Bezpečnostní střípky: cílem útoků se stává malé a střední podnikání

Jaroslav Pinkava 23. 3. 2009

Pravidelný pondělní přehled informací vztahujících se k problematice bezpečnosti IT. Z novinek tohoto týdne lze upozornit na informaci o zveřejnění nového SMM rootkitu, přehled typů certifikací pro bezpečnostní profesionály a třeba na informaci o petici, která přichází s kritikou společnosti Google.

Obecná a firemní bezpečnost IT

Rizika sociálních sítí pro bezpečnost podnikání jsou nyní častým tématem diskuzí. Věnuje se mu také HOWARD PRICE v článku Social Networks' Risks for Business Security. Viz také další článek na příbuzné téma – Cyber-profiling: Benefits and Pitfalls (Tom Olzak).

Jak má špatné časy přežít bezpečnostní průmysl? BILL BRENNER se v 4 Steps to the Security Industry's Economic Survival zabývá doporučeními Martina Roesche, která přednesl na konferenci v Bostonu (SOURCE Boston 2009):

  • Založte novou firmu.
  • Pomáhejte firmám zvyšovat jejich produktivitu.
  • Ukažte svůj význam.
  • Vyhledejte a využijte vhodné příležitosti.

Soukromí na internetu: Tim Berners-Lee varoval před špehováním, to je článek JIŘÍHO PETERKY na Lupě: U příležitosti 20. výročí World Wide Webu varoval jeho autor před stále narůstajícím špehováním uživatelů Internetu. Již delší dobu on i další ochránci soukromí bojují proti snahám sbírat údaje o chování uživatelů, dávat je do vzájemných souvislostí a sestavovat z nich co nejúplnější profily uživatelů. Nově se do jejich hledáčku dostala i „zájmově-orientovaná“ reklama od společnosti Google.

Cloud computing: Nová příležitost pro firemní IT, s pojmem cloud computing se v poslední době lze setkat stále častěji, objevuje se i v informacích vztahujících se k problematikám bezpečnosti IT. Co si tedy pod tímto pojmem vlastně máme představovat?

Cloud computing proniká stále více, jeho užitečnost z řady pohledů je nesporná. KEVIN BEAVER přichází s pohledem na některé problematické momenty (z hlediska bezpečnosti aplikací) – Cloud computing and application security: Issues and risks.

Pentagon oficiálně varoval před riziky kybernetických útoků – Pentagon Official Warns of Risk of Cyber Attacks, článek je věnován vystoupení generála leteckých sil USA Kevina Chiltona.

U.K. to monitor, store all social-network traffic? – Velká Británie: Bude veškerý provoz na sociálních sítích monitorován a archivován? Tom Espiner se vyslovuje k některým současným úvahám. Týkat by se to mělo i takových sítí jako jsou Facebook, MySpace a Bebo.

Užitečný přehled různých typů certifikací pro bezpečnostní profesionály najdete na stránce The Security Certification Directory. Je rozdělený do následujících kategorií:

  • Information Security certifications
  • Application Security and Software Security certifications
  • Audit certifications
  • Physical Security certifications
  • Fraud, Investigation and Forensics certifications
  • Privacy certifications
  • Business Continuity and Disaster Recovery certifications

NSA nechce mít na starost kybernetickou bezpečnost – NSA doesn't want to run cybersecurity. To je stručný komentář k vystoupení ředitele NSA, generálporučíka Alexandera Keitha na stanfordské univerzitě (IT Security Entrepreneur's Fo­rum).

Privacy watchdog barks for federal Gmail probe. The Google Cloud – Is it safe?  – petice proti Google – společnost nezajišťuje dostatečně bezpečnost dat. Electronic Privacy Information Center (EPIC) vyzývá k uzavření některých služeb společnosti (včetně G-mailu a Google Docs), pokud Google nezajistí bezpečnost dat uživatelů, které jsou ukládány těmito online aplikacemi. Viz také – Security of cloud computing could be at the heart of the claim against Google. Dále také je tomuto problému věnován také článek Jsou služby nabízené Googlem bezpečné?

Spojené státy – hackeři pronikají do průmyslových kontrolních systémů. Tyto útoky se dějí opakovaně, zapříčinily i smrt lidí. Jejich cílem bývá krádež pokročilých technologií – Expert: Hackers penetrating industrial control systems.

