Bezpečnostní střípky: zpráva SANS k současným kybernetickým rizikům

Jaroslav Pinkava 21. 9. 2009

Pravidelný pondělní přehled informací vztahujících se k problematice bezpečnosti IT. Z novinek právě uplynulého týdne lze upozornit především na informace k cíleným podvodům s online účty, vydání nových verzí některých bezpečnostních nástrojů a třeba na návod, jak se vyhnout útokům SQL injection.

Přehledy a konference

Pozornost řady médií přitáhla zpráva SANS (září 2009), která charakterizuje současná největší kybernetická rizika. Organizace sice budují prostředky kybernetické obrany, tyto nejsou však správně směrovány, říká zpráva. Dvěma největšími současnými riziky jsou hrozby pocházející z webových aplikací a phishingu. Odsud vyplývají také priority, které by dnes měli mít podnikoví uživatelé. Komentáře ke zprávě jsou obsaženy v článcích:

53 procent německých společností se za posledních 12 měsíců stalo obětí alespoň jednoho datového průniku. Je to jeden ze závěrů studie, kterou zpracoval Ponemon Institute – The 2009 Annual Study: German Enterprise Encryption Trends. Studie (týkají se Německa, Austrálie, Francie, Velké Británie a Spojených států) jsou (po registraci) dostupné na tomto odkazu – Enterprise Encryption Trends.

Obecná a firemní bezpečnost IT

Jižní Korea bude školit 3000 budoucích kybernetických šerifů – Korea to train 3,000 ‚cyber sheriffs‘ . Chce tak zemi ochránit před budoucími kybernetickými ú­toky.

Napadena byla stránka New York Times – Rogue ad hits New York Times site. Objevila se na ní neoprávněná reklama, nebylo jasné, jak se tam dostala. Čtenáři jsou v pop-up okénku varováni, že jejich počítač je infikován a jsou odesíláni na stránku s antivirovým SW (best-antivirus03.com). Tato stránka má nabízet falešný bezpečnostní SW. 

Viz také – NY Times warns of rogue antivirus on Web site

A vysvětlení : The New York Times Explains How It Got Hacked: It Sold an Ad to a Hacker.

Americké ministerstvo národní bezpečnosti v příštím roce zdvojnásobí počet lidí zabývajících se kybernetickou bezpečností. Podle Philipa Reitingera (deputy under secretary of the National Protection and Programs Directorate at DHS) je to nutné vzhledem k rostoucímu počtu a vážnosti hrozeb – Homeland Security to More Than Double Staff for Cyber Threats.

Také školy v USA se stávají obětí cílených online podvodů – Cyber Crooks Target Public & Private Schools. Stojí za nimi možná stejný gang, který okrádá menší americké firmy podvodnými převody z účtů (pomocí malware v počítačích organizací jsou získávána přístupová data k těmto účtům). Opět jsou k převodům využívání mezci (mules), kdy peníze jsou nejprve převáděny na jejich účet a pak teprve putují k zadavatelům podvodů.

Komentář ke zprávě 2009 National Intelligence Strategy, která je věnována americkým zpravodajským službám, jejich budoucím strategiím pro kybernetickou bezpečnost, najdete v článku Intell agencies plan to beef up cybersecurity.

Nebezpečí hotelových počítačových sítí jsou rozebírána v článku Hostile Hotel Networks?!?!. Autor zde komentuje článek:

který je věnován výsledkům studie (nezbytná je registrace):

Outlook dim for international cooperation to fight cyber attacks – boj proti kybernetickým hrozbám, je zde prostor pro mezinárodní spolupráci? Jill R. Aitoro poukazuje ve svém komentáři na potřebu této spolupráce, zároveň však také na překážky, které jí stojí v cestě.

