Bezpečnostní střípky: útoky na e-mailové účty

Jaroslav Pinkava 12. 10. 2009

Pravidelný přehled informací vztahujících se k problematice bezpečnosti IT. Z novinek tohoto týdne upozorníme na nové informace týkající se bezpečnosti internetového bankovnictví, na deset dalších cest k detekci malware Michaela Kassnera a na doporučení ohledně ochran proti phishingovým podvodům.

Obecná a firemní bezpečnost IT

Je připravován zákon (USA), který má napomoci větší bezpečnosti v P2P sítích – Bill to make P2P file sharing safer passes House Committee. Podle návrhu zákona bude např. nelegální takový SW, který zapříčiní, že soubory uživatele budou sdíleny v P2P síti bez vědomí uživatele. Autorem tohoto komentáře je Jaikumar Vijayan.

Will Books Be Napsterized? – čeká knihy stejný osud jako digitální hudební skladby? E-knihy, setkáváme se s nimi stále častěji. Když byla vydána nová kniha Dana Browna – Lost Symbol, Amazon vydal souběžně její elektronickou verzi a téměř současně se pak objevily její pirátské kopie. Digitalizace hudby vedla k určitému poklesu zisků vydavatelů, autor článku se ptá, zda toto je také budoucí osud vydavatelů knih. Určitý rozdíl tu však existuje. Zatímco, pokud si pustím elektronickou (pirátskou) verzi hudební skladby, je zážitek posluchače naprosto stejný jako při poslechu originální (zaplacené) verze, pak přeci jen je rozdíl, zda čtu knihu v papírové či elektronické podobě (alespoň zatím – uvidíme co tomu řeknou uživatelé čteček e-knih). Viz také – Knihy.google.cz – v roce 2030.

Studie (Robert Half Technology) říká, že 54 procent společností zakazuje používat Facebook a Twitter v práci. Jen deset procent z dotázaných 1400 CIO povoluje ve své organizaci plný přístup k těmto sociálním sítím (Twitter, Facebook, LinkedIn a MySpace) – Study: 54% of companies ban Facebook, Twitter at work. Podle jiného přehledu (Nucleus Research) ve firmách, které povolují přístup do sociálních sítí, klesá produktivita práce.

Klady a zápory koncepce Defense in Depth rozebírá Ariel Silverstone Where Defense in Depth Falls Short. Tento koncept se týká jak fyzické bezpečnosti, tak i bezpečnosti online. V jeho rámci je vytvářeno takzvané tvrdé jádro (kde jsou umístěny „korunní perly“ organizace), které je pak obehnáno zdmi a vůči kterému jsou uplatňovány zvyšující se bezpečnostní nároky.

CIA podporuje cloud computing, pouze ale interně – CIA endorses cloud computing, but only internally. CIA nyní formuje svůj vnitřní cloud (mračno). CIA vidí v tomto přístupu mj. možnosti snížení nároků na administraci serverů.

Většina organizací se dívá na únik dat jako na interní hrozbu – Most organizations view data leakage threat as internal. V článku je uvedeno několik čísel z přehledu, který zpracovalo IDC (45 procent respondentů uvádí jako příčinu náhodnou chybu zaměstnance, pouze 15 procent respondentů uvádí externího hackera se zlým úmyslem.

Sedm smrtelných hříchů bezpečnostní politiky – The Seven Deadly Sins of Security Policy – zformulovala Joan Goodchild:

  1. Formulacím zásad bezpečnostní politiky nepředcházela analýza rizik.
  2. Myšlení typu: co se hodí na jednu situaci, hodí se na všechny (bezmyšlenkovité přebírání cizích modelů).
  3. Není používán standardní postup (šablona) při vytváření dokumentace.
  4. Politika je dobrá jen na papíře.
  5. Management se v praxi neztotožňuje s politikou.
  6. Sepsání politiky až tehdy, kdy už systém běží a je používán.
  7. Politika není dostatečně dodržována a toto není kontrolováno.