IAIN THOMPSON a SHAUN NICHOLS – Top 10 worst things about the web – vyjmenovávají a rozebírají následující desítku nejhorších problematických záležitostí internetu:

  • 10. Přílišná komercializace
  • 9. Přehánění
  • 8. Konspirační teorie
  • 7. Memes (What is a meme?)
  • 6. Sledování
  • 5. Návykovost
  • 4. Porno
  • 3. Viry/Malware
  • 2. Podvody
  • 1. Dezinformace

Viz také článek – Top 10 best things about the web.

Who Protects The Internet? – aneb kdo chrání internet? Článek se věnuje otázkám fyzické ochrany internetové komunikace – podmořské kabely atd.

5 Things You Can't See on Your Network – pět věcí, které ve své síti nevidíte. JEFF PRINCE zde vysvětluje, proč je třeba se věnovat provozu ve vaší sítí, uvádí tyto důvody:

Ondřej Filip: podpisu kořenové zóny brání mezinárodní politika, KAREL WOLF na Lupě: ITAR není jen zkratka pro americký národní ochranný program International Traffic in Arms Regulations, ale také odpověď společnosti IANA na průtahy podpisu kořenové zóny. Zkratka v tomto kontextu znamená Interim Trust Anchor Repository a naleznete ji na adrese itar.iana.org. ITAR je dočasné úložiště DNSSEC klíčů do doby, než bude podepsaná kořenová zóna a DS záznamy půjde uložit přímo v ní. Více v následujícím rozhovoru prozradí Ondřej Filip, výkonný ředitel správce české národní domény, sdružení CZ.NIC.

Devět cest k zastavení ztrát dat a k redukci rizik interního typu popisuje materiál Nine Ways to Stop Data Loss and Reduce the Risk of Insider Threat . Studie je ze srpna 2008, ale na internetu se objevila teprve minulý týden. Poměrně podrobně jsou zde rozebírány různé cesty, kterými se organizace mohou bránit proti výše uvedeným hrozbám, a to včetně návrhu jejich implementací v praktické politice organizace.

Jak se připojit na bezdrátový internet na letištích a v hotelech a neplatit – cestu k návodům najdete zde – Getting free wireless in airports and hotels.

Software

Nejčastějším chybám v zabezpečení webů se věnuje stručný článek Davida Procházky na dsl.cz – Nejčastější chyby v zabezpečení webů.

Recese, je tu šance využít open source řešení – Recession: a chance to deploy open source security solutions, to je zamyšlení CHADA PERRINA – v závěru pochopitelně podotýká, že konečná rozhodnutí závisí na konkrétní situaci.

Jak zabezpečit svá data, zde DAVID SILLEM stručně uvádí čtyři šifrovací programy – AxCrypt, Drag'n'Crypt ULTRA, FolderProtector a TrueCrypt: S rostoucí důležitostí informací a dat, z nichž se stává neuvěřitelně hodnotná komodita, se lidé stále více strachují o to, jak tato data co nejlépe uchránit před případným zcizením. Podívejme se, jak dosáhnout kýženého výsledku.

The most prominent types of Web application vulnerabilities – nejčastější typy zranitelností webových aplikací, to je informace o zprávě společnosti Cenzic, kterou si můžete stáhnout zde – Web Application Security Trends Report Q3-Q4, 2008.

Malware

Tools to remove Conficker , v této krátké informaci najdete odkazy na dva nástroje, které můžete použít k odstranění červa Conficker (Symantec a F-Secure).

Podvodný mail láká na video o teroristickém útoku ve vašem městě – Security experts warn of ‚terror attack‘ spam. Místo videa si však stáhnete malware (botnet Waledac). Viz také – Malware Attack Uses Geo-Location to Lure Victims.

BBC připustilo, že zaplatilo tisíce dolarů za botnet počítačovému podvodníkovi – BBC Click paid cybercrooks to buy botnet. Diskuze o legalitě této aktivity BBC pokračují. Bezpečnostní firmy většinou BBC kritizují.

How criminals use virus infection to steal from you, populárně napsaný článek na téma: Jak jsou infekce viry používány ke krádežím vašich dat.

