Hlavní navigace

Bezpečnostní střípky: teenageři a počítačová kriminalita

28. 6. 2010
Doba čtení: 10 minut

Sdílet

Pravidelný pondělní přehled informací vztahujících se k problematice bezpečnosti IT. Z novinek právě uplynulého týdne lze upozornit na dokument k právům uživatelů sociálních sítí, příručku k auditu (metodologie vycházející s ohodnocení rizik), e-knihu (plagiát) „také“ hackera a na kvíz z IT bezpečnosti.

Obecná a firemní bezpečnost IT

Výsledky francouzského vyšetřování : Google skutečně zaznamenával z nezabezpečených bezdrátů hesla, e-maily atd. – Google's Wi-Fi snoop nabbed passwords and emails. French inspection. Zatím byla vydána informace k předběžným výsledkům vyšetřování, které provádí French National Commission on Computing and Liberty (CNIL). Viz také – 30 states may join probe of Google Wi-Fi snoop.

Proč byste se měli zabývat ochranou soukromí ? Chad Perrin k tomu uvádí celou řadu argumentů – Why you really should care about privacy. Zajímavý je také výčet typů dat, která v této souvislosti (ochrana soukromí) zmiňuje.

Tipy pro rozpracování vlastních bezpečnostních metrik najdete v článku Tips On Developing Security Metrics. Kurt Marko v něm vysvětluje důležitost tématu, poukazuje na to, jaké volit nejlepší postupy, jaké jsou obecně používané metriky. Pod článkem je citována metodologie SANS (sedm bodů).

Bezpečnost výpočtů v cloudech – šest doporučení připravil Verizon Business – 6 cloud security tips:

  • Vyhodnoťte své cíle
  • Pečlivě vše připravte, zvolte vhodný model
  • Vybírejte pečlivě (partnera)
  • Ohledně ochrany dat – pořádně si prohlédněte svého poskytovatele
  • Zvažte využití hybridního bezpečnostního modelu
  • Nezapomeňte na shodu (s regulačními ustanoveními)

Jak bezpečně používat G-mail, pokud jste na cestách v cizině – How to use Gmail to safely access email from abroad. Rosemary Hattersley zformulovala šest doporučovaných kroků:

  • Během celého spojení používejte webmail s https
  • Pokus e-mail není šifrován, každý v téže bezdrátové síti může číst obsah vašich zpráv. V některých případech může být i ukradeno vaše cookie pro spojení a někdo se takto pak může dostat k vašemu účtu i bez znalosti hesla.
  • Pokud chcete mít přístup k celé schránce Gmailu na cestách, doporučuje se využívat POP email.
  • I když obvykle Gmail nepoužíváte, autorka doporučuje si zřídit účet Gmailu a přesměrovat na něj e-maily.
  • Lze také využít funkce G-mailu ´From´ ke změně adresy uživatele
  • Využijte fitrování zpráv (Go to Filters, Create a Filter)

Australská vláda vydala dokument Hackers, Fraudsters and Botnets: Tackling the Problem of Cyber Crime. Také ona připravuje svojí strategii ve vztahu k problémům kybernetické bezpečnosti – viz komentář Aussie pols want compulsory AV software and firewalls.

Příručku pro metodologii auditu, která je opřena o vyhodnocování rizik, připravil Marcos Christodonte – Risk-based audit methodology: How to achieve enterprise security.

Tajný život teenagerů popisuje zpráva společnosti McAfee – Teens share alarming amounts of personal info online. Z šetření mezi americkou mládeží od 13 do 17 let vyplynula řada zajímavých statistik ve vztahu k jejich online chování. Na jednu stranu vypovídají o časté přílišné důvěřivosti, na druhou stranu o podílu na ne zrovna čistých aktivitách.

Quiz: Do you know IT security? – kvíz – IT bezpečnost, jak jste silní v kramflecích? V testu odpovězte na deset otázek, odpovědi hned následují.

Teenageři se podíleli na obří síti kybernetické kriminality – Teens Linked To Colossal Cyber Crime Network . Na internetovém fóru, které podporovali, byla zveřejněna data k 65 000 platebním kartám. Fórum obsahovalo také návody, jak krást hesla, PINy, jak vytvářet malware, dále tutoriály, jak obcházet zákony a jak provádět online phishing. Dva mladíci (17 a 18 let) skončili ve vězení.

