Obecná a firemní bezpečnost IT
Obamovo ministerstvo najme 1000 odborníků na kybernetickou bezpečnost – Homeland Security says it will be ‚competitive‘ in hiring up to 1,000 cyber security experts. Jedná se o ministerstvo národní bezpečnosti (Homeland Security Department) a odborníci budou postupně získáváni v průběhu příštích tří let. Viz také – DHS could hire 1,000 more cybersecurity professionals.
Velká Británie je již velmocí v kybernetické válce – UK already ‚major world power‘ in cyberwar. Williams v tomto článku komentuje pochvalné vyjádření amerického odborníka (Scott Borg – US Cyber Consequences Unit).
Jak vypadá dnešní organizovaná počítačová kriminalita? Michael Fitzgerald v Organized Cybercrime Revealed rozebírá různé podoby organizované kybernetické kriminality. Zatím se málo ví, kdo všechno za ní stojí. Některé z těchto organizací jsou strukturované stejně jako klasická mafie. Některé se specializují na prodej určitých produktů či „služeb“. Existující informace o cenách uvádí např.:
- botnet – průměrná cena 225 dolarů
- keylogger – 23 dolarů
- hosting pro phishingový podvod – 2 dolary
- určité zranitelnosti finančních webů – až 3000 dolarů
Organized Crime and Retail Theft: Facts and Myths – fakta a mýty o organizované kybernetické kriminalitě, Michael Fitzgerald ve svém druhém článku z tohoto týdne uvádí konkrétní informace, které se váží k různým podobám těchto zločinných aktivit. Je zde ale i poukázáno na používaná protiopatření. Kybernetické hrozby budou podstatně větší hrozbou v nadcházejících letech, je třeba být na tuto dobu připraveni.
Cloud computing – šest pohledů na související bezpečnostní problémy shromáždil a csoonline.com Bill Brenner – Defining Cloud Security: Six Perspectives.
Information Security vydalo příručku k ochraně dat (43 stran) – Essential Guide to Data Protection. Obsahuje tyto čtyři statě:
- ADRIAN LANE: Pragmatic Database Security
- RICH MOGULL: Is DLP Keeping Your Data Where It Should Be?
- ADRIAN LANE; RICH MOGULL: Truth, Lies and Fiction About Encryption
- ERNIE HAYDEN: Creating a Data Lifecycle Strategy
Zajímavý seriál, jehož autorem je Jeff Debrosse, je věnován následujícímu tématu: Počítačová kriminalita – co je jejím obsahem? Jeho jednotlivé díly:
- Navigating the New Cybercrime Threatscape, Part 1
- Navigating the New Cybercrime Threatscape, Part 2
- Navigating the New Cybercrime Threatscape, Part 3
- Navigating the New Cybercrime Threatscape, Part 4
Každý pátý Australan je obětí podvodu s bankovní kartou anebo obětí počítačového hackera, to je neradostná statistika dnešních dní – One in five Australians victim of credit card fraud, hackers.
Jak vytvářet bezpečnostní kulturu v organizaci – How to Build a Culture of Security. John Edwards připomíná, co je v této souvislosti podstatné.
Američané nechtějí reklamu ušitou dle jejich online chování – Study: US web users reject behavioural advertising. Citizens unexpectedly renounce spying and subterfuge. Vyplývá to z výzkumu, který provedly University of Pennsylvania a Berkeley Centre for Law and Technology. Odpovědělo takto 66 procent respondentů (dospělí američtí občané). Zmiňovaná zpráva je na tomto odkazu.
New York mayor fights identity theft – jaký má plán starosta New Yorku v boji proti krádežím ID? Bloomberg je realista, nikdy nebude úplně možné eliminovat všechny hrozby v tomto směru, některé základní kroky je však třeba učinit. V článku jsou shrnuty do pěti bodů:
- Internetové kavárny a další veřejná místa budou označeny varováními o rizicích odesílání osobních informací
- Podporováno bude šifrování – všude
- Bude probíhat spolupráce s průmyslem s cílem prevence krádeží ID
- Budou ustaveny nejlepší postupy, připraveny budou normy a praktiky pro práci s personálními informacemi v podnikání (Department of Consumer Affairs )
- Obětem krádeží ID bude pomáháno vládními a administrativními prostředky během procesu, kdy budou jejich jména očišťována
Software
Prověřte svůj počítač pomocí programu Process Hacker 1.5 – Process Hacker 1.5 released. Zjistí běžící procesy, služby, síťová připojení a mnoho dalšího. Odkaz, odkud si ho lze stáhnout, najdete zde – Process Hacker.
