Bezpečnostní střípky: vyrobte si klon pasu vašeho souseda

Jaroslav Pinkava 9. 2. 2009

Pravidelný pondělní přehled informací vztahujících se k problematice bezpečnosti IT. Z novinek tohoto týdne lze určitě upozornit na velmi rozsáhlý přehled událostí v roce 2008 od společnosti IBM, na článek k bezpečnosti notebooků a na „praktický“ nástroj ke klonování biometrických pasů.

Přehledy a konference

Objevil se nový přehled společnosti Ponemon – Fourth Annual U.S. Cost of a Data Breach Study. Uvedený odkaz vede na tiskovou zprávu, která byla zveřejněna u příležitosti vydání studie a která obsahuje její stručné shrnutí. Viz také komentář – Data Breaches More Costly Than Ever. Organizace musely vydat v roce 2008 celkem 6,6 milionu dolarů pro obnovu své image a uchování svých zákazníků – je otázkou, zda se jim to vždy podařilo. V roce 2007 uvedené číslo bylo 6,3 milónu dolarů, v roce 2006 pak 4,7 miliónu dolarů. Samotnou zprávu (po registraci) si můžete stáhnout zde – 2008 Annual Study: Cost of a Data Breach.

Rozsáhlou zprávu

X-Force Threat and Risk Report vydala společnost IBM. V roce 2008 se více než polovina zranitelností (55 procent) týkala webových aplikací (podle statistik divize IBM ISS security tools). Přitom pro tři čtvrtiny těchto zranitelností chyběla záplata. Celá zpráva má 106 stran a stojí rozhodně za povšimnutí. Pokud se chcete seznámit alespoň se stručným shrnutím, pak ho připravil John Leyden v článku Unpatched web vulns turn internet into drive-by warzone. Kromě zmiňovaného pohledu na zranitelnosti se věnuje také problematikám spamu, phishingu, webovému obsahu a malware. Viz také shrnutí na stránce Web applications are the Achilles’ heel for corporate IT security (webové aplikace jsou Achillovou patou bezpečnosti IT společností).

V pátek a o víkendu proběhla známá hackerská konference Shmoocon. Stručné anotace připravených příspěvků najdete zde – Shmoocon – presentations.

Obecná a firemní bezpečnost IT

Evropa potřebuje strategii pro ochranu dat svých občanů, říká ENISA (The European Network and Information Security Agency) ve svém novém dokumentu – Citizen data protection in focus: Europe needs a strategy. Materiál obsahuje přehled ochranných vlastností eID karet používaných v Evropě. Celou zprávu, kterou zveřejnila ENISA, si můžete stáhnout zde – Privacy Features of European eID Card Specifications.

17 High-Risk security Threats (And How to Fix Them) – aneb 17 vysoce rizikových hrozeb ( a jak se před nimi chránit), najdete je v této sérii sedmi článků:

Profesionálové společnosti Google se ocitli před italským soudem kvůli ochraně soukromí – Google Privacy Exec Facing Criminal Charges. Jedná se o Google video, vznesený požadavek na stažení videa s násilnickým obsahem nebyl ze strany pracovníků Google akceptován. Viz také – Google in the dock.

Na počítače NATO v Bruselu jsou prováděny neustálé útoky – Nato's cyber defence warriors . Novináři z BBC hovoří s pracovníky těchto služeb NATO. Útoky neustávají ani po ustavení nových bezpečnostních politik a nového kybernetického týmu „rychlého nasazení“ – ve stálé pohotovosti.

Jak funguje sociální inženýrství, popisuje profesionála v této problematice (CHRIS NICKERSON) – Social Engineering: Anatomy of a Hack.