Pět největších rizik kybernetické bezpečnosti formuluje Jennifer Bosavage v tomto článku – Five Top Cybersecurity Risks :

  • Software na straně klienta není obvykle záplatován
  • Pozor na infekce Windows (jako je červ Conficker)
  • Záplatujte bezpečnostní díry pro QuickTime
  • Internetové webové stránky jsou zranitelné
  • Roste počet zranitelností nulového dne

Software

Administrátoři firewallů si mohou přečíst pět doporučení Lindy Musthaler pro nejlepší postupy na této stránce – Top 5 best practices for firewall administrators:

  • Dokumentujte všechny změny pravidel pro firewall
  • Všechna přístupová pravidla instalujte s minimálními přístupovými právy
  • Ověřte každou změnu firewallu ve vztahu k politikám shody a požadavkům na změny
  • Odstraňte nepoužívaná pravidla z baze firewallových pravidel, jakmile jsou tyto služby odstaveny
  • Provádějte alespoň dvakrát ročně kompletní revizi firewallu

Byla vydána nová verze (4.0.2) skeneru zranitelností Nessus – Nessus 4.0.2 released. Stáhnout si ji lze zde –

download.

Fine-grained cookie management in Firefox, tento článek je věnován správě cookies ve Firefoxu. Chad Perrin v něm navazuje na svůj předešlý článek Paranoid cookie management a rozebírá tentokrát možnosti Firefoxu (fine-grained cookie management).

Ještě se k diskuzím o mazání cookies vrací také článek You Deleted Your Cookies? Think Again. Ryan Singel se tentokrát více zamyšlí nad tím, co vše cookies mohou, k čemu jsou využívány.

Flawfinder, tak to je nástroj, který provede audit vašeho programu  – Flawfinder – Source Code Auditing Tool. Ohlásí možné bezpečnostní slabiny. Stáhnout si ho lze zde – download.

Nové, volně dostupné nástroje pro bezpečnostní testy SW od Microsoftu zase najdete na těchto odkazech (New security testing tools from Microsoft):

Na světě je také nová verze (2.8.5) programu Snort (prevence průniků v síti) – Snort 2.8.5 is now available. Stáhnout si tento open source program můžete zde – Snort.

Populární aplikace potřebují lepší cesty k záplatám – Popular apps need better patching, says report (komentář Roberta Lemose). Zpráva zpracovaná na základě údajů od společností TippingPoint a Qualys poukazuje zejména na takové aplikace, jako jsou Adobe Flash a Acrobat Reader, Microsoft Office, Sun Java a Apple QuickTime. Zranitelnosti těchto programů jsou na předních místech nástrojů hackerů.

Malware

Jak se chránit před scareware (obtěžujícím softwarem)? Dancho Danchev – The ultimate guide to scareware protection  – charakterizuje různé typy těchto programů a uvádí kroky, které mají uživatelům pomoci k obraně (např. zde najdete kompletní seznam legitimních dodavatelů antivirového SW).

Počítačům v srpnu ve světě nejvíc hrozil Conficker, v Česku trojský kůň Bredolab. Win32/Conficker byl i v srpnu podle údajů společnosti Eset globálně nejrozšířenějším typem malwaru s podílem 8,56 % ze všech světově detekovaných hrozeb. Ve srovnání s červencovými statistikami však zaznamenal pokles o více než dvě procenta.

Objevil se botnet, který sestává z linuxových webserverů – Linux webserver botnet pushes malware. O něm a jeho vlastnostech informuje Dan Goodin – na základě informace Denise Sinegubka (Magnitogorsk, Rusko) – Dynamic DNS and Botnet of Zombie Web Servers.

Zeus, jako jeden z nejhorších trojanů, uniká před detekcí antivirovými programy – World's nastiest trojan fools AV software. Pounces on banking passwords. Podle této studie ho antiviry zjistí (z hlediska času) jen v 23 procentech situací. Zeus patří k tzv. finančním trojanům, tj. jeho cílem je získávání přihlašovacích dat k bankovním účtům. Získaná data odesílá v reálném čase a to ho činí ještě více nebezpečným kouskem malware.