Samurai Web Testing Framework, to je linuxové prostředí (Live CD) nakonfigurované pro penetrační testy, stáhnout si toto CD můžete zde – Sourceforge.net.
Jak zjistíte, je-li daný počítač (s Windows) dostatečně záplatován? Tony Bradley v Determine your Microsoft Windows patch level uvádí trojici vhodných postupů (pro přístup k materiálům je třeba se registrovat):
- Microsoft Baseline Security Analyzer (MBSA)
- WSUS is a free download available to licensed users of Windows Server 2003 or Windows Server 2008
- Vulnerability scanner such as Nessus
Firefox by měl v budoucnu chránit proti XSS útokům – Firefox feature looks to foil XSS attacks. Weby by pomocí této technologie (tzv. Content Security Policy) měly mít umožněno specifikovat omezení pro práci se skripty.
OpenSSH 5.3 released, OpenSSH přichází s verzí 5.3. Stránky produktu jsou zde – OpenSSH.
Malware
Objem malware vzrostl v září 2009 o 15 procent. Malware worldwide grows 15 percent in September – ze zprávy Panda Security vybrala statistiky a komentáře k nim napsala Lance Whitney.
Nový botnet schovává příkazy v JPEG obrázku – New botnet hides commands as JPEG images. Botnet (označovaný jako Monkif/DIKhora) funguje tak, že příkazy ze serveru přichází uschované v JPEG obrázku. Bot ověřuje hlavičku a dekoduje pak zbytek, získá tak příkazy (příkazy jsou kódovány pomocí XOR – 0×4).
Firmy jsou nejčastěji infikovány malými botnety. Vyplývá to z analýzy, kterou provedla bezpečnostní firma Damballa. Vypadá to tak, že tyto útoky jsou cíleny vždy jen na určitou část spektra firem a využívají pak znalost jejich charakteru, komentuje výsledky rozboru pracovník firmy Gunter Ollmann – Firms most often infected by smaller botnets.
Botnet opět ožil a infikuje weby (SQL injection) – After a few months' rest, SQL Web attack spreads anew. Botnet Asprox po několika měsících klidu je opět v činnosti, tímto nejnovějším útokem již bylo infikováno nejméně 2000 webů (podle Shadowserver).
Viry
Security Essential od Microsoftu je k dispozici od úterka 29.září 2009. Program je volně dostupný -Microsoft confirms free security software ships Tuesday.
Nezávislý test: Security Essentials jsou velmi dobré – Independent tester: Security Essentials ‚very good‘. Gregg Keizer v tomto článku komentuje výsledky německé AV-Test.org. Symantec ovšem přichází s jinými výsledky – Rivals mock Microsoft's free security software. Trend Micro, Symantec: je to špatný produkt s velmi průměrnými výsledky… Při příležitosti vydání tohoto SW se objevila řada komentářů, např. :
Problematice virů se svém článku na Živě Moderní viry: Stahujete nebezpečné bezpečí? věnuje Ondřej Bitto: Počítačové viry tu s námi jsou již hodně počítačových let, časem se mění jejich forma i poslání. Dokážou vás ochránit antiviry a pravidelné aktualizace?
Hackeři
Cyber Crooks Target Public & Private Schools, v problému amerických škol a útoky hackerů rekapituluje aktuální situaci Brian Krebs. Poznámka v diskuzi upozorňuje na množství spamu, které má za cíl nábor soumarů. Viz také – School boards hit with cash-stealing Trojan (Robert McMillan) a Clampi Trojan Renews Assault on Bank Accounts. V druhém svém článku – Cyber Gangs Hit Healthcare Providers – Brian Krebs informuje o dalších útocích – na neziskové informace, zdravotnická zařízení. K článku je připojen dlouhý seznam odkazů na další informace o obdobných útocích.
CAPTCHA pro Facebook – byla rozbita? Jak bylo zjištěno, našli hackeři cestu k tomu, jak automatizovaně vytvářet profily na Facebooku. Stránky jsou využívány k rozesílání spamu, který obsahuje odkazy na stránky se škodlivým obsahem. Útoky hackerů na sociální sítě pokračují – Facebook Captchas broken? Viz také – Facebook shuts down malicious fake profiles.
Bezdrát
Výzkum přichází se speciální krycí malbou, která blokuje signál bezdrátu – Anti-wi-fi paint offers security. Uživatelé tak mohou skrýt svou bezdrátovou síť před okolím
VoIP
Toll fraud is alive and well aneb jak je to s podvody u VoIP? Adam Boone poukazuje na existující zranitelnosti a možné cesty útočníků.
