Bezpečnostní střípky: zatímní vývoj malware v roce 2009

Jaroslav Pinkava 9. 11. 2009

Pravidelný přehled informací vztahujících se k problematice bezpečnosti IT. Z novinek týdne lze upozornit na výsledky testu antivirů společností AV-Comparatives.org, informaci ke struktuře penetračního testování bezdrátu a i FBI se zabývají soumary, kteří pomáhají převádět peníze kradené z bankovních účtů.

Přehledy a konference

McAfee Threats Report: Third Quarter 2009 – čtvrtletní zpráva (19 stran) společnosti obsahuje následující odstavce:

  • Spam’s Hot Summer
  • Spam and Social Engineering
  • Web Threats
  • Cybercrime
  • Malware

V počtu zombie (celkovém) jsou na prvém místě Spojené státy (následovány jsou Čínou a Brazílií), v žebříčku spamu se v druhém čtvrtletí 2009 na desátém místě objevila Česká republika, celkově vedou opět Spojené státy. John Leyden v článku Pirate Bay clampdown prompted file sharing site spike na základě výsledků této zprávy komentuje dopady uzavření Pirate Bay. Ukazuje se, že to vedlo k významnému zvýšení počtu stránek, které se věnují sdílení obsahu. Některé z těchto stránek pak šíří scareware a malware.

Microsoft Security Intelligence Report (SIR)  – zpráva se týká poznatků Microsoftu ohledně vývoje malware v prvním pololetí roku 2009. Kromě hlavní zprávy (pdf soubor, 10MB) si lze prohlédnout i její kratší shrnutí. Komentář ke zprávě je v článcích:

Zlodějský SW zůstává velkým problémem, navíc se ukazuje, že se na scénu vrací červi.

Obecná a firemní bezpečnost IT

O podvodech, které jsou spojeny se sociálními sítěmi, píše Michael Arrington v článku Scamville: The Social Gaming Ecosystem Of Hell. Popisuje v něm různé triky společností, které v těchto sítích přichází s variantami tzv. sociálních her.

Vytvořte si soubor nástrojů pro prevenci datových průniků – Build a breach prevention toolkit. Michael Cobb v tomto článku rozvíjí následující body:

  • Zmapujte si síť (Nmap)
  • Monitorujte anomálie
  • Mějte přehled o tom, kde jsou data umístěna

Dvacetiletý zaměstnanec firmy se v ní může projevit jako hacker a interní hrozba – Lifestyle Hackers. Jim Routh a Gary McGraw jsou autory zajímavého rozboru těchto specifických „hackerů“ (lifestyle hackers), jejich motivací. Jak je třeba s nimi ve firmě pracovat (popřípadě bránit se před jejich některými „iniciativami“)?

Diskuze na Schneierově blogu je tentokrát věnována problému FBI a odposlechy – The FBI and Wiretaps. Schneier otevřel tuto diskuzi na základě článku How Prosecutors Wiretap Wall Street, který popisuje využití systému Digital Collection System Network (DCSNet).

Brusel kritizuje Velkou Británii kvůli nedostatečné ochraně soukromí – Brussels criticises UK on privacy . Praxe ukazuje, že britská legislativa (konkrétně zákon The Regulation of Investigatory Powers Act) nedostatečně chrání uživatele e-mailové pošty a prohlížečů. Evropská komise požaduje, aby britské zákony v tomto směru odpovídaly požadavkům EU.

Tech Futurist Sees Rosy Prospects for Net Security – jak bude informační bezpečnost vypadat za deset let? Esther Dyson se tímto tématem zabývala ve svém vystoupení ve Vancouveru (World Congress of the Information Security Forum). Dotkla se celé řady zajímavých otázek. Budoucnost vidí růžově, internet bude bezpečný a kriminální záměry nebudou mít šanci.