Americký senát schválil kontroverzní zákon – Protecting Cyberspace as a National Asset Act. Podle některých kritiků umoňuje americkému prezidentovi „vypnout“ části internetu během kybernetického útoku – Senate committee approves controversial cybersecurity bill.

How consumers influence data loss and breaches – o vlivu spotřebitelů na ztráty dat a průniky. V článku jsou komentovány výsledky přehledu, který připravila společnost Cisco a podílelo se na něm 500 bezpečnostních profesionálů z USA, Německa, Japonska, Číny a Indie. Některá fakta:

  • Zaměstnanci stále hledají cesty k tomu, jak obejít bezpečnostní politiky organizace tak, aby mohli využívat nepodporovaná zařízení a aplikace
  • 71 procent respondentů konstatovalo, že příliš přísná bezpečnostní politika má negativní dopad při zaměstnávání nových pracovníků, zejména mladých lidí
  • Více než polovina respondentů (51 procent) připouští, že sociální sítě patří mezi tři největší rizika jejich organizace, 19 procent je řadí na první místo takovéhoto žebříčku

Jak zranitelné je vaše auto ve vztahu ke kybernetickým útokům? Autor článku How Vulnerable Is Your Car to Cyber Attack? informuje o provedeném experimentu (Experimental Security Analysis of a Modern Automobile) na jednom z nejnovějších sedanů. Elektronickou cestou mu byly zablokovány brzdy (z paralelně jedoucího auta). Na štěstí zatím snad neexistují reálné kriminální hackerské pokusy v tomto směru. Ale – takovéto hrozby však nejsou pouhou teorií.

Sociální sítě

Facebook jistota? O všechno můžete kdykoliv přijít, Daniel Dočekal na Lupě: Využívat Facebook.com v podnikání je trochu ruská ruleta. Pokud budete chtít smazat vlastní účet, narazíte na problém. Ale Facebook vám ho zakáže kdykoliv i bez uvedení důvodu. A pokud budete hledat pomoc u „českého zastoupení“, čeká vás „tak trochu vydírání“. Kupte si reklamu za 400 tisíc, my vám (možná) pomůžeme.

Jak se chrání uživatelé sociálních sítí ? Podle šetření, které zpracoval Ponemon Institute – více než polovina (65 procent) téměř nijak. V článku jsou uvedena některá další zjištění – The truth about social media identity theft.

Vydán byl dokument „Bill of Rights“ (práva uživatelů sociálních sítí). Na konferenci v San José se objevila jeho finální verze obsahující 14 bodů – Social networking „Bill of Rights“ released.

Software

Nové rozšíření Firefoxu umožňuje šifrovat komunikaci lidí s Facebookem a Twitterem – Firefox add-on encrypts sessions with Facebook, Twitter. Jedná se o rozšíření HTTPS Everywhere inspirované šifrovaným prohlížením internetu, které zavedl Google. IP adresa však skryta není. Vlastnosti tohoto rozšíření (HTTPS Everywhere) komentuje Chad Perrin na stránce HTTPS Everywhere makes SSL/TLS easier.

It's Signed, therefore it's Clean, right? – je to podepsané, značí, je to čisté? Jarno Niemelä (F-Secure Lab) studoval binárky pro Windows. Ukazuje se, že desetitisíce z nich, ač podepsány (Microsoft Authenticode), obsahují malware. Viz komentář – Malware: certified trustworthy.

Chraňte se před útoky SQL injection, obrana není tak obtížná, jak by se zdálo  – No secret to stopping XSS and SQL injection attacks. Read, test, communicate, repeat. Matt Stephens se rozebírá v možných cestách útoků a poukazuje na skutečnosti, kterých by si vývojáři měli všímat.

Cain & Abel vychází ve verzi 4.9.36, pro ty, kdo tento SW neznají – je to nástroj pro rozkrytí hesel v operačních systémech MS Windows – Cain and Abel 4.9.36.

Odpovědné odhalení (SW zranitelností) a jeho neodpovědní advokáti – Responsible disclosure and its irresponsible advocates. Chad Perrin reaguje na nedávnou bouři, kterou vzbudilo plné odhalení zranitelnosti Microsoft Help Center (Tavis Ormandy).

