Bezpečnostní střípky: velmi vysoké procento hacknutých organizací

Jaroslav Pinkava 14. 2. 2011

Pravidelný pondělní přehled informací vztahujících se k problematice bezpečnosti IT. Z novinek právě uplynulého týdne upozorníme především na řadu přehledů, které se minulý týden objevily, na odvetu skupiny Anonymous a uniklý plán na likvidaci WikiLeaks a na pokračování případu s konzolí Sony PS3.

Přehledy a konference

Prudký nárůst bezpečnostních hrozeb pro mobilní telefony zjistila společnost McAfee – Cellphone security threats rise sharply: McAfee . Uvádí to ve své zprávě o hrozbách (za 4. čtvrtletí 2010) vydané minulé úterý. V článku jsou komentovány některé další výsledky této zprávy. Další komentář k této zprávě je zde – Malware exploding, especially on mobile devices.

V průběhu posledních dvou let bylo hacknuto 73 procent organizací – 73 % of organizations hacked in the last 2 years. Tento článek informuje o výsledcích přehledu, který společně zpracovali Barracuda Networks, Cenzic a Ponemon Institute.

Organizace stále ještě nechápou význam bezpečnostních strategií pro aplikace – Organizations still don't understand application security strategies. Říkají to výsledky zprávy (Managing Information In Insecure Times: 2011 OAUG Data Security Survey, 37 stran), kterou připravila společnost Application Security.

Uživatelé Facebooku a Google mají obavy o své soukromí – Report: Privacy worries many Facebook, Google users. Juan Carlos Perez komentuje výsledky přehledu, který připravily Gallup Poll a USA Today. Jsou zde uvedena některá čísla, například 70 procent uživatelů Facebooku (Google – 52 procent) se nějak či velmi obávají o své soukromí. Tyto obavy však nevedou k tomu, aby uživatelé přestali tyto služby používat.

Zpráva Cisco 4Q10 Global Threat Report shrnuje data posbíraná prostředky společnosti Cisco za čtvrté čtvrtletí 2010. Komentář k výsledkům zprávy je na stránce – Web malware grew by 139 percent.

Rozsáhlá studie mapuje pět let datových průniků – The Leaking Vault. Five Years of Data Breaches. Týká se období 2005–2009 a pokrývá celkem 2807 incidentů (42 stran zaplněných statistikami a grafy, jejím autorem je Suzanne Widup). Komentář k studii je na stránkách networkworld.com.

RSA konference 2011: dominovat budou výzvy cloud computingu – RSA Conference 2011: Cloud security challenges dominate. Konference se koná v San Franciscu ve dnech 14–18. února 2011. Bude zde obsažena speciální sekce s názvem Cloud Computing Privacy and Security: The Legal, Ethical, Regulatory Framework.

Obecná a firemní bezpečnost IT

Světová politika: budou vytvořena pravidla pro používání kybernetických zbraní (obdoba Ženevské konvence)? Mělo se o tom jednat na konferenci v Mnichově – World leaders meet to discuss cyberwar rules of engagement. Hague convention for state-backed hacking?

Velká Británie chce, aby svět řešil otázky kybernetické bezpečnosti efektivněji – William Hague says UK is ready to host an international conference on cyber threats. Jednotlivé země by měly v tomto smyslu více spolupracovat, vytvářet jednotné strategie, popřípadě standardy, kterými se státy budou řídit. Vystoupení ministra zahraničních věcí UK v Mnichově je komentováno také v článku Hague: UK government fell victim to Zeus attack.

Téma lékaři, iPad a bezpečnost dat je předmětem článku iPad security: How a hospital group treated trouble. Tom Kaneshige se v něm zamýšlí jednak nad užitečností těchto moderních nástrojů pro lékaře, jednak nad potřebami řešit související bezpečnostní otázky.

