Bezpečnostní střípky: špionážní malware - Red October

Jaroslav Pinkava 21. 1. 2013

Pravidelný přehled vztahující se k problematice bezpečnosti IT. Upozorníme na informaci k očekávaným evropským pravidlům ve vztahu k datovým průnikům, situace okolo zranitelností Javy se neuklidnila, spíše naopak a americkým bankám nedávají spát DDoS útoky – i když se momentálně situace zlepšila.

Obecná a firemní bezpečnost IT

Common Sense Cybersecurity – kybernetická bezpečnost a selský rozum. Larry Karisny (Project Safety.org) přichází s rozumnými pohledy hodnotícími dnešní situaci. Rekapituluje některé dřívější články (jsou zde k nim uvedeny odkazy).

John McAfee má nyní v plánu Hollywood – John McAfee goes Hollywood with Warner Bros. movie deal. Ten pán nemá nudný život :-)
Osudům Johna McAfee se věnuje článek John McAfee Fled to Belize, But He Couldn´t Escape Himself.

Pět míst, kde si nevšimnete, že jsou tam vaše data skryta – 5 places your data goes to hide. Mohou se pak minout opatření bezpečnostních politik. Autor zmiňuje následující: Spreadsheets, SharePoint, Dropbox (and company), The printer graveyard, Test systems and development environments.

Online Privacy Is a Serious Matter, So Why Do Few People Care? – online soukromí je vážná věc, tak proč se o to stará tak málo lidí? Facebook, Google a mnoho dalších sbírají vaše osobní informace, využívají je způsoby, kterým nerozumíte, tak proč vám to nevadí? JP: lidé málo rozumí cestám, kterými by se mohli bránit.

Drive-by-Downloads – cesta, jakou vaši brouzdající spolupracovníci přichází k infekcím – Soziale Netzwerke oder E-Mail werden von Cyberkriminellen als Einfallstor missbraucht. Článek je věnován výsledkům přehledu společnosti Kaspersky Lab. V tomto shrnutí je poukázáno na kritická místa v podnikové síti (vyjmenováno je jich celkem šest).

Indický nový plán pro bezpečnost – ke každému zařízení musí být přidána brožura – India´s tough hacker crackdown: IT security leaflets with every device. Tj. výrobci HW musí spolu se zařízením (PC, mobilní telefony a USB modemy) dodat i brožuru týkající se bezpečnostního povědomí. Problémy nastanou u dovážených zařízení.

Australské tajné služby dostaly licenci k hackování – Australian secret services to get licence to hack. Umožnila to vláda (Attorney-General´s department). Konkrétní použití musí schválit nezávislý soud.

Tři bezpečnostní nevyhnutelnosti pro rok 2013 zformuloval Chris Hinkley – Three Security Must-Haves for 2013. Vyjmenovává a rozebírá následující:

  • Proveďte inventarizaci vašich aktiv a zranitelností
  • Dejte větší důraz na správu mobilních zařízení
  • Rozpracujte bezpečnostní program zahrnující potřebné a relevantní informace

Roste množství směrů, ze kterých přichází útoky – to vyžaduje vytvoření nového bezpečnostního modelu – Growing attack surfaces require new security model. Patrick Lambert rozebírá současné trendy z celkového pohledu na zmíněnou problematiku.

Kybernetické útoky prostřednictvím elektromagnetických vln, tomuto tématu je věnován článek Cyber-Angriffe durch Störstrahlen. Jaké jsou v tomto směru možnosti, zkoumá nyní americká armáda.
Viz také komentáře:

Podvody přicházející zevnitř – co je třeba monitorovat? Na stránce Insider Fraud: What to Monitor jsou zmíněny dvě nedávné situace tohoto typu v amerických bankovních institucích (Ohio a New York). Citována jsou doporučení, která uvádí Randy Trzeciak (Software Engineering Institute at Carnegie Mellon University).

Jaké chyby děláme na svém pracovním stole? Slideshow What's wrong with this picture? The NEW clean desk test s fotografiemi a kritickými poznámkami připravila Joan Goodchild.

