Bezpečnostní střípky: utoky na bezpečnostní firmy

Jaroslav Pinkava 16. 2. 2009

Pravidelný přehled informací vztahujících se k problematice bezpečnosti IT. Z novinek tohoto týdne lze upozornit na návod, jak bezpečně v sociálních sítích (Facebook), na informaci o útoku na webové stránky tří bezpečnostních firem a na plány Obamovy administrativy ve vztahu ke kybernetické bezpečnosti USA.

Přehledy a konference

Několik slajdů z konference Shmoocon vám přiblíží její atmosféru – Slideshow: Scenes from ShmooCon. Konference se konala o předešlém víkendu ve Washingtonu.

Společnost F-Secure vydala přehled, ve kterém rozebírá následující otázku: Co uživatelé vědí o rizicích internetu? Bezpečnostní software je sice široce využíván, ale bezpečnostní povědomí uživatelů zanechává pesimistický dojem – Survey: 92 % have security software but how many are aware of the threats? Na přehledu se podíleli uživatelé internetu jak ve Spojených státech, tak i v dalších zemích – Kanadě, Velké Británii, Francii, Německu, Itálii, Indii a Hong Kongu. Jednalo se celkem o 2019 uživatelů ve věku od 20 do 40 let.

Obecná a firemní bezpečnost IT

Britain under attack from 20 foreign spy agencies including France and Germany  – ke zprávě o kybernetické špionáži ve Velké Británii. Kdo, co a jak, informace ze zprávy pro vládní organizace unikly nějakým způsobem do tisku. I takové země jako spojenci v NATO (Německo a Francie) se pokouší Velké Británii ukrást její největší tajemství. Existují snahy získat informace v takových oborech jako jsou vojenství, optika, komunikace, genetika a letecký průmysl.

Barack Obama spouští revizi kybernetické bezpečnosti – Obama begins cybersecurity review. Koordinovat ji bude Melissa Hathaway. Revize má proběhnout v průběhu 60 dnů. Viz také:

Rozebrány mají být veškeré plány, programy a aktivity oficiálních snah USA ve vztahu ke kybernetické bezpečnosti. Obama již několikrát při různých příležitostech zdůrazňoval strategický význam kybernetické bezpečnosti. Prohlásil mj.: Potřebujeme mít takové kapacity, abychom byli schopni identifikovat, izolovat každý kybernetický útok a umět na něj odpovědět. Je potřeba vyvinout nové normy pro kybernetickou bezpečnost, takové, které se vztahují k našim nejdůležitějším infrastrukturám, od elektráren ke kanalizacím, od kontroly letecké dopravy k našemu trhu.

Safer Internet Programme (2009 – 2013), Na tomto evropském programu se podílí i Česká republika. Desátý únor byl dnem za bezpečnější internet – Safer Internet Day – 10 February 2009.

JOAN GOODCHILD přichází s pěti doporučeními – 5 Tips for Managing Security in a Recession. Řada firem mění v současné době své priority, a proto tato doporučení mají za cíl pomoci řídit správu bezpečnosti IT v době recese:

  • Podle rizik/výhod stanovte své priority
  • Formujte svůj tým ve správných proporcích
  • Vytvořte opakovatelné procesy
  • Zvolte optimální strategii ve vztahu k nákladům
  • Vtipně své procesy automatizujte popř. použijte outsourcing

Deset chyb, které dělají noví administrátoři Windows, uvádí DEBRA LITTELJOHN SHINDER v užitečném přehledu (nepřehlédněte diskuzi) – 10 mistakes new Windows administrators make:

  1. Pokouší se najednou všechno změnit
  2. Přeceňují technické zkušenosti koncových uživatelů
  3. Podhodnocují technické zkušenosti koncových uživatelů
  4. Neobrací se k auditu
  5. Neudržují systémy v aktualizované podobě
  6. Zanedbávají bezpečnostní otázky
  7. Nedokumentují změny a úpravy
  8. Netestují zálohy
  9. Příliš mnoho naslibují a skutek utek
  10. Bojí se vyžádat si pomoc

Odcházíte ze zaměstnání? Deset doporučení pro vaši bezpečnost připravil CHAD PERRIN – 10 tips for personal security when you leave an employer. Např.:

  • Šifrujte soukromou komunikaci
  • Nenarušte firemní politiky
  • Chraňte vhodným způsobem svá soukromá hesla a klíče

Víte, kdo jsou hacktivisté? Vznikají spojením aktivistů různého typu s hackery. TOM OLZAK v článku – Hacktivism: Are you vulnerable? – vysvětluje nebezpečí plynoucí z jejich činnosti.