Sophisticated botnet causing a surge in click fraud, zde autor se obrací k tzv. bahamskému botnetu, jehož „činnost“ souvisí s klikacími podvody. Větší počet kliknutí na příslušnou reklamu znamená větší finanční přínos. To je správné, pokud ovšem …

Ads–the new malware delivery format – Elinor Mills se ještě vrací k nedávnému „hacknutí“ stránky New York Times a konstatuje, že se objevil nový formát pro transfer malware – reklamy (ads).

Viry

Tři čtvrtiny administrátorů nevěří antivirovému software – Survey: Three out of four administrators don't trust anti-virus software. Vyplývá to z přehledu společnosti CoreTrace.

Hackeři

Kousek pohledu do života mladého hackera – Brief Insight Into the Life of a Convicted Hacker. Hacker, který byl dopaden a byl odsouzen, odpovídá (upřímně) na pár otázek.

Jak se vyhnout útokům SQL-injection? Chad Perrin v tomto článku – The Bobby Tables guide to SQL injection – poukazuje na dostupné informační zdroje k tomuto tématu (včetně jednoho komiksu). Nakonec sděluje svá jednoduchá doporučení:

  • Nepoužívejte SQL příkazy, které obsahují vnější data
  • Používejte parametrizované volání SQL

Proč tedy je tolik stránek, které obsahují SQL zranitelnosti?

Hackeři zneužívají smrt Patricka Swayze – Swayze scareware: hackers exploit death. Týká se to předních míst ve vyhledávačích a pak přichází falešné antiviry, malware …

Hackerov za útok na NBÚ odsúdili : Okresný súd v Petržalke uznal hackerov za vinných trestným rozkazom. Proti podmienečným trestom sa ešte môžu odvolať.

Bezdrát

How to Compare and Use Wireless Intrusion Detection and Prevention Systems. Rogue access points? Evil twins? Wireless IDP systems aim to defeat these and other tricky hacks aneb jak porovnávat a používat systémy pro prevenci a detekci průniků pro bezdrát. Mary Brandel v rozsáhlejším článku na csoonline rozebírá podrobně tuto problematiku. 

Viz také článek téže autorky Wireless Intrusion Detection and Prevention Systems: Selection Criteria.

Spam

Spam – kolik stojí skutečně vaši firmu – The Real Cost of Spam. John Edwards zde uvádí související finanční náklady organizací (antispamové technologie, ztráta produktivity, mrhání úložnými prostory, náklady na použité internetové služby a další nehmotné náklady).

Forenzní analýza

Best Practices In Digital Evidence Collection, tento článek se věnuje otázkám nejlepších postupů pro sběr digitálních dat vhodných pro forenzní analýzu. Paul Henry ve svém stručném ale obsažném článku charakterizuje současnou situaci počítačového prostředí (ve kterém jsou data pro forenzní analýzu sbírána), uvádí příslušnou metodiku ve formě pořadí vhodných kroků a celou sérii odkazů na využitelné nástroje.

Elektronické bankovnictví

Heartland CEO: Credit card encryption needed aneb platební karty a nezbytnost šifrování přenášených dat. Pokud se to týká USA (ale určitě nejen této země), tak zde jsou informace o transakcích často přenášeny v otevřeném tvaru. Společnost Heartland, která byla v loňském roce obětí velkého úniku informací k datovým kartám (viz např. – Gonzalez pleads guilty to giant breaches), nyní tlačí na to, aby vznikla šifrovací norma, s jejíž pomocí by tato data byla chráněna.

