Bezpečnostní střípky: význam mobilní bezpečnosti roste

Jaroslav Pinkava 14. 3. 2011

Pravidelný pondělní přehled informací vztahujících se k problematice bezpečnosti IT. Z novinek právě uplynulého týdne vás nejprve upozorníme na zprávu o infikovaných reklamách na webech, poté na neustávající aktivity hackerů, hackerskou soutěž Pwn2Own a pak třeba také na přehled významných DDoS útoků.

Přehledy

Zveřejněny byly dvě nové studie ENISA, obě jsou věnovány problematice botnetů:

Jejich výsledky jsou komentovány v článcích:

ENISA, chce, aby byly znovu zváženy prostředky, kterým měříme velikost a potenciál botnetů. Sítě infikovaných počítačů jsou nyní hlavním zdrojem spamu, krádeží ID a útoků DDoS. V první z výše uvedených studií je mj. zpochybněna spolehlivost v současnosti používaných odhadů pro velikost botnetů. V druhé studii jsou vyhodnoceny existující a v současnosti nejlepší praktické postupy pro boj se zombie sítěmi a pro vyhodnocování hrozeb od botnetů. Zároveň je zde uvedena řada doporučení, týkají se právních momentů, používaných politik i technických aspektů.

Společnosti Symantec a Ponemon zpracovaly studii The 2010 Annual Study: U.S. Cost of a Data Breach. Komentář k tomuto materiálu (39 stran) najdete v článku Ponemon study finds the cost of data breaches increasing. Náklady, které musí podniky zaplatit po tom, co datový průnik nastal, rostou. Přitom tyto náklady ještě zvětšuje nezbytnost informovat oběti. Klesá množství průniků při outsourcingu, ale náklady způsobené takovýmito průniky narůstají.

Obecná a firemní bezpečnost IT

Informaci o dalším odsouzeném (tentokrát z Texasu) za průnik do systému svého bývalého zaměstnavatele najdete v článku Man sentenced for breaching former employer's com­puters. Musí zaplatit jako náhradu škod 16 000 dolarů a dále pokutu 5000 dolarů, dostal pět let podmínku a rok domácího vězení.

Komentovaný názor: těžiště bezpečnosti se přesouvá ze sítě na koncový bod – Security Focus Shifting From Network To Endpoint. V rozsáhlejším článku zprostředkovává Andrew R. Hickey názory několika odborníků. Tím, jak jsou stále více používány novější technologie jako mobilní zařízení, cloud computing a bezpečnostní situaci ovlivňují s nimi související hrozby, vznikají významné potřeby, které se týkají bezpečnosti koncového bodu.

Nadmerné zdieľanie informácií ohrozuje používateľov, počítačoví zločinci sa zameriavajú na nakupujúcich na internete, ktorí nechávajú nákup darčekov na poslednú chvíľu, ukazuje prieskum, do ktorého sa zapojilo viac ako 1300 obchodov, ktoré sa zúčastnili v akcii Free Shipping Day.

Německo spouští nový bezpečný e-mailový systém – Legally binding e-documents: Germany pushes secure email option. Je alternativou k tištěným dokumentům, umožňuje totiž právní provázání transakcí. Tj. má to být elektronický ekvivalent k podepsaným dokumentům.

Volně dostupný dokument ke správě rizik najdete na stránce FAIR – ISO/IEC 27005 Cookbook. Materiál (52 stran) je věnován přístupu FAIR (Factor Analysis for Information Risk) opřeného o normu ISO/IEC 27005. Nezbytná je registrace. Názvy jednotlivých kapitol:

  1. Introduction
  2. How To Manage Risk
  3. What Information is Necessary for Risk Analysis?
  4. How to use FAIR in your ISMS
  5. Risk Management Program Worksheet (příloha)

Organizace nemají vlastní bezpečnostní politiky nebo je dostatečně neprosazují, říkají výsledky přehledu, který byl proveden na konferenci RSA – Data Security Policies Go Begging at Many Organizations: RSA Survey. ve světě po WikiLeaks neaktualizovala řada organizací své bezpečnostní politiky. V článku jsou uvedena i další čísla získaná v tomto přehledu.

Podniky neberou vážně hrozby počítačové špionáže – Enterprises are not taking threat of cyber espionage seriously enough, Ovum finds. Tisková zpráva komentuje ve stručnosti výsledky nedávné studie společnosti Ovum.

International Women's Day highlights IT's failings aneb MDŽ, IT a nerovnoprávnost žen. Sté výročí (International Women's Day), u jeho příležitosti organizátoři oslav byli předmětem útoků na svůj web international­womensday.com. Autor článku se pak v dalším zabývá pozicí ženské poloviny lidstva v IT branži.

