Hlavní navigace

Bezpečnostní střípky: úniky dat

8. 6. 2009
Doba čtení: 8 minut

Sdílet

Pravidelný pondělní přehled informací vztahujících se k problematice bezpečnosti IT. Z novinek právě uplynulého týdne lze upozornit především na článek o populárním šifrovacím software TrueCrypt, top 10 stránek s malware a článek o nejčastějších cílech dnešních počítačových útočníků.

Obecná a firemní bezpečnost IT

Sedm praktických idejí, které byste měli používat při výchově bezpečnostního povědomí – Seven Practical Ideas for Security Awareness. Audry Agle uvádí, jakými cestami nejlépe apelovat na vaše zaměstnance:

  • Apelujte i na jejich osobní život
  • Zprávy předávejte viditelnou cestou
  • Poskytněte i zábavu
  • Všímejte si jejich pracovních stolů
  • Obrazovka jejich počítače – nezapomeňte občas na rozeslání informace bezpečnostního charakteru (třeba jako součást firemních zpráv)
  • Vyžadujte školení
  • Příklad vedoucích pracovníků – nezapomínejte na něj

ISACA : informační bezpečnost v modelu pro podnikání, to je materiál, který ISACA připravila ve spolupráci s University of Southern California (USA) Marshall School of Business Institute for Critical Information Infrastructure Protection – An Introduction to the Business Model for Information Security.

Deset doporučení k tomu, jak snížit náklady na IT bezpečnost v době recese, zpracoval Ian Kilpatrick (chairman of Wick Hill Group) – 10 tips to keep IT security costs down in the recession.

Cyber-Security Should Not Limit Enterprise Privacy – USA: Ochrana soukromí v podnicích a nové pojetí kybernetické bezpečnosti, Don Reisinger diskutuje k možným dopadům připravovaných změn v přístupech ke kybernetické bezpečnosti. Nový zákon (Cybersecurity Act of 2009) vkládá prezidentovi do rukou dosud bezprecedentní pravomoci ve vztahu ke kontrole soukromých sítí.

Portrét známého jména v IT v bezpečnosti (Eugen Kaspersky) najde čtenář v článku Kaspersky: A Profile of the Virus-Fighter.

Dokáží Obamovy plány pro kybernetickou bezpečnost něco změnit? Můžeme jen doufat, říká obsažný komentář společnosti Forrester Research na stránkách csoonline.com – Will Obama’s New Cyber-Security Plan Make a Difference? We Can Only Hope.

Pirátský příjem satelitu aneb proč si to neukrást, když je to zadarmo – Lukáš Polák na Digizone: Stovky a tisíce televizních diváků v těchto dnech řeší problém s příjmem satelitní služby Digi TV. Přesněji řečeno, řeší ho ti, co tuto placenou satelitní službu přijímají pirátsky a zadarmo – Digi TV totiž začala častěji měnit přístupové kódy a piráti se na internetu shání po nejnovějších číselných kombinacích. Pirátství z orbitu ale není otázkou krátké doby. Neautorizovaný příjem slaví právě letos čtvrtstoletí.

When employers become watchers aneb zaměstnavatelé a Big Brother. Technologie dnes umožňují ledasco a řada zaměstnavatelů je neváhá využít.

Parkovací systém USA – rostou spekulace o chystaném útoku – Meter Meltdown Remains A Mystery. Speculation Growing Of A Planned Attack. Minulý pátek ráno byly problémy, ale to je to jediné, co je známo. Oficiální místa stáhla chystané vyhlášení.

Auditor musí dát pozor, aby nebyl oklamán, Steven Fox uvádí tři stručné rady v článku Countering Auditor Deception :

  • Nic nezanedbat. Vše co auditor vysloví, si předtím pečlivě ověřil.
  • prověřte existující kontroly
  • Nechte si všechny dokumenty, které vám poskytla auditovaná strana, potvrdit

Krátká slideshow vás seznámí s technickými prostředky, které používalo pět známých špiónů  – 5 famous spies and their techie ties.

