Bezpečnostní střípky: USA a kybernetická bezpečnost

Jaroslav Pinkava 13. 4. 2009

Pravidelný pondělní přehled informací vztahujících se k problematice bezpečnosti IT. Z novinek právě uplynulého týdne lze upozornit na video k problematice penetrace počítačové sítě, na výsledky aktuálního testu firewallů a na novou verzi skeneru zranitelností Nessus.

Obecná a firemní bezpečnost IT

Na stránce A practical guide to disaster recovery planning. The basics to getting started najdete praktickou příručku, která má za cíl pomoci při plánování obnovy po havárii. Pětistránkové pdf provede čtenáře základními kroky tak, aby činnost jeho organizace byla lépe připravena na případné problémy. Nezbytná je registrace.

Názorné video – Video: Master the five phases of a successful network penetration – vám ukáže, jaké jsou jednotlivé fáze úspěšné penetrace sítě. Bill Detwiler v něm zároveň i ukazuje cesty k obraně v jednotlivých pěti fázích penetrace:

  • Rekognoskace
  • Skenování
  • Získání přístupu
  • Udržení si přístupu
  • Skrytí stop

Jaká je role bezpečnosti ve vztahu k propouštění zaměstnanců? Security's Role in Handling Layoffs – Michael Fitzgerald se v tomto článku zamýšlí nad souvisejícími problémy, uvádí přitom i příklady z praxe.

Objevila se informace o tom, že probíhají utajovaná jednání k mezinárodní smlouvě proti padělkům – U.S. trade office releases information on secret piracy pact. Several nations have been working on the agreement since 2006. Na přípravě protipirátské smlouvy pracují USA, Japonsko, EU a další země od roku 2006. Diskutuje se zejména o tom, jak pojednat kriminální narušení autorských zákonů jiné země.

Cloud computing: jak je na tom jeho užitečnost ve vztahu k možným nebezpečím či rizikům? The consequences of inadequate cloud security – Tim Greene hovoří o atraktivnosti tohoto fenoménu posledních měsíců. Kromě zřejmých výhod však poukazuje na možné problémy, jejichž příčinou je ztráta kontroly dat mateřskou organizací.

Jaký smysl mají bezpečnostní certifikáty pracovníků? Kritický, ale nikolv neoprávněný pohled na formálnost některých certifikací přináší článek FCW Insider: What's the point of security certs?. Autor poukazuje i na skutečnost, že často člověk s dlouholetou zkušeností, ale bez certifikátů (třeba z toho důvodu, že na ně nebyly peníze) je pro organizace výrazně cennější než mladý člověk s třemi různými certifikáty, ale bez praktických zkušeností.

Někdy je lepší nešifrovat – Sometimes, no encryption is better. Chad Perrin objasňuje titulek svého článku následujícím ilustrativním příkladem. Pokud kavárna poskytuje bezdrátové připojení k internetu (bezplatně), pak by šifrované spojení vytvářelo pro zákazníky nepohodlí. Poučení z toho vyplývající – v některých příkladech použití určitých nástrojů může být kontraproduktivní.

Ve dvou počítačových střediscích v texaském Dallasu proběhla razie FBI – FBI Agents Raid Dallas Computer Business. Odpojené servery a vyšetřování, to není nic příjemného. Ale i to se může stát. Další podrobnosti jsou v článku Company Caught in Texas Data Center Raid Loses Suit Against FBI .

Obamovo ministerstvo spravedlnosti hájí odposlechy Bushovy éry – Obama's DoJ defends Bush-era wiretaps, to je komentář k žalobě, kterou podalo EFF (Electronic Frontier Foundation).

Obavy Američanů z podvodů a krádeží ID v době ekonomické krize vzrostly – Economic crisis increases Americans’ fears about fraud and ID theft. Článek zprostředkovává vysledky analýzy, kterou provedl Unisys. Unisys Security Index je zpráva, která je vydávána jednou za dva roky a jejím cílem je charakterizovat názory spotřebitelů ve čtyřech oblastech bezpečnosti – finanční, národní, internetové a osobní.

Amerika a kybernetická bezpečnost

Cyber security: Can the Senate make the Internet safe? – chystaná americká legislativa – bude internet bezpečnější? MICHAEL KASSNER se zamýšlí nad současnými aktivitami v oblasti amerických zákonů vztahujících se ke kybernetické bezpečnosti. Poukazuje na některé současné problémy (DNS, výzkum v problematice kybernetické bezpečnosti, shoda s požadavky dokumentů NIST, odpojení sítí). Viz také komentář – Bill would give Obama power to shut down Internet, networks during cyber attacks.

