Bezpečnostní střípky: za modrou obrazovku smrti ve Windows XP je rootkit

Jaroslav Pinkava 22. 2. 2010

Pravidelný pondělní přehled informací vztahujících se k problematice bezpečnosti IT. Z novinek právě uplynulého týdne upozorníme především na live CD pro etický hacking, doporučení pro firemní bezpečnost a obnovený seznam 25 nejnebezpečnějších chyb, kterých se můžete dopustit při programování.

Konference a přehledy

Zpráva M86 Security Labs Report Jul 2009-Dec 2009 Recap rozebírá vývoj internetové bezpečnosti v druhé polovině roku 2009, obsahuje celkem tři části:

  • Spam
  • Web
  • Doporučení

Její výsledky komentuje Zeljka Zorz v článku Botnets, the ever-present threat. Samotná zpráva vychází z analýzy e-mailových zpráv, laboratoř mj. každý den vyhodnocuje okolo 7 miliónů e-mailů.

Další komentář k této zprávě je v článku Johna Leydena – Undead botnets blamed for big rise in email malware. Za 78 procent škodícího spamu odpovídá pět botnetů. Jmenovány jsou především botnety Rustock, Pushdo (resp. Cutwail) a Mega-D, které jsou následovány botnety Grum a Lethic. Jako největší hrozba bezpečnosti organizací je vyhodnocen Zeus, který je následován červem Koobface.

Obecná a firemní bezpečnost IT

Proč datové průniky nemusí být zpozorovány jejich oběťmi? Brian Prince (Why Data Breaches Can Go Unnoticed by Their Victims): jen 9 procent datových průniků je zjištěno interně v organizaci, která je jeho obětí (podle Trustwave). Většina průniků (80 procent) je zjištěna společnostmi pro platební karty.

ENISA – proběhl nábor třiceti nových bezpečnostních odborníků – UK provides largest new intake of security boffins for ENISA. A to z různých evropských zemí – jmenovány jsou Velká Británie, Německo, Nizozemsko a Itálie.

Britská vláda investuje milióny liber do týmu pro boj s kybernetickými hrozbami – UK.gov invests 4.3m in cyber-scam crackdown team. Vytvářeny budou i lokální počítačové laboratoře (regiony Anglie, Walesu a Skotska) a bude také prováděn výcvik jejich personálu.

Jak rozpoznat snadné oběti v sociálních sítích? Čtyři znaky k tomu jsou uvedeny v článku – Awareness: Four Signs of an Easy Victim on Social Networks. Joan Goodchild v jeho úvodu přináší řadu souvisejících odkazů (články k hrozbám a rizikům v sociálních sítích). Cituje pak z rozhovoru s Chetem Wisniewskim(Senior Security Advisor, Sophos), který byl právě veden směrem – podle jakých znaků si útočníci v sociálních sítích vybírají své oběti.

How to Make Things Worse With IT Security Technology aneb jak s pomocí bezpečnostních technologií udělat situaci ještě horší než byla. Chaotická instalace nakoupených technologií nepochybně zvyšuje rizika společností. Bill Brenner k této otázce diskutuje s CISO Jamesem Arlenem (Kanada, Ontario).

Rizika sociálních sítí a Webu 3.0 v praxi, Daniel Dočekal navazuje na své vystoupení na workshopu, který proběhl v rámci konference Trendy v internetové bezpečnosti.

„Časovaná bomba“ zničila 800 počítačů v americkém městě Norfolk – ‘Time Bomb’ May Have Destroyed 800 Norfolk City PCs. Zatím se přesně neví, co to vlastně bylo za typ útoku, ale dokázalo to zničit data na 784 počítačích a noteboocích města. Resp. zničilo to větší část souborů v adresáři System 32 a takto poškozené počítače nelze nabootovat. Zdrojem nákazy byl zřejmě server pro tisk, nepodařilo se však na něm nalézt kopii malware-viníka. Útok neměl internetový původ. Viz také komentář – City of Norfolk hit with code that takes out nearly 800 PCs.