Na otázku „jak získat praktické zkušenosti v sociálním inženýrství“ odpovídá Chris „loganWHD“ Hadnagy na stránce – Ask the social engineer: Practice. Proti tradičním postupům penetračního testování jsou zde samozřejmě význačné rozdíly. Chris vysvětluje problematiku na následujících pěti bodech:

  1. Sběr informací
  2. Vyvozování
  3. Předběžné zkoušky
  4. Psychologické principy
  5. Účinek

Bombardování syrského objektu v roce 2007 proběhlo na základě informací, které byly získány díky hacknutí počítače syrského vládního úředníka – Mossad Hacked Syrian Official’s Computer Before Bombing Mysterious Facility. S touto informací přišel der Spiegel. Syřané zde snad měli budovat jaderný reaktor s pomocí Severní Koreje.
Viz také diskuzi na Schneierově blogu – Mossad Hacked Syrian Official´s Com­puter.

Google Dashboard, aneb co vše o vás ví Google – Transparency, choice and control — now complete with a Dashboard!. Google přichází s krokem, který má pomoci zajistit větší bezpečnost dat uživatelů Google. Vyzkoušejte www.google.com/dashboard

Komentář k této aktivitě napsala Sharon Gaudin – Dashboard shows what Google knows about you.

Kritický pohled přináší Brian Krebs – Poking at Google´s new privacy Dashboard.

EU chce chránit práva lidí, kteří nelegálně stahují hudbu a filmy z internetu, z úvodu komentáře: Vlády a zákonodárci v Evropské unii se shodli na návrhu práv lidí, kteří na internetu nelegálně stahují hudbu a filmy. Úprava má takové uživatele internetu ochránit před nepřiměřeně tvrdými zákroky, například svévolným odříznutím od světové sítě.
Viz také článek – European ´internet freedom´ law agreed .

Software

V poslední verzi Linuxu byla objevena nebezpečná chyba – Bug in latest Linux gives untrusted users root access. Může umožnit útočníkovi získat plno kontrolu nad počítačem oběti. Oprava bude obsažena v nadcházející verzi 2.6.32 linuxového jádra.

Nova má vadné stránky. Můžete si na ně pověsit, co chcete, Václav Nývlt a Pavel Kasík na Technetu: Televize Nova se nechala nachytat na chybu, na kterou sama upozorňovala ve své reportáži. Webové stránky televize jsou jednoduše napadnutelné. Útočník na ně může pověsit libovolný obsah a upravený odkaz rozeslat.

UAC ve Windows 7 není dostatečně efektivní obranou proti malware, Brian Prince takto komentuje výsledek pracovníka společnosti Sophos (Chester Wisniewski) – Windows 7 UAC Is Ineffective Security Solution for Malware, Sophos Says. Na počítači s OS Windows 7 je antivirová ochrana i nadále nezbytná.
Viz také – Naked Win 7 still vulnerable to most viruses.

How to Protect Against Web 2.0 Crime and Data Breaches – web 2. 0 – jak se zde chránit proti kriminalitě? Yuval Ben-Itzhak v první části článku rozebírá současnou situaci a následně uvádí některá doporučení.

Nalezena byla vážná chyba v protokolu SSL – Tech titans meet in secret to plug SSL hole. Web authentication busted on Apache, IIS. Umožňuje útočníkovi vložit svůj text. Oprava je připravována. 

Viz také – Vendors scrambling to fix bug in Net´s security a Zero-day flaw found in web encryption .

Originální podrobná informace je na této stránce – Renegotiating TLS.

Six Steps to Pull App Security Back to the Future aneb jak zajisti bezpečnost aplikací? V článku Bill Brenner informuje o nadcházející akci – 2009 OWASP Application Security Conference (AppSec DC), popisuje současný stav problematiky, kterou se konference bude zabývat. Článek pak uzavírá šest doporučení.

Bylo zjištěno, že hry pro iPhone obsahují zadní vrátka – Backdoor in top iPhone games stole user data, suit claims. Výrobce většiny populárních her pro iPhone (Storm8 – Redwood City, California) takto sbírá telefonní čísla uživatelů bez jejich vědomí.

