Bezpečnostní střípky: s hackery nejsou žerty

Jaroslav Pinkava 6. 6. 2011

Pravidelný pondělní přehled informací vztahujících se k problematice bezpečnosti IT. Z novinek tohoto týdne upozorníme na diskuzi na Schneierově blogu k bezpečnosti SW (open source vs. programy z uzavřených zdrojů), na phisherské útoky proti e-mailovým službám a na nový volně dostupný antivir Microsoftu.

Přehledy

Z většiny webů pravidelně unikají citlivá osobní data – Privacy leakage vs. Protection measures: the growing disconnect. Tento přehled zpracovali pracovníci AT&T Labs a Worchester Polytechnic Institute (Balachander Krishnamurthy, Konstantin Naryshkin a Craig E Wills). Komentář k jeho výsledkům najdete na stránce Most Websites Regularly Leak Sensitive, Personal Data: Survey.

Obecná a firemní bezpečnost IT

Stuxnet a a jeho dopad na změnu IT bezpečnostní strategie Velké Británie jsou rozebírány na stránce Stuxnet attack forced Britain to rethink the cyber war. Je to rozsáhlejší článek, ve kterém se jednak jeho autor vrací k historii toho, jak Stuxnet byl zjištěn a jednak hovoří k tomu, jak by měla být Británie připravena na hrozby obdobného typu. Jsou zmíněna některá přijatá opatření.

Keeping Sensitive Information Out of the Hands of Terrorists Through Self-Restraint – jak můžeme chránit citlivé informace a co pro to děláme. Bruce Schneier (odkazuje se na svou knihu, která vyšla v únoru) hovoří o čtyřech cestách k tomu vedoucích (nazývá je „societal security systems“).

Studie společnosti McAfee se věnuje současným rizikům v datových centrech – Next-generation networking and security enable data center transformation. Komentář k výsledkům studie je v článku Data center IT departments fear targeted attacks. Největší obavy jsou z cílených útoků a pak z datových průniků.
Viz také další komentář – McAfee Q1 Threats Report Reveals Surge in Malware and Drop in Spam.

Írán plánuje národní internet odpojený od světového – Iran aims to exchange the global Internet for a national one. Nespokojenost vlády s vlivem vnějších podnětů vede k této „iniciativě“.

Jak vypadá reálné počítačové vyšetřování kriminality (na rozdíl od jeho podoby v televizních seriálech), popisuje Deb Shinder – Real-life computer crimes investigation: It's not like on TV. Vrací nás na zem od holografických dotykových obrazovek, jaké vidíme třeba v cyklu CSI. Vysvětluje, jak skutečná šetření probíhají.

Můžete mít „příliš mnoho bezpečnosti“? Známý konflikt mezi náhledem bezpečnostních specialistů a náhledem ostatních členů IT týmu včetně managementu. Autor článku Can you have too much security? ukazuje, jak je někdy problematické nalézt správnou hranici.

Pět hlavních hrozeb pro sociální média vyjmenovává Chris Nerney – 5 top social media security threats. Rozebírá zde následující hrozby:

  • 5. Mobilní aplikace
  • 4. Sociální inženýrství
  • 3. Stránky sociálních sítí
  • 2. Vaši zaměstnanci
  • 1. Chybějící politika pro sociální média

Minimalizujte rizika datových průniků – IT Security & Network Security News & Reviews: Data Breaches Add Urgency to Demands for Security Code of Conduct. V této slideshow jsou rozebírány následující body:

  • Prompt Notification: What Sony Didn’t Do
  • Disclose What Exactly Was Stolen
  • Free Credit Monitoring Services
  • Encrypt Sensitive Data
  • Protect the Encryption Keys
  • Limit Data Collection
  • Know the Risks and Protect
  • Check the Applications
  • Patch, Update Software Regularly
  • Consumer Data is Valuable

Největším rizikem jsou mobilní zařízení patřící zaměstnancům. Vyplývá to z přehledu, který provedla ISACA u svých členů v březnu 2011 – Employee-owned mobile devices are riskiest. Viz také komentář – Top security nightmares: Privately owned iPhones, iPads and other mobile devices.

