Hlavní navigace

Bezpečnostní střípky: většina průniků je zevnitř organizace

Jaroslav Pinkava 25. 5. 2009

Pravidelný přehled informací vztahujících se k problematice bezpečnosti IT. Z novinek tohoto týdne lze upozornit na informaci o vydaných metrikách pro informační bezpečnost, na dvě nedávno vydaná Live CD (bezpečnost webů) a na výsledek nezávislého testu antivirových produktů.

Obecná a firemní bezpečnost IT

Kamery a počítače budou evidovat poznávací značky všech projíždějících aut – Camera grid to log number plates . Toto opatření je v současné době připravováno ve Velké Británii a budovaná síť několika tisíc kamer by měla být spuštěna v průběhu příštích měsíců.

V roce 2010 můžeme být bez GPS  – Worldwide GPS may die in 2010, say US gov. Je otázkou, zda se US Air Force podaří do té doby získat potřebné nové satelity tak, aby služba mohla být provozována bez přerušení.

Metriky pro informační bezpečnost, přání a potřeba mnohých bezpečnostních profesionálů jsou na světě – Consensus metrics for information security. Center for Internet Security (CIS) oznámil vydání prvních takovýchto průmyslových metrik. Mohou poskytnout bezpečnostním profesionálům prostředek pro měření nejdůležitějších aspektů stavu informační bezpečnosti v podniku.

Z Bílého domu zmizel terabajtový disk s daty z Clintonovy éry – Missing: 1TB of Clinton White House data. Ukraden (?) byl někdy mezi loňským říjnem a letošním březnem. Viz také – U.S. National Archives offers reward for missing hard drive.

Cloud computing  – poznávejme jeho nebezpečí – Cloud Security: Danger (and Opportunity) Ahead. ARIEL SILVERSTONE v úvodním článku chystané série zkoumá existující hrozby a záludnosti těchto postupů a uvádí některá doporučení (best practices).

Materiál (whitepaper) společnosti RSA uvádí šest nejlepších postupů, jak chránit podnik před ztrátou dat:

  • Pochopte, která data jsou nejvíce citlivá ve vztahu k předmětu vašeho podnikání.
  • Uvědomte si, kde jsou vaše nejcitlivější data uložena.
  • Pochopte původ a podstatu vašich rizik.
  • Zvolte vhodné kontroly založené na politice, rizicích a místech, kde jsou citlivá data uložena.
  • Spravujte bezpečnost centralizovaně.
  • Bezpečnostní audity musí směřovat k stálému zlepšování.

Je to pravda – většina bezpečnostních průniků má původce uvnitř – Myth or not: Most security breaches originate internally. MICHAEL KASSNER rozebírá statistiky CSI/FBI. Všimněte si bohaté diskuze.

Software

Nástroj proti XSS útokům bude prezentován příští týden na konferenci v Oaklandu (IEEE Symposium on Security and Privacy) – A Blueprint to Stop Browser Attacks. A software layer protects against cross-site scripting attacks. V tomto přístupu nejprve proběhne na webové stránce kontrola obsahu dat od uživatelů, je ověřováno, zda neobsahují útok XSS, teprve pak mohou být data použita.

Linux i Windows mohou být kompromitovány v průběhu bootování – Linux and Windows compromised at boot. Piotr Bania připravil nástroj (proof of concept) – boot compromise tool called Kon-Boot. Poučení – jediné možné řešení je bránit fyzický přístup k počítači.

Webový útok, který infikuje výsledky Google, se stává nebezpečnějším – Web attack that poisons Google results gets worse. The attack targets known flaws in Adobe's software, informuje ve svém článku na Computerworldu ROBERT McMILLAN. S útokem se lze potkat již na několika tisících legitimních webů. Využívá známé chyby programů Adobe a používá je k instalaci škodlivého software na počítačích obětí. Viz také – Viral web infection siphons ad dollars from Google.

Kylin: New Chinese Operating System aneb je zde nový – bezpečný – čínský operační systém. K článku z Washington Times o OS Kylin (China blocks U.S. from cyber warfare) probíhá diskuze na Schneierově blogu.
Viz také – Much ado about Kylin.

