Hlavní navigace

Bezpečnostní střípky: útok na systémy "chip and pin"

15. 2. 2010
Doba čtení: 11 minut

Sdílet

Pravidelný pondělní přehled informací vztahujících se k problematice bezpečnosti IT. Z novinek právě uplynulého týdne vás upozorníme především na pokračování informací ke světoznámému útoku Aurora, hezký přehled možností tří šifrovacích programů a vysvětlení vlastností produktu Comodo Firewall.

Konference

ShmooCon 2010, tato akce navazující tradičně na konferenci Black Hat, proběhla letos ve dnech 5. až 7. února. Program jednotlivých vystoupení je na stránce Shmoocon schedule.

Obecná a firemní bezpečnost IT

ShmooCon | P2P Snoopers Know What's In Your Wallet – neopatrní uživatelé P2P sítí, k jakým informacím lze zde získat přístup? Larry Pesce a Mick Douglas si dali práci a provedli analýzu toho, co uživatelé P2P posílají.

Evropská agentura vydala novou zprávu s názvem Online as soon as it happens. Je věnována mobilním sociálním sítím, tj. přístupům do sociálních sítí prostřednictvím mobilních telefonů a souvisejícím rizikům a hrozbám. Komentáře k této zprávě jsou v článcích:

50 procent evropských teenagerů bezstarostně dává své osobní informace všanc internetu – Unaware of the dangers, most teens share personal info online. Informace zde přitom mohou zůstat napořád a být dostupné komukoliv. Vyplývá to ze zprávy Evropské komise, kterou tato zveřejnila k příležitosti Dne Bezpečnějšího Internetu.
Viz také: Polovina dětí reaguje na internetu na zprávy od cizích lidí, rodiče je příliš nechrání.

Informace vytěžené z Facebooku jsou používány v podvodech – Data harvested from Facebook used in boiler room scams. Používají je např. firmy, které prodávají zboží jinak neprodejné, zboží s přemrštěnými cenami či dokonce neexistující zboží.

Politický hacktivismus a zneužívání tragedií jsou stále častějšími jevy – Political hacktivism and the exploitation of tragedies is on the rise. Článek shrnuje informace z nedávné zprávy společnosti McAfee.

Bit Defender: pozor na možné podvody spojené se svátkem sv. Valentýna. V článku Safety tips for online dating uvedena celá sada doporučení, která samozřejmě neplatí jen pro tento den …

FBI chce uchovávat historii navštívených webových stránek. Měli by to dělat poskytovatelé internetových služeb a měli by tyto záznamy k jednotlivým uživatelům uchovávat po dobu dvou let. Má to napomoci v boji proti dětské pornografii a další počítačové kriminalitě – FBI wants records kept of Web sites visited.

Čtyři mýty kybernetické bezpečnosti zformuloval Richard Kirk (UK Director of Fortify Software):

  • Vedoucí síly světa odpovídají za bezpečnost internetu
  • Mám firewall, tak jsem v bezpečí
  • Hackeři nám nemohou uškodit – neprovádíme finanční transakce
  • Je to příliš obtížné, zabezpečit můj systém

Společnost Dell připravila materiál s názvem Deset věcí, které byste měli vědět o ochraně dat (nezbytná je registrace) – Top Ten Things to Know About Data Protection:

  1. It’s the data that’s the cost
  2. Keys, keys everywhere
  3. Encryption is “key” to regulatory compliance
  4. Server management – the bottom of the iceberg
  5. Encryption software needs protection
  6. Encryption is only part of the solution
  7. Don’t forget about integration with the data backup system
  8. Third party validation leads to greater security and reliability
  9. Federal data has its own standards
  10. All files should not be treated the same

Český projekt Červené tlačítko na ochranu dětí špehuje uživatele internetu. Z úvodu: Teprve v úterý představil ministr pro lidská práva Michael Kocáb nový projekt Červené tlačítko, který by měl pomoci chránit děti na internetu před nevhodným obsahem. Již po dni provozu ale bezpečnostní experti varují, že program odesílá o uživateli daleko více informací, než je zapotřebí.

Evropský parlament zablokoval přístup USA k datům SWIFT. Jedná se o evropská bankovní data – European Parliament blocks US access to SWIFT data.

