Bezpečnostní střípky: šikovné sociální inženýrství

Jaroslav Pinkava 11. 5. 2009

Pravidelný pondělní přehled informací vztahujících se k problematice bezpečnosti IT. Z novinek tohoto týdne lze upozornit na doporučení pro boj s útoky SQL-injection, informaci o chystaných protipirátských opatřeních pro Windows 7 a dále třeba na zjištění, která vyplynula z monitoringu botnetu.

Obecná a firemní bezpečnost IT

Příklad toho, jak některé weby zacházejí s bezpečností našich dat, najdete v článku Exposed: the great password scandal. How some sites are taking a cavalier attitude to your security. Paul Annett zde rozebírá postupy služby My Name is E.

USA potřebují síly typu „digitální warfare“ – US needs ‚digital warfare force‘. Generálporučík Keith Alexander (šéf nového vedení – Cyber Command) to prohlásil ve zprávě pro sněmovnu.

Druhou část článku, který se zabývá otázkou, proč je třeba ničit informace, najdete na stránce Why Information Must Be Destroyed, Part Two. Je to pokračování článku z února tohoto roku – Proč je třeba ničit informace. Ben Rothke se v této části zabývá především prostředky, které likvidaci informací umožňují.

Studie společnosti British Telecom říká, že většina podniků očekává, že budou v tomto roce hacknuty – BT Study: Most Enterprises Expect To Get Hacked This Year . Je to realismus nebo pesimismus? Konkrétně zjištěné číslo říká – 94 procent organizací očekává úspěšný průnik během příštích dvanácti měsíců.

Šikovné sociální inženýrství aneb co vše dokázal jeden konzultant – Social engineering attack allowed consultant to access company's data room and steal passwords. Několik dní pracoval uvnitř firmy (nezjištěn), dostal se do různých firemních prostor, získal (telefonicky) jména a hesla uživatelů (z dvaceti dotázaných mu je vydalo 17) atd. Ve vaší firmě by toto určitě nebylo možné?

Agent FBI vypovídá o svých zkušenostech z počítačového podsvětí – Q&A: FBI agent looks back on time posing as a cybercriminal. Zajímavé interview s J. Keithem Mularskim, agentem, který strávil dva roky infiltrací počítačového podsvětí, konkrétně se to týkalo internetového fóra, na němž bylo možné nakupovat a prodávat data k platebním kartám.

Pět strategií pro boj s moderními hrozbami najdete v materiálu společnosti Sophos – Top five strategies for combating modern threats. Is anti-virus dead?. Jsou zde obsažena následující doporučení:

  • Používejte i nadále tradiční antivirová řešení
  • Aktivně chraňte svoji síť
  • Využívejte preventivní prostředky ochrany(kontrola přístupů v síti, bezpečné a efektivní brouzdání internetem)
  • Kontrolujte legitimní aplikace a jejich chování (kontrola aplikací, seznam povelených aplikací – whitelisting)
  • Kontroluje a šifrujte – zařízení a data

Software

Několik bezpečnostních doporučení najdete na stránce Firefox: Some security tips. Michael Kassner na blogu TechRepublic uvádí několik poznámek, týkají se EV SSL certifikátů, https stránek, otázek spojených s problematikami typu „SSL blacklist“ a „NoScript“.

K jedné staré chybě, která nebyla ve Windows 7 opravena, se vrací poznámka na blogu F-secure – Windows 7 Fail. Jedná se o problém spojený se skrytými příponami souborů. Např. soubor virus.txt.exe uvidí uživatel pouze jako virus.txt, spustí ho a … problém je na světě.

Útokům na SSL je věnovaný rozhovor s autorem (vynálezcem) SSL Tahar Elgamalem – Inventor: SSL not to blame for security woes.

Chybou na stránkách společnosti McAfee se zase zabývá článek McAfee: Enabling Malware Distribution and Fraud (i s návodem na její využití, ale chyba snad již byla opravena – aspoň částečně). Viz také  – McAfee website visited by plague of security locusts.

Také SSL stránka společnosti Google obsahovala XSS zranitelnost – Google SSL page vulnerable to XSS. Jak je vidět, tímto problémem trpí mnozí.

Understand the basics of Microsoft BitLocker encryption – jak se šifruje s Bitlockerem ve Windows? Tony Bradley vysvětluje:

  • jak Bitlocker pracuje
  • jak spolupracuje s TMP (Trusted Platform Module)
  • jak jsou zde spravovány klíče

Používejte jen důvěryhodné vyhledávače – Specialized search engines leading users to malicious websites. Objevuje se nepříjemný trend, počítačoví podvodníci začínají využívat své vlastní vyhledávače – samozřejmě k tomu, aby uživatele přesměrovali na stránky s malware.