Nepodceňujte firewall, velice stručný úvod do problematiky (autor se dotýká i nové verze Comodo firewallu – volně dostupný SW).

Malware

Belgičané objevili sofistikovaný útok botnetu zaměřený na manipulaci cen akcií (cenných papírů) – Stock Manipulation Botnet Surfaces. Malwarem bylo infikováno 20 Belgičanů a útočníci si přišli na zisk okolo 100 000 Euro.

Organizace se musí naučit, jak detekovat botnety. John Pescatore, analytik společnosti Gartner poukazuje na již stále více zřejmou skutečnost, že cesta botnetů zůstává pro nejméně dva nejbližší roky hlavní cestou, kterou se malware dostává do sítí organizací – Gartner: Enterprises must learn to detect botnet threats.

Viry

Bezpečnostním firmám trvá dny, než se naučí blokovat nové malware – Security firms taking days to block malware. NSS Labs zveřejnily výsledky svého šetření. V průměru to trvá 92 hodin, než je stránka s malware blokována. Viz také článek – Testing reveals security software often misses new malware.

Hackeři

Spies, WikiLeaks, and hackers, oh my!  – proč Adrian Lamo prozradil Manninga? je okolo toho spousta otázek, na některé odpovídá sám Lamo – viz článek WikiLeaks part II: Adrian Lamo responds. Jiný rozsáhlý článek k tématice – The strange and consequential case of Bradley Manning, Adrian Lamo and WikiLeaks.

Švédsko – tři obvinění vzati do vazby, byli propojeni s warez servery Darkside – Three Arrested In Connection With ‘Darkside’ File-Sharing Servers. Zatčení následovala potom, co antipirátská organizace Antipiratbyran předala svá zjištění policii. Jeden ze čtyř obviněných byl pak propuštěn. Jedná se o muže ve věku zhruba 40 let. Podle Henrik Pontén z Antipiratbyran má Darkside rozsáhlou kapacitu, může se jednat o největší takový zjištěný případ nejen ve Švédsku, ale i v celé Evropě.

Jak bojovat s útočníky na weby – Fighting back against web attacks. Na konferenci SyScan 2010 v Singapuru vystoupil francouzský odborník Laurent Oudot (Tehtri Security). Rozebral zde 13 nezáplatovaných zranitelností v souborech nástrojů, které útočníci používají. V řadě případů podle jeho slov umožňují hacknout web hackerů a získat další informace o útočnících. Viz také:

How to Become the World's No. 1 – Jak se stát světovým hackerem No.1 (e-kniha – plagiát, 20,84 MB). Autorem má být Gregory D. Evans. Kniha vzbudila celou řadu negativních reakcí díky plagiátorství, rasizmu i hrozbám v ní obsažených – viz rozsáhlý komentář – ´World´s No. 1 hacker´ tome rocks security world.

Wikileaks se zákonitě objevila také na Schneierově blogu – WikiLeaks. Je zde citován profil Juliana Assange, který stojí za Wikileaks – No secrets.

Hacker vyžadoval od ženských obětí sexuálně zaměřené video – FBI: Hacker demanded sexually explicit videos. Sliboval, že potom nezneužije jejich soukromá osobní data, která ukradl. 31letého „šikulu“ dopadla FBI.

Hardware

Z kradených notebooků je jich 32 procent ukradeno doma – 32% of laptop thefts happen at home. Toto číslo platí pro Velkou Británii (podle Absolute Software), dosti vysoká procenta platí i pro další země. Nestačí tedy chránit svůj notebook jen na cestách, domovní zloději se o notebooky ve zvýšené míře zajímají rovněž.

Polovina bezpečnostních IT profesionálů nešifruje data na svých USB flashkách – USB stick encryption takes a nosedive when mobile data is unprotected. Článek obsahuje komentář k datům, která jsou obsažena z přehledu zpracovaného Credant Technologies.