Software

Pro nástroj Metasploit jsou chystány nové služby – Metasploit Hacking Tool To Add New Services-Based Features. V článku je popisuje KELLY JACKSON HIGGINS – tyto služby mají napomoci vytvořit novou generaci postupů vhodných pro penetrační testy.

Váš prohlížeč za vaše problémy nemůže, říká TOM OLZAK v Don’t expect too much from your browser. Rozebírá zde problémy související s brouzdáním po internetu. Vyzdvihuje vlastnosti prohlížeče Chrome (používaný spolu s Sandboxie – Use free sandboxing software to isolate risky behavior).

Jak lze ve Windows serveru 2008 obejít ochranu heslem – Bypassing Windows Server 2008 Password Protection. Podmínkou pro postup popisovaný v této krátké studii je fyzický přístup k serveru.

„MIME sniffing“ v IE umožňuje útoky XSS – Risky sniffing. MIME sniffing in Internet Explorer enables cross-site scripting attacks. Tato vlastnost Internet Exploreru, která původně byla zamýšlena pro bezpečnější práci s prohlížečem, se nyní v prostředí Webu 2.0 stává rizikem.

Malware

Již se zpětnou platností, ale možná ještě přijde vhod připomenutí článku JAKUBA DVOŘÁKA – Pozor na zamilované škodlivé valentýnské e-maily.

Microsoft nabízí čtvrt miliónu dolarů za informaci o autorovi červa Conficker – Microsoft offers $250,000 reward for Conficker arrest. Conficker/Downadup již infikoval milióny počítačů. Požadovaná informace musí vést k uvěznění autora červa. Zatím se přes veškeré úsilí Microsoftu (a samozřejmě také bezpečnostních složek) autora vypátrat nedaří. Viz také – Microsoft, Symantec, VeriSign join forces to fight Downadup worm.

Viry

Fake Infection Warnings Can Be Real Trouble – opět se opakuje varování, pozor na falešné antiviry! ERIK LARKIN popisuje zkušeností s programem Antivirus 2009 a uděluje rady směřující k opatrnosti.

Hackeři

Chyba Kasperského vystavila citlivá data nebezpečím – Kaspersky breach exposes sensitive database, says hacker. Jednoduchý útok typu SQL injection umožňuje přístup do databáze, která obsahuje uživatele, aktivační kódy a řadu dalších údajů. Viz ale také popis reakce – Kaspersky hacker: database exposed for days.

Také BitDefender má obdobné problémy jako Kaspersky – Bitdefender (Portugal) exposes sensitive. Portugalské stránky prodejce produktů společnosti BitDefender umožňují útok,který vede k prozrazení dat zákazníků společnosti.

A do třetice – také stránky F-Secure byly zranitelné ve vztahu k útoku SQL injection – Hacker site claims breach of third security firm Web site in a week. Všechna tři oznámení pochází od rumunského hackera (HackersBlog).

Hackeři ukradli 45 000 záznamů zaměstnanců americké letecké správy – FAA says info on 45,000 workers stolen in data breach. FAA (Federal Aviation Administration) to oznámila 9. ledna.

Nestaňte se další obětí ztráty dat – Don´t be a data loss victim. LINDA MUSTHALER na příkladu objasňuje současné postupy hackerů.

Hacking Exposed 6, to je recenze stejnojmenné knihy. Tuto knihu, která má 720 stran, vydalo v lednu 2008 nakladatelství McGraw-Hill a najdete ji na Amazonu.