Evropská komise chce předejít rozsáhlým výpadkům internetu (např. z politických důvodů) – Europe to combat ‚repressive‘ internet blackouts. Mají být vyvinuty nástroje, které by měly lidem pomoci překonat takové situace jako ty, co nedávno nastaly v Severní Africe.

How TOR Has Been Crippled Described, v tomto článku je vysvětleno, proč íránská vláda ví přesně, kdo a kdy anonymizační síť TOR používá.

Tipy pro bezpečí vašeho domácího počítače najdete na stránce Home Computer Security Tips, je to několik jednoduchých doporučení.

Zajímají vás informace, které se týkají zemětřesení v Japonsku? Dejte si pozor na výsledky vyhledávání – Earthquake in Japan: Bad guys target search results . Otrávené weby vsouvají do svého obsahu klíčová slova vztahující se k zemětřesení.

Anonymous

Anonymous makes a laughing stock of HBGary aneb jak Anonymous zesměšniĺi HBGary. Celou historii vypráví a komentuje Jürgen Schmidt. Viz také článek věnovaný útokům na finanční služby Operation Payback: protests via mouse click.

Anonymous a operace Bradical, o tomto se něco dozvíte z článku Anonymous probed for hack threat against WikiLeaker captors. Je chystána pomsta za Manninga?

Anonymous útočí také na americký hudební průmysl – Anonymous now attacks the US music industry. DDoS útok byl směrován na stránky Broadcast Music Incorporated, (www.bmi.com). Viz také informace v článku Anonymous brings down Broadcast Music website as part of its Operation Payback campaign.

WikiLeaks a HBGary

Prozrazené e-maily HBGary ukazují na další firmy, které se staly obětí útoků Aurora – HBGary E-mails: DuPont, Other Firms Hit In Aurora Attack. Jak je z nich patrno, ne všechny společnosti zveřejnily informace o útoku, který na ně byl proveden.

Američtí senátoři zjišťují, jak mohlo dojít k úniku informací do WikiLeaks – Senators question how WikiLeaks breach happened. Cílem armády bylo rychle reagovat na vzniklé situace, bezpečnost dat nebyla prioritou.

Sociální sítě

Existovala také síť pro počítačové kriminálníky (anti-sociální síť) – The-anti-social-network. K sociální síti Crimebook, která měla celkem 8000 členů z různých zemí světa, se v tomto článku vrací thajský web.

Důkazy z Facebooku byly použity u 20 rozvodových řízení (v USA) – Facebook evidence used in 20% of U.S. divorce cases. Další údaj (z přehledu, který byl zpracován na základě dat získaných od rozvodových právníků) – 81 procent právníků konstatovalo, že důkazy ze sociálních sítí jsou používány u rozvodových procesů v rostoucí míře.

Software

Škodlivé reklamy na legitimních webech (malvertising) jsou stále častějším jevem – Malvertising continues to pound legitimate web sites. Autor komentuje výsledky zprávy společnosti Dasient – The Dasient Q4 Malware Update: Significant Rise in Malvertising Attacks, Social Networking Sites Easy Distribution Platforms for Malware . Další komentář k této zprávě je v článku Malvertisements Hit 3 Million Impressions per Day at End of 2010 .

Hackerská soutěž, výsledky druhého dne – kompromitovány byly iPhone a BlackBerry – iPhone and BlackBerry brought down in hacker competition . V průběhu prvního dne byly překonány prohlížeče Safari a IE. Viz také:

WhiteHat Website Security Statistic Report, pro přístup k této zprávě je nezbytná registrace. Její výsledky jsou komentovány v článku Most sites are exposed to at least one vulnerability each day. Průměrná stránka má v sobě vážnou zranitelnost devět měsíců z dvanácti v roce. Nejobvyklejší zranitelností je XSS.

Malware

Útok Boy-in-the-Browser je prováděn pomocí méně „dospělé“ verze trojana MitB – Boy-in-the-Browser attacks have the same impact as a Man-in-the-Browser attack but are easier to execute. Trojan přesměrovává provoz oběti na proxy útočníka. Je těžké na to přijít, oběť vidí, že je na správné stránce (například na stránce banky). Útočník pak ale může dělat s daty oběti to, co potřebuje.

Top 10 hrozeb malware v únoru 2011 podle GFI Software je na stránce Top 10 Malware Threats for February Reported by GFI Software. Tento přehled byl získán prostřednictvím nástrojů této firmy.