Code for ultimate rootkit to be released on 19 March 2009 – je dokonalý rootkit na světě? To je komentář MICHAELA KASSNERA k publikaci nového článku o SMM rootkitu (JOANNA RUTKOWSKA a RAFAL WOJTCZUK). Samotnou studi najdete zde – Attacking SMM Memory via Intel® CPU Cache Poisoning a zde je další komentář – Attacking SMM memory via Intel CPU cache poisoning

Na konferenci (CanSecWest Security Conference) o novém útoku na BIOS informovali ANIBAL SACCO a ALFREDO ORTEGA (Core Security Technologies) – Researchers aim low to root hardware . Rootkit přežije pak i vymazání pevného disku.

Hackeři

Hackerský útok funguje také jako placená služba – Cybercrime-as-a-service takes off. Nyní nejenže si můžete koupit soubor nástrojů (toolkit), který umožňuje provádět útoky (v ceně 400 dolarů), ale za dalších 50 dolarů je nabízena jeho konfigurace a hosting pro provedení útoku. Tato informace byla přednesena na akci Vasco Banking Summit v Sydney (VLADO VAJDIC).

Má policie mezi své prostředky přibrat také hackování? Společnost F-Secure se takto dotázala 1020 respondentů. 23 procent souhlasilo, 65 procent bylo proti, 11 nebylo rozhodnuto. Článek Q&A: Should police hack? obsahuje rozhovor s MIKKO HYPPONENEM k tomuto tématu.

Zpráva k hrozbám: počítačoví podvodníci pracují stále rychleji – Threat report: Cybercriminals are working faster than ever. V článku najdete shrnutí informací ze zprávy společnosti Trend Micro.

Kyberzločin: Když přestane fungovat Google AdWords, to je článek JAKUBA ČÍŽKA na Živě: Spamu sice relativně ubývá, obrovské botnety zavirovaných počítačů ale slaví svůj triumf. Jsou stále větší, nabízí stejný luxus jako velké reklamní služby a jeden si postavila i BBC.

Ve městě New York byla hacknuta dopravní signalizace – Road signs hacked in NYC. Místo obvyklých oznámení se objevovaly hlášky typu „New York is dying“. Není to první hack takovéhoto typu.

Cílem útoku kriminálních hackerů se stává malé a střední podnikání – Small Business: The New Black In Cybercrime Targets. Velké firmy a banky jsou již obvykle dostatečně zabezpečeny a proto dochází k této změně orientace.

Hardware

Byly nalezeny další nové cesty k odchycení stisků klávesnice – Boffins sniff keystrokes with lasers, oscilloscopes. Italští odbornící o nich informovali na konferenci ve Vancouveru. Jsou k tomu využívány vibrace a elektromagnetické pulsy.

Spam

Další článek ze série Johna Edwardse (The Essential Guide) je věnován problematice spamu – The Essential Guide to Spam Control. Je rozdělen do tří částí: typy spamu, prostředky, kterými se spam šíří, a boj proti spamu.

Elektronické bankovnictví

Útoky proti bankám neustanou – oproti klasickému škodlivému kódu v současnosti při pokusech o podvody přibývá phishingu a postupů man-in-the-middle. Nenechte se oblafnout a naučte se bránit!

Článek vznikl ve spolupráci s časopisem Computer. Jeho plné znění najdete v čísle 4/09. Autorem článku je ALEŠ PIKORA, ředitel divize DataGuard společnosti PCS, oficiálního distributora produktů Kaspersky Lab v České republice a na Slovensku.

ROSS ANDERSON, SAAR DRIMER a STEVEN J. MURDOCH jsou autory studie k možným útokům na čtečky karet pro online bankovnictví – Optimised to Fail: Card Readers for Online Banking. Pomoci reverzního inženýrství zanalyzovali protokol CAP (Chip Authentication Program) a zjistili, že není odolný vůči některým typům útoků (replay attack, man-in-the-middle). Studie byla přednesena na Financial Cryptography 09.

Criminals sneak card-sniffing software on Diebold ATMs. Russian attack placed data-sniffing software on several banking machines aneb k útoku na bankomaty v Rusku. Útočníci získali fyzický přístup k bankomatům a nainstalovali tam trojana (Troj/Skimer-A).

