Hlavní navigace

Bezpečnostní střípky: Amerika pátrá po ukradených tajných telegramech

Jaroslav Pinkava 14. 6. 2010

Pravidelný pondělní přehled informací vztahujících se k problematice bezpečnosti IT. Z novinek právě uplynulého týdne lze upozornit na informaci o tom, jak si můžete zkontrolovat své bezpečnostní nastavení na Facebooku, opravu kritické chyby v Adobe Flash a přehled záchranných CD pro boj s malware.

Konference a přehledy

Ninth Workshop on Economics and Information Security, diskuzi k této akci, která se v minulých dnech uskutečnila v Harvardu, si můžete přečíst na Schneierově blogu. Jednotlivá vystoupení (články) jsou k dispozici na této stránce:

Program konference RECON 2010, která se koná 10–11. července v Montrealu (Kanada), najdete na stránce Speakers. Připojeny jsou krátké anotace jednotlivých vystoupení.

Obecná a firemní bezpečnost IT

Každý desátý IT profesionál podvádí při auditu IT – 1 in 10 IT pros cheat on an IT audit. K tomu výsledku dospěly závěry rozboru, který provedla společnost Tufin Technologies. S kompletními statistikami rozboru se lze seznámit na této stránce – InfoSecurity UK 2010 Firewall Management Survey Results.

Do vězení půjde analytik americké vojenské zpravodajské služby – U.S. Intelligence Analyst Arrested in Wikileaks Video Probe. Dvaadvacetiletý SPC Bradley Manning byl zatčen nedaleko od Bagdadu. Za úplatu předal hackerovi video s helikoptérou, která měla zaútočit v Bagdadu a zabít i nevinné civilisty. Další podrobnosti jsou také v článku – Hacker turns in soldier in Iraq airstrike video leak. Zadržený navíc tvrdí, že Wikileaks předal 260 000 utajovaných diplomatických depeší. Pokud Wikileaks má tyto dokumenty a zveřejní je, povede to k dosud nevídané kompromitaci americké zahraniční politiky a národní bezpečnosti USA – State Department Anxious About Possible Leak of Cables to Wikileaks.

Čína hájí své právo na cenzuru internetu – China defends internet censorship. Byl k tomu tamní vládou vydán speciální dokument. Článek rozebírá jeho obsah.

Socializing safely via the Internet aneb rodina na internetu, Mich Kabay v článku shrnuje své úvahy, které směřují na tyto aspekty bezpečnosti. Nepřehlédněte také odkazy v závěru článku, např.:

Největší obavy ve vztahu k národní bezpečnosti USA jsou z možných kybernetických útoků – Cyberattacks are biggest fear, survey shows. Vyplývá to z přehledu, na kterém se podílelo 250 IT profesionálů (březen 2010). Kompletní výsledky přehledu jsou zde:

FBI vyšetřuje únik e-mailů z iPad – FBI investigating iPad e-mail leaks. Mělo uniknout 114 000 adres uživatelů iPad. Není zatím jasné, zda a jaké byly porušeny zákony. Další komentář k tomu najdete na stránce – Exposed Apple´s Worst Security Breach: 114,000 iPad Owners.

Techniky sociálního inženýrství: 4 cesty, kterými se kriminální strana dostává dovnitř, vyjmenovává Joan Goodchild (Social engineering techniques: 4 ways criminal outsiders get inside):

  1. Alternativní komunikační kanály
  2. Zprávy osobního charakteru
  3. Apelace na sociální cítění
  4. Spolehnutí se na bezpečnostní mechanizmy nemusí také vždy fungovat

Sociální sítě

Rychlá kontrola bezpečnosti Facebooku, autorem tohoto článku je Ondřej Bitto: Nejste si jisti, jestli sociální síť sítí používáte opravdu bezpečně a zda zbytečně nevyzrazujete příliš ze svého soukromí? Poradíme vám, jak si zabezpečení zkontrolovat s ReclaimPriva­cy.org.

O Facebooku vyšla kniha – Book about Facebook's be­ginnings may dim spotlight on privacy. Jejím autorem je novinář David Kirkpatrick. Jeho kniha The Facebook Effect popisuje historii Facebooku a zabývá se také Markem Zuckerbergem (CEO Facebooku).

Jaká jsou hlavní rizika sociálních médií pro podnikání? Sharon Gaudin v článku Group lists top five social media risks for businesses komentuje studii, kterou vydala ISACA – Social Media: Business Benefits and Security, Governance and Assurance Perspectives. Viz také další komentář – Advisory body names top five social media business risks.