Dalším nosičem škodlivých programů se stává PDF, to je článek Pavla Čepského na Lupě: Uživatelé už si naštěstí pomalu zvykli alespoň zčásti odolat podezřelým odkazům a nebezpečným přílohám v e-mailech od neznámých odesílatelů. Stejně tak jsou otrlejší k podvodným zprávám a phishingu. Co dál? PDF nás zachrání, řekli si útočníci.

Zombie počítače, které se zúčastnily DDoS útoku, začaly ničit své pevné disky – Zombie computers in DDoS attack begin to destroy own hard drives. Oznámeno již bylo 62 zničených disků (z 34 000 zombie počítačů, které se podílely na útoku na jihokorejské vládní weby).

Upřesnění situace (a poněkud příliš zlověstných formulací) přináší článek DDoS malware comes with self-destruct payload, viz také odkazovaný rozbor – Malware in Recent Korean DDoS Attacks Destroys Systems.

S rozborem jednoho malware pro DDoS útoky (JKKDDOS) se lze seznámit na stránce JKDDOS: DDoS bot with an interest in the mining industry? Podrobná analýza ukazuje vlastnosti této rodiny malware. Zajímavá je také orientace JKKDDOS na velké investiční skupiny a důlní společnosti. Viz také komentář DDoS botnet attacks gold miners and wine makers.

Stížnosti na malware se v roce 2010 ztrojnásobily – Consumer Complaints to FTC About Malware Tripled in 2010: Survey . Fahmida Y. Rashid komentuje výsledky zprávy Consumer Sentinel Network DATA BOOK for January – December 2010 (Federal Trade Commission, USA).

Telefonická volání přes Skype vnucují zlodějský antivir – Rogue Antivirus Via Skype Phone Call? Místo vylepšení má však oběť na svém počítači scareware.

Viry

Jestliže se podíváme na bezpečnost koncového bodu, kde zde vznikají různé potřeby pro antivirová řešení? Michael Kassner se v článku Endpoint security: What makes it different from antivirus solutions pokouší najít kompromis mezi různými názory.

NSS Labs přišly s novým typem testů pro hodnocení antivirových produktů – Tests find security tools failures. Jedná se v nich například o to, jak se umí vypořádat s malware v přílohách e-mailů, na USB klíčenkách atd.

Od vzniku prvního počítačového viru uplynulo již 40 let. Malý přehled historie najdete na stránce 40 years after the first computer virus.

Hackeři

DDoS útok na Wordpress byl prací čínských hackerů – WordPress.com Denial of Service Attack the Work of Chinese Hackers. Důvody k útoky však zřejmě byly komerční nikoliv politické. V článku jsou také shrnuty další hackerské aktivity čínských útočníků.

Hackeři zaútočili na počítače francouzské vlády – Hackers targeted French gov't computers for G20 secrets. Cílem útoku na Bercy (sídlo francouzského ministerstva pro ekonomiku, finance a průmysl) bylo dostat se k tajemstvím G20. Následně byly pak zveřejněny další podrobnosti – French gov´t gives more details of hack: 150 PCs compromised.

Přehled historie významných DDoS útoků (Hall of Shame) je obsažen v článku The DDoS Hall of Shame. Tim Greene jich v něm uvádí celkem osm.

Útokům typu „Oracle padding“ je věnován článek Oracle padding attacks (Codegate crypto 400 writeup). Použité techniky (podrobnosti k nim) jsou pak popisovány v starším článku Automated Padding Oracle Attacks with PadBuster.

Hackeři infiltrovali server „Vendor Sec“ určený pro distributory open source SW – IT Security & Network Security News Linux Security Mailing List Infiltrated, Crippled by Hackers. A provedli to včetně diskuze o bezpečnostních zranitelnostech.

Jak a kde severokorejští hackeři mohou nejvíce škodit, je popsáno na stránce How N.Korean Hackers Could Inflict Maximum Damage. Tento přehled se dotýká jihokorejských cílů.

Hackers versus Apple, to je interview s autory knihy The Mac Hacker's Handbook (Charles Miller, Dino Dai Zovi).

Nekompetence zaměstnanců je nejlepším přítelem hackera – Employee incompetence is a hacker's best friend . Autor uvádí sérii šesti příkladů z praxe (je to tedy v tomto smyslu vlastně shrnutí odkazů na starší články).

Stránka identifikující domény se škodlivým obsahem je předmětem útoku hackerů – SpyEye toolkit owners wage battle with white hat website. Jedná se o švýcarský web abuse.ch, který mj. sleduje působení SpyEye. Utočníci využili toolkity ZeUs a SpyEye k útoku DDoS.