Pět nápadů pro bezpečnost malého podnikání sepsal zase LAUREN GIBBONS PAUL (SMB Security: Five Bright Ideas):

  1. Správa rizik musí být základem vašich bezpečnostních praktik
  2. Současné splývání postupů informační a fyzické bezpečnosti
  3. Dohlížení prostřednictvím videa je nyní dosažitelné i pro malý byznys
  4. Outsourcing je stále více populární
  5. Pochopte, že lidi nelze násilně měnit

Pokud v organizaci, ve formě dochází k reorganizaci (a to v současné době není zase tak vzácný jev), pak je řada věcí, na které je třeba dávat pozor, a to i z hlediska bezpečnosti. CHAD PERRIN v článku 10 important categories of employment transition security vyjmenovává v této souvislosti deset bezpečnostních okruhů pří řízení zaměstnanců a vytváření odpovídajících politik. Pozornost je třeba věnovat následujícím otázkám:

  1. Kontrola přístupu
  2. Účty
  3. Vyřazení zaměstnance formou rozhovoru
  4. Dokumentace
  5. Inventář
  6. Zámky (fyzické, programové)
  7. Logy
  8. Hesla
  9. Personální elektronika
  10. Soukromí (každý zaměstnanec by měl mít chráněný prostor pro svá soukromá data)

Software

Srovnání bezpečnosti IE a Firefoxu, toto téma zdaleka není nové. Rozdíly mezi nimi existují, ale i dnes je obtížné říci, který z prohlížečů je bezpečnější. Závěr článku BILLA BRENNERA, ve kterém se o takovéto srovnání pokouší, nevyznívá optimisticky, žádný z prohlížečů není sám o sobě bezpečný dostatečně – IE or Firefox: Which browser is more secure? Surprise! Opinions on which Web browser offers better security are not as stark as they were a few years ago.

Poslední verze IE 8 má lépe chránit i proti XSS útokům nového typu – Microsoft fortifies IE8 against new XSS exploits. DAN GOODIN zde komentuje současné snahy Microsoftu.

Byla nalezena UAC zranitelnost ve Windows 7 beta – UAC vulnerability found in Windows 7 Beta. Viz originální materiál (LONG ZHENG) – Sacrificing security for usability: UAC security flaw in Windows 7 beta (with proof of concept code). Microsoft nalezenou „vlastnost“ jako zranitelnost nejprve popíral. Ale potom (po kritice) Microsoft oznámil, že ve Windows 7 změní chování UAC – Microsoft caves in, will change Windows 7 UAC. Admits mistake, bows to critics by adding prompt to ensure hackers can't silence warning. Ohlásil dvě změny. Viz také další informace v článku Windows 7 security faces growing criticism.

Pracujte bez administrátorských práv ve Windows a zbavíte se většiny zranitelností, to doporučuje studie „Reducing the Threat from Microsoft Vulnerabilities“ společnosti BeyondTrust. Viz také komentář Removing administrator rights on Windows is the way to go. Uživatelé však (alespoň někteří) chtějí mít nad svým počítačem plnou kontrolu…

Hackeři

Server Libimseti.cz po hacknutí zvyšuje bezpečnost, PATRICK ZANDL na Lupě: „Po posledních bezpečnostních problémech pracoval jeden z největších českých komunitních serverů Líbímseti na zvýšení bezpečnosti. Vynucená změna všech uživatelských hesel a jejich šifrování a zvěsti o tom, že úspěšných hackerských útoků kompromitujících hesla bylo více, takové jsou poslední zprávy.“

Crackulous, aplikace crackující SW pro iPhone, je nyní veřejně dostupná – One-Click iPhone App Cracker Released to the Public. Tento bezplatný SW lze podle autora článku stáhnout ze stránek Hackulous Cydia Repo.

Muž ze Seattlu se stal obětí hackerů sociální sítě Facebook – Man falls victim to Facebook hackers. Hacker, který se zmocnil jeho účtu (změnil také přístupové heslo) vylákal peníze od jeho přátel pod záminkou, že majitel účtu je v nesnázích.

Welcome to Scam City: Rogue Anti-Spyware Apps , pozor na falešné anti-spywarové aplikace. BRIAN SATTERFIELD v tomto článku upozorňuje na vlastnosti těchto podvodných programů a odkazuje mj. na jejich seznamy, které lze na internetu nalézt, např.: Rogue Security Program.