Elektrické rozvodné sítě v USA jsou předmětem špionáže – Electricity Grid in U.S. Penetrated By Spies. Podle minulých i současných pracovníků národní bezpečnosti je takováto špionáž prováděna z Číny, Ruska a dalších zemí. Viz také další články na podobné téma:

Komentář ke zprávě Wall Street Journal k hacknuté americké rozvodné síti najdete na odkazu Report: Cybercriminals Hacked US Electrical Grid. Instalovaný malware může uzavřít službu.

Útočníci na rozvodné sítě využívají klasické chyby softwaru na PC – Researcher: Power Grid Hackers Probably Attacked Typical PC Flaws. Podobnou cestou je ale také kompromitováno množství počítačů v různých odvětvích.

Digital Pearl Harbor, Cyber 9/11, and E-Qaeda – pod vtipným titulkem se skrývá článek známého komentátora Briana Krebse. Současné vzrušení se týká jakoby nových objevů toho, co vše je hacknuto. Nebylo však vše toto známo již dříve?
Viz dále např.:

What I'll be looking for in Melissa Hathaway's report on cybersecurity – co očekává Ira Winkler od zprávy ke kybernetické bezpečnosti USA? Melissa Hathaway dostala 60 dní na to, aby připravila zprávu, jejímž cílem je formulace doporučení pro americkou vládu ve vztahu ke kybernetické bezpečnosti. Bude zde v budoucnu koordinátor kybernetické bezpečnosti jako osoba přímo podřízená americkému prezidentovi?

Software

Výsledky aktuálního testu firewallů najdete na stránce Firewall Challenge. Viz také stručné shrnutí – Matousec: Comodo je opět nejlepší.

Nalezené bezpečnostní zranitelnosti v MIT Kerberos vedly k vydání záplat. V článku Multiple holes in MIT Kerberos najdete příslušné odkazy.

Byla vydána verze 4.0.0 skeneru zranitelností Nessus – Teenable Network Security. Komentář k nové verzi je obsažen v článku Nessus 4 has been released.

Malware

V první čtvrtletí roku 2009 vzrostl objem spyware o 10 procent – Spyware rose 10% in Q1 2009. Článek shrnuje některá čísla ze zprávy PandaLabs malware report.

Microsoft ohlašuje, že došlo k dramatickému nárůstu scareware (zastrašovací SW) infekcí – Microsoft: Dramatic Rise in ‚Scareware‘ Infections. Scareware, tyto programy, které se maskují jako legitimní antivirový a bezpečnostní SW, straší uživatele a nutí ho, aby jim zaplatil. Jsou podle zprávy Microsoftu nejvíce profitující a rychle rostoucí hrozbou.

Conficker přeci jen aktualizuje – Conficker begins stealthy update. Osmého dubna (o týden později než bylo očekáváno) se objevil nový soubor (prostřednictvím P2P komunikace, kterou infikované počítače používají). Zatím není příliš jasné, co vlastně je zač (soubor je šifrovaný), možná obsahuje roootkit, který je zaměřen na krádeže citlivých dat.

Viz také:

První SMS vir je na světě – Security experts uncover first ever SMS virus. SMS zpráva slibuje „sexy view“ s odkazem na stránku, která pak nutí uživatele stáhnout malware. Společnost F-Secure předpovídá, že SMS spam se v budoucnu stane velkým problémem.

Hackeři

Interview s hackerem na téma: „Analýza bezpečnostních hrozeb“ najdete na stránce Security Threat Analysis: Interview With Dino A. Dai Zovi : Introduction. Na otázky odpovídá Dino A. Dai Zovi, osoba, které se v rámci akce Pwn2Own podařilo pokořit Mac.

Jak Intranet otevřít útokům pomocí Internet Exploreru – Opening Intranets to attacks by using Internet Explorer. Studie, jejímž autorem je Cesar Cerrrudo, ukazuje, že pokud doporučená bezpečnostní konfigurace Internet Exploreru není dodržena, pak intranetové weby se mohou stát předmětem útoku.