Kybernetické zbraně mohou být účinnější než vojenský útok – Cyber warfare can be stronger than military efforts, says BT chairman. Michael Rake (BT Group) vystoupil v Londýně na akci East West institute cyber security summit. Upozornil zde na závažnost problémů tohoto typu.

Britové provedli v roce 2010 počítačový útok proti Al-Kajdě – Britain mounted secret 2010 cyberwarfare attack on al-Q. Jedná se o jistý pdf dokument obsahující návody k výrobě bomb a antizápadní propagandu, který poněkud přepracovala britská zpravodajská služba (na kuchařské recepty). Viz také:

Velká Británie: ministerstvo obrany chystá nábor stovek počítačových odborníků – MoD recruits hundreds of cyber experts. Budou tvořit tzv. Defence Cyber Operations Group, jejímž cílem bude integrace kyberbezpečnostních opatření do obvyklých sfér pozemních, námořních a vzdušných operací.

Sociální sítě

Jak snadno zálohovat vaše data na Facebooku, postupy s tím související vysvětluje Andy O'Donnell na stránce How to Easily Backup Your Facebook Data.

Nastavení soukromí na Facebooku pro začátečníky, Jakub Kuneš přichází s několika užitečnými doporučeními pro širokou veřejnost.

Video z Facebooku pomůže zanést malware do počítačů s Windows a Mac OS X – Facebook video scam puts malware on Mac and Windows. Jedná se o videa jakoby se šéfem MMF Strauss-Kahnem a hotelovou pokojskou či s celebritami Rihanna a Hayden Panettiere. V obou případech však video neexistuje, odkaz vede na stránku, která se pokouší vnutit instalaci falešného antiviru.

Bezpečnost sociálních sítí – doporučení pro děti najdete zde – Social networking safety tips for kids. V článku je zformulováno sedm pravidel pro děti a jejich rodiče (jejich autorem je ESET).

Reveal Facebook passwords stored in Web browsers aneb jak najít hesla k Facebooku v prohlížečích. V článku najdete informace k volně dostupnému nástroji Facebook Password Extractor.

Software

Krádeže cookies. Jaká s tím souvisí nebezpečí? Tuto problematiku rozebírá Tony Bradley – Dangers of IE ‚Cookiejacking‘: What You Need to Know. Vysvětluje podstatu útoku a uvádí některá doporučení.

Rozhovor s australským týmem, který zaměřuje svoji práci na bezpečnost softwaru je na stránce Working towards bug-free, secure software. Michael Kassner klade otázky, odpovídá Dr. June Andronick (NICTA – National ICT Australia, Australia’s In­formation and Communications Technology Centre of Excellence).

Prezentace Marca Heuse z konce roku 2010 na akci 27C3 stojí za zhlédnutí. Věnuje se tématu IPv6 a bezpečnost – Worth Seeing: IPv6 and Security.

Hidden URLs in phone and tablet browsers aneb skrytá url v prohlížečích mobilů a tabletů. M. E. Kabay přpravil čtenářům materiál, jehož autorem je Bill Boyle (Eskenzi PR & Marketing, London). Uživatelé jsou zde varováni před technikami prohlížečů (netbook/tablet verzí Google Chrome a Mozilla Firefox), které skrývají url.

Google Docs a útoky phisherů, to je téma článku Phishing forms on Google Docs. Společnost F-Secure objevila připravené formáty dokumentů, které mají sloužit k phishingu (umístěné na spreadsheets.go­ogle.com!).

Program Wireshark byl vydán ve verzi – 1.4.7. Populární analyzér síťových protokolů si lze stáhnout ze stránky Wireshark.