Co si myslí odborníci o problému „kill switch“ pro internet? Micheal Kassner jednak tlumočí známé podrobnosti k navrhovanému zákonu a jednak položil tři otázky odborníkům. Jejich odpovědi pak tlumočí – What the experts think about the viability of an Internet kill switch.

Internet Kill Switch – je v USA vůbec technicky možný? Derek Gabbard ukazuje na faktech, že v současné době by to zřejmě bylo technicky obtížně realizovatelné – ‚Internet Kill Switch‘ – Is this Technically Feasible in the US?. Například počet poskytovatelů internetového připojení je v USA roven číslu 16326, zatímco v Egyptě jich je 91, v Iránu 151, v Barmě třeba jsou pouze 4.

Iránský programátor v exilu: spolupracoval jsem na kybernetické zbrani, kterou Irán vyvíjí – Exiled Iranian programmer: ‚My life was in danger‘ . Dotyčný z bezpečnostních důvodů nechce zveřejnit své jméno a zemi, ve které nyní je. V článku odpovídá na otázky, které mu kladl Bill Brenner.

VAR500 Execs: What Customers Want In Security, aneb co zákazníci chtějí od bezpečnosti. Svůj pohled (prostřednictvím autorky článku) zde vysvětluje Mont Phelps. Největší příležitosti dnes (pro dodavatele technologií) podle něho skýtají tyto oblasti: mobilita, zálohování, cloud computing a dosahování shody.

Nešifrovali, zaplatí – Two councils hit with big fines for laptop blunder. Týká se to dvou londýnských úřadů, kterým byly ukradeny notebooky. Vzhledem k tomu, že data na nich nebyla šifrována, došlo ke kompromitaci osobních údajů. Jednalo se celkem o data 1700 osob.

Američtí zákonodárci se stali cílem zlodějů identit a krádeží účtů – US legislators targeted by identity thieves and account hijackers. Jedná se o reprezentanty státu Missouri. V článku jsou obsaženy úvahy zvažující, jak vlastně ke kompromitacím mohlo dojít.

Recenzi knihy Data Breach and Encryption Handbook si lze přečíst na stránkách Help Net Security. Kniha začne být prodávána v těchto dnech – American Bar Association. Webstore. Na stránce vydavatele najdete také soubory pdf – obsah a vybranou kapitola (Chapter 1. Cybercrime and Escalating Risks). Na přípravě knihy se podílelo celkem 15 autorů.

How a Remote Town in Romania Has Become Cybercrime Central aneb jak se městečko v Rumunsku stalo centrem počítačové kriminality. Novinář barvitě vypráví o svých osobních poznatcích z návštěvy tohoto městečka, o setkání s místní policií i samotnými aktéry.

S některými užitečnými a volně dostupnými příručkami se lze seznámit na stránkách The Register, například

WikiLeaks

Julian Assange (šéf WikiLeaks) může skončit na Guantanámu – Lawyers say WikiLeaks' Assange could end up in Guantanamo. Slyšení, která k tomu mohou vést, byla zahájena v Londýně. Nejprve se jedná o jeho předání švédským orgánům (kvůli obvinění ze sexuálního zneužití).

Odveta: skupina Anonymous hackla stránky HB Gary Federal – HBGary Federal Hacked by Anonymous. Má to být odpověď na to, že Aaron Barr (hlava bezpečnosti HB Gary) prohlásil, že zjistil identity vůdců skupiny Anonymous (využil k tomu sociální sítě) a hodlá je zveřejnit na nadcházející bezpečnostní konferenci v San Franciscu.
Viz také:

Jak se poučit z hacku HBGary? Lessons of the HBGary Hack  – Nick Selby se vrací k tomuto problému ještě před zahájením konference BSidesSanFran­cisco (14 a 15 února 2011). Svým způsobem kritizuje postup Aarona Barra.
Viz také:

Unikl tajný plán na likvidaci WikiLeaks – Secret plan to kill Wikileaks with FUD leaked. Aktuální situaci komentuje Nate Cochrane. Hovoří se zde o spolupráci tří dodavatelů amerických silových ministerstev – Palantir Technologies, Berico Technologies a HBGary. Podrobněji se tomu věnuje článek:

a samotný dokument lze najít zde:

WikiLeaks Defector Defends Site’s Crippling – k rozporům uvnitř WikiLeaks. K vystoupení bývalého mluvčího WikiLeaks Daniela Domscheit-Berga se obrací autor článku John Borland. Domscheit-Berg kritizuje chaotický stav, do kterého se WikiLeaks postupně dostala.

Sociální sítě

Facebook chystá žalobu na „sběratele“ dat jeho uživatelů – Duo scrapes 1M Facebook profiles to create mock ‚dating‘ site. Italové Paolo Cirio a Alessandro Ludovico použili automatický (bot) SW k tomu, aby stahovali (v průběhu několika měsíců) veřejně dostupné informace cca jednoho miliónu uživatelů Facebooku.

Facebook čelí otázkám amerických kongresmanů (ve vztahu k zajištění soukromí svých uživatelů) – Facebook Faces Privacy Questions From Congressmen. Jedná se například o to, zda Facebook může umožňovat vývojářům přístup k osobním datům svých uživatelů.

Soubor nástrojů pro zlodějskou aplikaci na Facebooku lze koupit lacino – Rogue Facebook Application Toolkits Sell for Cheap. Pouhých 25 dolarů stoji Tinie App, s jejíž pomocí lze prý sledovat návštěvníky profilu uživatele. Ovšem – Facebook pochopitelně toto neumožní žádné aplikaci. Podle Symantecu jsou zde kromě Tinie App, ale i další aplikace obdobného typu, např. NeoApp (50 dolarů).

Společnost Gartner zformulovala sedm kritických otázek, které byste si měli zodpovědět před vytvořením politiky pro sociální média – 7 critical questions to ask before developing a social media policy. Jsou to následující:

  • Jaká je strategie naší organizace ve vztahu k sociálním médiím?
  • Kdo napíše politiku a kdo bude provádět její revize?
  • Jak budeme politiku spravovat?
  • Jak budeme informovat zaměstnance o jejich odpovědnostech?
  • Kdo bude odpovídat za monitoring aktivit zaměstnanců v sociálních médiích?
  • Jak budeme školit manažery pro jejich vedení zaměstnanců při používání sociálních médií?
  • Jak budeme reagovat na chybné kroky (pro zdokonalení naší politiky a našich školení)?

Software

Volně dostupnou příručkou, která poradí, jak na správu zranitelností, lze najít na stránce Free Guide: The Top 10 Reports for Managing Vulnerabilities (nezbytná je registrace). Dokument má 17 stran a je rozdělen do deseti oddílů.

USB autorun attacks against Linux aneb USB autorun útok proti Linuxu. Autor článku se vrací k prezentaci, kterou na konferenci Shmoocon přednesl Jon Larimer (IBM X-Force). Prezentace je k článku připojená.

Nová verze Open SSH 5.8 opravuje zranitelnost při podpisování certifikátu (legacy certificate) – OpenSSH 5.8 addresses legacy certificate signing vulnerability.

Microsoft konečně dává sbohem funkci Autorun – Microsoft finally says adios to Autorun. Pro Windows 7 to již platilo, nyní se to týká i starších verzí OS. Modifikace se nevztahuje na CD a DVD, Microsoft ale říká, že podobná zneužití nebyla pozorována. Viz také –

Identifikace podezřelých aktivit prostřednictvím analýzy závad v provozu DNS, s tímto novým přístupem přichází Zhi-Li Zhang, profesor na minnesotské univerzitě – Identifying Suspicious Activities through DNS. Failure Graph Analysis. Viz také komentář k této studii – Tracking The Botnet's DNS Trail.