Dvanáctku tipů k ochraně firemních dat připravil Network Box (12 tips to ensure company data is kept private):

  • Zvolte prohlížeč a udržujte ho v aktualizované podobě tak, aby dokázal správně ohodnotit existující rizika.
  • K užívání povolte jen schválené prohlížeče, a to na všech počítačích firmy (ať v práci či doma).
  • Ujistěte se, že uživatelé znají význam toho aktu, když se podepisují k internetovým službám.
  • Pokud vaše e-maily či uložená data obhospodařuje jiný poskytovatel, obětujete tak některá práva na vaše soukromí.
  • Buďte opatrní na to, která data takto ukládáte, v některých zemích je to upraveno legislativou (třeba Německo).
  • Nastavte firemní počítače tak, aby byly zakázány cookies třetích stran.
  • Ujistěte se, že bezpečnostní systémy jsou v aktualizované podobě a že používáte vícevrstvý bezpečnostní přístup.
  • Ověřujte aplikace ve vztahu k zranitelnosti (např. typu SQL injection).
  • Ujistěte se, že zaměstnanci nepoužívají soukromý e-mail pro pracovní účely.
  • Ujistěte se, že zaměstnanci pravidelně vyčistí historii používaných prohlížečů a čistí cache informací, která je uložena na počítači.
  • Připomínejte uživatelům, že je třeba pravidelně měnit hesla a že tato hesla jsou dostatečně robustní. Připomeňte jim, aby nepoužívali vlastnost „Pamatuj si mne“ při logování na chráněné weby.
  • Buďte ve střehu. Ujistěte se, že zaměstnanci chápou existující bezpečnostní rizika a že se nestanou obětí phishingových podvodů.

Špioni ve firmách, Radan Dolejš: Tři čtvrtiny českých firem monitorují své zaměstnance. Bojují tak se zloději ve vlastních řadách.

Kybernetické útoky proti Austrálii pokračují – Cyber attacks against Australia ‚will continue‘ . Aktivisté, kteří brojí proti plánům australské vlády na filtrování obsahu internetu, plánují pokračovat v blokování australských vládních stránek (útoky DDOS).

Echelon neumí tolik, jak se myslelo. V telefonním hovoru se ozve určité klíčové slovo (bomba, atentát,…) a hovor je okamžitě zaznamenán? Omyl, toto platí jen na kvalitních linkách. Pokud je linka zašuměna, Echelon již je v tomto směru nefunkční (DARPA) – Echelon computers can't cope with bad lines.

Existuje nejlepší (bezpečnostní) certifikace? M. E. Kabay na stránce Is there a best certification? vysvětluje, že to závisí na prostředí, ve kterém jsou pak poznatky získané certifikací využívány. Článek je pátým (posledním) pokračováním série článků tohoto autora, série je věnována problematice certifikací. Předešlé díly:

Škola používala webové kamery na studentských noteboocích k sledování studentů ve škole i doma – School used student laptop webcams to spy on them at school and home. Poněkud šokující informaci přináší známý autor Cory Doctorow (mj. známý autor sci-fi románů).

Největší bezpečnostní hrozbou pro podnikání je Web 2.0. Podle analýzy společnosti Webroot zastávají tento názor čtyři z pěti dotázaných odborníků. 23 procent z nich soudí, že jejich organizace je zranitelná ve vztahu k útokům na aplikace Web 2.0 – Web 2.0 is biggest security threat for businesses.

Čína a Google

Google.cn zřejmě přece jen v Číně zůstává – TED 2010: Google Optimistic It Can Remain in China. Viz také – Your Rights Online: Google.cn Still Remains In China.

Cyber Warriors – Čína a kybernetická válka, rozsáhlejší komentář, jehož autorem je James Fallows, hodnotí čínský potenciál. Článek je pak diskutován na Schneierově blogu – James Fallows on the Chinese Cyber Threat.

Stopy útoku na Google vedou do dvou čínských škol – 2 China Schools Said to Be Tied to Online Attacks. Jedna z nich je přitom propojena s čínskou armádou. Jedná se o školy Shanghai Jiaotong University a Lanxiang Vocational School. Viz také komentáře:

Software

Hlášky (Buzz) Google byly znovu „učesány“ – Google backpedals (again) on Buzz privacy. Uživateli je přece jen umožněna větší kontrola jeho dat (kontaktů atd.). Viz  – Google Buzz Abandons Auto-Following Amid Privacy Concerns.
Dále si ale také přečtěte:

Symantec potvrzuje: za modrou obrazovku smrti ve Windows XP je rootkit – Symantec says rootkit causes Windows XP blue screen of death. Tidserv infikuje drivery na spodní úrovni jádra systému (jako atapi.sys, iastor.sys, idechndr.sys, ndis.sys, nvata.sys and vmscsi.sys).Další podrobnosti jsou v článku – BSOD after MS10–015? TDL3 authors „apologize“.