FFFjacking (CZ), to je materiál českého autora. Z úvodu (.cCuMiNn.): Původně jsem zamýšlel, že tento text zveřejním jako 0-day exploit, který bude součástí seriálu věnujícího se clickjackingu. V souvislosti s nedávno zveřejněnou zranitelností IE, která dostala název Cookiejacking, mi to však nedalo a podělím se s vámi o různé varianty FFFjackingu (File From Frame hiJacking), jak jsem tuto metodu nazval, již nyní.

Bruce Schneier otevřel na svém blogu zajímavou diskuse k tezi: open source a kvalitní počítačová bezpečnost nejdou moc dobře dohromady – Open-Source Software Feels Insecure.

Současné počítačové útoky ukazují potřebu více se zabývat bezpečností databází – Cyber-Attacks Highlight Need to Focus on Stronger Database Security. Pokud firma (organizace) hájí jen perimetr, je to, jak ukazuje situace (Epsilon, Sony), z dnešního pohledu nedostačující. V článku je zmíněna studie Software vs. Appliance: Database Activity Monitoring Deployment Tradeoffs, ve které jsou rozebírány podmínky pro bezpečnější režim databází (monitoring atd.).

Malware

10 Ways To Survive A Zombie Attack – deset cest, jak přežít útok zombií, to je slidehow, která obsahuje sadu doporučení.

Za scarewarem MacDefender se může skrývat ruský platební online procesor Chronopay – Russian Payment Processor May Be Behind MacDefender Scareware. Takováto informace se objevila na blogu Briana Krebse – ChronoPay Fueling Mac Scareware Scams.

Chrome Web Store má tytéž problémy jako Android Market – Chrome Web Store has same security problem as Android Market. Jedná se o vlastnosti zde umístěných aplikací, které vyžadují kompletní povolení přístupů k systémům uživatelů. Viz také komentář – Experti varují před bezpečnostními trhlinami Google Wallet.
Přišla pak informace – Google Removes 26 Apps With DroidDream Light Malware from Android Market – článek upozorňuje na malware s označením DroidDream Light Malware, který sbírá množství informací z uživatelova přístroje.

Novou antivirovou signaturu společnosti Apple obešli autoři malware během několika hodin – Chrome Web Store has same security problem as Android Market. Článek byl několikrát aktualizován. Uvidíme, jak souboj Apple dopadne. Viz také – Apple strikes back with update blocking new scareware.

Rozbor nových vlastnosti rootkitu TDSS najdete na stránce TDSS loader now got “legs” . Má nyní sebe propagující schopnost – Notorious rootkit gets self-propagation powers.

Viry

Microsoft vydal volně dostupný antivir, který bootuje z CD či USB – Microsoft releases free AV software that boots from CD or USB. Standalone System Sweeper je zatím v beta verzi. Používá týž antivirový motor jako Microsoft Security Essentials.

Hackeři

Hackeři napadli den před písemnými testy web státních maturit, z úvodu: Den před zahájením písemné části státních maturit přestaly fungovat internetové stránky s ukázkovými testy a informacemi o zkoušce. Stránky byly napadeny zvenčí, ale pracujeme na tom, řekl iDNES.cz šéf Cermatu Pavel Zelený.

Podle hacku webové stránky PBS žije rapper Tupac Shakur na Novém Zélandu – PBS website hacked, reports on Tupac Shakur alive in NZ. Skupině hackerů se neměla líbit informace PBS o WikiLeaks (Julian Assange). Viz také:

K samotnému hackerovi (označil sebe jako LulzSec) se obrací článek LulzSec uses zero-day on PBS, promises more attacks.

Některým zajímavým hackům poslední doby je věnován článek Worst hackers ever?. Jeff Caruso uvádí šest svých favoritů.