Rozhovor s významným hackerem si můžete přečíst na stránce The great hacker opens up. CHRIS GOGGANS mj. v květnu 2008 hacknul databázi FBI. Jeho názory na současnou bezpečnost internetu či tzv. kyberterorizmus určitě nejsou bez zajímavosti.

Byly hacknuty také stránky phpBB.com  – Open sourcey bulletin board offline after hack attack. phpBB coughs up names, addresses, passwords. Útočník tvrdí, že získal přístup ke 400 000 účtů, viz také phpBB hacked, 400,000+ account details intercepted.

Hardware

Deset věcí, které byste měli vědět o bezpečnosti notebooků – Security Slideshow: 10 Things You Need to Know NOW About … Laptop Security. Informace je podána formou deseti slajdů:

  • V uplynulém roce poprvé počet prodaných notebooků byl vyšší než počet prodaných desktopů
  • Nové hrozby se objevují s využíváním mini notebooků (netbooků)
  • Podle FBI v posledních dvou letech počet ukradených notebooků vzrostl o 48 procent
  • Počet datových průniků v roce 2008 vzrostl o 50 procent – proti roku 2007. Řada z nich vznikla díky kradeným notebookům
  • Nepodceňujte cenu datového průniku
  • Preventivním opatřením je šifrování dat na notebooku, ne vždy je bohužel používáno
  • Zde je připomenut BitLocker z Windows Vista
  • Řada notebooků má vestavěny další bezpečnostní prvky
  • Měla by existovat vhodná bezpečnostní politika pro práci s notebooky
  • Nezapomínejme na biometrickou ochranu (čtečky otisků prstů)

New disk encryption standards could complicate data recovery. So, what do you do if you lose your password? – k problematičnosti chystaných norem pro šifrování disků – co obnova dat? Pokud ztratíte heslo, k datům se nedostanete. Je ale otázkou, zda námitky tohoto typu jsou dostatečně kritické. Vhodná bezpečnostní politika může nařídit např. uchování kopie hesla v zapečetěné obálce v trezoru atd.

K chystané normě pro šifrování pevných disků probíhá diskuze také na Schneierově blogu – Hard Drive Encryption Specification . Mj. se objevuje i názor, že záměr normy je cílen hlavně na prosazování DRM (Digital Right Management).

Budget encryption. Attacking a weak crypto system – čínské pevné disky a jejich rozbitelné šifrování. CHRISTIANE RÜTTEN popisuje provedenou analýzu produktů společnosti Raidan (pevné disky série Staray-S, v Evropě prodávané pod označením Stardom)).

X-box Live a útoky hackerů jsou předmětem obsahu článku Hackers Use DIY Botnets To DDoS Xbox Gamers. Botnety typu „udělej si sám“ umožňují útoky DDoS.

Přepíšeme data na pevném disku, co se zde vlastně děje? Autor v článku What happens when you overwrite data? vysvětluje fyzikální podstatu dění (objasnění výsledku článku autorů Wright, C.; Kleiman, D, & Sundhar S. R. S. – osmý článek v citovaném seznamu literatury).

VoIP

VoIP Security: The Basics, tento článek je věnován základům bezpečnosti VoIP. BOB BRADLEY v něm vyjmenovává celkem šest možných hrozeb a vysvětluje, jak se vyhnout existujícím rizikům. Předkládá také doporučení pro serverovou část komunikace.

RFID

Laciný nástroj pro klonování biometrických pasů na světě, 250 dolarů na eBay, to není drahé, že? CHRIS PAGET touto demonstrací chce oponovat argumentům typu, že mezi teoretickou prací a jejím uvedením do praxe je ještě velká mezera – Passport RFIDs cloned wholesale by $250 eBay auction spree. Ve videu Video: Hacker war drives San Francisco cloning RFID passports pak vysvětluje své postupy.

Spam

Většina spamu je svázána s deseti doménovými registrátory – Report: Most Spam Sites Tied to Just 10 Registrars. 83 procent spamu vychází z domén registrovaných u 10 v článku vyjmenovaných registrátorů.