Nové hrozby na sociálních sítích podle AVG, David Silmen: Společnost AVG vydala zprávu o nové hrozbě, která se šíří skrz sociální sítě. Jedná se o takzvaný „hackaktivismus“, kdy dochází využití digitálních nástrojů k dosažení politických cílů.

Jak vytvářet politiky ve vztahu k sociálním médiím? Mike Hrabik v článku Crafting a social media policy poukazuje na nezbytnost takovéto politiky v organizacích a rozebírá její hlavní součásti. Za zmínku stojí také odkaz na starší slideshow 12 tips for safe social networking.

Software

Adobe Flash – útočníci zneužívají kritickou chybu – Update: Attackers exploit critical bug in Adobe's Flash, Reader. Tato chyba je i v nejnovější verzi Flash Playeru – 10.0.45.2 (ve verzích pro Windows, Macintosh, Linux a Solaris). Zranitelné jsou i Acrobat reader 9.x a Adobe Acrobat 9.x (Windows, Macintosh a Unix). Útočníci využitím této chyby mohou získat kontrolu nad počítačem.

Adobe si proto tentokráte pospíšil a vydal novou verzi Flash Playeru 10.1 – Adobe Flash Update Plugs 32 Security Holes. V článku Brian Krebs komentuje toto vydání a ukazuje odkazy, kde si můžete zjistit, jakou verzi vlastně máte a odkud si můžete novou verzi stáhnout.

Poet, to je nástroj využívající slabiny webových stránek. Dan Goodin na stránce Researchers release point-and-click website exploitation tool. ‚Tons‘ of vulnerable sites popisuje vlastnosti tohoto nástoje, který byl tento týden zpřístupněn veřejnosti – Padding Oracle Exploit Tool. Viz také – Tool for cracking encrypted session data.

Je Open Source SW bezpečný? Tradiční otázka, tentokrát odpověď na ní hledá ve svém článku Lincoln Spector. Takové programy jako Password Safe a TrueCrypt by za jiné nevyměnil – Is Open Source Safe?.

Jedna třetina výsledků vyhledávačů je otrávená. Na základě analýzy svých odborníků přichází s touto informací Symantec. Jeho pracovníci dva týdny zkoumali horní stovku výsledků vyhledávání pro 300 populárních objektů – One third of search engine results are poisoned.

Jak se v podniku chránit před pdf útoky? Michael Cobb v článku Enterprise PDF attack prevention best practices přichází se sadou doporučení. Jsou zde také uvedeny některé další související odkazy.

Google zaplatilo 2 000 dolarů za oznámenou chybu v Google Chrome – Google pays $2,000 for report of a vulnerability in Chrome. Tuto sumu obdržel Sergey Glazunov.

Analytik společnosti Google dává Microsoftu 5 dní na opravu kritické chyby ve Windows XP – Google researcher gives Microsoft 5 days to fix XP zero-day bug. Po pěti dnech, kdy informaci odeslal Microsoftu, zveřejnil kód programu, který umožňuje útok zneužitím této zranitelnosti. Podle komentáře to svědčí o narůstající válce obou společností.

Windows Help lze zneužít k útoku – Windows Help used as attack surface . Na chybu v Microsoft's Help and Support Center přišel Tavis Ormandy.

Malware

Záchranná CD pro boj s malware, informaci k nim najdete na stránce Rescue CDs: Tips for fighting malware. Michael Kassner připravil přehled takovýchto nástrojů a vysvětluje jejich vlastnosti a co tato CD umožňují.

Trojan Zeus zahájil další svoji kampaň – ZeuS Trojan Attack Spoofs IRS, Twitter, Youtube. Podvržené maily s označením Notice of Underreported Income upozorňují jakoby na chyby v daňovém přiznání (USA) a nutí adresáta kliknout na odkaz s jejich přiznáním. Ve skutečnosti ovšem se jedná o útok, který se pokouší zjistit hesla uživatele.

Viry

Týždeň staré antivírusy detekujú maximálne 63% nového malwaru, z úvodu: Najlepšími antivírusmi v detekcii nového škodlivého kódu, ktorého detekciu tvorcovia antivírusov ešte nezahrnuli do definičných databáz, sú v súčasnosti antivírusy Trustport a Panda (jedná se o výsledky testu AV-Comparatives).

Hackeři

Odbor města New York pro výchovu byl podvodem hackery obrán o 644 000 dolarů – Crooks siphon $644,000 from school district's bank account. Napaden byl jeho bankovní účet a trvalo tři roky než si toho někdo všiml.