Jaké jsou dnešní hrozby a jaké proto klást nároky na chystané bezpečnostní řešení? Osmistránková studie společnosti Webroot How bad are the bad guys? se zaměřuje na bezpečnost webů (nezbytná je registrace). Hlavní závěry:

  • Hrozby vycházející z webů nemizí, ale mění se jejich charakter. Stále více jsou orientovány snahami po finančním zisku online kriminality.
  • Existuje určitý počet mechanizmů, každý z nich je orientován na svůj vlastní zisk. Podstatou útoků je pak několikavrstvový přístup, který vychází z vhodných použití těchto jednotlivých mechanizmů.
  • Pro ochranu před těmito útoky musí být výchozím bodem vhodné nastavení politik, zvýšené povědomí uživatelů a implementace vhodné směsi ochranných přístupů.

Cyberdeterrence and cyberwar – rozsáhlá studie společnosti RAND Corporation se věnuje potřebám kybernetické bezpečnosti USA. USA se musí koncentrovat na ochranu svých kritických sítí proti kybernetickým útokům. Stručný komentář k této studii (240 stran) je obsažen v článku U.S. should focus on the protection of critical networks against cyber attacks.

E-mailové účty

Nejprve zpráva z počátku minulého týdne, kdy hesla k účtům Hotmailu vyložili hackeři online – Hotmail passwords leaked online. Jedná se o tisíce účtů. Jakou cestou únik těchto dat proběhl, se zatím stále neví. Viz také komentář Briana Krebse – Trove of Hotmail Passwords Posted Online a článek Hackeři útočí. Ohrožují maily od Microsoftu.

Jaká hesla se na Hotmailu vyskytovala nejčastěji? Z deseti tisíc prozrazených se jako nejfrekventovanější ukázalo heslo „123456“, bylo použito celkem 64krát. 42 procent hesel obsahovalo pouze malá písmena. Dva tisíce hesel bylo sestaveno z pouhých šesti písmen – Most Common Hotmail Password Revealed!. Podrobnější informace jsou pak v tomto článku – A look at stolen Hotmail data finds simple passwords.

Příšly pak další zprávy, prozrazeny byly další desetisíce dat k e-mailovým účtům – Gmail, AOL, Yahoo! all hit by webmail phishing scam. Podle zprávy BBC se objevily další seznamy dat k e-mailovým účtům (Hotmail, Gmail, Yahoo a AOL) – má se jednat o třicet tisíc účtů. Viz také – Google confirms Gmail phishing attack.

Hacknuté mailové účty jsou používány k rozesílání spamu – Hacked web mail accounts used to send spam. Carly Newman zde komentuje výsledky analýzy společnosti Websense. Mj. poukazuje také na skutečnost, že se stále diskutuje o tom, jak vlastně k hacknutí e-mailových účtů došlo. Kromě phishingu je uvažováno také o keyloggerech.

V reakci na aktuální útoky se na blogu G-mailu objevila doporučení k volbě hesel (Michael Santerre) – Choosing a smart password (v pěti bodech).

Software

ICANN zkoumá tajnůstkářské vlastníky domén – ICANN studies secretive domain owners. Někteří vlastníci domén toho o sobě moc nechtějí sdělit. ICANN připravuje hlubší analýzu této části spektra majitelů domén.

MIT přichází s novým programovacím nástrojem, který automatizovanou cestou ucpe díry webových aplikací – Securing the web. A new MIT programming tool would automatically plug holes that hackers exploit. Příslušná studie je zde – Improving Application Security with Data Flow Assertions.

Firewally chrání banky nedostatečně – Firewalls failing to protect banks, says security expert. Zákazníci, kteří používají firewally, platí velké peníze za nic – takto se mj. vyjádřil v interview pro ZDNet UK Nir Zuk.

Malware

Crimeware – co o něm možná nevíte, se můžete dozvědět v článku Crimeware: How it works. Michael Kassner načerpal své poznatky v rozhovoru s Joe Stewartem (SecureWorks). Jsou zde mj. popsány vlastnosti trojanů Zeus a URLZone.

K trhu s malware: existují různé výše plateb za infikování PC v různých zemích  – Malware flea market pays hackers to hijack PCs. Ellen Messmer rozebírá šedou ekonomiku kybernetického podsvětí, speciálně kruhy okolo Pay-Per-Install.org.