Autentizace, hesla

Banky říkají, že dnešní ID karty nejsou pro nás dostatečně bezpečné – Banks: ID cards ‚have been stripped of useful features‘. Neobsahují totiž původně předpokládané bezpečnostní prvky.

Biometrie

Sony připravuje biometrii cév – Sony taps veins for better biometrics. Technologie se nazývá Mofiria, zatím však není jasné, zda kamera rozpozná, zda cévami teče krev. Mafie zatím mohou spát…

Normy a normativní dokumenty

Hidden Assumptions in Cryptographic Protocols, článek se obrací k problémovosti některých norem pro kryptografické protokoly. Kritika přístupu některých tvůrců normativních dokumentů zazněla na setkání odborníků, které uspořádal Microsoft Research minulý týden. Některé normy nejsou dostatečně specifické a konkrétní implementace kryptografických protokolů nejsou pak kompatibilní.

Americký NIST vydal novou verzi draftu

widgety

Různé

Internet se zbláznil, chybou Google z minulého týdne se zabývala řada médií – Google makes mistake, internet goes crazy. Poslední den v lednu se na výsledcích vyhledávání pravidelně objevovala hláška: „This site may harm your computer“. Viz také – Google taking security a little too seriously?.

Přehled vychází z průběžně publikovaných novinek na Crypto – News.

Našli jste v článku chybu?
DigiZone.cz: Ginx TV: pořad o počítačových hráčích

Ginx TV: pořad o počítačových hráčích

Lupa.cz: Kdo vyhraje Kříšťálovou Lupu? Hlasování začalo!

Kdo vyhraje Kříšťálovou Lupu? Hlasování začalo!

Podnikatel.cz: Letáky? Lidi zuří, ale ony stále fungují

Letáky? Lidi zuří, ale ony stále fungují

Lupa.cz: Cimrman má hry na YouTube i vlastní doodle

Cimrman má hry na YouTube i vlastní doodle

Lupa.cz: Další Češi si nechali vložit do těla čip

Další Češi si nechali vložit do těla čip

DigiZone.cz: Digi Slovakia zařazuje stanice SPI

Digi Slovakia zařazuje stanice SPI

Root.cz: Hořící telefon Samsung Note 7 zapálil auto

Hořící telefon Samsung Note 7 zapálil auto

DigiZone.cz: Nova opět stahuje „milionáře“

Nova opět stahuje „milionáře“

Lupa.cz: Patička e-mailu závazná jako vlastnoruční podpis?

Patička e-mailu závazná jako vlastnoruční podpis?

Lupa.cz: Jak levné procesory změnily svět?

Jak levné procesory změnily svět?

120na80.cz: Galerie: Čínští policisté testují českou minerálku

Galerie: Čínští policisté testují českou minerálku

Lupa.cz: Blíží se konec Wi-Fi sítí bez hesla?

Blíží se konec Wi-Fi sítí bez hesla?

DigiZone.cz: Funbox 4K v DVB-T2 má ostrý provoz

Funbox 4K v DVB-T2 má ostrý provoz

DigiZone.cz: DVB-T2 ověřeno: seznam TV zveřejněn

DVB-T2 ověřeno: seznam TV zveřejněn

Podnikatel.cz: Udělali jsme velkou chybu, napsal Čupr

Udělali jsme velkou chybu, napsal Čupr

Podnikatel.cz: ČSSZ posílá přehled o důchodovém kontě

ČSSZ posílá přehled o důchodovém kontě

Vitalia.cz: Tesco nabízí desítky tun jídla zdarma

Tesco nabízí desítky tun jídla zdarma

Měšec.cz: TEST: Vyzkoušeli jsme pražské taxikáře

TEST: Vyzkoušeli jsme pražské taxikáře

Vitalia.cz: Antibakteriální mýdla nepomáhají, spíš škodí

Antibakteriální mýdla nepomáhají, spíš škodí

Podnikatel.cz: Instalatér, malíř a elektrikář. "Vymřou"?

Instalatér, malíř a elektrikář. "Vymřou"?