Bezpečnostní střípky: TrueCrypt je možno jednoduše překonat

Jaroslav Pinkava 19. 10. 2009

Pravidelný pondělní přehled informací vztahujících se k problematice bezpečnosti IT. Z novinek uplynulého týdne upozorníme na informaci Joanny Rutkowské (TrueCrypt lze překonat), články Briana Krebse k bezpečnějšímu internetovému bankovnictví a článek, který popisuje současný stav problému P versus NP.

Přehledy a konference

Pricewaterhou­seCoopers zveřejnilo svůj každoroční přehled – Global state of information security survey 2010. Stručnější shrnutí výsledků přehledu je obsaženo v tomto dokumentu – GSoISS, komentář pak čtenář najde na této stránce – Half of UK firms lack handle on security breaches. Doprovodný článek ke studii napsal Bill Brenner – Why Security Matters Now. Hovoří zde o tom, že nově se objevující technologie sice přináší nové možnosti, efektivnější výkony, ale zároveň jsou zdrojem největších bezpečnostních problémů. Zmiňuje v této souvislosti sociální (komunitní) sítě, virtualizaci a cloud computing. Brenner rozebírá pak výsledky přehledu podrobněji. Uvádí tabulku priorit investicí do bezpečnostních technologií a podrobněji diskutuje současné trendy.

Obecná a firemní bezpečnost IT

Klíčové úlohy amerického ministerstva obrany ve vztahu ke kybernetické bezpečnosti formuluje Robert Lenz v článku 5 key challenges to DOD's cyberse­curity. Lenz pracoval na tomto misterstvu ve funkci bezpečnostního ředitele (Chief security officer), úkoly formuluje na základě svých zkušeností do pěti hlavních bodů (např. jedním z těchto klíčových bodů jsou otázky zajištění bezpečného přístupu k lidem, zařízením, datům a aplikacím na bázi efektivních autentizačních postupů).

První část interview s Jeffem Mossem (Moss je zakladatelem konferencí Black Hat a Defcon) – o úlohách americké vlády ve vztahu ke kybernetické bezpečnosti najdete na stránce http://news.cnet.com/…447-245.html. Jeff Moss byl v červnu jmenován do vznikajícího orgánu americké vlády, který se nazývá Homeland Security Advisory Council. Elinor Mills položila Mossovi několik otázek (druhá část interview bude publikována v průběhu příštího týdne). Moss kriticky konstatuje, že po počáteční odhodlanosti (následující po Obamově projevu ke kybernetické bezpečnosti) dochází k zpomalení celého vývoje. Probíhá určitý boj o rozdělení kompetencí mezi DHS a NSA.

Obama vyzývá Američany, aby pomohli s kybernetickou bezpečností – Obama Calls on Americans to Help With Cybersecurity. Toto video bylo publikováno na stránkách Bílého domu. Říjen již dříve byl vyhlášen měsícem kybernetické bezpečnosti. Obama ve svém vystoupení mj. žádá lidi, aby dodržovali tři základní bezpečnostní principy:

  • Udržovat bezpečnostní a SW systémy v aktualizované podobě a dávat pozor na podezřelé e-maily
  • Vždy vědět, s kým máme tu čest online
  • Nikdy nedávat svá osobní či finanční data někomu bez toho, aniž bychom si ověřili jeho legitimitu

Šest cest, kterými vzdáváme boj o ochranu našeho soukromí, uvádí Bill Brenner na csoonline.com  – 6 Ways We Gave Up Our Privacy, jsou to:

  1. Google
  2. Sociální sítě
  3. RFID a průkazky
  4. Legislativa (USA – The Patriot Act)
  5. GPS
  6. Kindle

Informace pocházející z Velké Británie: IT expert padělal železniční jízdenky – IT expert forged railway tickets. Měl touto cestou uspořit asi 12 500 liber. Nyní ho ale čeká devítiměsíční vězení.

Pokud se týká problému ukradených e-mailové účtů, pravděpodobně se nejednalo o phishingový útok – Expert provides more proof hackers hijacked Hotmail accounts. Nejspíš byl k útoku použit nějaký botnet, domnívají se nyní odborníci na základě analýzy seznamu ukradených účtů Hotmailu.

Test for compromised email accounts – otestujte si, zda váš e-mailový účet není kompromitován. Na tuto stránku vložíte první část své e-mailové adresy. Bude ověřováno, zda se nenachází mezi 40 000 kompromitovanými účty. V takovém případě se na obrazovce objeví první a poslední písmeno vašeho hesla.

Software

Co dělat, když Google blokuje vaši webovou stránku? What to do when Google blocks your website? – byl na ní nalezen malware? Zkuste Webmaster Tools.