2010 CWE/SANS Top 25 Most Dangerous Programming Errors – top 25 nejnebezpeč­nějších chyb při programování vydalo SANS ve spolupráci s řadou dalších organizací a bezpečnostních odborníků (USA, Evropa). Komentář k tomuto seznamu najdete v článcích:

Oproti témuž seznamu z roku 2009 doznal ten letošní podstatných změn.

Zlodějská pdf odpovídají za 80 procent všech exploitů (situace na konci roku 2009) – Rogue PDFs account for 80% of all exploits, says researcher. Informuje o tom kalifornská společnost ScanSafe.

Na světě je nový bezpečný prohlížeč – Comodo Dragon – Secure Internet browser: Comodo Dragon. Ve své konstrukci vychází z open source projektu Chromium Project browser. Je poskytován bezplatně – Comodo Dragon Internet Browser. Je určen pro 32-bitová Windows 7 / Vista / XP.

Jaký je současný stav bezpečnosti webů? Ryan Barnett (Brexh Security) se v The State of Web Security Issues obrací k informacím získaným prostřednictvím Web Hacking Incidents Database (WHID). Největším rizikům podléhají sociální sítě a nejčastější hrozbou jsou útoky SQL injection.

Klasifikace dnešních firewallů, Peter Pecho na Lupě: Všechny firewally poskytují funkci stavového filtru, nebo proxy firewally pro rozhodování, zda komunikaci povolit, nebo zakázat. Jak již bylo v předcházejícím článku zmíněno, první firewally poskytovaly pouze jednu z těchto metod pro rozhodování. Současné firewally s „hybridní“ architekturou již poskytují obě techniky pro zabezpečení síťové komunikace.

Skeletons in Adobe's security closet – kostlivci v bezpečnostní skříni Adobe. Aviv Raff rozebírá některé současné problémy Adobe Download Manageru. Jeho výsledky komentuje Dan Goodin v článku Researcher spies new Adobe code execution bug.

Na světě je možnost útoku na Firefox zneužívající zranitelnost nulového dne  – Attack code for Firefox zero-day goes wild, says researcher. Informuje o tom Jevgenij Leverov (moskevská firma Intevydis).

Malware

Červ Zeus dostává nové směry útoků – Zeus Trojan resurfaces. Cílené útoky jsou směrovány proti zaměstnancům vládních a vojenských organizací v USA a ve Velké Británii.

Pozor na falešné e-maily od Facebooku. V příloze je virus – Pozor na falešné e-maily od Facebooku. V příloze je virus. Z úvodu: Mnohým uživatelům sociální sítě Facebook přichází maily s žádostí o potvrzení nových uživatelských podmínek. Odesílatelem však není provozovatel Facebooku, ale jakýsi… říkejme mu padouch, protože hacker by bylo příliš silné a vzletné označení. Pokud se budete držet instrukcí v mailu, počítač si zavirujete. Na stránce Facebook users targeted by fake AV je uveden příklad takovéhoto e-mailu. Autorovi článku není jasný cíl původců těchto e-mailů.

Souboji botnetů je věnována diskuze na Schneierově blogu – Botnets Attacking Each Other. Spy Eye se pokouší likvidovat konkurenčního Zeuse. Odraz vztahů z reálného života se promítá i do této problematiky.

Trojan Zeus byl objeven na 74 000 počítačů (rok 2009) – Zeus Trojan found on 74,000 PCs in global botnet. Celkem se to týkalo 2 500 organizací (podle společnosti NetWitness). Viz také – Broad New Hacking Attack Detected.

Microsoft: modifikovaná verze rootkitu Alureon způsobuje nestabilitu Windows (modrá obrazovka smrti) – Microsoft: Got Bluescreen? Check for Rootkits. Alureon patří do desítky největších hrozeb, které detekují bezpečnostní technologie Microsoftu v systému Windows. Podle Microsoft readies new rootkit detection tool in light of Windows XP patching problems Microsoft pracuje na nástroji, který by tento rootkit detekoval a odstranil (pracuje se na tom i jinde).