Thirteen principles to ensure enterprise system security – třináct principů k zajištění bezpečnosti podnikového systému. Autor si vzal jako východisko studii z roku 1975 (Saltzer, Jerome H. & Schroeder, Michael D.: The Protection of Information in Computer Systems) a aplikoval její obsah na podmínky dnešní doby.

Legislativa, politika

Názor: FBI potřebuje hackery nikoliv zadní vrátka – The FBI Needs Hackers, Not Backdoors. Odposlechové možnosti FBI se s rozvojem nových technologií zmenšují. V souvislosti s tím je vyvíjen tlak na legislativu.

Evropská komisařka Neelie Kroes chce zavést ohlašovací povinnost ve vztahu k útokům hackerů – Neelie Kroes will Meldepflicht für Hacking-Angriffe einführen. Tuto povinnost by měly mít podniky. Očekávána evropská pravidla ohledně datových průniků budí bouřlivé diskuze – Expected EU data breach rules draw fire before their release.

”Státní trojan“: německý úřad pro kriminalitu (BKA) koupil SW FinFisher – Staatstrojaner: BKA kauft Software „FinFisher“. Zda BKA hodlá FinFisher nasadit, není známo.
Viz také komentář – German Federal Criminal Police acquires interim government trojan from Gamma.

Sociální sítě

Graph Search Facebooku umožní snadněji vysledovat informace o vašich tajemstvích – Facebook Graph Search Makes Your Secrets Easier to Find. Doporučuje se opět si prohlédnout nastavení vašeho soukromí na Facebooku.

Facebook Graph Search is an awesome tool for phishing attacks, další komentář říká, že nástroj Facebooku ”Graph Search“ je hrůzu nahánějící nástroj pro phishing. Jeho prostřednictvím lze sice vyhledat jen informace, které uživatelé sdílí s veřejností, avšak mnoho z miliard uživatelů s bezpečnostními kontrolami neumí zacházet či je nepoužívají.

A autor článku Why Facebook Graph Search will help cybercriminals vysvětluje, proč Graph Search Facebooku pomůže kybernetické kriminalitě. Kriminalita takto získá další zdroj informací. Autor článku poukazuje na jednoduchost takového postupu, stačí ustavit anonymní účet na Facebooku atd.
Viz také komentář – Facebook Graph Search: 4 big reasons it matters.

Facebook scams and why users fall for them – podvody na Facebooku a proč jim oběti uvěří. Poučný článek obsahující množství dalších odkazů a v závěru také dvojí shrnutí – po čem podvodníci jdou a proč vlastně takovéto podvody jsou stále úspěšné.

Software

Die besten Sicherheits-Tools, nejlepší bezpečnostní nástroje (celkem 11 tipů), tuto slideshow připravili Bernhard Haluschak a Christian Vilsbeck.

Bernhard Haluschak připravil také další obdobný přehled – Die beliebtesten Sicherheits-Tools – desítku tentokrát nejoblíbenějších bezpečnostních nástrojů. Vyjmenovává následující: 1: Offline NT Password, 2: KeePass, 3: LastPass, 4: BackBox Linux, 5: Predator, 6: HitmanPro, 7: Prey, 8: BackTrack Linux, 9: Svchost Prozess Analyzer, 10: Stegano.Net.

Microsoft vydal záplatu pro zranitelnost nulového dne IE – Microsoft Issues Fix for Zero-Day IE Flaw. Tato zranitelnost se týká verzí IE šest až osm.
Viz také komentář – Microsoft keeps calm, issues emergency IE update.

Cyberwar’s Gray Market aneb šedý trh kybernetické války. Měl by být trh se zranitelnostmi nulového dne regulován? Takto se ptá autor článku, ve kterém popisuje dnešní situaci na tomto trhu.

Problémy se záplatováním systémů SCADA jsou popisovány v článku The SCADA Patch Problem. Aktuální opravy mohou přinést další problémy. Dekády stará vybavení nepočítala se záplatováním.