Soubor pdf, který slibuje odpovědi k viru prasečí chřipky, obsahuje nástroj pro kradení hesel – Malicious H1N1 PDF file spreads password stealer as swine flu leaflets begin to be delivered. Je rozesílán jako příloha e-mailu.

Problematice malware v souborech pdf je věnován článek New Bulls-eye for Targeted Attacks: PDFs.

Systém pro kontrolu leteckého provozu (USA) je zranitelný vůči kybernetickým útokům – IG: Air traffic control system vulnerable to cyberattack. Kathleen Hickey informuje o nedávno zveřejněné zprávě dopravní inspekce.
Viz také – Report: US air-traffic control systems hacked a také Audit finds 700 high-risk vulnerabilities in air traffic systems.

How to find and stop automated SQL injection attacks  – jak bojovat s útoky SQL-injection? Jamie Gamble a Patrick Szeto připravili sérii rozumných opatření.

OASIS, vznikla zde iniciativa za lepší kompatibilitu šifrovacích produktů – Oasis group aims to simplify crypto-key management . Cílem je vytvoření protokolu pro interoperabilní správu šifrovacích klíčů.

Microsoft spolupracuje s americkou vládou na bezpečnější konfiguraci Windows XP – Microsoft teams up with US gov on double 'ard XP. Měla by být přístupna i široké veřejnosti.

Microsoft oznámil, jaká budou protipirátská opatření ve Windows 7. Toto oznámení stručně komentuje David Neal  – Microsoft outlines Windows 7 anti-piracy measures.

Malware

Uniklé kopie Window 7 RC obsahují trojana – Leaked copies of Windows 7 RC contain Trojan. Some pirated builds on file-sharing sites harbor attack code. Trojan je přímo obsažen v souboru setup.EXE, stáhne falešný bezpečnostní SW (scareware) a nainstaluje rootkit, který mu umožní skrýt se před legitimními antiviry. Ovšem – nyní si lze tuto verzi již stáhnout legálně přímo ze stránek Microsoftu (bez trojana).

Monitoring botnetu ukázal, že ukradeno bylo až 70 GB osobních a finančních dat – Botnet probe turns up 70GB of personal, financial data. Researchers had access to the hacked computers for 10 days. Analytikům kalifornské univerzity (Santa Barbara) se podařilo získat kontrolu nad sítí hacknutých počítačů (botnet Torpig či se mu také říká Sinowal). Podrobnější popis toho, čeho se jim podařilo dosáhnout, najdete v 13stránkové studii na stránce – Taking over the Torpig botnet.

Za poslední měsíce prudce vzrostl počet počítačů infikovaných jako součást botnetu – Botnet ranks continue to swell. Podle zprávy společnosti McAfee vzrostl tento počet za první čtvrtletí 2009 o více než 12 miliónů. Nejvíce se to dotýká Spojených států a Číny, následují Austrálie, Německo a Velká Británie. Další komentář – McAfee, Inc. Quarterly Threat Report Reveals 12 Million New IP Addresses Have Been Hijacked by Botnets.
Zprávu společnosti McAfee si lze stáhnout ze stránky Global Threats Report.
Viz také další článek na obdobné téma – USA (and IE) Number 1 for Botnet Mayhem.

Skenery založené na signaturách nenajdou 58 procent malware – Signature-based scanners miss 58% of malware. Článek obsahuje komentář k čtvrtletní zprávě Global Threat Report (Scansafe).

Článek The real solution to malware přináší zamyšlení Chada Perrina nad otázkou: Lze se vypořádat s malware?

Hackeři

Jak může být pro hackování použit útok DoS (Denial of Service)? Autor článku Using Denial of Service for Hacking popisuje několik možných situací, další jsou pak v připojené diskuzi.

Spojené státy: Hackeři pronikli do zdravotnické databáze, požadují výkupné – Hackers Break Into Virginia Health Professions Database, Demand Ransom . Jedná se o státní web ve Virginii, hackeři zde smazali záznamy více než 8 miliónů pacientů. Požadují 10 miliónů dolarů za vrácení záznamů.

Hardware

Nic nového pod sluncem, další test (secondhand) pevných disků ukázal na hrubé bezpečnostní prohřešky bývalých majitelů – Missile data, medical records found on discarded hard disks. Study finds all manner of stuff on eBay. Na jednom z prověřovaných disků byla dokonce nalezena data k obrannému raketovému systému THAAD (Terminal High Altitude Area Defence)!
Viz také – Missile plans, banking details and NHS records found on old hard drives in investigation.

Bezdrát

S rostoucí popularitou zařízení pro monitoring bezdrátu rostou obavy o soukromí – As wireless monitoring device popularity grows, so do privacy worries. K diskuzi na konferenci Go Mobile 2009 v San Franciscu, obavy z velkého bratra (ale i malých bratrů) nejsou úplně mimo.