The Kneber botnet – FAQ, Dancho Danchev formuluje sedm otázek vztahujících se k botnetu Kneber a odpovídá na ně. Aktivity tohoto botnetu popisují také Jaikumar Vijayan – Rival cyber gangs may be teaming up in cyberattacks, says NetWitness a Tim Greene – News analysis: Kneber botnet revelation shows darker underbelly of malware.

Nový červ Spybot.AKB se šíří jako pozvánka do sociální sítě – Spybot.AKB worm spreads across P2P networks and e-mail. Instaluje se na počítačích jako rozšíření pro Firefox.

Botnet Chucka Norrise je diskutován na stránkách Computerworldu – Chuck Norris botnet karate-chops routers hard. Několik dní po oznámení výsledků českých odborníků z brněnské MU informuje o nich Robert McMillan. Botnet funguje díky tomu, že na domácích routerech a modemech DSL jsou často využívána pouze defaultní hesla. Vzhledem k tomu, že je umístěn v paměti RAM routeru, lze se ho zbavit restartováním routeru. Zpráva uživatelům: používejte vlastní dostatečně silná hesla!

Viry

Bezplatný antivir Microsoftu v češtině je po zdržení již definitivně k dispozici. Společnost Microsoft ve čtvrtek informovala, že uvolňuje českou verzi svého bezplatného antivirového programu Security Essentials. Možnost stažení byla ovšem oddálena až do pátečního odpoledne.

Hackeři

Byla kompromitována databáze zaměstnanců společnosti Shell – Shell's employee database breached: 170,000 records compromised. Podrobnosti jsou postupně objasňovány.

Co se týká hackování počítačů, světovým lídrem je Čína. V článku China leads the world in hacked computers, McAfee study says komentuje Ellen Nakashima výsledky nejnovější studie společnosti McAfee.

Attack Simulation and Threat Modeling, to je kniha, která je volně dostupná (v elektronické podobě). Kniha s bohatým obsahem má 330 stran, jejím autorem je Olu Akindeinde. Názvy kapitol:

  1. Attack vectors
  2. Attack Simulation
  3. Attack Signatures
  4. Signature Detection
  5. Behavioural Analysis
  6. Attack Correlation
  7. Pattern Recognition

Nová distribuce Linuxu jako Live CD je určená pro etický hacking a pro práci bezpečnostních odborníků – Security Expert Releases New Linux Distribution for Ethical Hacking and Penetration Testing. Nástroje a utility pro testování bezpečnosti lze spouštět přímo z tohoto Live Hacking CD.

Hacker spustil porno na obřím videu v Moskvě – Hacker cuffed for Moscow big screen entertainment. Dopaden byl 40letý muž z Novorossijska (město u Černého moře).

Hardware

Kopírování klíčů k automobilům se věnuje diskuze na Schneierově blogu – Car-Key Copier. Vychází z informace o zařízení, které umí získat ze zámku informace o fyzické podobě klíče.

A zajímavé informace obdobného charakteru jsou na Schneierově blogu také diskutovány – Opening Locks with Foil Impressioning. Týkají se dalších technik k překonání fyzických zámků, vychází z článku Advanced foil impressioning.

Mobilní telefony

Hackers at Pwn2Own to compete for $100K in prizes, to je informace o výzvě hackerům (iPhone atd.) – připraveny pro ně jsou i ceny. 15 000 dolarů může získat kdokoliv, kdo hackne iPhone, BlackBerry Bold, Droid anebo chytrý mobil od Nokie.

Chytré mobily budou v nadcházejícím roce čelit rostoucím útokům, prohlásili to Hypponen a Kaspersky na konferenci v Madridu (Mobile World Congress) – Smartphones under growing threat from hackers.

Forenzní analýza

Forenzní analýza – novinky týdne najdete na stránce Digital Forensics Case Leads: Volatility and RegRipper, Better Together. Je zde řada odkazů, například na manuál pro kombinované použití nástrojů Volatility a RegRipper (analýza registrů), odkaz na novou verzi nástroje macrobber a další informace.