Varování před počítačovým útokem ze Severní Koreje zaznělo v Seoulu z úst korejského ministra obrany, a to v souvislosti s přípravou summitu G-20, který se zde má konat v listopadu – Military leaders warn of NK cyber attack.

Hackeři infikovali stránky novin Jerusalem Post – Hackers plant malware on Jerusalem Post website. Podle firmy Sophos to však nemělo politické pozadí.

Dále – hromadný útok na tisíce webů byl podniknut v uplynulých dnech, pomocí SQL injection bylo napadeno statisíce webů – Mass hack plants malware on thousands of webpages. Viz také komentář – Mass Web attack hits Wall Street Journal, Jerusalem Post.

Esej Bruce Schneiera na téma najímání hackerů je součástí diskuze na jeho blogu – Hiring Hackers. Párovou (pohled z druhé strany) esej připravil Marcus Ranum, obě eseje najdete na stránce

Hardware

S fotoaparátem Olympus Stylus Tough 6010 přibalí i červa – Hardware: Olympus Digital Camera Ships With a Worm. Je na vnitřní paměťové kartě. Prodáno snad mělo být asi 1700 takových fotoaparátů. Takovéto jevy se stávají stále častěji a proto doporučení: na svém počítači mějte zakázáno spuštění Autorun a oskenujte nejprve libovolné takové zařízení před jeho připojením k PC.

Bezpečnostní rizika USB flash disků rozebírá Richard W. Walker – Making USB thumb drives secure enough for government work. Poukazuje na jedné straně na užitečnost těchto malých médii pro uchování a přenos dat a na druhé straně na rizika s nimi spojená. Vysvětluje, že existují rozdíly v zabezpečení těchto flash disků podle typu a výrobce.

Bezdrát

Společnost Google sběrem dat z bezdrátu pravděpodobně porušila i americké zákony – Former Prosecutor: Google Wi-Fi Snafu ‘Likely’ Illegal. Bývalý žalobce Paul Ohm upřesňuje, v čem podle jeho názoru byly zákony porušeny.

Mobilní telefony a zařízení

Temná stránka mobilních aplikací, článek Davida Silmena vychází z materiálu na stránce Dark Side Arises for Phone Apps. Množství aplikací pro chytré mobilní telefony narůstá obrovským tempem. Roste tím však i potenciální nebezpečí, které se v některé z nich může skrývat. Příklad najdete v článku Hackers plant virus in smartphone games (hry 3D Anti-Terrorist a PDA Poker Art) .

Jaké jsou výhledy ohledně hrozeb pro chytré mobily? Chad Perrin se v What are the prospects for smartphone security threats? zamýšlí nad možným vývojem. Podle autora jsou s těmito mobily spojena dvě základní nebezpečí. Jedno spočívá v možnosti (jednodušší než u počítačů) jeho krádeže, druhé pak při jeho používání pro bankovní transakce. Samozřejmě tato zařízení budou do budoucna v rostoucí míře předmětem útoků různých typů malware, mohou se stát i součásí botnetů.

Bezpečnost mobilních telefonů – co lze a co nelze ve vztahu k bezpečnosti, k této otázce dává Bill Brenner ve svém článku na csoonline.com dohromady vyjádření celé řady odborníků – Mobile phone security dos and don'ts.

Spam

Objevil se falešný e-mail o deaktivaci účtu Facebooku – Fake Facebook account deactivation email. Naštěstí kliknutí na odkaz „Sing In“ v e-mailu oběť přivede jen na stránky kanadské farmaceutické firmy. Viz také – Malicious tweets keep coming and changing (co vše se na Facebooku urodilo, aby mohlo škodit).

Elektronické bankovnictví

Aktualitu na téma bankomatové podvody najdete na stránce Skimming from the sofa. Autor krátkého článku komentuje současnou situaci, přidává některé odkazy.

Pracovník Bank of America se přiznal, ukradl chráněná data zákazníků – Bank of America insider admits he stole sensitive customer data. Brian Matty Hagen se je pak pokoušel prodat – bohužel pro něho agentům FBI.

Finanční instituce investují nyní podstatně více do bezpečnosti – Financial institutions increase security spending, as threats and regulatory penalties rise. Vede je k tomu pochopitelně narůstající množství různorodých hrozeb.

Autentizace, hesla

Proč DRM Ubisoftu fungovalo? Autor článku Devil's Advocate: Why Ubisoft's DRM worked říká, je jedno, jak tuto jejich novou ochranu autorských práv nesnášíte, ona prostě zafungovala.

