí bojovníci
  • Hackeři – zloději

Jednotlivé typy pak podrobněji charakterizuje. Viz k tomu také diskuzi na Schneierově blogu – The Seven Types of Hackers.

7 ways to avoid getting hacked by Anonymous aneb sedm cest, jak zabránit hacku od Anonymous. Tim Greene vytěžuje poučení z nedávné smutně proslulé události. Jeho doporučení ovšem mají smysl a je rozumné jim věnovat pozornost.

Hardware

HW keyloggery byly nalezeny na počítačích knihovny – Hardware keyloggers found on library computers. Vypadaly jako obyčejná USB klíčenka. Dva byly konfiskovány, třetí zřejmě pachatel stačil schovat. Lidé, kteří nemají domácí počítač anebo zrovna k němu neměli přístup a ke svým účtům chtěli přistoupit z knihovny, zřejmě nebyli zrovna na bezpečné cestě. Viz také – Hardware keyloggers found in Manchester library PCs.

Sony zakazuje přístup do své herní sítě všem, kdo používají hacknuté konzole PS3 – Sony threatens to ban PS3 jailbreakers from network. Zřejmě dokáže taková zařízení identifikovat?

VoIP

Jak dékodovat audio kompresní algoritmus G72 – How to decode G.729. Fabio Semperboni v článku uvádí, co je k tomu potřeba a jaký má být postup. Algoritmus G 729 se používá při přenosech prostřednictvím VoIP aplikací.

Mobilní telefony

Ruský SMS podvod s trojanem tvářícím se jako Valentýnská MMS je zmiňován v článku Russian SMS scam Trojan poses as Valentine MMS app . Zatímco uživatel se pokouší poslat svému partnerovi medvídka, aplikace odešle SMS na ruské prémiové číslo. Uživateli se to samozřejmě pak objeví v účtu.

Sedm opatření pro prevenci krádeže vašeho mobilu uvádí Al Sacco v článku 7 Precautions to Take Before Your Phone is Lost or Stolen (nezbytná je registrace):

  • Zabezpeč své zařízené prostřednictvím hesla
  • Prioritou a běžným chováním učiň zálohování dat na svém mobilu
  • Přidej informaci o vlastníkovi na zamčenou hlavní stránku (home screen)
  • Seznam pohotovostních kontaktů měj uložen mimo svůj mobil
  • Použij služby pro stanovení lokace mobilu a pro jeho vzdálený výmaz
  • Omez citlivé informace a aplikace na svém zařízení
  • Šifruj či ochraňuj data uložená na kartě (media card)

Spam

70 procent SMS spamu jsou finanční podvody – 70% of SMS spam is financial fraud. Informace pro tato zjištění byly posbírány z dat zákazníků řady firem (jako Vodafone atd.). V článku jsou také popsány používané typy podvodů.

Elektronické bankovnictví

Podvody s platebními kartami se odehrávají dokonce i ve vězení – $1 Million of Forged Credit Card Money Bought iPads and Macs for Prisoners. Ukradené podrobnosti ke kartám koupili dotyční online (jde to a nestojí to moc peněz) a pak je vložili do magnetického proužku na jiných kartách. Viz také diskuzi na Schneierově blogu – Credit Card Fraud Ring.

Krebs nasvém blogu uvádí další variantu bamkomatových podvodů – Having a Ball with ATM Skimmers . Pokračuje ve svém seriálu. Tentokrát se jedná o dvoudílné udělátko, přitom kameru nejprve přehlédli.

Přeprogramovaný bankomat vydal o 140 000 dolarů víc – ATMs Reprogrammed to Cough Up Extra Cash. Podle ATM systems se jedná pravděpodobně o interního pachatele (vzhledem k potřebným znalostem).

Autentizace, hesla

Autentizace webů: proč nepoužívat OpenPGP ? Chad Perrin poukazuje na některé problémy související s používáním protokolu TLS a hovoří o možné alternativě – OpenPGP (zmiňuje také SSH) – Why not use OpenPGP for Web authentication?.