WhiteHat: většina dnešních webů je zranitelná – WhiteHat: Most Web Sites Are Vulnerable Now. Podle zprávy WhiteHat Website Security Statistics Report (za období 1.1.2006 až 31.3.2009) obsahovalo 82 procent webových stránek kritický problém (po dobu své životnosti). V současnosti je nedostatečně zabezpečených 63 procent webů.

Můžete si stáhnout Live CD pro penetrační testování webů – Web penetration testing live CD. CD obsahuje nástroje pro všechny čtyři etapy penetračního testování webových stránek:

  • Reconnaissance – Fierce Domain Scanner and Maltego.
  • Mapping – WebScarab and ratproxy.
  • Discovery – w3af and burp.
  • Exploitation – BeEF, AJAXShell and much more.

Stránky samotného produktu jsou zde  – Samurai Web Testing Framework.

Nová verze existuje pro OWASP LiveCD – OWASP LiveCD switching to Ubuntu. Odkaz na vydáné ISO je na této stránce – Austin Terrier. CD obsahuje soubor open-source programů pro vývojáře webových stránek a pro jejich testery a auditory.

O chybě v konstrukci OpenSSH informuje TOM ESPINER v článku Flaw in encryption armor discovered. Britští odborníci z londýnské univerzity (Royal Holloway) poukázali na chybu, která ve verzi 4.7 OpenSSH pro Debian/GNU Linux (chyba je již přímo v rfc, které definuje SSH) umožňuje útočníkovi získávat části otevřeného textu. Open SSH ve verzi 5.2 již obsahuje protiopatření.

Malware

Viry a malware pro *nix systémy existují – The myth of *nix security. Na blogu společnosti KasperskyLab to prokazuje SERGEJ GOLOVANOV.

EUGEN KASPERSKY konstatuje, že za botnetem Conficker stojí skuteční profesionálové – Kaspersky impressed by botnet slickness. Na 60 procent přitom předpokládá, že Conficker je kontrolován z Ukrajiny, ale podle něho to nelze tvrdit s jistotou.

Nepodceňujeme malé botnety? Přitom – lze je velice snadno použít k cíleným útokům či rozesílání spamu – Inside the botnets that never make the news – a gallery (RYAN NARAINE a DANCHO DANCHEV). Na druhou stranu, jak bylo nedávno zjištěno, i „vlastníci“ velkých botnetů je člení na malé části, které potom přeprodávají pro jiné kriminální aktivity (původní malware je nahrazován jiným).

Conficker stále infikuje 50 000 počítačů denně – Conficker still infecting 50,000 PCs per day (ROBERT McMILLAN). Podle zprávy Symantecu jsou nejvíce zasaženy Indie a Brazílie. Odhaduje se, že nyní je jím infikováno ve světě jeden milión počítačů, což představuje největší současný botnet.

Máme zde nyní Chain of Trust, což je nový program pro boj s malware – Cybersecurity groups pledge to work together. The three groups want to join forces to combat malicious software. Tři organizace (Anti-Spyware Coalition, the National Cyber Security Alliance and StopBadware.org ) se spojily a chtějí adresovat jak dodavatele SW, výzkum, vládní agentury, internetové společnosti, poskytovatele sítí a školy pro jednotný boj s malware. Spolupracovat s tímto programem bude i FBI.

Viry

Počítačové sítě FBI byly napadeny neznámým virem – Mystery virus strikes FBI, U.S. Marshals (STEVEN MUSIL). Informace o tom, co se vlastně stalo, jsou však velice skoupé.

BitDefender přichází s některými novými volně dostupnými nástroji – BitDefender launches ‚suck it and see‘ free anti-virus scanner. Je mezi nimi např. bezplatný antivirový skener, avšak některé jeho funkce jsou omezené.