Early-adopter criminals embrace cloud computing – kriminální strana internetu a výpočty v oblacích. Toby Wolpe argumentuje, že druhá strana je na využívání těchto technologií (cloud computing) podstatně lépe připravena a v zásadě je ve svých aktivitách již používá. Jak zabránit tomu, aby tito lidé nevyužívali služeb Google, Amazonu? Autor ve svém komentáři cituje Rika Fergusona ze společnosti Trend Micro.

Simulovaný kybernetický útok otestuje americkou odpověď – Simulated cyber attack will test US Government response. Bude proveden 16. února, cílem je vyhodnotit existující potenciál k odpovědi a také zvýšit obecné povědomí v tomto směru.

Google

Schneier uvádí k současným informacím o útoku na Google diskuzi na svém blogu – More Details on the Chinese Attack Against Google.

Připravované smlouvě Google a NSA je věnován článek Williama Jacksona. Říká v něm: toto partnerství by mělo být veřejnosti na očích – Google-NSA partnership should be more public, less private.

Smlouva s NSA může Google zničit, takovýto komentář zase napsal Noah Shachtman – ‘Don’t Be Evil,’ Meet ‘Spy on Everyone’: How the NSA Deal Could Kill Google.

Vyšetřování malware, které bylo použito v Auroře, je popisováno na stránce Operation Aurora malware investigated. V článku jsou citovány informace ze zprávy HBGary report. Je zde také uvedeno, jak tento malware detekovat (např. ve vaší organizaci). Viz dále také článek – HBGary releases Aurora detection tool.
Aurorou (aktuální situací) se také zabývá Kelly Jackson Higgins v článku

Irán nechce G-mail, vláda chce zavést vlastní službu  – Iran suspending Google's Gmail, reports say, autorkou tohoto komentáře je Sharon Gaudin.

Írán vypnul internet a zapnul odposlech. Údajně mu v tom pomáhá Nokia. Z úvodu: Firma Nokia Siemens Networks dodává íránskému Telecomu odposlouchávací zařízení. V Íránu v uplynulých dnech došlo k blokádě internetu.

Přichází varování, zásadní chyba v Google Hláškách (Google Buzz) – WARNING: Google Buzz Has A Huge Privacy Flaw. Automaticky (z e-mailů) jsou vám nastaveni přátelé. Problém je v tom, že tento seznam lidí je pak dostupný všem, kdo se koukne do vašeho profilu (tedy než stihnete změnit nastavení) … Viz také:

Google na základě kritiky proto sáhl již po dvou dnech k opravě  – Google tweaks Buzz to address privacy concerns.

Software

Na konferenci Black Hat Jose Palazon a Chema Alonso prezentovali útok na komunikaci mezi databází a webovou aplikací, který pojmenovali CSPP (connection string parameter pollution) – Researchers Present Web Application Attack Targeting Database Connection.

Zero-day vulnerabilities on the market – trh se zranitelnostmi nulového dne se rozvíjí. Tyto zranitelnosti a jejich exploity jsou v oběhu jednak mezi hackery (černý trh), ale také takové firmy jako VeriSign, TippingPoint, Google nakupují zranitelnosti nulového dne.

Zranitelnost v Sambě umožní až přístup k souborům. Útočník může dokonce získat přístup i ke kořenovému adresáři. Chyba se týká současné verze 3.4.5 a jejích předchůdců – Vulnerability in Samba provides access to files.

Mozilla varuje: tyto pluginy pro Firefox obsahují trojana – Mozilla dumps infected add-ons, issues warning. Jednat se mělo o Sothink Web Video Downloader 4.0 a všechny verze Master Filer.

Následovalo však potom další vyjádření společnosti Mozilla: Sothink Web Video Downloader 4.0 neobsahuje malware. Mozilla se omlouvá za chybnou informaci (při hodnocení došlo k falešně pozitivnímu výsledku). Naopak Master File skutečně trojana obsahuje – Mozilla retracts Firefox add-on malware claim.

Co o vás prozradí váš prohlížeč? Tím se zabývá Michael Kassner v článku BrowserSpy.dk: Reveals more than enough information, který je věnován webu BrowserSpy.dk.