Bezdrát

Mýty okolo bezdrátu, které stále přetrvávají v roce 2010 – Wireless security myths 2010. Gopinath KN (AirTight Networks) rozebírá a vyvrací celkem šest takovýchto mýtů:

  • V mé organizaci není bezdrát používán, proto jsme v bezpečí
  • Používám WPA2, nic mi proto nehrozí
  • Povolil jsem port 802.1X, proto jsem chráněn
  • Proti hrozbám mě ochrání moje řešení NAC (Network Access Control)
  • 802.11w eliminuje možnosti útoků DoS (denial-of-service)
  • Stačí senzor pro detekci průniků (AP)

Mobilní telefony

Bruce Schneier se obrací na svém blogu k úniku dat pro iPad (AT&T) – AT&T's iPad Security Breach. Schneier zde mj. cituje článek AT&T-iPad security breach may be worse than first thought, kde je poukazováno na to, jak si některé telekomunikační firmy ulehčují situaci při vytváření identifikátoru IMSI (který by měl být chráněn).

Apple sbírá informace o pohybu a lokaci uživatelů iPhone. Objevuje se to v aktualizované verzi jejich politiky pro ochranu soukromí. Pokud uživatel chce nové aplikace či média z obchodu iTunes, musí tyto nové podmínky (pro iPhone, iPad a počítače) podepsat – Apple collecting, sharing iPhone users' precise locations [Updated]. Podle aktualizace článku si však uživatelé mohou tuto funkci (Location Services) vypnout. Kdo o tom ví?

iPhone a iPad v podniku – 5 názorů bezpečnostních odborníků – iPhones, iPads in the enterprise: 5 security views. Blackberry se lépe udrží pod kontrolou, ale používání iPhone (iPad) se nevyhneme, říkají odborníci. V jejich odpovědích (Pete Hillier) je ale také poukázáno na existující bezpečnostní problémy.

Chraňte data na svém iPhone4 – Protect the Data on Your iPhone 4. Se sadou doporučení přichází Tony Bradley.

Elektronické bankovnictví

Schneierův blog, diskuzi k bankomatovým udělátkům najdete na stránce Buying an ATM Skimmer. Diskuze se rozvíjí na základě odkazu na článek z blogu Briana Krebse ATM Skimmers: Separating Cruft from Craft.

Co se týká problému převodu dat evropských zákazníků bank do USA – jeho zdůvodnění je nezbytné, probíhá k tomu diskuse na půdě evropského parlamentu – Proposal to transfer EU data to US requires „justification“.

Autentizace, hesla

Doporučení k ochraně před online krádežemi ID najdete na stránce Tips for protection against online identity theft. V článku jsou zformulována následující doporučení (ProtectMyID):

  • Prověřte a přizpůsobte svá bezpečnostní nastavení
  • Prověřte svou politiku pro ochranu soukromí
  • Nastavte takové heslo, které nemůže být cracknuto
  • Odhlašujte se při opuštění stránky
  • Nainstalujte si a aktualizujte antivirový SW
  • Ubezpečte se, že vaše bezdrátová síť je chráněná

Elektronický podpis

SSL Verisignu lze hacknout, říká to společnost Comodo, Verisign to popírá – VeriSign SSL Hackable – Comodo Exposes, VeriSign Denies. Verisign byl o zranitelnosti informován nezávislou třetí stranou. Viz také :

Normy a normativní dokumenty

Americký NIST v minulém týdnu vydal následující dokumenty:

Kryptografie

Šifrování odvislé od času – Time-Specific Encryption (TSE), se zajímavou novou koncepcí přichází Kenneth G. Paterson a Elizabeth A. Quaglia  – Time-Specific Encryption.

Útoky z postranních kanálů na webové aplikace jsou předmětem studie Side-Channel Leaks in Web Applications: a Reality Today, a Challenge Tomorrow. Shuo Chen (Microsoft) a Rui Wang, XiaoFeng Wang, Kehuan Zhang (School of Informatics and Computing Indiana University Bloomington) ukazují, že šifrování není vždy zárukou bezpečné ochrany protékajících dat. útoky z postranních kanálů jsou reálnou hrozbou, autoři ukazují příklady a poukazují na nezbytnost připravit do budoucna vhodná protiopatření.

root_podpora

Americká kryptologie během korejské války, studii k tomuto tématu zpracoval Thomas H. Johnson (mj. je autorem čtyřdílné historie americké kryptologie – toto dílo není vsak určeno pro veřejnost) – American Cryptology During the Korean War.

Různé

Přehled vychází z průběžně publikovaných novinek na Crypto – News.

Byl pro vás článek přínosný?