Bezpečnostní web Packet Storm nabízí odkup zranitelností – Did ZDI snub your 0-day attack? Packet Storm will buy it for $7k. Podrobnosti odkoupených zranitelností budou případně zveřejňovány.

Rok 2012 a útoky cestou prohlížečů. Každý třetí počítač byl infikován při brouzdání internetem – 2012 Zunahme von Browser-basierten Attacken: Jeder dritte PC durch Internet-Surfen infiziert. To je stručný komentář k zjištěním společnosti Kaspersky Lab (dle situace jejích zákazníků).

How to encrypt (almost) anything – jak zašifrovat (skoro) vše. Alex Castle vysvětluje použití šifrovacích prostředků (SW) pro různé cíle.

Zranitelnosti Javy

Počátkem minulého týdne (14.1. 2013) Oracle záplatoval zranitelnost nulového dne Javy – Oracle patches Java 0-day, goes to Defcon 2. Na stránce java.com si lze stáhnout tuto záplatovanou verzi.
Viz komentář – Oracle patches latest zero-day vulnerabilities in Java.
Viz ale také informaci – Homeland Security still advises disabling Java, even after update.

Americké ministerstvo národní bezpečnosti však stále (16.1.2013) doporučuje vypnout Javu – Latest Java patch is not enough, warns US gov: Axe plugins NOW. Podle odborníků bude společnosti Oracle trvat nejméně další dva roky než se podaří eliminovat všechny v Javě existující chyby. Ministerstvo národní bezpečnosti stále doporučuje vypnout Javu. Podle odborníků bude společnosti Oracle trvat nejméně další dva roky, než se podaří eliminovat všechny v Javě existující chyby.
Viz také komentář – Java security comes down to ´war of attrition´.
Němci (BSI) poukazují na kritickou slabinu současné verze (Java SE 7 Update 10) – Kritische Schwachstelle in aktueller Java-Laufzeitumgebung Version 7 Update 10.
Další komentář – Gefährliche Lücke in aktueller Java-Version.

Za nový exploit pro Javu zaplatí zájemce 5 000 dolarů – New Java Exploit Fetches $5,000 Per Buyer. Informuje o tom Brian Krebs.

Bezpečná Java pro účely podnikání – 10 faktů k tomu najdete na stránce 10 Facts: Secure Java For Business Use. Mathew J. Schwartz shrnuje současné poznatky.
Viz také komentáře:

Poláci našli kritické zranitelnosti v Java 7 Update 11 – Researchers find critical vulnerabilities in Java 7 Update 11. Odborníci výzkumné firmy Security Explorations našli dvě vážné zranitelnosti, které mají dopad i na nejnovější aktualizaci Javy.

Aktuální zranitelnosti Javy vedou k otázce – jak je to s odvozenými platformami? Autor článku Java Security Warnings: Cut Through The Confusion zmiňuje JavaScript, EJB, JavaFX, Android a další.

Malware

ICS-CERT reports virus infections at US power utilities – US CERT k virovým infekcím v počítačových systémech rozvodných sítí. V roce 2012 byly oznámeny dva takové případy. Viz také komentáře:

Waledac Gets Cozy with Virut aneb koexistence malwaru Waledac a malwaru Virut. O situaci informuje společnost Symantec.
Viz také komentář – Virut malware fuels Waledac botnet resurgence.

Malware se maskuje jako záplata pro Javu – Malware masquerades as patch for Java. Společnost Trend Micro varuje před podvodným Java Update 11 přítomným minimálně na jednom webu.

Botnet Pobelka byl rozkryt holandskými bezpečnostními odborníky – Dutch security researchers dissect the Pobelka botnet. Podrobnou zprávu najdete na stránce Demystifying Pobelka. Jejími autory jsou Michael Sandee, Principal Security Analyst at Fox-IT + the Fox-IT InTELL team (dokument má 18 stran). Kampaň tohoto botnetu byla zaměřena především na německé a holandské uživatele.
Viz také komentář – Researchers Deconstruct Pobelka Botnet.