Hardware

Bezpečnostní omezení SSD disků jsou tématem článku The security limitations of solid-state drives, ve kterém Chad Perrin shrnuje nedávno publikované poznatky. Viz také tomuto tématu věnované komentáře:

Soudce podpořil Sony v „skandálu“ okolo hacknutí PS3 – Judge Sides with Sony in PS3 Hacker Scandal. Sony má přístup k informacím o všech IP adresách, ze kterých přistupovali návštěvníci stránky geohot.com od ledna 2009. Toto rozhodnutí komentuje Chad Perrin v článku Rulings in PS3 jailbreaking suit should worry you.

Letištní naháčské skenery – jsou efektivní? Podle některých výzkumů je lze oklamat, nemusí detekovat i některé typy výbušnin – Airport ‘Nude’ Body Scanners: Are They Effective?.
Právní situaci ohledně těchto skenerů se věnuje článek Court Unlikely to Halt ‘Nude’ Airport Body Scanners.
Viz také diskuzi na Schneierově blogu – Full Body Scanners.

Útok na systémy automobilu by mohl být proveditelný i prostřednictvím hudební nahrávky – With hacking, music can take control of your car. Stefan Savage (University of California) se svými spolupracovníky provedl v tomto směru zajímavý experiment.

VoIP

Tři důvody, proč bude narůstat zneužití VoIP, uvádí Joan Goodchild – 3 simple reasons VoIP abuse will grow:

  • Je široce používáno
  • Je více cest, které zneužití umožňují
  • Ochrany nejsou příliš kvalitní

Viz také článek – Botnets, cloud computing power may be fueling attacks against VoIP.

Mobilní telefony

Gooogle dálkově maže malware z mobilů s Androidem – Google Remotely Wipes Malware From Android Handsets. Týká se to malware DroidDream a funguje to pro Android 2.1 a jeho starší verze. Zmíněno je 58 aplikací, kterých se to dotýká.

Kaspersky říká, způsob, s kterým Google pojednává s malware pro Android, je diskutabilní – Kaspersky: Google's handling of Android malware is debatable. Instalace nástroje „Android Market Security Tool March 2011“ bez toho, aby bylo k tomu dáno oprávnění uživatelem, je poněkud zvláštní.

Varianta trojana Zeus byla nalezena na mobilech BlackBerry – Zeus Trojan Variant Found on BlackBerry Phones. TrendMicro v této souvislosti používá pro tuto variantu označení Zitmo.

Malware pro Android ukazuje, že bezpečnostní rizika jsou cenou za svobodu – Android Malware Shows Why Security Risk Is the Price of Freedom. Wayne Rash vyhodnocuje podstatu nedávné situace a upozorňuje na nebezpečí, která se týkají i majitelů dalších mobilů.

Ohledně Androidu pak společnost Google vydala šest doporučení – Android Security: Six Tips to Protect Your Google Phone. Kromě řady dalších odkazů je v článku obsaženo těchto šest tipů dotýkajících se okruhů otázek, kterými by se uživatel měl pro bezpečnost zařízení s Androidem zabývat:

  • Protect Your Android with a Password–Now!
  • Customize Locked Home Screen with Owner Info
  • Do NOT Root Your Android Device
  • Stick to the Official Android Market for Apps
  • Google Android Antivirus
  • Android Wireless Connectivity and Security

Bezpečnostních aplikací pro Android se dotýká článek 8 must-have Android security apps.
Viz také zpráva – Android Market: XSS hole allows unauthorised installation of apps a výsledky analýzy DroidDream turns Androids into zombies.

Mobilní bezpečnost

Zlodějské online lékárny se adaptují na mobilní uživatele – Rogue Online Pharmacy Websites Adapted for Mobile Users. Vyplývá to z výsledků zprávy, kterou připravila společnost Cyveillance – Cyber Criminals Adapt As Threat Landscape Changes.

Mobilní bezpečnost trápí CIO, nikoliv však uživatele – Mobile Security a Headache for CIOs, Not a Concern for Users. Autor článku komentuje výsledky přehledu, který připravila společnost Mformation Technologies.