Špatné praktiky pro práci s hesly znehodnocují bezpečnost jako celek – Researchers: Poor password practices hurt security for all. Elizabeth Heichler komentuje studii dvou odborníků z univerzity v Cambridgi (Anglie). Joseph Bonneau a Soren Preibusch ji prezentovali na akci Workshop on the Economics of Information Security (Cambridge, Mass.).

Normy a normativní dokumenty

Americký NIST v uplynulém týdnu vydal dokument:

Kryptografie

Byly zahájeny práce na projektu pro digitalizaci zpráv ze 2. světové války, které byly šifrovány Enigmou – Archive project will digitize WWII Enigma messages. Realizaci celé rozsáhlé akce napomáhají sponzoři. Viz také diskuzi na Schneierově blogu – Bletchley Park Archives to Go Online.

Zemřel Sir Peter Baldwin (87 let), za války pomáhal rozbíjet japonské šifry. Článek Sir Peter Baldwin obituary je věnován jeho památce.

Zveme na večer s šifrou do Science Cafe Poděbrady.

Téma: Od jednoduché záměny po absolutně bezpečnou šifru

Přednáší a diskutuje: kryptolog Pavel Vondruška

Datum: 17. červen 2010

Čas: 19:30 – 21:00

Lokalita: Hotel BELLEVUE Poděbrady

Různé

Přehled vychází z průběžně publikovaných novinek na Crypto – News.

Našli jste v článku chybu?

14. 6. 2010 14:19

Tedy publikovat armadni fajly a pak o tom vykladat na kazdem rohu, to tedy ziram.

15. 6. 2010 17:15

nebo o tom nemluvil na kazdem rohu, ale NEKDO disponuje technologii, ktere mu umozni videt skrze tu BEZPECNOU komunikaci wikileaks. A samozrejmne to nebudou vytrubovat do sveta.
-
Rothschildi skrze rodiny TAXIS a TURMAN cetli uz v 18 stoleti jakoukoliv postovni korespondenci co v evrope potrebovali
-
11-zari byl zrizenej specialni vysetrovaci team, kterymu tupy ovce odevzali vsechno co nasli a ten to pak pekne v klidu zlikvidoval a zajistil aby se nic nedostalo ven.
-
[TOR-ECHELON]







Root.cz: Vypadl Google a rozbilo se toho hodně

Vypadl Google a rozbilo se toho hodně

DigiZone.cz: Recenze Westworld: zavraždit a...

Recenze Westworld: zavraždit a...

Vitalia.cz: Pečete cukroví a zbyl vám bílek?

Pečete cukroví a zbyl vám bílek?

Podnikatel.cz: Babiše přesvědčila 89letá podnikatelka?!

Babiše přesvědčila 89letá podnikatelka?!

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Vitalia.cz: Mondelez stahuje rizikovou čokoládu Milka

Mondelez stahuje rizikovou čokoládu Milka

Podnikatel.cz: Víme první výsledky doby odezvy #EET

Víme první výsledky doby odezvy #EET

DigiZone.cz: Rádio Šlágr má licenci pro digi vysílání

Rádio Šlágr má licenci pro digi vysílání

120na80.cz: Horní cesty dýchací. Zkuste fytofarmaka

Horní cesty dýchací. Zkuste fytofarmaka

Měšec.cz: Air Bank zruší TOP3 garanci a zdražuje kurzy

Air Bank zruší TOP3 garanci a zdražuje kurzy

Vitalia.cz: Láska na vozíku: Přitažliví jsme pro tzv. pečovatelky

Láska na vozíku: Přitažliví jsme pro tzv. pečovatelky

Lupa.cz: Babiš: E-shopů se EET možná nebude týkat

Babiš: E-shopů se EET možná nebude týkat

Lupa.cz: Co se dá měřit přes Internet věcí

Co se dá měřit přes Internet věcí

Podnikatel.cz: Babiš: E-shopy z EET možná vyjmeme

Babiš: E-shopy z EET možná vyjmeme

Měšec.cz: U levneELEKTRO.cz už reklamaci nevyřídíte

U levneELEKTRO.cz už reklamaci nevyřídíte

DigiZone.cz: ČT má dalšího zástupce v EBU

ČT má dalšího zástupce v EBU

Vitalia.cz: Dáte si jahody s plísní?

Dáte si jahody s plísní?

Vitalia.cz: Paštiky plné masa ho zatím neuživí

Paštiky plné masa ho zatím neuživí

Lupa.cz: Insolvenční řízení kvůli cookies? Vítejte v ČR

Insolvenční řízení kvůli cookies? Vítejte v ČR

Vitalia.cz: Jsou čajové sáčky toxické?

Jsou čajové sáčky toxické?