Poláci ”sundali“ řídící a kontrolní centrum botnetu Virut – Polish Takedown Targets ‘Virut’ Botnet. Tento botnet byl zkonstruován tak, aby mohl být pronajímaný kybernetické kriminalitě. Akce proti Virut byla provedena několik dní poté, co Symantec informoval o jeho spolupráci se spamovacím botnetem Waledac.

Špionážní malware

Red October (Rudý říjen) – tento malware sledoval světové leadery posledních pět let – ‚Red October‘ has been spying on WORLD LEADERS for 5 years – researchers. S informací přichází Kaspersky Lab – ”Red October“ Diplomatic Cyber Attacks Investigation, a také v komentáři – Rocra Espionage Malware Campaign Uncovered After Five Years of Activity. Má se jednat o politiky z zemí východní Evropy, bývalé sovětské republiky a země Střední Asie. Malý počet obětí byl v západní Evropě a Severní Americe. Útoky byly směrovány na počítačové sítě různých agentur, které zabezpečují různé mezinárodní služby. Podle Kaspersky Lab útočníci pochází z některé z rusky mluvících zemí.
Viz také komentáře:

Red October využíval exploit Javy – Java exploit used in Red October cyberespionage attacks, researchers say. Další komentář k zjištěním společnosti Kaspersky Lab.
Viz také článek – Roter Oktober nutzt Java-Schwachstelle.
Další komentáře:

Kaspersky Lab's „Red October“ cyber-espionage saga leaves lots of questions unanswered – Red October, existuje zde množství nezodpovězených otázek. Ellen Messmer se obrací k diskuzím o původu tohoto malwaru.

Red October – podrobný popis malwaru, s druhou částí zprávy Kaspersky Lab se můžete seznámit na stránce Red October. Detailed Malware Description 2. Second Stage of Attack.

Red October Attackers Shutting Down C&C Infrastructure – Red October – útočníci zavírají infrastrukturu C&C. Tato infrastruktura obsahuje více než 60 serverů (celá ještě zřejmě nebyla odkryta).

Viry

AV-Test.org (Německo): efektivita antivirů klesá – Today's antivirus apps ARE ‚worse at slaying hidden threats‘. V článku jsou sdělovány výsledky jejich testů, které provedli koncem roku 2012 (listopad, prosinec). Zmíněny jsou i nedávné výsledky (a metodologie) společnosti Imperva.

AV-Test a Microsoft mají opačné názory na MS antivirové produkty – AV-Test boss dismisses Microsoft criticism of malware test results. Microsoftu se nelíbí výsledky německých testerů, kdy Microsoft´s Security Essentials a Forefront suite nedosáhly na certifikát.
Viz také komentář – Microsoft AVs not good enough, says AV-Test.

Hackeři a jiní útočníci

Dcera Timošenkové se stala předmětem útoku hackerů – Daughter of jailed Ukrainian leader Tymoshenko target of ‚hacking attack‘. Na speciálním webu bylo zveřejněno 4 000 e-mailů Evženie Timošenkové. Timošenková říká, že některé zveřejněné e-maily jsou pravdivé, některé však (ji inkriminující) jsou podvrhy.

V různých průnicích byla kompromitována zdravotní data více než 5 miliónů Kanaďanů – Health Data of More Than 5 Million Canadians Accessed In Multiple Breach Incidents. První průnik tohoto typu nastal v červnu 2012 a týkal se 38 000 osob.

Cryptome escapes Thales' attack dogs in bank security row – probíhá diskuze okolo uniklých dokumentů (jsou na Cryptome) armádního giganta Thales. Jedná se o manuály kryptografických zařízení.

Rozsáhlé DDoS útoky se stávají ještě většími a diversifikovanějšími – Large-scale DDoS attacks grow bigger and more diversified. V článku jsou citována zjištění společnosti Prolexic (Q4 2012 Global DDoS Attack Report). Je zde i srovnání s těmito výsledky z předchozích období.

Anonymous

Rakouští Anonymous zveřejnili (údajná?) data k platebním kartám politiků – Anonymous Austria veröffentlicht angebliche Politiker-Kreditkarten-Daten. Prý mají celou databázi těchto dat rakouských politiků. Jako důkaz zveřejnili na Pastebin data čtyř politiků.