Srovnání různých implementací TLS najdete na stránce Comparison of TLS Implementations. Hezký přehled pro Wikipedii zpracoval a nyní aktualizoval Simon Josefsson.

Vztah mezi složitostí firewallů a jejich správným nakonfigurováním je diskutován v článku How to Determine Your Firewall Rule Set Complexity. Avishai Wool hledá vhodné postupy, jak měřit složitost firewallů (Cisco a Check Point) a zvažuje pak vztah k počtu konfiguračních chyb.

Ke knize Book of PF (praktická referenční příručka pro OpenBSD firewall) se v článku The Book of PF is the canonical reference for the PF firewall obrací Chad Perrin a dokumentuje její užitečnost. Knihu lze získat i v elektronické podobě (viz závěr článku). Další informace jsou v článku – Filtering PF firewall logs.

Malware

Jak vypadají vnitřnosti byznysu s malware? Grafické znázornění – Inside the Business of Malware – ukazuje zajímavým způsobem jednotlivé souvislosti.

How to Remove Windows Wise Protection aneb jak odstranit ze svého počítače takové smetí jako tzv. Windows Wise Protection? Návod, který se může hodit a zároveň poučí o chování obdobných „pomůcek“.

Viry

Slovensko je třetí nejzavirovanější zemí Evropy, Česko až třiadvacátou, z úvodu: Slovensko patří k zemím s největším podílem zavirovaných počítačů. Podle údajů evropského statistického úřadu Eurostat, který zmapoval k příležitosti Dne bezpečnějšího internetu míru zavirování počítačů v rámci Evropské unie, patří našim východním sousedům třetí příčka. Česká republika dopadla mnohem lépe. Viz také (jsou zde obsaženy i další statistiky) – Nearly one third of internet users in the EU27 caught a computer virus.

Hackeři

Hackeři pronikli do počítačů provozovatele akciového trhu Nasdaq, z úvodu článku na Novinkách: Do počítačů provozovatele akciového trhu Nasdaq pronikli hackeři. Nenarušili však systémy pro obchodování s akciemi, ani nezískali údaje o zákaznících. Informovala o tom společnost Nasdaq OMX Group. Nasdaq je největším elektronickým akciovým trhem ve Spojených státech. Je na něm zaregistrováno přes 2800 podniků. Další informace jsou v článku Hackers Penetrate Nasdaq Computers.

Na Hooverovu přehradu hackeři nemají – No, Hackers Can’t Open Hoover Dam Floodgates. V rámci diskuze o zavedení tzv. kill-switch pro internet (disponoval by jím americký prezident) se objevily argumenty toho typu, že hackeři by mohli otevřít hráze této přehrady (s katastrofálními dopady). Kontrolní systémy přehrady jsou však od internetu odděleny.

Hacking, Old-School aneb hacking v duchu staré školy. Joey Bernard zde vysvětluje možná použití nástroje tcpdump.

Sony chystá další žaloby (hackeři PS3) – Sony To Go After More PS3 Hackers, Including Linux Hacker Graf_Chokolo. Např. se to má týkat jisté osoby, která sebe označuje jako Graf_Chokolo. Tento hacker před několika dny oznámil, že se mu podařilo na PS3 spustit stabilní verzi Linuxu obsahující všechny vlastnosti GameOS.

Sony požaduje identifikaci každého, kdo viděl na YouTube video o hacknutí PS3 – Sony Demanding Identity Of Anyone Who Saw PS3 Jailbreak Video On YouTube. Nepřehání to trochu?

Neuvěřitelná chyba – zaměstnanec (?) Sony zveřejnil PS3 klíč na svém mikroblogu – Sony tweets ‚secret‘ key at heart of PS3 jailbreak case. Kevin Butler je sice vymyšlená postava, ale svými postoji vyjadřuje názory společnosti. Nyní jeho jednání vzbudilo rozruch – Sony´s „Kevin Butler“ Persona Retweets PS3 Master Key. Situaci podrobněji objasňuje článek – Sony shares PS3 master key via Twitter.