Průnik do sítě výrobce počítačů Acer vedl ke kompromitaci dat 40 000 uživatelů – Hackers say Acer breach leaked data for 40,000 users. Zveřejněné obrazovky ukazují, že ukradená data obsahují historii nákupu, jména, e-mailové adresy a částečně i adresy a telefonní čísla. Za útokem mají být členové tzv. Pakistan Cyber Army a data mají být brzy publikována. Viz také – Acer server in Europe reportedly breached.

Sony

Shrnutí dosavadní historie (do 27.května 2011) útoků proti Sony obsahuje článek Sony Chief Stringer Blindsided by Hackers Seeking Revenge. Rozsáhlejší dokument informuje o snahách Sony bránit se útokům na systémy této společnosti. Viz také – Sony hacker still anonymous, but motives known.

Jak uvést do života ponaučení z hacku systémů společnosti Sony uvádí článek Sony breach timeline shows missteps, says security firm.

V dalším průběhu týdne se pak nejprve objevila informace – PBS hackers put Sony in crosshairs. Skupina hackerů, která nedávno zaútočila na server PBS, oznámila na svém účtu na Twitteru, že má pod kontrolou chatovací servery Sony.

Následně potom útočníci (označující se jako Lulzsec) oznámili, že se dostali k informacím, které se týkají až jednoho miliónu lidí, neměli ale dostatek zdrojů ke zveřejnění takového množství dat – New Sony hack exposes more consumer passwords. Exponovaná data nebyla šifrována. Publikovány byly e-mailové adresy a hesla 50 000 uživatelů. Viz také komentář – Sony Pictures falls victim to major data breach.
Další informace obsahuje článek – We have 1m Sony passwords, say SonyPictures.com hackers Lulz Security.

Lockheed Martin a další

O průniku do společnosti Lockheed Martin se dozvídáme z článku Lockheed Martin Shuts Down Remote Network Access After Detecting Intrusion. Vzdálený přístup do sítě je zatím zakázán, bude vyměněno celkem okolo 100 000 tokenů RSA SecurID (to potrvá nejméně jeden týden). Viz také články:

Hacknutí Lockheed Martin je diskutováno na Schneierově blogu – Lockheed Martin Hack Linked to RSA's SecurID Breach. Je zde několik málo odkazů a řada domněnek. Přidáme další odkazy zabývající se tímto hackem:

How much can RSA's SecurID tokens be to be blame for the Lockheed Martin hack? – nakolik mohou tokeny RSA za hack společnosti Lockheed Martin? Hack systémů RSA proběhl v březnu, Lockheed měl deset týdnů na to, aby s ohledem na tuto skutečnost upravil své bezpečnostní procedury, říkají bezpečnostní odborníci.

Co se týká RSA SecurID, je tu další oběť z řad dodavatelů obranných technologií – Second defence contractor targeted in RSA SecurID-based hack. Tentokrát se jedná o společnost L-3 Communications. Tento fakt byl zjištěn na základě dokumentu uniklého z interní komunikace společnosti. Viz také – Cyberattacks fuel concerns about RSA SecurID breach.
Situaci okolo RSA SecureID se věnuje článek RSA´s INsecurID.

Problémy společnosti Lockheed Martin ukázaly nebezpečí kybernetické „studené“ války – Lockheed Martin Network Attack Highlights Dangers of ‚Cyber-Cold War‘ . Rok 2011 je ve znamení eskalace problémů souvisejících s kybernetickými útoky proti citlivým místům zemí. Ze současné situace vyplývá řada ponaučení, říká autor článku. Poukazuje tak například na zacházení s osobními informacemi, na ochranu informací firmy u jejích kontraktorů atd.
Nejnovější informace o problémech dodavatelů vojenských technologii shrnuje článek More US military contractors hit by cyber attacks.
Jiným směrem je orientován článek Lesson from SecurID breach: Don´t trust your security vendor (nevěřte svým dodavatelům bezpečnostních řešení).