Devět doporučení pro ochranu mobilních pracovníků uvádí Hugh Thompson (9 Security Tips for Protecting Mobile Workers):

  1. Zašifrujte disk notebooku
  2. Na notebooku stanovte pořadí pro boot a heslo pro bios
  3. Podívejte se, jaký význam má reset hesla a proškolte pracovníky
  4. Proškolte zaměstnance ohledně rizik veřejných bezdrátových sítí
  5. Umožněte automatické záplaty
  6. Chraňte vizuální soukromí
  7. Pozor na únik informací v sociálních sítích
  8. Nastavte dálkový výmaz pro mobilní zařízení
  9. Uzamykejte mobilní zařízení

Elektronické bankovnictví

ATM Security: 3 Key Vulnerabilities  – tři klíčové typy zranitelností, které se dotýkají bezpečnosti bankomatů. V interview na otázky interview odpovídá Chuck Somers (VP of ATM Security, Diebold). Podle analýzy, kterou provedla společnost Diebold, jsou rizika koncentrována do následujících tří oblastí:

  • Fyzická bezpečnost – přímý průnik do bankomatu
  • Logická bezpečnost – ochrana před malware
  • Podvody (tj. to, co je označováno jako skimming)

Normy a normativní dokumenty

Americký NIST v uplynulém týdnu vydal:

Vyšlo nové rfc pracovní skupiny IETF TLS:

Kryptografie

Ve formátu videa si můžete poslechnout Ronalda Rivesta v přednášce o historii a růstu kryptografie – Ron Rivest on the History Growth of Cryptography. Citát z přednášky: „Maybe large prime numbers have a role to play in our democracy…“

widgety

Různé

Vyšel (IN)SECURE Magazine issue 29, March 2011. Z obsahu:

  • Virtual machines: Added planning to the forensic acquisition process
  • Review: iStorage diskGenie
  • Managers are from Mars, information security professionals are from Venus
  • PacketWars: A cyber security sport for a cyber age
  • Q&A: Graham Cluley on Facebook security and privacy
  • Financial Trojans: Following the money
  • Mobile encryption: The new frontier
  • Report: RSA Conference 2011
  • Combating public sector fraud with better information analysis
  • Q&A: Stefan Frei on security research and vulnerability management
  • The expanding role of digital certificates… in more places than you think
  • 5 questions to ask when reevaluating your data security solution
  • How to achieve strong authentication on the Web while balancing security, usability and cost.

Přehled vychází z průběžně publikovaných novinek na Crypto – News.

Našli jste v článku chybu?
Root.cz: Podívejte se na shořelé Samsung Note 7

Podívejte se na shořelé Samsung Note 7

Podnikatel.cz: Babišovi se nedá věřit, stěžovali si hospodští

Babišovi se nedá věřit, stěžovali si hospodští

Vitalia.cz: Voda z Vltavy před a po úpravě na pitnou

Voda z Vltavy před a po úpravě na pitnou

Lupa.cz: Další Češi si nechali vložit do těla čip

Další Češi si nechali vložit do těla čip

Lupa.cz: Jak udělat formulář, aby ho vyplnil i negramotný?

Jak udělat formulář, aby ho vyplnil i negramotný?

Vitalia.cz: Tahák, jak vyzrát nad zápachem z úst

Tahák, jak vyzrát nad zápachem z úst

Lupa.cz: Proč jsou firemní počítače pomalé?

Proč jsou firemní počítače pomalé?

Podnikatel.cz: Letáky? Lidi zuří, ale ony stále fungují

Letáky? Lidi zuří, ale ony stále fungují

Vitalia.cz: Nová vakcína proti chřipce se aplikuje nosem

Nová vakcína proti chřipce se aplikuje nosem

Lupa.cz: Jak levné procesory změnily svět?

Jak levné procesory změnily svět?

Vitalia.cz: Tohle všechno se dá usušit

Tohle všechno se dá usušit

Root.cz: Hořící telefon Samsung Note 7 zapálil auto

Hořící telefon Samsung Note 7 zapálil auto

Podnikatel.cz: Tyto pojmy k #EET byste měli znát

Tyto pojmy k #EET byste měli znát

Podnikatel.cz: Udělali jsme velkou chybu, napsal Čupr

Udělali jsme velkou chybu, napsal Čupr

Vitalia.cz: Muž, který miluje příliš. Ženám neimponuje

Muž, který miluje příliš. Ženám neimponuje

Lupa.cz: Odkazy na pirátský obsah mohou být nelegální

Odkazy na pirátský obsah mohou být nelegální

Vitalia.cz: Antibakteriální mýdla nepomáhají, spíš škodí

Antibakteriální mýdla nepomáhají, spíš škodí

DigiZone.cz: Regionální tele­vize CZ vysílá "Mapu úspěchu"

Regionální tele­vize CZ vysílá "Mapu úspěchu"

DigiZone.cz: Parlamentní listy: kde končí PR...

Parlamentní listy: kde končí PR...

DigiZone.cz: Budoucnost TV vysílání ve Visegrádu

Budoucnost TV vysílání ve Visegrádu