Elektronické bankovnictví

V Česku i zahraničí roste počet útoků na bankovní účty. Z úvodu: Počet útoků na bankovní účty a pokusů o zneužití platebních karet narůstá. Přestože banky jen nerady zveřejňují podrobnosti, například kolik peněz bylo odcizeno, potvrzují, že podvodů je stále více. Viz také:

Němci tvrdí, že jejich karty nejsou zranitelné vůči útoku z Cambridge – German banking association: German EC cards not vulnerable to manipulation attempts. Jedná se o karty German Girocards (dříve byly označeny jako EC cards).

Michael Kassner vysvětluje nově zjištěný problém technologií Chip and Pin – Chip and PIN: The technology is no longer secure. Ukazuje postup potenciálních útočníků, kteří mají k dispozici ukradenou kartu.

Banky reagují na zveřejněný útok na systémy Chip and Pin – Industry groups leap to Chip and PIN's defence. John Leyden v tomto článku informuje o vyjádření činitelů různých bankovních institucí.

Nalezenou chybu v systému Chip and PIN prozkoumá průmyslová instituce EMVCo. Vlastníky EMVCo jsou American Express, JCB, MasterCard a Visa. Spolu s ním budou svoji analýzu provádět také jednotlivé platební systémy. Podle profesora Rosse Andersona nebude chybu opravit jednoduché. Jedním z vážných dopadů je fakt, že za možné podvodné jednání ponese tíhu jednotlivý uživatel (pokud záznamy ukáží, že byl vložen PIN) – Chip-and-PIN flaw to be investigated by industry body.

Různé

Přehled vychází z průběžně publikovaných novinek na Crypto – News.

Našli jste v článku chybu?
120na80.cz: Jaké plavecké pomůcky vaše dítě ochrání?

Jaké plavecké pomůcky vaše dítě ochrání?

DigiZone.cz: DAB už i z Košic. A překvapivě!

DAB už i z Košic. A překvapivě!

Podnikatel.cz: Polská vejce na českém pultu Albertu

Polská vejce na českém pultu Albertu

Root.cz: Bitcoin začal vyplácet jen půlku odměn

Bitcoin začal vyplácet jen půlku odměn

Lupa.cz: Kolik platí stát za nájmy? Úřad otevřel data

Kolik platí stát za nájmy? Úřad otevřel data

DigiZone.cz: Žhavé novinky u IPTV operátorů

Žhavé novinky u IPTV operátorů

Podnikatel.cz: Italské těstoviny nebyly k mání, tak je začal vyrábět

Italské těstoviny nebyly k mání, tak je začal vyrábět

Podnikatel.cz: Prodej na Alibabě? Malí hráči utřou nos

Prodej na Alibabě? Malí hráči utřou nos

Lupa.cz: eIDAS: elektronické dokumenty platí jako papír

eIDAS: elektronické dokumenty platí jako papír

Vitalia.cz: Paní výčepní: Holka, co mluví chlapům do piva

Paní výčepní: Holka, co mluví chlapům do piva

DigiZone.cz: Sat novinky: Skylink skončil s kanály ČT

Sat novinky: Skylink skončil s kanály ČT

Vitalia.cz: Klíšťata letos řádí, skvrna se udělá jen někomu

Klíšťata letos řádí, skvrna se udělá jen někomu

Lupa.cz: Seznam.cz sleduje stisky kláves, aby odhalil roboty

Seznam.cz sleduje stisky kláves, aby odhalil roboty

120na80.cz: Tipy pro odvodnění organismu

Tipy pro odvodnění organismu

DigiZone.cz: Ve Varech představeni i noví "Četníci"

Ve Varech představeni i noví "Četníci"

120na80.cz: I tuto vodu můžete pít

I tuto vodu můžete pít

DigiZone.cz: Sázka na e-sporty stanici Prima vychází

Sázka na e-sporty stanici Prima vychází

Lupa.cz: Tudy proudí váš hlas i data. V zákulisí CETINu

Tudy proudí váš hlas i data. V zákulisí CETINu

Měšec.cz: Dodavatele energií porovnáte snáz

Dodavatele energií porovnáte snáz

Vitalia.cz: Mateřská - nejlepší období v životě ženy? Hahahaha

Mateřská - nejlepší období v životě ženy? Hahahaha