Máme zde ale také překvapivé výsledky nezávislého testu antivirových produktů – Antivirus Taste Test: One Man's Quest for (Nearly) Objective Rankings. Bezpečnostní konzultant CHAZ SOWERS provedl své vlastní srovnání antivirového SW. Výsledky jsou zajímavé. Na jednom z předních míst najdeme Trustport, naopak zcela zklamalo AVG. Ale dobře nedopadly ani takové renomované antiviry jako Kaspersky, Norton (Symantec).

Antiviry jsou každým rokem méně efektivní, vyplývá to z rozhovoru s ARTEM COVIELLO, prezidentem RSA (bezpečnostní divize EMC Corp.) k současným problémům bezpečnosti IT – Why Security Isn't A Solo Act.

Hackeři

Clickjacking: Hijacking clicks on the Internet aneb clickjacking – jak to vlastně funguje? Jedno z velkých nebezpečí, které číhá na surfaře na internetu – Elinor Mills vysvětluje podstatu těchto útoků. Podrobnější informace lze nalézt v článku Clickjacking z prosince 2008 (ROBERT HANSEN a JEREMIAH GROSSMAN).

Každý pátý teenager umí nalézt na internetu hackovací nástroje – One in five teenagers can find hacking tools online. Vyplývá to z analýzy, kterou provedla společnost Panda Security.

O vojenském využití hackingu se hovoří v článku US military shows off hack-by-numbers battlefield gadget (jeho autorem je DAN GOODIN). Americká armáda připravuje zařízení pro penetrace sítí nepřátel.

Útoky typu Gumblar z kompromitovaných webů se rychle šíří – ‚Gumblar‘ attacks spreading quickly (MATTHEW BROERSMA). Byla sice zastavena čínská doména gumblar.cn (odkud byl stahován škodlivý kód), ale byla nahrazena doménou martuz.cn. 

Viz také – Gumblar Google-poisoning attack morphs.

Hardware

I čerstvě nakoupené zařízení od výrobce může obsahovat malware – Another infected device. Na blogu společnosti Kaspersky Lab je jako další v řadě uveden příklad netbooku společnosti M&A Companion Touch.

Mobilní telefony

iPhone security, Part 1 – MICH KABAY se dívá na problematiku bezpečnost iPhone z obecného hlediska, uvádí některé užitečné odkazy. Druhá část jeho článku je zde – iPhone Security, Part 2.

Forenzní analýza

Tracking Cyberspies Through the Web Wilderness – jak probíhá detektivní práce v kybernetickém prostoru? O zkušenostech při získávání důkazů na internetu se hovoří v článku JOHNA MARKOFFA.

Autentizace

Přestože byl certifikován, rakouský elektronický občanský průkaz obsahuje bezpečnostní zranitelnosti – Security vulnerabilities in Austrian Citizen Card despite certification (DANIEL AJ SOKOLOV).

Phishing

Byly zaznamenány nové phisherské útoky ve vztahu k sociálním sítím Facebook a Twitter – Deja vu: New scams hit Facebook and Twitter. Cílem útoků je pochopitelně získání přihlašovacích dat uživatelů (a jejich pozdější zneužití) a rozesílání malware. V článku jsou obsažena některá doporučení uživatelům (převzata ze stránek Facebook):

  • Používejte aktualizovaný prohlížeč, který pracuje s černou listinou anti-phishingu (např. IE 8 a Firefox 3.0.10)
  • Používejte odlišná přihlašovací data pro každý web, který navštěvujete
  • Ověřte se zda se přihlašujete na legitimní stránku (Facebooku – facebook.com)
  • Buďte opatrní ve vztahu ke každé zprávě, oznámení či odkazu, který na Facebooku najdete – takovým, které vypadají podezřele či vyžadují nové přihlášení

Cílem phisherských útoků na Facebook jsou (překvapivě) – peníze – Latest Facebook Phishers are Out for Profit. Útočníci hledají hesla k Facebooku. Mají šanci, že nalezené heslo pak dotyčný používá i jinde, například při online nákupech.

O Unicode a možnosti jeho zneužití (např. pro phisherský útok) se píše v článku Simple Anti-Forensic and Signature stamping techniques using Unicode. Některé znaky v azbuce (v cyrilice) vypadají stejně a pokud je povolena registrace domén se znaky v Unicode, pak návštěvník nepozná, že je na nesprávném webu.