Biometrie

Nový biometrický zámek detekuje život v prstu – Biometric cabinet lock detects “life in the finger”. Takovéto nové řešení bylo demonstrováno na konferenci RSA.

Normy a normativní dokumenty

Americký NIST vydává draft SHA-4 (hashovací algoritmus):

Dále NIST vydal tyto dva dokumenty:

Kryptografie

Útok umí zjistit kryptografické klíče ze signálu mobilu – Attack Can Extract Crypto Keys From Mobile Device Signals. Demonstrovali ho odborníci ze společnosti Cryptography Research. Jejich analýza signálu (demodulace) umožňuje zjistit, co zařízení dělá v době, kdy provádí kryptografické operace. Lze tak zjistit SSL klíč. V podstatě se jedná o to, že dnešní mobily neumí provádět kryptografii bezpečnou cestou – existuje „postranní“ kanál, kterým unikají informace o prováděných akcích. Pokud je mobil používán například jako zařízení pro provádění plateb, vznikají takto pro jeho uživatele rizika.

widgety

Různé

Získávání telefonních čísel z audia na YouTube není nic obtížného – Modern freaking: pull phone numbers from YouTube audio (pochopitelně lze to jen u některých videí).

Přehled vychází z průběžně publikovaných novinek na Crypto – News.

Našli jste v článku chybu?
DigiZone.cz: Parlamentní listy: kde končí PR...

Parlamentní listy: kde končí PR...

Vitalia.cz: Tahák, jak vyzrát nad zápachem z úst

Tahák, jak vyzrát nad zápachem z úst

Lupa.cz: Jak levné procesory změnily svět?

Jak levné procesory změnily svět?

Vitalia.cz: Opuncie je plod kaktusu. Pozor na trny

Opuncie je plod kaktusu. Pozor na trny

Vitalia.cz: Muž, který miluje příliš. Ženám neimponuje

Muž, který miluje příliš. Ženám neimponuje

Vitalia.cz: dTest odhalil ten nejlepší kečup

dTest odhalil ten nejlepší kečup

Vitalia.cz: 5 pravidel proti infekci močových cest

5 pravidel proti infekci močových cest

DigiZone.cz: Numan Two: rozhlasový přijímač s CD

Numan Two: rozhlasový přijímač s CD

Vitalia.cz: Test dětských svačinek: Tyhle ne!

Test dětských svačinek: Tyhle ne!

Vitalia.cz: Inspekce našla nelegální sklad v SAPĚ. Zase

Inspekce našla nelegální sklad v SAPĚ. Zase

Lupa.cz: Patička e-mailu závazná jako vlastnoruční podpis?

Patička e-mailu závazná jako vlastnoruční podpis?

Lupa.cz: Aukro.cz mění majitele. Vrací se do českých rukou

Aukro.cz mění majitele. Vrací se do českých rukou

DigiZone.cz: Nova opět stahuje „milionáře“

Nova opět stahuje „milionáře“

DigiZone.cz: Funbox 4K v DVB-T2 má ostrý provoz

Funbox 4K v DVB-T2 má ostrý provoz

Vitalia.cz: Jak Ondra o astma přišel

Jak Ondra o astma přišel

DigiZone.cz: Koncesionářské poplatky pro RTVS

Koncesionářské poplatky pro RTVS

Vitalia.cz: Tohle jsou nejlepší česká piva podle odborníků

Tohle jsou nejlepší česká piva podle odborníků

Podnikatel.cz: Instalatér, malíř a elektrikář. "Vymřou"?

Instalatér, malíř a elektrikář. "Vymřou"?

Vitalia.cz: Voda z Vltavy před a po úpravě na pitnou

Voda z Vltavy před a po úpravě na pitnou

Vitalia.cz: Kterou dýni můžete jíst za syrova?

Kterou dýni můžete jíst za syrova?