Rizika online bankovnictví charakterizuje článek Online banking loophole risk. One wrong digit and you could be waving goodbye to your money, warns Harriet Meyer . Platí zde více než jinde, třikrát měř a jednou řež. Stačí malá chybička, jedno nepřesně zadané číslo a …

Krádeže peněz z online účtů a úloha soumarů (mezků), toto téma je rozebíráno v článku Data Breach Highlights Role Of ‚Money Mules‘. Brian Krebs informuje o dalším případu (Downeast Energy, více než 200 000 dolarů) z posledních dní. Peníze byly převedeny po 10 000 celkem dvaceti různým jedincům ve Spojených Státech (tito předtím nebyli v žádném kontaktu se společností Downeast Energy). Soumaři (mules), jak se těmto lidem říká, pak pomocí třeba Western Union převedli peníze dál, obvykle do východní Evropy. Mimochodem – v uplynulém měsíci mně (JP) přišlo několik nabídek (prý z Hongkongu), ve kterých mě různí pisatelé žádají o pomoc při převodu velké sumy peněz. Odolal jsem…

Phishing

Objevil se nový typ phishingu – podvodník na podvrženém webu přímo hovoří s potenciální obětí – New phishing attack chats up victims (Robert McMillan). RSA Security narazila na tento typ podvodu poprvé v posledních dnech. Útok se zatím týkal jedné nejmenované americké banky.

Elektronický podpis

Evropská Unie (ETSI) vydala novou normu pro elektronický podpis pdf dokumentů – New ETSI standard for EU-compliant electronic signatures. Norma definuje profil el. podpisu, který nese označení PAdES. Samotný dokument sestává z následujících pěti částí:

  • Part 1: PAdES Overview – a framework document for PAdES;
  • Part 2: PAdES Basic – Profile based on ISO 32000–1;
  • Part 3: PAdES Enhanced – PAdES-BES and PAdES-EPES Profiles;
  • Part 4: PAdES Long Term – PAdES-LTV Profile;
  • Part 5: PAdES for XML Content – Profiles for XAdES signatures.

Je zde rozebíráno několiv variant: PAdES basic, PAdES-BES, PAdES-EPES, PAdES-LTV, PAdES for XML content, PAdES for XML content – long term, PAdES for XML content on XFA form a PAdES for XML content on XFA form – longterm.

Stalo se: elektronický podpis prý platí, dokud se neprokáže opak, to je zajímavý rozbor Jiřího Peterky: Na akci Business Tuesday, věnované datovým schránkám, zazněla minulý týden znovu teze o tom, že elektronický podpis platí, dokud se neprokáže opak. Autoři datových schránek již začali řešit problém s externími elektronickými podpisy a rozšiřují výčet formátů, které je možné přenášet uvnitř datových zpráv.

Pokračování seriálu Jiřího Peterky – Datové schránky: pracujeme s epodpisy, IV. : Kořenové certifikáty akreditovaných certifikačních autorit, na které se hodláme spoléhat při práci s datovými schránkami, bychom měli získávat jen dostatečně důvěryhodným způsobem. Jaké ale jsou tyto způsoby? A jak provést samotnou instalaci certifikátů, a na co při ní dávat pozor?

Normy a normativní dokumenty

Americký NIST v uplyulém týdnu vydal následující dokument (nová revize):

Kryptografie

VoIP steganografie je zkoumána jako možný nový fenomén – Steganography meets VoIP in hacker world. VoIP provoz může poměrně snadno skrýt i zprávy jiného typu (textové či jiná data). Odborníci diskutují tyto možnosti a zvažují, zda hackeři již mají v tomto směru vhodné použitelné nástroje.

Soumrak SHA-1, ohrožení elektronických podpisů i rozpočtů IT, to je článek Vojtěcha Kmenta na Lupě: Je SHA-1 prolomena nebo není? Kvalifikované certifikáty od 1. ledna již pouze s SHA-2. Budete muset kvůli SHA-2 upgradovat všechny stanice Windows?

Poznámka (JP): Výhledový (nikoliv však okamžitý) pesimismus je na místě. Je však otázkou, kdy se uváděná nebezpečí stanou skutečně reálnou hrozbou. Pro organizace však opravdu platí, že by měly na tuto dobu připraveny.