Konečně bude zabezpečena i kořenová zóna internetu. V článku At long last, internet's root zone to be secured. VeriSign and ICANN to share DNSSEC duties

Esej Bruce Schneiera na téma Cloud Computing najdete na jeho blogu – Cloud Computing . Kromě krátkého ohlédnutí do historie upozorňuje Schneier pochopitelně na existující bezpečnostní rizika. K tématu je připojena bohatá diskuze.

Americký súd zakázal webhostingovú spoločnosť používanú podsvetím – chtělo by se říci – jen houšť.

Úniky dat

Američané v důsledku chyby zveřejnili seznam civilních jaderných lokací. Dokument se objevil z neznámých důvodů na webu U.S. Government Printing Office (GPO) – U.S. mistakenly posts list of civilian nuke sites.

Slovensko : Unikli citlivé vojenské údaje – interné údaje o sto vojenských policajtoch, ktorí majú riešiť priestupky svojich kolegov a chrániť ostatných vojakov v Afganistane, sa dostali na verejnosť, informuje SME.

Existují dnes i bezplatné nástroje, které firmám umožňují zjistit, zda z firmy neunikly informace – 5 Free Ways to Track Online Leaks of Information. Na stránkách csoonline.com o nich informuje Brandon Gregg (jsou to nástroje Monitter.com, Limewire, Addictomatic.com ale i Google a Google Alerts)

Software

Byla vydána nová verze nástroje Cain and Abel 4.9.31 (pro obnovu resp. rozkrytí hesel). V komentáři najdete stručný popis vlastností tohoto nástroje a změny oproti verzi předchozí. Stáhnout si ho můžete zde – download.

Russ McRee v trochu rozsáhlejším článku TrueCrypt brings affordable laptop encryption to midmarket popisuje užitečné vlastností programu TrueCrypt, orientuje se zde především na jeho využití v noteboocích (ale i třeba na USB flash discích).

Malware

Best Video na Twitteru – nenechte se napálit, místo něj si stáhnete pdf s množstvím exploitů – týká se to tedy uživatelů Twitteru – ‚Best Video‘ scam on Twitter dropped malware.

Websense nyní odhaduje počet JavaScriptem nově infikovaných webů na 40 000 – Hackers Hit 40,000 Websites with Mass Compromise. Uživatel je postupně přesměrován na stránku Beladen.net, která obsahuje množství různorodého malware (odhadováno 15–20 exploitů).

Viz také komentář – Thousands of Web sites stung by mass hacking attack. Hackers redirect unwitting victims to a Web site that tries to infect PCs with malicious software. Technické podrobnosti obsahuje článek Mass Compromise – Beladen.

Mysteriózní malware se měl objevit na stránkách Digital Spy – Digital Spy struggles to pin down tainted ad infection. Mystery malware assaults online gossips. Digital Spy se specializuje na informace o celebritách a o televizních programech typu reality show (jako Big Brother), často až příliš podrobné.

Google zveřejnil top 10 stránek s malware – Top 10 Malware Sites. Jedná se o čísla zjištěná v posledních dvou měsících.

Hackeři

Jaké máme volit cesty k obranám – vzhledem k dnešním cílům hackerů? Touto otázkou se zabývá Jason Stradley v rozsáhlejším článku – It's the Information, Stupid. V závěru jsou pak obsažena užitečná shrnutí problematiky.

Pět hlavních typů útoků směrovaných na krádeže ID online popisuje materiál společnosti Imperva – Top 5 On-Line Identity Theft Attacks. Pro přístup k článku je nezbytná registrace. Jsou zde rozebírány tyto útoky:

  1. SQL Injection
  2. Cross-Site Scripting
  3. Cookie Tampering
  4. Session Hijacking
  5. Web Server Takeover

Je hacking jako hrozba národní bezpečnosti přeceňován? Ryan SingelThreat Level Privacy, Crime and Security Online Is the Hacking Threat to National Security Overblown? rozebírá otázku, kterou si jistě kladou mnozí. Cituje názory řady odborníků.

73 procent firem věří, že jsou zranitelné vůči hackingu – 3% of companies believe they are vulnerable to hacking. Fortify Software zpracoval další z řady přehledů, a to na základě odpovědí IT bezpečnostních profesionálů. V článku jsou uvedena některá čísla, která byla získána na základě těchto odpovědí.