Další zadní vrátka nalezena v SW pro Facebook a MySpace, umožňují přístup k účtům miliónů uživatelů  – Backdoor access for millions of Facebook and MySpace accounts. Chybu našel holandský vývojář Yvo Schaap.

Malware

Nástroj Kasperského detekuje malware na linkách Twitteru – Kaspersky tool detects malware in Twitter links. Elinor Mills informuje o nástroji, který se nazývá Krab Krawler a který každý den analýzuje milióny postů na Twitteru a blokuje libovolné malware, které je s nimi spojeno.

Stránky používající Wordpress byly napadeny botnetem – Botnet authors crash WordPress sites with buggy code. Desetititsíce (možná až statisíce) stránek, které používají tento blogovací SW byly v minulých týdnech napadeny Gumblarem, říká bezpečnostní analytik Denis Sinegubko.

Domovská stránka pro Gumblar (malware) je znovu aktivní – Gumblar malware's home domain is active again. Informuje o tom Jeremy Kirk. Gumblar se šíří prostřednictvím infikovovaných webů (neviditelné iframe).

Nový trojan zašifruje soubory, nezanechá však žádné vyděračské oznámení – New Trojan encrypts files but leaves no ransom note. Místo toho vyhledávačem najdete firmu Exquisys Software Technology Ltd na ostrově Mauritius, která nabízí produkt Antivicrypt (původně snad placený, nyní již nikoliv), který opraví „poškozené“ soubory. Symantec nabízí volně dostupný nástroj, který soubory dešifruje (použit byl algoritmus RC4). Může se však stát, že poškozený počítač již nebude mít přístup na internet.

Trojan pokes Facebook for zombie commands. Anti-social networking – stane se Facebook řídícím centrem botnetů? John Leyden informuje o počátečních pokusech v tomto směru.

Která země má největší procento počítačů infikovaných botem? Překvapivě je to Španělsko (45 procent !), pak teprve přichází Spojené státy, ze sousedních zemí je na tom nejhůře Polsko a pak Německo – Which country has the most bot-infected computers?

Viry

Který antivir nejlépe odstraní malware? AV-Comparatives.org vydala výsledky testu, který nedávno provedla -
Malware Removal Test. Otestovala 16 antivirů, za úspěšné označila pouze eScan, Symantec a Microsoft (MSE). Testována byla úspěšnost odstranění takového malware, jako jsou FakeAV, Vundo, Rustock a ZBot (Zeus).

Hackeři

ČR : Hackeři ženě za tři dny provolali 1,4 milionu, Žďár nad Sázavou – Podnikatelka Blanka Přibylová musí uhradit půldruhého milionu za telefon. Majitelka malého hotelu doplatila na internetovou telefonní ústřednu.

Za masivními výpadky proudu v Brazílii v letech 2005 až 2007 jsou hackeři – Brazil blackouts from hacking. Hackeři útočili na kontrolní systémy rozvodné sítě. V americkém televizním programu CBS byly oznámeny také některé částečné výsledky průběhu vyšetřování možností obdobných hrozeb pro USA.

Hardware

Why computers suck at maths. How simple calculations can be a matter of life and death – aneb jak počítače nezvládají matematiku, resp. přesněji aritmetické výpočty. Mike Bedford uvádí konkrétní případy a dovozuje, jak toto chování v určitých situacích může způsobit vážné škody. Nepřehlédněte odkaz na další zajímavý článek téhož autora – 10 computing conspiracy theories examined. Konspirační teorie zaujmou vždy …

Bezdrát

Strukturu penetračního testování pro bezdrát najdete na stránce WirelessDefen­ce.org's Wire­less Penetration Testing Framework. Je to přehledný seznam postupů a použitelných nástrojů v názorné tabulce.