One for All – All for One: Unifying Standard DPA Attacks aneb k útokům z postranních kanálů typu DPA (Differential Power Analysis). Stefan Mangard, Elisabeth Oswald a Francois-Xavier Standaert se v této studii věnují posouzením vzájemných vztahů mezi jednotlivými variantami útoků typu DPA a efektivnostmi těchto útoků.

Kvantová kryptografie získává nový impulz. Je jím prostředek, který nedávno objevili australští vědci – kvantové paměťové zařízení. Toto zařízení umožňuje zachytit, uchovat a pak i vyslat pulzy světla. Může sloužit jako tzv. opakovač (replikátor) při přenosech kvantové kryptografie a tak významně zvětšit vzdálenosti na které je tato využitelná (v současné době je to pouze 50 až 100 km) – How Photon Echoes Can Be Used To Create A Quantum Memory Device. Na druhou stranu – nelze zařízení tohoto typu použít k nezjistitelným odposlechům na kvantově kryptografickém kanále? V této souvislosti by byl zajímavý názor odborníků.

widgety

Bruce Schneier na svém blogu uvádí poslední informace k SHA-3 – Skein News. Speciálně popisuje úpravy algoritmu Skein (tzv. tweaks, povolil je zadavatel výzvy, musí mít samozřejmě omezený charakter).

Různé

Přehled vychází z průběžně publikovaných novinek na Crypto – News.

Našli jste v článku chybu?
Vitalia.cz: Test dětských svačinek: Tyhle ne!

Test dětských svačinek: Tyhle ne!

DigiZone.cz: Nova opět stahuje „milionáře“

Nova opět stahuje „milionáře“

Vitalia.cz: dTest odhalil ten nejlepší kečup

dTest odhalil ten nejlepší kečup

DigiZone.cz: Sony MP-CL1A: miniaturní projektor

Sony MP-CL1A: miniaturní projektor

Podnikatel.cz: Poslanci chtějí sebrat majetek Bakalovi

Poslanci chtějí sebrat majetek Bakalovi

Lupa.cz: Jak levné procesory změnily svět?

Jak levné procesory změnily svět?

DigiZone.cz: Samsung EVO-S: novinka pro Skylink

Samsung EVO-S: novinka pro Skylink

Vitalia.cz: Jsou vegani a vyrábějí nemléko

Jsou vegani a vyrábějí nemléko

Podnikatel.cz: Takhle se prodávají mražené potraviny

Takhle se prodávají mražené potraviny

Vitalia.cz: Jak Ondra o astma přišel

Jak Ondra o astma přišel

DigiZone.cz: Technisat připravuje trojici DAB

Technisat připravuje trojici DAB

Vitalia.cz: Muž, který miluje příliš. Ženám neimponuje

Muž, který miluje příliš. Ženám neimponuje

Podnikatel.cz: EET pro e-shopy? Postavené na hlavu

EET pro e-shopy? Postavené na hlavu

Podnikatel.cz: Babišovi se nedá věřit, stěžovali si hospodští

Babišovi se nedá věřit, stěžovali si hospodští

Vitalia.cz: Fyzioterapeutka: Chůze naboso? Rozhodně ano!

Fyzioterapeutka: Chůze naboso? Rozhodně ano!

DigiZone.cz: Parlamentní listy: kde končí PR...

Parlamentní listy: kde končí PR...

DigiZone.cz: Rapl: seriál, který vás smíří s ČT

Rapl: seriál, který vás smíří s ČT

DigiZone.cz: DVB-T2 ověřeno: seznam TV zveřejněn

DVB-T2 ověřeno: seznam TV zveřejněn

Podnikatel.cz: Znáte už 5 novinek k #EET

Znáte už 5 novinek k #EET

Podnikatel.cz: Byla finanční manažerka, teď cvičí jógu

Byla finanční manažerka, teď cvičí jógu