Chraňte se před útoky typu vishing – Protecting yourself from vishing attacks. Vishing – jsou to vlastně pokusy o krádež informací či peněz uživatelů prostřednictvím telefonní sítě (kombinace slov voice a phishing). MARGUERITE REARDON vysvětluje, jak to vlastně funguje a uvádí celou řadu doporučení pro obranu před těmito útoky.

Normy a normativní dokumenty

Pracovní skupina IETF pkix vydala v tomto týdnu nový draft:

Kryptografie

Útoku na podpisy RSA podle normy ISO/IEC 9796–2 je věnována studie Practical Cryptanalysis of ISO/IEC 9796–2 and EMV Signatures. Z teoretického hlediska neexistuje garance, že podvržení podpisu je stejně obtížné jako inverze RSA. Autoři ukazují jeden z takovýchto útoků, který navíc směřuje na schéma dle aktuálně používané normy. Ukazují i praktické výsledky.

Lámejte si hlavu nad hádankou od Bruce Schneiera – Lost Wired Puzzle. Zde máte pokusy o její řešení:

A zde je diskuze na Schneierově blogu (pozor, už i s odkazem na řešení hádanky):

Různé

Přehled vychází z průběžně publikovaných novinek na Crypto – News.

Našli jste v článku chybu?

25. 5. 2009 23:03

uživatel si přál zůstat v anonymitě
Ja to delam tak, ze si z URL sluzby + jednoho tajneho klice spoctu hash a ten pouziji jako heslo.
Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Lupa.cz: Seznam mění vedení. Pavel Zima v čele končí

Seznam mění vedení. Pavel Zima v čele končí

Vitalia.cz: Znáte „černý detox“? Ani to nezkoušejte

Znáte „černý detox“? Ani to nezkoušejte

Root.cz: 250 Mbit/s po telefonní lince, když máte štěstí

250 Mbit/s po telefonní lince, když máte štěstí

Měšec.cz: Kdy vám stát dá na stěhování 50 000 Kč?

Kdy vám stát dá na stěhování 50 000 Kč?

Root.cz: Certifikáty zadarmo jsou horší než za peníze?

Certifikáty zadarmo jsou horší než za peníze?

Lupa.cz: Co se dá měřit přes Internet věcí

Co se dá měřit přes Internet věcí

Vitalia.cz: Chtějí si léčit kvasinky. Lék je jen v Německu

Chtějí si léčit kvasinky. Lék je jen v Německu

Vitalia.cz: Jsou čajové sáčky toxické?

Jsou čajové sáčky toxické?

DigiZone.cz: Recenze Westworld: zavraždit a...

Recenze Westworld: zavraždit a...

Lupa.cz: Google měl výpadek, nejel Gmail ani YouTube

Google měl výpadek, nejel Gmail ani YouTube

DigiZone.cz: Rádio Šlágr má licenci pro digi vysílání

Rádio Šlágr má licenci pro digi vysílání

Podnikatel.cz: Na poslední chvíli šokuje výjimkami v EET

Na poslední chvíli šokuje výjimkami v EET

120na80.cz: Rakovina oka. Jak ji poznáte?

Rakovina oka. Jak ji poznáte?

Vitalia.cz: Často čůrá a má žízeň? Příznaky dětské cukrovky

Často čůrá a má žízeň? Příznaky dětské cukrovky

Lupa.cz: UX přestává pro firmy být magie

UX přestává pro firmy být magie

DigiZone.cz: Flix TV má set-top box s HEVC

Flix TV má set-top box s HEVC

Lupa.cz: Insolvenční řízení kvůli cookies? Vítejte v ČR

Insolvenční řízení kvůli cookies? Vítejte v ČR

Měšec.cz: Zdravotní a sociální pojištění 2017: Připlatíte

Zdravotní a sociální pojištění 2017: Připlatíte

DigiZone.cz: Sony KD-55XD8005 s Android 6.0

Sony KD-55XD8005 s Android 6.0