Elektronické bankovnictví

Cos e týká krádeží z bankovních, článek FDIC: Uptick in ‚money mule‘ scams konstatuje, že soumaři se činí. Brian Krebs v něm komentuje aktuální případy.
Viz také této problematice věnovaný článek – US gov warns banks on money mules. More dough in the laundry. More dough in the laundry.

Také FBI varuje před krádežemi s účtů a podvody, které používají soumary – FBI warns of $100M cyber-threat to small business. V článku je komentován materiál, který připravilo pracoviště FBI (Internet Crime Complaint Center – IC3) – Compromise Of User´s Online Banking Credentials Targets Commercial Bank Accounts. V tomto typu podvodu nyní v USA každý týden přichází zákazníci bank o jeden až jeden a půl miliónu dolarů.

Viz také článek Elinor Millsové, který je věnován tomuto tématu – Corporate bank accounts targeted in online fraud.

Dále – v článku Is Your Online Bank Account Safe? je rozebírán konkrétní případ a je zde i odkaz na přiložených pět doporučení pro bezpečnější online bankovnictví.

Nový produkt má ochránit online bankovnictví – Software shields online banking on infected PCs. A to i v případě, že počítač je infikován malware. Alespoň takto informuje své zákazníky britská společnost Prevx, když hovoří o svém produktu SafeOnline. Driver tohoto programu má zabránit během zabezpečených transakcí prohlížeče veškerým pokusům keyloggerů a podobných zlodějských programů zaznamenat, jaká citlivá data byla použita. Bankám je tento SW poskytován bezplatně.

Autentizace, hesla

Jaký dopad má cloud computing na lámání hesel? Bezpečnostní konzultant David Campbell spočítal, jak obtížné bude nalezení hesla hrubou silou, pokud bude využívána EC2 (služba nabízená Amazonem pro cloud computing). Pokud je heslo složeno výhradně z malých písmen, je možné zlomit ta, která mají délku až 12 znaků (zaplatíte za to 1,5 miliónu dolarů). Ceny pro zlomení kratších hesel:

  • 11 písmen – 60 000 dolarů
  • 10 písmen – 2300 dolarů

Lze obdobně spočítat i náklady na zlomení hesel, pokud jsou využívána velká i malá písmena.
V závěru článku autor upozorňuje na to, že v této souvislosti bude nutné přehodnotit i bezpečnost RSA s klíčem v délce 1024 bitů – Amazon's EC2 brings new might to password cracking. Cloudonomics and the art of black-hat hacking.

Výpočetní potenciál cloud computingu (a vztah k lámání hesel) je podrobně diskutován také v tomto článku – Cracking Passwords in the Cloud: Breaking PGP on EC2 with EDPRt.

V Marylendu testují nový kryptografický volební systém – Maryland Voters Test New Cryptographic Voting System. Autorem open source systému Scantegrity je známý odborník David Chaum.

Elektronický podpis

Sedm hříchů datových schránek popisuje Michal Valášek na Lupě: Datové schránky oficiálně odstartovaly. Nikoliv ovšem s čistým štítem. Sedm hříchů datových schránek rekapituluje tento článek a hned připomíná: gigantický velkoprojekt je z IT pohledu ekvivalentem většího freemailu. Alespoň z takových projektů se mohly datové schránky poučit a neobtěžovat české podnikatele banálními hříchy…

Jiří Peterka zase konstatuje – Pandořiny datové schránky se otevírají. Z úvodu: Je zavedení datových schránek odvážným a přínosným počinem, nebo nezodpovědným hazardem? Naučíme se plavat v čistě elektronických vodách, do kterých nás autoři datových schránek uvrhli, nebo se v nich utopíme? Jak vyřešíme všechny ty problémy, které oni jednoduše hodili za hlavu? Jako třeba: co s elektronickými dokumenty, které dostaneme skrze datovou schránku a jejichž podpis záhy ztratí svou platnost?