Anonymous hackli MIT – k uctění památky Aarona Schwartze – Anonymous hacks MIT in honor of Aaron Swartz. Jeho sebevražda vede k zamyšlení – Největší vědecký „zloděj“ spáchal sebevraždu. Může se stát symbolem.

Anonymous připravují druhou kampaň věnovanou Aaronovi Schwartzovi – Anonymous prepares second Aaron Swartz tribute campaign.

Hardware

Zranitelná medicínská zařízení, na tuto problematiku se Michael Kassner dotazuje odborníků – Vulnerable medical devices: A clear and present danger.

VoIP

Nový bankovní trojan (Shylock) se šíří Skypem – New slicker Shylock Trojan hooks into Skype. Šíří se díky propagaci pluginu ”msg.gsm“.
Viz také komentáře:

Mobilní malware

Vyvarujte se virů, spywaru na vašich mobilních zařízeních – Consumer Watch: Protect your cell. To je sada doporučení, se kterými stojí za to se seznámit.

Čínští uživatelé Androidu jsou varováni před gigantickým botnetem – China's Android users warned of giant botnet. Trojana označovaného jako Android.Troj.mdk obsahuje přes 7 000 aplikací.
Viz také komentář – Android Botnet Infects 1M+ Phones in China.

Spam

Symantec se obává nové vlny spamu – díky znovu oživlému botnetu Waledac (=Kelihos) – Symantec befürchtet Spamwelle durch wiederbelebtes Botnetz. V článku najdete mapku ukazující současné aktivity tohoto botnetu.

Elektronické bankovnictví

DDoS: Lessons from Phase 2 Attacks – DDoS útoky na americké banky, poučení z druhé fáze útoku, situaci hodnotí Tracy Kitten.

Americké ministerstvo národní bezpečnosti chce pomoci bankám ohledně útoků DDoS – DHS Helping with DDoS Defense. Banky ale musí o tuto pomoc požádat. Autor článku Eric Chabrow pak diskutuje o souvisejících problémech s Markem Weatherfordem (DHS Deputy Undersecretary for Cybersecurity).

Trojan Gozi-Prinimalka má být použit při útoku na 30 amerických bank na jaře 2013 – Defending Against ‚Blitzkrieg‘ Trojan. Tato skutečnost je považována za vážnou hrozbu. Článek obsahuje interview s Ryanem Sherstobitoff ze společnosti McAfee, který se této problematice věnuje.

Vyhrávají banky DDoS válku? Tracy Kitten – Are Banks Winning the DDoS Battle? – informuje o zjištěních společnosti Keynote Systems Inc., která říkají, že v posledních týdnech (během tzv. druhé fáze útoků hackerů) došlo k snížení počtu výpadků, které měly dopad na americké banky. Zmiňuje pak související názory několika odborníků.

Autentizace, hesla

Důležité SCADA systémy jsou chráněny slabými přihlašovacími daty – Important SCADA systems secured using weak logins, researchers find. Vyplývá to z přehledu, při jehož zpracování pomáhalo americké ministerstvo národní bezpečnosti. Viz komentář – Shodan Search Engine Project Enumerates Internet-Facing Critical Infrastructure Devices.

Deloitte: 90 procent vašich hesel je zranitelných vůči hackerům – Your Password Isn’t Safe: 90% Are Vulnerable to Hacking, Says Report. Komentář ke zprávě společnosti, samotnou zprávu si můžete stáhnout na stránce TMT Predictions 2013 (dokument má 66 stran).

Osm cest, kterými se senioři mohou bránit krádežím identity, Linda Rosencrance je prezentuje formou slideshow (některé vychází z podmínek v USA) – 8 Ways Seniors Can Avoid Identity Theft.

Google chce přijít s novým systémem nahrazujícím používání hesel – Google sees one password ring to rule them all. USB klíčenka by měla vyřešit problémy s hesly, kterými se uživatelé přihlašují na weby.