VISA stojí v čele nových iniciativ týkajících se bezpečnosti platebních karet – Visa pilots new payment card security initiatives. In addition to OfficeMax and Fifth Third Bank pilots, Visa plans new alerting for consumers. Jedna se týká nového využití magnetických proužků (unikátní otisk prstu), druhá propaguje novou techniku (typu výzva-odpověď) v prodejních místech.

Phishing

Hackeři se snaží využít vyhledávače pro phishingové útoky – Hackers Enlist Search Engines for Phishing Attacks. JABULANI LEFFALL v článku hovoří o protiopatřeních ze strany společností, které vyhledávače provozují.

Biometrie

Novým biometrickým technologiím je věnována informace Authentication with a twist. Fujitsu přichází se systémem PamSecure, který analyzuje biometrií cév (infračerveným paprskem), umí dokonce rozpoznat, zda jimi protéká krev.

Normy a normativní doporučení

Americký NIST v tomto týdnu vydal:

Kryptografie

Crypto Manifesto čili průvodce nedostatečně bezpečnými kryptografickými algoritmy, to je zajímavý shrnující dokument (jeho autorem je YEKATERINA TSIPENYUK O´NEIL) rekapituluje některé problematické momenty při využívání současné kryptografie a to ve čtyřech oblastech:

  • Kryptografické hashe
  • Šifrování a kódování
  • Symetrické a veřejné klíče
  • Pseudonáhodné generátory

Stručný komentář k této studii je obsažen v článku Guidelines on unsafe cryptographic algorithms.

widgety

Informaci k patentu NSA o dohodě na klíči pomocí eliptické kryptografie najdete na stránce Method of generating cryptographic key using elliptic curve and expansion in joint sparse form and using same. Autorem patentu je známý odborník pracující pro NSA – JEROME A. SOLINAS.

Různé

Přehled vychází z průběžně publikovaných novinek na Crypto – News.

Našli jste v článku chybu?
Vitalia.cz: Tesco nabízí desítky tun jídla zdarma

Tesco nabízí desítky tun jídla zdarma

Podnikatel.cz: Letáky? Lidi zuří, ale ony stále fungují

Letáky? Lidi zuří, ale ony stále fungují

DigiZone.cz: Světový pohár v přímém přenosu na ČT

Světový pohár v přímém přenosu na ČT

DigiZone.cz: Ve sběru baterií jsme pilní

Ve sběru baterií jsme pilní

Lupa.cz: Proč jsou firemní počítače pomalé?

Proč jsou firemní počítače pomalé?

Lupa.cz: Blíží se konec Wi-Fi sítí bez hesla?

Blíží se konec Wi-Fi sítí bez hesla?

Lupa.cz: Adblock Plus začal prodávat reklamy

Adblock Plus začal prodávat reklamy

Lupa.cz: Jak levné procesory změnily svět?

Jak levné procesory změnily svět?

DigiZone.cz: Mordparta: trochu podchlazený 87. revír

Mordparta: trochu podchlazený 87. revír

120na80.cz: Co je padesátkrát sladší než cukr?

Co je padesátkrát sladší než cukr?

Vitalia.cz: Muž, který miluje příliš. Ženám neimponuje

Muž, který miluje příliš. Ženám neimponuje

Lupa.cz: Jak se prodává firma za miliardu?

Jak se prodává firma za miliardu?

Root.cz: Hořící telefon Samsung Note 7 zapálil auto

Hořící telefon Samsung Note 7 zapálil auto

DigiZone.cz: DVB-T2 ověřeno: seznam TV zveřejněn

DVB-T2 ověřeno: seznam TV zveřejněn

Podnikatel.cz: Nemá dluhy? Zjistíte to na poště

Nemá dluhy? Zjistíte to na poště

Podnikatel.cz: Tyto pojmy k #EET byste měli znát

Tyto pojmy k #EET byste měli znát

Vitalia.cz: Tradiční čínská medicína a rakovina

Tradiční čínská medicína a rakovina

Lupa.cz: Cimrman má hry na YouTube i vlastní doodle

Cimrman má hry na YouTube i vlastní doodle

Vitalia.cz: dTest odhalil ten nejlepší kečup

dTest odhalil ten nejlepší kečup

DigiZone.cz: Wimbledon na Nova Sport až do 2019

Wimbledon na Nova Sport až do 2019