Zavedení hash algoritmů SHA-2 v prostředí OS Microsoft Windows, Robert Hernady (Microsoft, Regional Solution Architect): V poslední době se velmi často diskutuje problematika související se zavedením hash algoritmů rodiny SHA-2 v prostředí operačních systémů Microsoft Windows. Diskuse souvisí s vyhláškou Ministerstva vnitra ČR, která předepisuje používání algoritmů rodiny SHA-2 v oblasti elektronického podpisu od 1. 1. 2010. Zároveň je od uvedeného data stanovena minimální přípustná délka kryptografického klíče pro algoritmus RSA na 2048 bitů.

Normy a normativní dokumenty

Americký NIST v uplynulém týdnu vydal dokument, který je věnován specifikacím pro standardizaci cest, pomocí kterých bezpečnostní SW sděluje informace ohledně programových chyb a bezpečnostních konfigurací:

Kryptografie

Kryptoanalýze dvou systémů založených na úloze o ranci je věnována studie čínských autorů – Cryptanalysis of two knapsack public-key cryptosystems (Jingguo Bi, Xianmeng Meng a Lidong Han). Přestože úloha o ranci je v zásadě NP-úplný problém, konstrukce bezpečného kryptosystému, který by na ní byl založen, není jednoduchou záležitostí. Ukazují to i výsledky autorů předkládané studie.

Nigel Stanley v článku Database Key Management – an Introduction přináší svůj pohled na klíčové hospodářství pro SQL server 2005.

Různé

Přehled vychází z průběžně publikovaných novinek na Crypto – News.

Našli jste v článku chybu?
DigiZone.cz: Žhavé novinky u IPTV operátorů

Žhavé novinky u IPTV operátorů

DigiZone.cz: DAB už i z Košic. A překvapivě!

DAB už i z Košic. A překvapivě!

120na80.cz: Jak se zbavit nadměrného pocení?

Jak se zbavit nadměrného pocení?

Vitalia.cz: Zmrzlinu? Ani snad ne

Zmrzlinu? Ani snad ne

DigiZone.cz: Přechod na DVB-T2? Kolem miliardy...

Přechod na DVB-T2? Kolem miliardy...

Vitalia.cz: Paní výčepní: Holka, co mluví chlapům do piva

Paní výčepní: Holka, co mluví chlapům do piva

DigiZone.cz: Nestihli jste Bonda na ČT2? Zkuste RTVS

Nestihli jste Bonda na ČT2? Zkuste RTVS

Vitalia.cz: Pepsi Cola mění sirup za cukr

Pepsi Cola mění sirup za cukr

Vitalia.cz: Signál roztroušené sklerózy: brnění končetin

Signál roztroušené sklerózy: brnění končetin

Podnikatel.cz: 3 velké průšvihy obchodních řetězců

3 velké průšvihy obchodních řetězců

Lupa.cz: eIDAS: Nepřehnali jsme to s výjimkami?

eIDAS: Nepřehnali jsme to s výjimkami?

Měšec.cz: Se stavebkem k soudu už (většinou) nemusíte

Se stavebkem k soudu už (většinou) nemusíte

Lupa.cz: Tudy proudí váš hlas i data. V zákulisí CETINu

Tudy proudí váš hlas i data. V zákulisí CETINu

Podnikatel.cz: Italské těstoviny nebyly k mání, tak je začal vyrábět

Italské těstoviny nebyly k mání, tak je začal vyrábět

Podnikatel.cz: Profese budoucnosti? Úředník nepřežije

Profese budoucnosti? Úředník nepřežije

DigiZone.cz: Ve Varech představeni i noví "Četníci"

Ve Varech představeni i noví "Četníci"

Vitalia.cz: Největší chyby při podávání vína?

Největší chyby při podávání vína?

Podnikatel.cz: Polská vejce na českém pultu Albertu

Polská vejce na českém pultu Albertu

Měšec.cz: Investice do drahých kovů - znáte základní chyby?

Investice do drahých kovů - znáte základní chyby?

Vitalia.cz: Taky je nosíte? Barefoot není pro každého

Taky je nosíte? Barefoot není pro každého