Dalších deset cest k detekci malware posbíral Michael Kassner (10 more ways to detect computer malware):

  1. Avira AntiVir
  2. Emsi a-squared
  3. Microsoft Security Essentials
  4. Microsoft Event Viewer
  5. X-RayPC
  6. SystemLookup.com
  7. VirusTotal
  8. Third-party firewalls – Online Armor
  9. Wireshark
  10. Bleeping Computer’s Com­bofix

Kasssner navazuje na svůj předchozí článek 10 ways to detect computer malware.

Bahama botnet a jak souvisí s klikacímí podvody, o tom se dozvíte v článku Botnet caught red handed stealing from Google. Ti, co stojí za tímto botnetem, vymysleli cestu, jak zneužít výsledky vyhledávání Google. Viz také – Botnet caught red handed stealing from Google.

Mobilní telefony

Šedesát procent Britů ukládá osobní data do svého chytrého mobilu – 60% of Brits store personal data on their phone. Přitom podle výzkumu společnosti Trend Micro je 93 procent těchto mobilů (smartphone) nechráněno proti online krádežím.

Majitelé Blackberry – nestahujte vše, co uvidíte – Careless downloading makes BlackBerry users spy targets. Snadno se z tohoto přístroje může stát nástroj špionáže, který bude kontrolovat majitele, jeho pohyb, ale dokonce i umožní odposlechy jeho hovorů, ukrást seznam kontaktů, číst SMS a prohlížet fotografie v aparátu obsažené. Tyto informace byly předneseny na konferenci Hack in the Box v Kuala Lumpur.

Elektronické bankovnictví

Bankovní trojané se brání proti svému sledování – Nasty banking Trojan makes mules of victims. Sofistikovanost těchto trojanů je stále větší, umí nyní i nalhat vyšetřovatelům, kam vlastně odchází peníze.

Trojan Zeus infikoval banku bezpečnostní firmy – Zeus Trojan Infiltrates Bank Security Firm. Pracovníci firmy Silver Tail Systems prováděli prvního září letošního roku online seminář k vlastnostem trojana Zeus. Týden nato Zeus infikoval vlastní ochrany této firmy. Ve formě se domnívají, že šlo o cílený útok.

Téma, které se nyní objevuje (pochopitelně) v titulcích řady zpráv, je nyní diskutováno také na Schneierově blogu – Malware that Forges Bank Statements. Která bankovní schemata odolávají tomuto typu útoku a které banky je používají?

VISA vydala doporučované nejlepší postupy při šifrování v organizacích – Global data encryption best practices. Tato doporučení mají napomoci při přípravě normy, která postupy pro šifrování platebních operací detailně upraví. Další komentář – Visa Releases Encryption Guidelines for Merchants – obsahuje i odkaz na samotný dokument:

Materiál laboratoře RSA (RSA FraudAction Research Lab) podrobně rozebírá fungování trojana URLZone – The Arms Race between Black Hats and White Hats Steps Up with URLZone Trojan. Viz také komentáře:

Situace v bankovnictví: krize vede k horším hrozbám – Bankers Gone Bad: Financial Crisis Making The Threat Worse. Kelly Jackson Higgins komentuje čísla z přehledu, který byl zpracován firmou Actimize a také vydání knihy (která vyjde tento měsíc):

Insidious – How Trusted Employees Steal Millions and Why It´s So Hard for Banks to Stop Them.
Sedmdesát procent finančních institucí čelilo v posledních 12 měsících finančním podvodům.

Velká Británie : množství online bankovních podvodů dosáhlo nového vrcholu – Online banking fraud in the UK hits a new high. Jeremy Kirk komentuje nejnovější statistiky (Financial Fraud Action – FFA).

S odkazem na počítačovou kriminalitu ředitel FBI nepoužívá online bankovnictví – Citing cybercrime, FBI director doesn't bank online. Nechybělo moc a Robert Mueller se stal obětí phishingového podvodu (e-mail, který vypadal, jako by přišel z jeho banky). Viz také – Wife bans FBI head from online banking.

Phishing

Phishingové útoky zneužívající smrti celebrit nejsou vzácností. 12 takovýchto příkladů je názorně ukázáno na dvanácti slajdech – 12 Celebrity Death Phishing Attacks.

Avoid being a victim of an e-mail phishing scam – dávejte pozor na phishingové podvody. Larry Magid reaguje na prozrazená hesla k e-mailovým účtům a shrnuje doporučení, která mají pomoc uživatelům vyvarovat se toho, aby se stali obětí takovýchto a obdobných phishingových podvodů.