Phishing

Narůstá cílený spam a phishing prostřednictvím e-mailů – Increase in targeted spam and phishing attacks via e-mail. Na stránce jsou citovány výsledky analýzy, kterou provedl Eleven Research Team. Ohledně e-mailové bezpečnosti je zde zformulováno pět hlavních trendů roku 2012 a pětice trendů předpokládaných pro rok 2013.

UK: šest z deseti uživatelů čelí každý den phishingovým útokům – Six in ten users face daily phishing attacks, claims study. Článek obsahuje informace z přehledu společnosti PhishMe.

Společnost RSA odhalila vysoce cílené phisherské útoky – ”Bouncer List“ – RSA Uncovers Ultra-Targeted „Bouncer List“ Phishing Attacks.

Kryptografie

Na stránce ImperialViolet (Know your enemy) najdete přednášku Adama Langley. Tento pracuje pro společnost Google, danou přednášku přednesl počátkem ledna 2013 na akci Real World Crypto.
Další přednášky (slajdy) z této třídenní akce na stanfordské univerzitě najdete na stránce Workshop program.

Tropical Cryptography, tropická kryptografie, autoři studie v ní prezentují zajímavé netradiční modely.

List of Approved Cryptographic Products – zde najdete seznam schválených kryptografických produktů EU. Jsou rozděleny do tří skupin: Secret, Confidential, Restricted.

widgety

Flaw in the Enigma Code – Numberphile, video: Chyba v Enigmě, která umožnila spojencům dešifrovat německé zprávy. Nepřehlédněte také odkazy pod videem.

Různé

Přehled vychází z průběžně publikovaných novinek na Crypto – News.

Našli jste v článku chybu?
Lupa.cz: Patička e-mailu závazná jako vlastnoruční podpis?

Patička e-mailu závazná jako vlastnoruční podpis?

DigiZone.cz: Ultra HD v praxi a v Portugalsku

Ultra HD v praxi a v Portugalsku

120na80.cz: Co je padesátkrát sladší než cukr?

Co je padesátkrát sladší než cukr?

Root.cz: Hořící telefon Samsung Note 7 zapálil auto

Hořící telefon Samsung Note 7 zapálil auto

Podnikatel.cz: Byla finanční manažerka, teď cvičí jógu

Byla finanční manažerka, teď cvičí jógu

Lupa.cz: Jak se prodává firma za miliardu?

Jak se prodává firma za miliardu?

Vitalia.cz: Jak Ondra o astma přišel

Jak Ondra o astma přišel

Podnikatel.cz: Letáky? Lidi zuří, ale ony stále fungují

Letáky? Lidi zuří, ale ony stále fungují

Vitalia.cz: Tohle jsou nejlepší česká piva podle odborníků

Tohle jsou nejlepší česká piva podle odborníků

Lupa.cz: Jak levné procesory změnily svět?

Jak levné procesory změnily svět?

DigiZone.cz: Světový pohár v přímém přenosu na ČT

Světový pohár v přímém přenosu na ČT

DigiZone.cz: Digi Slovakia zařazuje stanice SPI

Digi Slovakia zařazuje stanice SPI

Měšec.cz: TEST: Vyzkoušeli jsme pražské taxikáře

TEST: Vyzkoušeli jsme pražské taxikáře

Podnikatel.cz: „Lex Babiš“ Babišovi paradoxně pomůže

„Lex Babiš“ Babišovi paradoxně pomůže

Vitalia.cz: Antibakteriální mýdla nepomáhají, spíš škodí

Antibakteriální mýdla nepomáhají, spíš škodí

Vitalia.cz: Tesco nabízí desítky tun jídla zdarma

Tesco nabízí desítky tun jídla zdarma

DigiZone.cz: Technisat připravuje trojici DAB

Technisat připravuje trojici DAB

Vitalia.cz: Tradiční čínská medicína a rakovina

Tradiční čínská medicína a rakovina

Vitalia.cz: Jsou vegani a vyrábějí nemléko

Jsou vegani a vyrábějí nemléko

Podnikatel.cz: Udělali jsme velkou chybu, napsal Čupr

Udělali jsme velkou chybu, napsal Čupr