Záplatovací úterý Microsoftu tentokrát trhalo rekordy  – Researcher sees Patch Tuesday ‚nightmare‘. Úterý minulého týdne je označováno z tohoto hlediska jako noční můra. Dochází k vydání dosud největšího počtu záplat MS v jeho historii. Obdobně s velkými záplatami přichází i Adobe – Adobe mimics Microsoft, issues mega patch update.

Web 2.0 – doporučení nejlepších postupů pro jeho bezpečí připravil John Edwards – Best Practices for Web 2.0 Security. Dají se shrnout do pěti bodů:

  • Šifrování
  • Nedostatečné ověřování (validace)
  • Nebezpečné konfigurace
  • Ukládání dat
  • Údržba

Malware

The Malware Warning Review Process aneb Google v boji proti malware. Google's Anti-Malware Team v tomto článku na svém blogu reaguje na dotazy čtenářů. Je zde uvedena také řada odkazů na další stránky.

Česko zamořil adware, USB disky jsou stále více zneužívány, to je PR zpráva od Eset software s.r.o. z 12. října 2009. Východní Evropu stále nejvíce ohrožuje červ Conficker a v Česku se objevil nový adware DoubleD. Počet hrozeb využívajících USB disky a další přenosná média znovu vzrostl.

Jak trojané kradoucí data mění tvář internetu – Data-theft trojans and the changing face of the Web. Zamyšlení, jehož autory jsou M. E. Kabay a Mary Landesman. Jsou v něm ukázány klíčové momenty tohoto vývoje a jaké zde dnes vznikají s tím související problémy.

Brian KrebsTrojan Turns Smash & Grab Into Grab & Smash popisuje situace, ve kterých se ocitli konkrétní oběti trojana, označovaného jako Zeus, jak s jeho pomocí jsou vykrádány bankovní účty.

Útok proti MS Outlooku, podvržené maily požadují na uživatelích aktualizovat MS Outlook na stránce odkud ve skutečnosti stáhnou malware – Major attack targets Microsoft Outlook Web Access. Společnost Websense cituje obsah tohoto e-mailu: „We are informing you that because of the security upgrade of the mailing service your mailbox settings were changed. In order to apply the new set of settings click on the following link.“

Nová infekce postihla tisíce legitimních webů – Thousands of sites loaded with potent malware cocktail.‚Ugly can of worms‘ . Při návštěvě infikované stránky php script otestuje zda náhodou nemáte nezáplatovanou verzi Adobe Reader či Adobe Flash a pokud ano, zneužije známé zranitelnosti a zmocní se vašeho počítače. Vytvoří zde zadní vrátka, pomocí kterých lze počítač plně kontrolovat.

Hackeři

Evil Maid si troufne i na TrueCrypt – Evil Maid goes after TrueCrypt! Joanna Rutkowska zrealizovala útok proti šifrování disků programem TrueCrypt. Tento útok je realizován v podobě bootovatelného USB flash disku. Podle jejího vyjádření se nejedná o teoretickou novinku, ale je touto cestou prokazován princip útoku, o kterém byla řeč již před více měsíci. Scénář útoku: Nechť někdo nechá (např.) v hotelovém pokoji notebook se zašifrovaným diskem (TrueCrypt či PGP Whole Disk Encryption). Přijde pokojská s USB diskem a s jeho pomocí nabootuje počítač. Počítač je infikován, a to tak, že pokud pak přijde oprávněný uživatel a spustí notebook pomocí správného hesla (passphrase), tak toto je heslo zaznamenáno (uloženo někde na disku, resp. může být také odesláno do hotelové sítě). Nyní lze notebook ukrást (konfiskovat) a máme přístup ke všem jeho datům.

Klikací podvody – The Evolution Of Click Fraud: Massive Chinese Operation DormRing1 Uncovered – byla odhalena rozsáhlá čínská síť. Jedná se o tzv. DormRing1, jeho činnost již byla zastavena, nikdo však nebyl uvězněn.

Útok na polské vládní systémy má mít původ v Rusku – Polish government cyberattack blamed on Russia. Round up the usual suspects. Podle novin Rzeczpospolita útok proběhl minulý měsíc po návštěvě Putina v Polsku (u příležitosti 70 let od zahájení 2. světové války).

Big-Box Breach: The Inside Story of Wal-Mart’s Hacker Attack, jak to bylo s hacknutím řetězce Wal-Mart? Kim Zetter: Wal-Mart byl obětí bezpečnostních průniků v letech 2005 a 2006. Autor uvádí podrobnosti zjištěné během následných šetření a uzavírá – ani PCI certifikace neochrání plně data platebních karet s nimiž organizace pracuje.