Mobilní telefony

Přečtěte si recenzi knihy iPhone Hacks. Pushing the iPhone and iPod touch Beyond Their Limits. Jejími autory jsou David Jurick, Adam Stolarz a Damien Stolarz, vydalo ji nakladatelství O´Reilly v dubnu 2009, kniha má 480 stran a najdete ji třeba na Amazonu.

Spam

Množství obrázkového spamu v posledních měsících narostlo – Image spam levels reach 19-month high as cybercriminals use G20 summit to spread malware. Článek je komentářem k výsledkům zprávy Symantecu – April 2009 MessageLabs Intelligence Report.

Phishing

Phishing Attacks Exploit Swine Flu Scare – phishingové útoky využívají strach z prasečí chřipky. Stefanie Hoffman upozorňuje na současné aktivity spamerů, které nějakým způsobem lákají oběti, aby klikly na infikované odkazy a stáhly si malware. Mail například obsahuje „zaručenou“ zprávu o tom, že nějaká celebrita (Obama, Madonna, Salma Hayek) byla infikována prasečí chřipkou a obsahuje odkaz na stránku s „podrobnostmi“.

Příklad phishingu, který se týká podvržené stránka Vonage, popisuje Michael Kassner – Phishing Update: Fake Vonage Web site and EV certs do help. Ukazuje tak problematiku phishingu v konkrétní situaci. Cílem útočníků je získat data uživatelů Vonage (jméno a heslo).

Biometrie

Nedostatečná je bezpečnost švýcarských biometrických pasů – Shaky security of Swiss biometric passports. Vyplývá to ze zprávy Bundesamt für Kommunikation (Bakom).

A Sad Tale of Biometrics Gone Wrong aneb když biometrie dělá problém. Bruce Schneier na svém blogu cituje jeden příklad, který ukazuje na problematickou implementaci biometrického postupu. Připojena je široká diskuze.

Normy a normativní dokumenty

Americký NIST v uplynulém týdnu vydal:

widgety

Byla vydána nová verze draftu (NSA):

Různé

Přehled vychází z průběžně publikovaných novinek na Crypto – News.

Našli jste v článku chybu?
Lupa.cz: Blíží se konec Wi-Fi sítí bez hesla?

Blíží se konec Wi-Fi sítí bez hesla?

Lupa.cz: Jak levné procesory změnily svět?

Jak levné procesory změnily svět?

120na80.cz: Pálení žáhy: která jídla ne a co nás uzdraví?

Pálení žáhy: která jídla ne a co nás uzdraví?

Vitalia.cz: Voda z Vltavy před a po úpravě na pitnou

Voda z Vltavy před a po úpravě na pitnou

Vitalia.cz: Tesco nabízí desítky tun jídla zdarma

Tesco nabízí desítky tun jídla zdarma

DigiZone.cz: Světový pohár v přímém přenosu na ČT

Světový pohár v přímém přenosu na ČT

Vitalia.cz: Jak Ondra o astma přišel

Jak Ondra o astma přišel

Vitalia.cz: dTest odhalil ten nejlepší kečup

dTest odhalil ten nejlepší kečup

Podnikatel.cz: Byla finanční manažerka, teď cvičí jógu

Byla finanční manažerka, teď cvičí jógu

DigiZone.cz: Funbox 4K v DVB-T2 má ostrý provoz

Funbox 4K v DVB-T2 má ostrý provoz

Vitalia.cz: Pryč se zastaralým stravováním ve školách

Pryč se zastaralým stravováním ve školách

Vitalia.cz: 5 chyb, které děláme při skladování potravin

5 chyb, které děláme při skladování potravin

Lupa.cz: Patička e-mailu závazná jako vlastnoruční podpis?

Patička e-mailu závazná jako vlastnoruční podpis?

DigiZone.cz: Numan Two: rozhlasový přijímač s CD

Numan Two: rozhlasový přijímač s CD

DigiZone.cz: Nova opět stahuje „milionáře“

Nova opět stahuje „milionáře“

DigiZone.cz: Technisat připravuje trojici DAB

Technisat připravuje trojici DAB

120na80.cz: Co je padesátkrát sladší než cukr?

Co je padesátkrát sladší než cukr?

Podnikatel.cz: Babišovi se nedá věřit, stěžovali si hospodští

Babišovi se nedá věřit, stěžovali si hospodští

Podnikatel.cz: Instalatér, malíř a elektrikář. "Vymřou"?

Instalatér, malíř a elektrikář. "Vymřou"?

DigiZone.cz: Ginx TV: pořad o počítačových hráčích

Ginx TV: pořad o počítačových hráčích