K průběhu soudního líčení pře Sony vs. hacker Sony PS3 se obrací článek – Sony to Inspect PlayStation Hacker´s Hard Drive. Sony chce získat přístup k celému obsahu počítače George Hotze.

Izraelská armáda školí hackery – IDF says enlisting hackers. Vystoupil s tím mluvčí IDF (Israel Defense Forces) Avi Benayahu.

Injection attacks tutorial, zde najdete průvodce útokem SQL injection (video). Je to součást řady příruček, kterou připravil OWASP.

Social engineering: 3 examples of human hacking, sociální inženýrství : tři příklady hackingu prováděného lidským jednáním. Známá komentátorka Joan Goodchild v článku uvádí následující příběhy (pochází od Chrise Hadnagy):

  • Příliš si věřící CEO (chrání svá tajemství svým životem) si nechal zaslat pdf, které otevřel a… už to bylo
  • Klient obávající se o bezpečnost svého systému na prodej lístků, jeho zaměstnanci povolili otevřít Hadnagymu přílohu mailu na firemním počítači… a to stačilo
  • Třetí příklad dokumentuje použití sociálního inženýrství pro obranné účely (před hackerem)

Viz také výňatek z knihy Chrise Hadnagyho – Human hacking: How social engineers manipulate victims´ frame of reference .

Čínští hackeři infitrovali pět energetických společností – Chinese hackers infiltrate five energy firms: study. Cílem bylo získat obchodní plány těchto společností, uvádí to zpráva společnosti McAfee. Viz také komentář Jeremy Kirka – Night Dragon´ attacks from China strike energy companies.

Valentine's Day Special: Do Hackers Have Hearts?  – svátek svatého Valentýna: mají hackeři srdce? Aktuální zamyšlení a řadu varování připravila Noa Bar-Yosef.

Hardware

Prevencí nebezpečí, která mohou způsobit zařízení USB se zabývá studie Three ways to Prevent USB Insecurity in Your Enterprise . Je jeden rok stará, přesto stále aktuální. Jsou zde analyzována tři následující rizika – ztráta dat, krádež dat a cesta pro malware a hacking. Doporučovány jsou tři prostředky: šifrovat, prosazovat politiky, které se týkají používání USB zařízení a třetí cestou je autorizace zařízení a médii pro preventivní ochranu před malware.

Mobilní telefony

Padělaná SMS za 2 koruny? Realita!, z úvodu: Falšovat číslo odesílatele SMS není žádná věda, dokonce k tomu nejsou potřeba ani vědomosti, ani velký kapitál. Jednu falešnou SMS lze pořídit za pouhé dvě koruny, a to prostřednictvím lokalizované služby nikoliv undergroundové, nýbrž nadnárodní společnosti. Co takhle si poslat SMS z čísla prezidenta republiky?

Webový trh společnosti Google pro Android je rizikový – Google Web-Based Android Market Increases Potential Risk, Security Researchers War. Uživatelé Androidu si zde mohou stáhnout aplikace pro svůj mobil. Problém nastává při kompromitovaném účtu Google. Společnost pracuje na zlepšení situace.

Pokud ztratíte iPhone, přijdete i o uložená hesla – Lost iPhone = lost passwords. Němečtí odborníci Jens Heider a Matthias Boll ukázali, že hesla lze z mobilu získat i přesto, že jsou chráněna (passcode).
Podrobnosti jsou obsaženy v studii Lost iPhone? Lost Passwords! Practical Consideration of iOS Device Encryption Security.
O časové náročnosti tohoto útoku se hovoří v článku IPhone attack reveals passwords in six minutes.