Hackovací technice s označením GIFAR je věnována práce Exploring Below the Surface of the GIFAR Iceberg. Koncept, který kombinuje použití souborů jako jsou obrázky GIF a Java archivační JAR, umožňuje provedení škodlivého kódu. Ron Brandis provedl určitou analýzu souvisejících problémů a předkládá ji čtenářům v této studii.

VoIP

Recenzi knihy „Hacking VoIP“, jejímž autorem je Himanshu Dwivedi, napsal Tony Bradley  – Book Review . Kniha vyšla v březnu 2008, má 220 stran a najdete ji např. na Amazonu.

Mobilní telefony

Porn-Dialer v chytrém mobilu – Porn dialers for smartphones . Není to zrovna počítačový vir (má EULA), ale zdvižený prst je tu právem.

Mobilní telefony jako HW tokeny, to je zajímavá myšlenka, se kterou přichází firma Celestix Networks – Turn mobile phones into hardware tokens.

Spam

Aktuální situace se spamem je rozebírána na stránce The state of spam 2009, Part 1 . První část článku Miche Kabaye shrnuje řadu odkazů, které se této problematice věnují.

Autentizace, hesla

Bruce Schneier upozorňuje na techniky, které vyvinuli dva počítačoví odborníci (Arvind Narayanan a Dr. Vitaly Shmatikov) z texaské univerzity (Austin – De-anonymizing Social Networks) a týkají se identifikace lidí, kteří využívají anonymní data v sociálních sítích – Identifying People using Anonymous Social Networking Data .

Normy a normativní dokumenty

Americký NIST vydal v tomto týdnu dokument

Pracovní skupina IETF S/MIE vydala dva drafty:

widgety

Pracovní skupina IETF pkix pak vydala draft

Různé

Přehled vychází z průběžně publikovaných novinek na Crypto – News.

Našli jste v článku chybu?
DigiZone.cz: Test: brýle pro virtuální realitu Exos Urban

Test: brýle pro virtuální realitu Exos Urban

Podnikatel.cz: Zorientujte se. Odkdy se vás týká EET?

Zorientujte se. Odkdy se vás týká EET?

Vitalia.cz: Jaký je rozdíl mezi brambůrky a chipsy?

Jaký je rozdíl mezi brambůrky a chipsy?

Vitalia.cz: dTest odhalil ten nejlepší kečup

dTest odhalil ten nejlepší kečup

Podnikatel.cz: Babišovi se nedá věřit, stěžovali si hospodští

Babišovi se nedá věřit, stěžovali si hospodští

Podnikatel.cz: Takhle se prodávají mražené potraviny

Takhle se prodávají mražené potraviny

Podnikatel.cz: Udělali jsme velkou chybu, napsal Čupr

Udělali jsme velkou chybu, napsal Čupr

Lupa.cz: Patička e-mailu závazná jako vlastnoruční podpis?

Patička e-mailu závazná jako vlastnoruční podpis?

Vitalia.cz: Když všichni seli řepku, on vsadil na dýně

Když všichni seli řepku, on vsadil na dýně

Podnikatel.cz: Instalatér, malíř a elektrikář. "Vymřou"?

Instalatér, malíř a elektrikář. "Vymřou"?

DigiZone.cz: DVB-T2 ověřeno: seznam TV zveřejněn

DVB-T2 ověřeno: seznam TV zveřejněn

DigiZone.cz: Světový pohár v přímém přenosu na ČT

Světový pohár v přímém přenosu na ČT

Vitalia.cz: Test dětských svačinek: Tyhle ne!

Test dětských svačinek: Tyhle ne!

Podnikatel.cz: Znáte už 5 novinek k #EET

Znáte už 5 novinek k #EET

DigiZone.cz: Numan Two: rozhlasový přijímač s CD

Numan Two: rozhlasový přijímač s CD

Vitalia.cz: Muž, který miluje příliš. Ženám neimponuje

Muž, který miluje příliš. Ženám neimponuje

Podnikatel.cz: Dva měsíce na EET. Budou stačit?

Dva měsíce na EET. Budou stačit?

Podnikatel.cz: Byla finanční manažerka, teď cvičí jógu

Byla finanční manažerka, teď cvičí jógu

DigiZone.cz: Wimbledon na Nova Sport až do 2019

Wimbledon na Nova Sport až do 2019

Vitalia.cz: Inspekce našla nelegální sklad v SAPĚ. Zase

Inspekce našla nelegální sklad v SAPĚ. Zase