Byla dopadena stovka phisherů v dosud největším případě počítačové kriminality – Feds net 100 phishers in biggest cybercrime case ever. Operation Phish Phry. Americké a egyptské orgány obvinily 100 lidí ve phisherských útocích na účty zákazníků Bank of America a Well Fargo. Tyto útoky vedly ke ztrátím v objemu nejméně jeden a půl miliónu dolarů.

Viz také – Operation Phish Phry hooks 100 in U.S. and Egypt a další komentář je zde – Analysis: Phishing arrests highlight massive problem.

Elektronický podpis

Digitální podpisy v prostředí .NET, úvod do této problematiky najdete na stránce Beginning with Digital Signatures in .NET Framework. Napsal ho Matteo Slaviero. Autor také vyjádřil ochotu zodpovědět případné dotazy.

Normy a normativní dokumenty

Americký NIST vydal v tomto týdnu následující dokument:

Další verze tohoto draftu přináší některé modifikace.

Kryptografie

Autor (Daniel Lichtblau) studie Solving knapsack and related problems ukazují cesty k řešení některých variant problému rance (batohu) prostřednictvím SW Mathematica.

Různé

Jak sledovat pohyb lidí uvnitř zdí s využitím signálu bezdrátové sítě, toto téma je předmětem materiálu Through-Wall Motion Tracking Using Variance-Based Radio Tomography Networks. Autory této zajímavé studie jsou Joey Wilson a Neal Patwari. Určitě existují její užitečná využití (pohyb teroristů a rukojmí v budově), na druhou stranu (jako je to se vším) lze toto i zneužít z opačné strany.

Přehled vychází z průběžně publikovaných novinek na Crypto – News.

Našli jste v článku chybu?
Lupa.cz: Olympiáda zakázala GIFy. Moc to nepomáhá

Olympiáda zakázala GIFy. Moc to nepomáhá

Vitalia.cz: „Sjíždět“ porno není bez rizika

„Sjíždět“ porno není bez rizika

Měšec.cz: Platíme NFC mobilem. Konečně to funguje!

Platíme NFC mobilem. Konečně to funguje!

Vitalia.cz: Očkování je nutné, říká homeopatka

Očkování je nutné, říká homeopatka

Vitalia.cz: Galerie: Strouhanka ze starých rohlíků? Kdepak

Galerie: Strouhanka ze starých rohlíků? Kdepak

Lupa.cz: Kdo vykrádá LinkedIn? Zjistit to má soud

Kdo vykrádá LinkedIn? Zjistit to má soud

120na80.cz: Kam umístit silikony?

Kam umístit silikony?

Lupa.cz: Co vzal čas: internetové kavárny a herny

Co vzal čas: internetové kavárny a herny

Měšec.cz: Udali ho na nelegální software a přišla Policie

Udali ho na nelegální software a přišla Policie

Root.cz: Xiaomi má vlastní notebook podobný Macu

Xiaomi má vlastní notebook podobný Macu

Podnikatel.cz: Pozor na vykuky, imitují služby České pošty

Pozor na vykuky, imitují služby České pošty

Lupa.cz: Samořídicí taxíky jsou tu. Začíná s nimi Uber

Samořídicí taxíky jsou tu. Začíná s nimi Uber

Vitalia.cz: Za její cukrovkou stojí rodiče

Za její cukrovkou stojí rodiče

Měšec.cz: Kurzy platebních karet: vyplatí se platit? (TEST)

Kurzy platebních karet: vyplatí se platit? (TEST)

Měšec.cz: Na návštěvě na exekutorském úřadě

Na návštěvě na exekutorském úřadě

Vitalia.cz: Vakcína Cervarix je oficiálně i pro chlapce

Vakcína Cervarix je oficiálně i pro chlapce

Měšec.cz: Co s reklamací, když e-shop krachuje?

Co s reklamací, když e-shop krachuje?

Měšec.cz: Ceny PHM v Evropě. Finty na úspory

Ceny PHM v Evropě. Finty na úspory

Vitalia.cz: Musí moudrák opravdu ven?

Musí moudrák opravdu ven?

DigiZone.cz: Jetelín končí. Prima ho vyřadila

Jetelín končí. Prima ho vyřadila