Sociální sítě

Slabiny sociálních sítí (jako např. Facebook) byly demonstrovány na konferenci Shmoocon 2009 – Slapped in the Facebook: Social Networking Dangers Exposed. V citovaném článku BILL BRENNER komentuje vystoupení, které na konferenci přednesli Nathan Hamiel a Shawn Moyer.

Používáte Facebook? Zde najdete doporučení k ochraně vašeho soukromí – 10Privacy Settings Every Facebook User Should Know. NICK O´NEILL popisuje vhodná nastavení, která by měl znát každý uživatel Facebooku. Viz také diskuzi na Schneierově blogu – Privacy on Facebook.

Hardware

40 procent pevných disků zakoupených na eBay obsahuje osobní či firemní data – Survey: 40% of hard drives bought on eBay hold personal, corporate data. Přestože se informace tohoto typu objevují periodicky, situace se nelepší.

Šifrování celých disků je jen začátek, říká TOM OLZAK v Enabling drive-level encryption is only the beginning. Reaguje tak na nedávnou informaci o chystané normě TCG (Trusted Computing Group).

Bezdrát

Z konference Shmoocon – Predicting the Hopping Pattern – aneb jak odposlechnout Bluetooth (Bluetooth sniffing). Článek je technicky orientovaný materiál.

Základní příručku k bezpečnosti bezdrátu najdete na stránce The Essential Guide to Wireless Security . Je to pokračování série JOHNA EDWARDSE – The Essential Guide… Skládá se standardně opět ze dvou částí, první z nich popisuje možné hrozby, druhá pak cesty k obranám před těmito hrozbami.

VoIP

Recenzi knihy Hacking VoIP: Protocols, Attacks, and Countermeasures najdete na stránkách HELP NET SECURITY. Autorem knihy je HIMANSHU DWIWEDI, kniha má 220 stran, vyšla v nakladatelství No Starch Press v březnu 2008. Koupit si ji můžete na Amazonu.

Nabízí NSA miliardy firmě, která jí pomůže odposlouchávat Skype? Tato informace snad pronikla u příležitosti akce v Londýně – Counter Terror Expo – NSA offering ‚billions‘ for Skype eavesdrop solution.

RFID

Diskuzi na blogu BRUCE SCHNEIERA ke klonování RFID pasů najdete na stránce Cloning RFID Passports . Jsou zde i některá upřesnění k situaci.

Mobilní telefony

Lokalizujte polohu svojho mobilu pomocou satelitu, stránka pobaví, ale také donutí k zamyšlení.

ESET aktualizuje svůj antivir pro chytré mobily – ESET updates their Antivirus for Smartphones. Článek obsahuje stručný popis novinek.

Objevil se nebezpečný exploit pro Android – Android exploit so dangerous, users warned to avoid phone’s web browser. Uživatelé by podle toho, jak je v článku uvedeno, neměli používat prohlížeč.

Spam

Která slova se ve spamu objevují v poslední době nejčastěji? Zpráva (Spam Omelette) vyjmenovává tato: UND, EMAIL, RECEIVE, UNSUBSCRIBE a TIME – Latest Spam Omelette report focuses on top spam words.

Elektronické bankovnictví

Devět miliónu dolarů bylo ukradeno prostřednictvím bankomatů, a to v rámci koordinovaného podvodu, kdy během 30 minut z bankomatů po celém světě (49 měst, např. Atlanta, Chicago, New York, Montreal, Moskva a Hong Kong) byla (celkově) vyzvednuta tato suma. Byla zneužita data, která byla v roce 2008 ukradena společnosti RBS World Pay – $9 Million stolen in ATM Scam.

The PayPal approach to customer security aneb PayPal a jeho přístup k bezpečnosti jsou rozebírány v rozhovoru s Michaelem Barrettem, bezpečnostním ředitelem PayPal.