Odborníci varují před pravděpodobnými útoky na Windows, PowerPoint. Podstatou tohoto varování je fakt, že hackeři se budou nyní pokoušet využít zranitelnosti, ke kterým Microsoft právě vydal záplaty – Researchers warn of likely attacks against Windows, PowerPoint.

Měl by software obsahovat bezpečnostní záruky? Na nedávném panelu v Madridu se rozvinula zajímavá diskuze. Bezpečnostní odborník Yago Jesus argumentoval, že dodavatelé SW by měli být odpovídat za jeho bezpečnost. IT právník Paloma Llaneza argumentoval obráceným směrem. Ceny SW by šly raketově vzhůru a celé by to nebylo praktické – Global gov's shrugging lets cybercrims frolic.

Vydáno bylo OpenDNSSEC 1.0.0, stručnou informaci k tomu přináší článek OpenDNSSEC 1.0.0 released.

Co umí BitLocker, TrueCrypt, PGP Whole Disk Encryption – 3 encryption apps keep your data safe. Frank Ohlhorst diskutuje vlastnosti těchto šifrovacích postupů. Poukazuje např. na jednu zásadní nevýhodu Bitlockeru. SW je pro pokročilé verze Windows Vista či Windows 7 (Ultimate and Enterprise) a ty nebývají instalovány na noteboocích (kde právě by šifrování ukázalo svoji užitečnost). Jednotlivé recenze autora jsou na těchto stránkách:

Brian Krebs komentuje aktuální záplaty Microsoftu, 13 cest k tomu, jak ochránit váš počítač – 13 Ways to Protect Your Windows PC.

Microsoft bojuje proti crackům Windows 7 – Microsoft to crack down on Windows 7 activation cracks. Bude to prostřednictvím Windows Activation Technologies (WAT).

Comodo Firewall: Superb, If You Ignore Extras, Comodo Firewall – jak vás ochrání? Preston Gralla vysvětluje vlastnosti a výhody tohoto produktu.

Proč firewall?. Z úvodu článku Petera Pecho: Cílem této série článků je představit minulost a současnost firewallů, jejich technologií a zamyslet se nad budoucností řízení přístupu k informacím. Současná odborná literatura se staví různě k technologiím firewallů a k jejich klasifikaci. Naším cílem není vyzdvihovat nebo zatracovat některé technologie, ale raději shrnout vývoj technologií, které vedly k vývoji moderních firewallů, a rozproudit diskusi nad jejich budoucností.

Modrá obrazovka smrti po aktualizaci Windows XP? Může za to malware, říká Microsoft – Microsoft says malware causing blue screen crashes. Snad by toho měl být příčinou obtížně identifikovatelný rootkit označovaný jako TDSS. Microsoft přesto potom zastavil tuto aktualizaci.

Malware

Nový ruský botnet se pokouší zlikvidovat svého rivala – New Russian botnet tries to kill rival. Relativně málo známý Spy Eye toolkit si doplnil takovouto funkcionalitu před několika dny. Odstraní Zeuse z počítače oběti a Spy Eye má pak přístup k jménům a heslům.

Leden: největším zdrojem malware byla Čína a hlavní jeho podobou byli trojané. Podle Kaspersky Lab – China was the source of the most malware sent in January and Trojans were the most prevalent form – má čínský původ 36.2 procent všeho malware.

Byl odchycen nový nebezpečný bankovní trojan – Researchers intercept dangerous new banking Trojan. Trojan označovaný jako Bugat se vydává cestou, kterou se jeho předchůdci trojanu Clampi podařilo ukrást milióny dolarů.

Viry

32 procent počítačů s antivirovou ochranou je infikováno – 32% of computers with AV protection are infected. Vyplývá to ze zprávy SurfRight. Kompletní výsledky jsou pak zde:

Zpráva se také pokouší najít důvody, proč antiviry nejsou dostatečně efektivní v obraně proti malware.

Falešné antiviry kralují malware – Fake AV c/o PDF and Java exploits. Zpráva společnosti Sophos je také komentována v článku Fake AV´s double attack.