Botnety jsou všude, DDoS útoky proto zlevňují – With botnets everywhere, DDoS attacks get cheaper. Kriminální služby tohoto typu – v šedé ekonomice jejich ceny v posledních měsících klesají. Robert McMillan komentuje současný vývoj.

Vytváření exploitů – automatizace těchto postupů je rozebírána v článku Automation in creating exploits. Jorge Mieres v něm upozorňuje na aktuální stav. Hackeři nemusí mít ani nějak hluboké programátorské znalosti.

Pokračuje diskuze okolo problematiky se zaměstnáváním hackerů – Hiring hackers: A Rebuttal (part 1). M. E. Kabay reaguje na kritické připomínky (Paula O´Neila) ke svému dřívějšímu článku (je to první část dvoudílného článku).

10 příběhů o tom, jak se hackeři-teenageři dostávají do systémů najde čtenář na stránce Hacker High: 10 Stories of Teenage Hackers Getting into the System. Nejznámější mladiství počítačoví zločinci se zde objevují v určitém přehledu.

Hardware

Deset vlastností, které by měl mít váš HW firewall, formuluje Erik Eckel – 10 things to look for in a hardware-based firewall.

Udělej si sám, aneb jak si vlastnoručně vyrobit bezdrátový keylogger – Wireless Keylogger – Do It Yourself!. Je zde kompletní návod (pro technicky zdatnější jedince). Keylogger se skládá ze dvou částí, vysílače a přijímače.

Pět věcí, na které můžete použít váš USB flash disk, uvádí Bill Detwiler – Video: Five cool things you can do with a USB flash drive:

  1. Spouštět některé (přenosné) aplikace
  2. Bootovat (Windows, Linux)
  3. Zrychlit Windows prostřednictvím ReadyBoost
  4. Vytvořit Windows password reset disk
  5. Používat flash disk jako klíč k počítači

Varuje však také, že USB flash disky jsou dvojsečnou zbraní. Jejich prostřednictvím mohou z organizace unikat informace.

Bezdrát

Wi-Fi Direct Could Be the Death of Bluetooth – WiFi direct – nahradí Bluetooth? Tony Bradley komentuje vydání nových specifikací. Je fakt, že z bezpečnostního pohledu má Bluetooth řadu nedostatků.

Forenzní analýza

Mike Cloppert zavádí do forenzní analýzy nový pojem, který označuje jako bezpečnostní inteligenci – Security Intelligence: Attacking the Kill Chain. Článek je třetí díl zajímavé série článků. První dva díly jsou na následujících odkazech:

Pod pojmem bezpečnostní inteligence autor chápe rozpoznávání evoluce sofistikovaného protivníka, studium této evoluce a využití této informace akčním způsobem pro obranu systémů, sítí a dat. Je to tedy obrana zaměřená na hrozby.

Elektronické bankovnictví

E-Banking on a Locked Down (Non-Microsoft) PC aneb bezpečnější internetové bankovnictví s (non Windows) Live CD na vašem PC. Bojíte se, že váš OS Windows je infikován? Brian Krebs nabízí řešení – dočasně udělejte ze svého počítače s Windows počítač s linuxovým systémem pomocí Live CD, kdy systém se bootuje z tohoto CD. Návod je konkretizován pro Ubuntu. Viz také komentář autora v článku Avoid Windows Malware: Bank on a Live CD. Autor napsal také pokračování tohoto článku – E-Banking on a Locked Down (Non-Microsoft) PC.

Trojan ukradl 480 000 dolarů z online bankovního účtu – Trojan plunders $480k from online bank account. Windows and online banking – Just say no. Trojan Clampi pronikl do počítače uschovaný v příloze e-mailu. Je to příklad jedné z největších takových krádeží v historii.

Autentizace, hesla

Počty obětí krádeží ID narůstají, podle nedávného přehledu (CIFAS, UK's Fraud Prevention Service) – ve vztahu k loňskému roku je to nárůst o jednu třetinu – Victims of identity fraud rise by a third, as it becomes a primary concern among consumers.

Výsledky přehledu (Elcomsoft): 77 procent uživatelů má totéž heslo pro různé aplikace – Survey: 77% of users employ the same password all over. Je tomu skutečně tak, a to i přesto, že se objevují desítky či stovky článků, které před takovýmto chováním varují.

Phishing

Taking phishing to the next level aneb o phishingu na vyšším stupni vývoje. Autor popisuje současné techniky spojené s phishingem a krádežemi z bankovních účtů.