Spam
Pharma scams go global, reports find – Doba, kdy bude méně farmaceutického spamu, není v dohlednu. Neveselé konstatování vyplývá z průzkumu společnosti MarkMonitor. Potvrzuje to také zpráva bezpečnostní firmy McAfee – September 2009 Spam Report.
Elektronické bankovnictví
Bankovní trojan krade peníze z vašeho účtu přímo pod nosem – Banking Trojan steals money from under your nose. A to již tehdy, kdy jste k účtu přihlášeni. Zobrazuje přitom falešné informace o vašem účtu. Sofistikovaný trojan je kontrolován serverem, který je umístěn kdesi na Ukrajině.
Dále – sofistikovaný útok proti německým bankovním účtům přichází z Ukrajiny – Online thieves step up bank raids. Podle zprávy společnosti Finjan – Cybercrime Intelligence Report, Issue 3, 2009 – bylo za 22 dní ukradeno 300 000 Euro. Je k tomu používáno sofistikované malware, k jeho šíření jsou používány infikované weby. Trojan má detailní příkazy k tomu, jaký obnos ukrást z kterého účtu (nikdy ho nevyprázdní zcela) a také kam peníze poslat. K tomu má k dispozici čísla bankovních účtů soumarů. Oběti se na obrazovce zobrazuje jen transfer malého množství peněz. Současná recese usnadňuje najímání soumarů. Tito lidé se obvykle nechají přesvědčit, že jsou najímání k legálnímu podnikání. Viz také komentář Johna Leydena – Next-gen Trojan rewrites bank statement. Útok obdobného charakteru proběhl i ve Velké Británii – Man on trial over L600k NatWest phishing scam.
Problému, kdy trojan kontroluje uživatelovo PC i jeho bankovní účty je věnován také komentář na Financial Cryptography – Man-in-the-Browser goes to court. Tento typ trojana v tomto smyslu může vše co uživatel a nepomůže žádná vícefaktorová autentizace. Útoky tohoto typu (Man-in-the-browser) se objevují v poslední době.
Autentizace, hesla
Na téma odautentizace napsal esej Bruce Schneier – Unauthentication. Problém, kterého bychom si měli být všichni vědomi. Pokud se někam přihlásíme, jak je potom toto autentizované spojení ukončováno?
Na problematiku bezpečnosti hesel se z pohledu dnešní doby dívá Andreas M. Antonopoulos – New secure password rules. Připomíná, že situace v čase keyloggerů se poněkud změnila.
Phishing
Dva rumunští phisheři stojí před americkým soudem – Alleged Romanian phishers (finally) hauled into US courts. Tito dva Rumuni (a dalších pět) čelí obvinění, že pomocí phishingu okradli finanční instituce nejméně o 150 000 dolarů.
APWG: Internet nebyl nikdy dříve tak nebezpečný jako je nyní – Report: The Internet has never been more dangerous. Článek obsahuje vybrané údaje ze zprávy Phishing Activity Trends Report, 1st Half 2009. Statistiky jsou alarmující.
Elektronický podpis
Internet Explorer nyní podporuje i bezplatné digitální certifikáty – Internet Explorer supports free certificates. Jedná se o certifikáty společnosti StartCom pro podpis e-mailů a pro SSL. Jediné, co StartCom ověřuje, je e-mailová adresa.
Normy a normativní dokumenty
Americký NIST vydal draft NIST IR 7628: Smart Grid Cyber Security Strategy and Requirements. Komentář k vydání této příručky obsahuje článek Security catalogue presented for smart electrical power grids.
Dále NIST vydal následující dva dokumenty
- Special Publication (SP) 800–70 Revision 1, National Checklist Program for IT Products–Guidelines for Checklist Users and Developers
- NIST Interagency Report (IR) 7581, System and Network Security Acronyms and Abbreviations
Kryptografie
Soutěž SHA-3 pokračuje – novinky komentuje Vlastimil Klíma.
Dva příspěvky mladých slovenských autorů přijaty na ASIACRYPT 2009 – CryptoWorld.
A Stick Figure Guide to the Advanced Encryption Standard (AES) aneb o kryptografii v komiksu. Viz také komentáře na Schneierově blogu – A Stick Figure Guide to AES.
Schneier se na svém blogu obrací k jednomu „také návrhu“ kryptoschematu – The Doghouse: Crypteto. Nejde jen o kritiku CRYPTETO (snake-oil cryptography), ale také o pohled na Bruceho argumentaci.
Různé
Reproducing Keys from Photographs – Klíče k fyzickým zámkům – k jejich výrobě stačí fotografie. Diskuze na Schneierově blogu se vrací k tomuto tématu. Vychází z odkazu na systém SNEAKEY:
Přehled vychází z průběžně publikovaných novinek na Crypto – News.