Mobilní telefony

Přišlo upřesnění informace ke cracknutí šifrování pro iPhone – iPhone 4 Encryption Remains Uncracked, but Password Keys Easy to Obtain. Jak se dalo předpokládat, algoritmus AES-256, který je použit, nebyl rozbit, ale byla nalezena cesta, jak získat příslušné kryptografické klíče.

Skype instaluje SW třetí strany bez ohledu na uživatelovo přání – Skype installs third party software against users' wishes. Jedná se o online herní firmu EasyBits.

26 aplikací, které obsahují trojana, bylo odstraněno z Android Market – 26 trojanized apps pulled from Android Market. Jedná se o variace trojana DroidDream. Seznam infikovaných aplikací je zde.
Viz také komentář – Wave of Trojans breaks over Android.

Protokol pro Skype byl otevřen reverzním inženýrstvím – Skype Protocol Has Been Reverse Engineered. Informace k zdrojovému kódu jsou na blogu Jefima Bušmanova – Skype protocol reverse engineered, source available for download.
Viz také komentář – Skype protocol being reverse engineered – update.

Aplikace pro Android umí krást cookies – Android app brings cookie stealing to unwashed masses. FaceNiff lze použít ke krádeži nešifrovaných cookies ve většině bezdrátových sítí a uživatelé tak mohou získat přístup k rozhraní, kterým lze krást citlivé autentizační informace (pro Facebook, Twitter a jiné weby, které nepoužívají spojení SSL).

Spam

KasperskyLab: množství spamu dále roste – Spam rate increases, growth expected to continue. V článku jsou uvedena čísla za duben 2011.

Spam dodá i takovéto informace – Romanian president declared dead by e-mail scam. Podle společnosti BitDefender se šíří spam obsahující (podvrženou) zprávu o smrti rumunského prezidenta.

Muž, který je podezřelý z toho, že stál za botnetem Rustock, chtěl pracovat u společnosti Google – Rustock Botnet Suspect Sought Job at Google. Mezi podezřelými figurují dvě osoby ruského původu – Vladimir Alexandrovič Šergin a Dmitrij A. Sergejev. Viz také komentáře:

Elektronické bankovnictví

Australské banky byly donuceny zrušit 10 000 platebních karet – Aussie banks cancel 10,000 credit cards. Jedná se o banky Commonwealth Bank a St George Bank. Akce podle vyjádření bank je preventivním bezpečnostním opatřením, které následuje po (potenciálním) datovém průniku. Za ním je jistý australský obchodník.

Autentizace, hesla

Může k vám přijít e-mail, který obsahuje vaše heslo – How Safe is Your Password?. Podvodníci (heslo získali například z některé nedávno kompromitované databáze) se tak snaží dodat větší důvěryhodnost svým sdělením. V závěru článku je uvedeno několik rozumných doporučení.

Phishing

ING znovu předmětem phishingových útoků (ČR). Váš účet bude uzavřen, proto musíte…

Cílený phishing směřuje na vládní a vojenské oficiální G-mail účty (USA) – Spear phishers target gov, military officials' Gmail accounts. Oběti dostávají vysoce personalizované zprávy s odkazy na podvržené stránky G-mailu. Z kompromitovaných účtů jsou pak útočníkům zasílány všechny zprávy (na účty pod jejich kontrolou). Viz také články:

Situaci (z jiného pohledu) se věnuje článek So, why are senior U.S. officials using Gmail?.

Co ukazují analýzy cíleného phiskingu G-mail účtů – Admin: Gmail phishers stalked victims for months. Některé účty vládních úředníků (USA) byly monitorovány po dobu téměř celého jednoho roku. FBI nyní vyšetřuje tvrzení společnosti Google, že za útoky je Čína. Čína to popírá – China goes on attack over Google phishing claims.


Rozsáhlejší komentář k problému napsal Brian Krebs – Spotting Web-Based Email Attacks.