Hardware

More Thoughts on CPU backdoors aneb obsahují CPU zadní vrátka? Jsou to úvahy Joanny Rutkowské, známé polské odbornice (mj. na rootkity), zamyšlení ke studii Using CPU System Management Mode to Circumvent Operating System Security Functions (jejími autory jsou Loic Duflot, Daniel Etiemble a Olivier Grumelar).

Jeden zajímavý generátor náhodných čísel najdete na stránce May thy dice chip and shatter. Pohledná mašinka, což?

Forenzní analýza

Is Digital Forensics a Science? – je digitální forenzní analýza vědou? Úvahy Michaela Clopperta ho nakonec přivádí k závěrečné negativní odpovědi.

Elektronické bankovnictví

Východoevropské bankomaty mohou obsahovat trojany kradoucí data – Data-sniffing trojans burrow into Eastern European ATMs. Trojany byly objeveny v posledních 18 měsících. Jedná se bankomaty pracující na bázi OS Windows XP a trojana do nich může vložit pouze někdo, kdo má fyzický přístup k bankomatům. Více technických detailů obsahuje dokument Automated Teller Machine (ATM) Malware Analysis Briefing.

Viz také komentář – Cybercriminals refine data-sniffing software for ATM fraud a také trochu nadnesený titulek Hackeři zahájili masivní útok na evropské bankomaty.

Normy a normativní dokumenty

Byl vydán nový dokument, který se zabývá ochranou osobních dat ve Velké Británii – Personal Data Guardianship Code. Vydala ho společnost BRITISH COMPUTER SOCIETY, smyslem příručky Personal Data Guardianship Code je pomoci organizacím a lidem, kteří pracují s osobními daty. Komentář k této události je obsažen v článku BCS attempts cultural shift in data protection.

Viz ale také kritiku – Personal Data Guardianship Code has been described as inconsistent as new British standard on data protection introduced.

Větší pozornost si však zaslouží vydání nové britské normy pro ochranu dat – British Standard on data protection is published. Název normy je BS 10012:2009 Data Protection – Specification for a personal information management system (normu je nutné zakoupit).

USA vydávají revizi normy pro elektronické hlasování (volby) – US issues revised e-voting standards. ngent recommendations for testing. Tento nový dvoudílný draft najdete na odkazu Proposed Draft Revisions to 2005 Voluntary Voting System Guidelines (VVSG v.1.1).

Americký NIST vy dal v tomto týdnu dokument:

Kryptografie

Romain Cosset v studii Factorization with genus 2 curves popisuje nový algoritmus pro faktorizaci velkých čísel, využívá k tomu speciální hypereliptické křivky.

Příspěvek M.Hlaváče přijat na prestižní konferenci CHES 2009. Článek popisuje nový útok na RSA-CRT, které využívá Montgomeryho algoritmus pro umocňování – Accepted Papers.

Různé

MEMICS 2009 – Call for Papers, topics: Submissions are invited especially in the following (though not exclusive) areas:

  • software and hardware dependability
  • computer security
  • parallel and distributed computing
  • formal analysis and verification
  • simulation
  • testing and diagnostics
  • GRID computing
  • computer networks
  • modern hardware and its design
  • non-traditional computing architectures
  • quantum computing
  • and all related areas of theoretical computer science

Vyšlo nové číslo (IN) SECURE Magazine, z obsahu:

root_podpora

  • Malicious PDF: Get owned without opening
  • Review: IronKey Personal
  • Windows 7 security features: Building on Vista
  • Using Wireshark to capture and analyze wireless traffic
  • „Unclonable“ RFID – a technical overview
  • Secure development principles
  • Q&A: Ron Gula on Nessus and Tenable Network Security
  • Establish your social media presence with security in mind
  • A historical perspective on the cybersecurity dilemma
  • A risk-based, cost effective approach to holistic security

Nezaškodí i ohlédnutí na TopTen českých hoaxů a řetězových zpráv za květen 2009.

Přehled vychází z průběžně publikovaných novinek na Crypto – News.

Byl pro vás článek přínosný?