Hackeři

Alarmující je nárůst počítačových útoků v sociálních sítích – Alarming rise in cyber-attacks at social networks. Sociální sítě jsou fénoménem této doby a pochopitelně organizovaná kyberkriminalita si nemůže toho nepovšimnout. Článek cituje informace získané z nedávné zprávy společnosti Sophos.

Hackováním satelitního internetu se zabýval ve svém vystoupení španělský odborník (Leonardo Nve) na konferenci Black Hat. Podařilo se mu získat přístup do některých satelitních přenosů – How To Hack The Sky.

Na rekordních 13 let byl odsouzen hacker ze San Francisca – Record 13-Year Sentence for Hacker Max Vision. Max Ray Vision (37 let) ukradl čísla téměř dvou miliónů platebních karet.

Hackeři ukradli 50 000 dolarů, banka odmítá odpovědnost – Hackers steal $50,000, bank refuses to assume responsibility. Banka (Bank of America) se odkazuje na smlouvu, podle které musí banka vrátit peníze, jen když se prokáže, že ke kompromitaci došlo z viny banky. Banka tvrdí, že příčinou byl trojan na počítači zákazníka.

Hardware

Péče o vaše PC, co provádět, jak a kdy, podrobnosti uvádí Lincoln Spector v užitečném přehledu – PC Maintenance: What Tasks When?.

Hacknutí kryptografického čipu, tento výsledek Christophera Tarnovského je komentován v několika článcích:

Mobilní a bezdrátové telefony

Cracknuto šifrování DECT (bezdrátové telefonní přípojky) – Microscope-wielding boffins crack cordless phone crypto. Karsten Nohl a Erik Tews a Ralf-Philipp Weinmann prezentují tento svůj výsledek na konferenci 17th International Workshop on Fast Software Encryption, která probíhá ve dnech 7.-10. února v jihokorejském Soulu.

Elektronické bankovnictví

Společnost v Michiganu žaluje banku kvůli nedostatečnému zabezpečení – Comerica Phish Foiled 2-Factor Protection. Zaměstnanec společnosti EMI byl předmětem úspěšného phishingového útoku a v důsledku toho firma přišla o půl miliónu dolarů. Banka totiž rozesílá svým klientům e-maily, ve kterých je žádá, aby klikli na odkaz kvůli aktualizaci bezpečnostních technologií banky. Zajímavý případ.

Nalezena nová chyba v systémech chip and pin – New flaws in chip and pin system revealed. Profesor Ross Anderson (Cambridge University Computer Laboratory): v tomto systému, který používají milióny lidí na celém světě, je chyba. Umožňuje provádění transakcí bez znalosti pinu. Samotná studie je zde  – Chip and PIN is Broken

Viz také diskuzi na Schneierově blogu – Man-in-the-Middle Attack Against Chip and PIN.

Popis toho, jak systém pracuje, najdete v článku – How the Cambridge chip and PIN attack works .

Další komentář je pak v článku – PIN check in EMV protocol for EC and credit cards bypassed .

Autentizace, hesla

Podvody s ID vzrostly v loňském roce o 12 procent (v USA) – Identity fraud climbed 12% last year . Nárůst o 12 procent znamená celkem 11,1 miliónu obětí. Objem podvodů činil 54 miliard amerických dolarů. Ellen Messmer komentuje v tomto článku zprávu 2010 Identity Fraud Survey Report (Javelin Strategy & Research).

Kryptografie

Voice Over IP: The VoIP Steganography Threat aneb steganografie uvnitř VoIP, polští autoři podrobně rozebírají tuto tématiku. Ukazují, že narůstá využívání těchto postupů kriminální stranou.

Romantická kryptografie (k svátku sv. Valentýna), starší článek se dočkal aktuálních komentářů na stránce:

Viz také:

UX DAy - tip 2

Martin Hellman, Whitfield Diffie a Ralph Merkle byli vyznamenáni – Stanford encryption pioneer who risked career becomes Hamming Medalist. Jeden z pionýrů kryptografie s veřejným klíčem Martin Hellman spolu se svými tehdejšími spolupracovníky Whitfieldem Diffie a Ralphem Merkle byli oceněni – 2010 Richard W. Hamming Medalists.

Různé

Přehled vychází z průběžně publikovaných novinek na Crypto – News.

Byl pro vás článek přínosný?