Internet-banking – jak předejít útokům?, to je dvoudílný článek DAVIDA SILMENA: „Takzvaný internet-banking je sice skvělá a komfortní věc. Ale s tím, jak se z ní stala masová záležitost, přibylo i zločinců, využívajících relativně snadno dostupných dat. Co hlídat a jak nepřijít o úspory?“Druhý díl článku najdete zde:

Krádež dat z platebního systému Heartland již postihla 160 bank – Heartland data breach hit 160 banks (and rising). Toto číslo přitom pravděpodobně nebude konečné.

Autentizace, hesla

Uživatelé stále používají predikovatelná hesla a usnadňují tak práci hackerům – Database Hack Shows Predictability Of Passwords. Viz také v článku odkazovaný seznam The Top 500 Worst Passwords of All Time.

Analýzu hacknutých hesel PHPBB najdete na stránce PHPBB Password Analysis . Autorovi průniku (ze začátku února) se podařilo pomocí jednoduchého programu na zjišťování hesel podle MD5 hashe bez soli najít 28 000 hesel k účtům. V článku je k dispozici statistická analýza těchto hesel. Je velmi zajímavá, leccos vypovídá o znalostech a chování uživatelů takovýchto webů.

Survey: Identity fraud climbs, but costs less  – množství podvodů s ID roste. Klesají však průměrné ztráty spotřebitele. Podle zprávy – 2009 Identity Fraud Survey Report.

widgety

Normy a normativní dokumenty

Americký NIST vydal v uplynulém týdnu následující draft:

Různé

Přehled vychází z průběžně publikovaných novinek na Crypto – News.

Našli jste v článku chybu?
Podnikatel.cz: Dva měsíce na EET. Budou stačit?

Dva měsíce na EET. Budou stačit?

Podnikatel.cz: Vytvořte si web sami. Redakční systém Tumblr

Vytvořte si web sami. Redakční systém Tumblr

Lupa.cz: Jak levné procesory změnily svět?

Jak levné procesory změnily svět?

Lupa.cz: Adblock Plus začal prodávat reklamy

Adblock Plus začal prodávat reklamy

Měšec.cz: TEST: Vyzkoušeli jsme pražské taxikáře

TEST: Vyzkoušeli jsme pražské taxikáře

Root.cz: Hořící telefon Samsung Note 7 zapálil auto

Hořící telefon Samsung Note 7 zapálil auto

DigiZone.cz: DVB-T2 ověřeno: seznam TV zveřejněn

DVB-T2 ověřeno: seznam TV zveřejněn

Podnikatel.cz: Tyto pojmy k #EET byste měli znát

Tyto pojmy k #EET byste měli znát

Vitalia.cz: Muž, který miluje příliš. Ženám neimponuje

Muž, který miluje příliš. Ženám neimponuje

Podnikatel.cz: Udělali jsme velkou chybu, napsal Čupr

Udělali jsme velkou chybu, napsal Čupr

Vitalia.cz: Antibakteriální mýdla nepomáhají, spíš škodí

Antibakteriální mýdla nepomáhají, spíš škodí

Vitalia.cz: Vodárny varují: Ve vodě z kohoutku jsou bakterie

Vodárny varují: Ve vodě z kohoutku jsou bakterie

120na80.cz: Nejsilnější alergeny jsou pryč

Nejsilnější alergeny jsou pryč

Vitalia.cz: Test dětských svačinek: Tyhle ne!

Test dětských svačinek: Tyhle ne!

120na80.cz: Co je padesátkrát sladší než cukr?

Co je padesátkrát sladší než cukr?

Vitalia.cz: dTest odhalil ten nejlepší kečup

dTest odhalil ten nejlepší kečup

Lupa.cz: Cimrman má hry na YouTube i vlastní doodle

Cimrman má hry na YouTube i vlastní doodle

Podnikatel.cz: Nemá dluhy? Zjistíte to na poště

Nemá dluhy? Zjistíte to na poště

Podnikatel.cz: Rohlik.cz testoval roboty pro rozvážku

Rohlik.cz testoval roboty pro rozvážku

DigiZone.cz: Budoucnost TV vysílání ve Visegrádu

Budoucnost TV vysílání ve Visegrádu