Flux – nový trik pro maskování phisherských stránek, dozvíte se o něm z článku Tracking Devious Phishing Websites. Researchers are monitoring a trick that makes it harder to track and shut down fraudulent websites. Erica Naone vysvětluje techniku, kterou nyní phisheři často používají a která jim napomáhá skrýt tyto stránky.

Elektronický podpis

Https stránka neznamená automaticky bezpečí – Concerns raised over the ability to use HTTPS on a malicious site. Situace s používáním https a související rizika komentuje Dan Raywood.

Firefox a Perspectives a bezpečnost šifrování TLS/SSL jsou zase diskutovány v komentáři Chada Perrina – Is Firefox + Perspectives the most secure browser for TLS/SSL encryption?. Článek má pokračování – Perspectives provides out of band verification for SSH.

Datové schránky: komu patří podpis na e-dokumentu? VI, to je pokračování seriálu Jiřího Peterky na Lupě: „Zjistit, komu patří elektronický podpis na dokumentu přijatém skrze datovou schránku, není jednoduché. Z certifikátu, který bývá k podpisu přiložen, se často dozvíme jen jméno a příjmení, což nemusí stačit. Z konverzní doložky na autorizovaně konvertovaném dokumentu se ale nedozvíme už ani to. Doložka uvádí jen sériové číslo certifikátu a jeho vydavatele.“

Normy a normativní dokumenty

Americký NIST vydal v uplynulém týdnu následující dokument:

Kryptografie

Současný stav problému P versus NP je hezky popsán v článku The Status of the P Versus NP Problem. Je to jeden z problémů, které matematici dosud nevyřešili. Jeho význam pro kryptologii je zásadní. Lance Fortnow shrnuje nejdůležitější fakta s tímto problémem související. Viz také diskuzi na Schneierově blogu – The Current Status of P Versus NP.

The Masked Letter, zde najdete příklad použití steganografie v americké historii (18. století). Komentáře k této zajímavé historické exkurzi jsou pak na Schneierově blogu – 1777 Steganograp­hy.

Různé

Přehled vychází z průběžně publikovaných novinek na Crypto – News.

Našli jste v článku chybu?
DigiZone.cz: Žhavé novinky u IPTV operátorů

Žhavé novinky u IPTV operátorů

DigiZone.cz: RRTV: Zabiják Joe za tři sta tisíc

RRTV: Zabiják Joe za tři sta tisíc

Měšec.cz: Se stavebkem k soudu už (většinou) nemusíte

Se stavebkem k soudu už (většinou) nemusíte

120na80.cz: Jak se zbavit nadměrného pocení?

Jak se zbavit nadměrného pocení?

Root.cz: Bitcoin začal vyplácet jen půlku odměn

Bitcoin začal vyplácet jen půlku odměn

Podnikatel.cz: Prodej na Alibabě? Malí hráči utřou nos

Prodej na Alibabě? Malí hráči utřou nos

Vitalia.cz: Pepsi Cola mění sirup za cukr

Pepsi Cola mění sirup za cukr

Vitalia.cz: Klíšťata letos řádí, skvrna se udělá jen někomu

Klíšťata letos řádí, skvrna se udělá jen někomu

120na80.cz: I tuto vodu můžete pít

I tuto vodu můžete pít

Lupa.cz: eIDAS: Nepřehnali jsme to s výjimkami?

eIDAS: Nepřehnali jsme to s výjimkami?

Lupa.cz: Seznam.cz sleduje stisky kláves, aby odhalil roboty

Seznam.cz sleduje stisky kláves, aby odhalil roboty

Vitalia.cz: Cvičení tabata: na hubnutí i posilování?

Cvičení tabata: na hubnutí i posilování?

Podnikatel.cz: Akční plán podpoří byznys padesátníků

Akční plán podpoří byznys padesátníků

Podnikatel.cz: Tahle praktika stála šmejdy přes milion

Tahle praktika stála šmejdy přes milion

Vitalia.cz: Mateřská - nejlepší období v životě ženy? Hahahaha

Mateřská - nejlepší období v životě ženy? Hahahaha

Podnikatel.cz: 3 velké průšvihy obchodních řetězců

3 velké průšvihy obchodních řetězců

Podnikatel.cz: Profese budoucnosti? Úředník nepřežije

Profese budoucnosti? Úředník nepřežije

DigiZone.cz: Nestihli jste Bonda na ČT2? Zkuste RTVS

Nestihli jste Bonda na ČT2? Zkuste RTVS

Podnikatel.cz: Italské těstoviny nebyly k mání, tak je začal vyrábět

Italské těstoviny nebyly k mání, tak je začal vyrábět

Vitalia.cz: 10 potravin, po kterých budete mít ještě větší hlad

10 potravin, po kterých budete mít ještě větší hlad