Android: hackeři umožnili Egypťanům šifrovat – Hackers Build Android Encryption Apps For Egypt. Společnost Whisper Systems připravila speciálně dvě egyptské verze aplikací pro Android – RedPhone (zašifrované hlasové zprávy) TextSecure (zašifrované textové zprávy) – jsou dostupné na webu společnosti.

Autentizace, hesla

Uživatelé aplikací Google mohou používat dvoufaktorovou autentizaci – Google Lets Users Double-Down on Account Security. V článku jsou podrobněji objasněny související postupy. Funkčnost je zatím zpřístupněna anglicky hovořícím uživatelům.
Další informace jsou na bezpečnostním blogu společnosti Google – Advanced sign-in security for your Google account.

Uživatelé používají stejná hesla na různých webech – Anonymous hack showed password re-use becoming endemic. Ukázalo to porovnání nedávno hackery prozrazených databází hesel na HBGary a na rootkit.com.

Elektronický podpis

Překvapivě významná část organizací ztrácí přehled o svých šifrovacích klíčích a digitálních certifikátech – Enterprises Face Encryption Key, Digital Certificate Management Challenges. Vyplývá to z přehledu, který zpracovala společnost Venafi – 2011 Enterprise Encryption Key And Digital Certificate Management Market Outlook.

widgety

Normy a normativní dokumenty

Americký NIST vydal dva drafty vztahující se k používání kryptografie, jsou to:

Různé

Přehled vychází z průběžně publikovaných novinek na Crypto – News.

Našli jste v článku chybu?
DigiZone.cz: Světový pohár v přímém přenosu na ČT

Světový pohár v přímém přenosu na ČT

Vitalia.cz: 5 důvodů, proč jet na výlov rybníka

5 důvodů, proč jet na výlov rybníka

Lupa.cz: Co všechno je Facebook schopný cenzurovat?

Co všechno je Facebook schopný cenzurovat?

DigiZone.cz: Digi Slovakia zařazuje stanice SPI

Digi Slovakia zařazuje stanice SPI

Měšec.cz: TEST: Vyzkoušeli jsme pražské taxikáře

TEST: Vyzkoušeli jsme pražské taxikáře

DigiZone.cz: Wimbledon na Nova Sport až do 2019

Wimbledon na Nova Sport až do 2019

DigiZone.cz: Parlamentní listy: kde končí PR...

Parlamentní listy: kde končí PR...

120na80.cz: Co je padesátkrát sladší než cukr?

Co je padesátkrát sladší než cukr?

Vitalia.cz: Vodárny varují: Ve vodě z kohoutku jsou bakterie

Vodárny varují: Ve vodě z kohoutku jsou bakterie

Lupa.cz: Proč jsou firemní počítače pomalé?

Proč jsou firemní počítače pomalé?

Root.cz: Podívejte se na shořelé Samsung Note 7

Podívejte se na shořelé Samsung Note 7

Podnikatel.cz: Udělali jsme velkou chybu, napsal Čupr

Udělali jsme velkou chybu, napsal Čupr

Vitalia.cz: Nová vakcína proti chřipce se aplikuje nosem

Nová vakcína proti chřipce se aplikuje nosem

Lupa.cz: Adblock Plus začal prodávat reklamy

Adblock Plus začal prodávat reklamy

Vitalia.cz: Voda z Vltavy před a po úpravě na pitnou

Voda z Vltavy před a po úpravě na pitnou

Vitalia.cz: Muž, který miluje příliš. Ženám neimponuje

Muž, který miluje příliš. Ženám neimponuje

Lupa.cz: Další Češi si nechali vložit do těla čip

Další Češi si nechali vložit do těla čip

Root.cz: Hořící telefon Samsung Note 7 zapálil auto

Hořící telefon Samsung Note 7 zapálil auto

DigiZone.cz: DVB-T2 ověřeno: seznam TV zveřejněn

DVB-T2 ověřeno: seznam TV zveřejněn

DigiZone.cz: Technisat připravuje trojici DAB

Technisat připravuje trojici DAB