Také Yahoo a Hotmail zasaženy phishingovým útokem (obdobou útoku na G-mail) – Yahoo, Hotmail Hit by Phishing Attacks Similar to Gmail Incursions. Vyplývá to z informací pracovníka společnosti Trend Micro (Nart Villeneuve). Viz také komentář – Webmail buggers attack Yahoo!, Hotmail users.

Kryptografie

Zaluštěte si: Osm šifer, které se zatím nikomu nepodařilo rozluštit – Unbreakable: Eight codes we can't crack. Voynichův rukopis, Kryptos (pomník na nádvoří CIA) a další. Nezbytná je registrace.

Novinky na Cryptology ePrint Archive, objevilo se několik nesporně zajímavých studií:

Ještě k Tunny a dalším německým dálnopisným šifrátorům z druhé světové války se obrací článek Bletchley Park WWII Code-breaking Machines Rebuilt from Memories. Je zde hezký popis obsahující spoustu dalších zajímavých odkazů. Viz také diskuzi na Schneierově blogu – World War II Tunny Cryptanalysis Machine Rebuilt at Bletchley Park.

widgety

Různé

Lockheed Martin sází na kvantové počítače – Lockheed Martin Bets Big on Quantum Computing. Zajímavá informace, Lockheed Martin investoval do kanadské firmy D-Wave, která podle některých vyjádření již v tomto ohledu získala slibné výsledky.

Přehled vychází z průběžně publikovaných novinek na Crypto – News.

Našli jste v článku chybu?
Root.cz: Hořící telefon Samsung Note 7 zapálil auto

Hořící telefon Samsung Note 7 zapálil auto

Vitalia.cz: Jak Ondra o astma přišel

Jak Ondra o astma přišel

DigiZone.cz: Světový pohár v přímém přenosu na ČT

Světový pohár v přímém přenosu na ČT

Lupa.cz: Aukro.cz mění majitele. Vrací se do českých rukou

Aukro.cz mění majitele. Vrací se do českých rukou

Lupa.cz: Proč jsou firemní počítače pomalé?

Proč jsou firemní počítače pomalé?

120na80.cz: Galerie: Čínští policisté testují českou minerálku

Galerie: Čínští policisté testují českou minerálku

Vitalia.cz: Tesco nabízí desítky tun jídla zdarma

Tesco nabízí desítky tun jídla zdarma

DigiZone.cz: Numan Two: rozhlasový přijímač s CD

Numan Two: rozhlasový přijímač s CD

Vitalia.cz: Muž, který miluje příliš. Ženám neimponuje

Muž, který miluje příliš. Ženám neimponuje

DigiZone.cz: Digi Slovakia zařazuje stanice SPI

Digi Slovakia zařazuje stanice SPI

Vitalia.cz: Voda z Vltavy před a po úpravě na pitnou

Voda z Vltavy před a po úpravě na pitnou

DigiZone.cz: Wimbledon na Nova Sport až do 2019

Wimbledon na Nova Sport až do 2019

DigiZone.cz: DVB-T2 ověřeno: seznam TV zveřejněn

DVB-T2 ověřeno: seznam TV zveřejněn

120na80.cz: Co je padesátkrát sladší než cukr?

Co je padesátkrát sladší než cukr?

Lupa.cz: Cimrman má hry na YouTube i vlastní doodle

Cimrman má hry na YouTube i vlastní doodle

Vitalia.cz: Tradiční čínská medicína a rakovina

Tradiční čínská medicína a rakovina

Podnikatel.cz: Udělali jsme velkou chybu, napsal Čupr

Udělali jsme velkou chybu, napsal Čupr

Lupa.cz: Blíží se konec Wi-Fi sítí bez hesla?

Blíží se konec Wi-Fi sítí bez hesla?

Lupa.cz: Jak se prodává firma za miliardu?

Jak se prodává firma za miliardu?

DigiZone.cz: Rapl: seriál, který vás smíří s ČT

Rapl: seriál, který vás smíří s ČT