Bezpečnostní střípky: bezpečnostní ředitel, co je podstatou této funkce?

Přehledy a konference

Byly zveřejněny předběžné výsledky Computer Crime and Security Survey pro rok 2009. V stručné informaci je poukázáno na to, že průměrné škody z bezpečnostních incidentů klesají, stále jsou však vyšší, než byly v roce 2006. Jsou zde také uvedeny typy aktuálních bezpečnostních incidentů – Security incidents at an all-time high. Vzrostla četnost následujících bezpečnostních incidentů:

• vyhledávání (sniffing) hesel
• změny podob webů (defacement)
• finanční podvody
• odmítnutí služby
• infekce malwarem (64 procent oproti loňským 50 procentům)

Aktualizovaná zpráva Cisco 2009 Annual Security Report zahrnuje informace ke globálním hrozbám a trendům v roce 2009 a také bezpečnostní doporučení pro rok 2010. Komentář ke zprávě si lze přečíst v článcích:

• Social network and banking scams are on the rise, says Cisco
• Social media a playground for cybercriminals

Obecná a firemní bezpečnost IT

Kým vlastně je CSO (bezpečnostní ředitel)? Derek Slater napsal pokračování článku What is a Chief Security Officer?. První část článku vysvětluje podstatu této funkce, popisuje odpovědnosti CSO a požadavky na jeho kvalifikaci. Pokračování, druhá část – What is a CSO, Part 2. How security and the CSO can create business value and competitive advantage – se více zabývá návaznostmi na další funkce organizace a je zde uvedena i série užitečných odkazů. Tyto odkazy lze využít k prohloubení přehledu o jednotlivých oblastech praktické činnosti CSO.

Rok 2010 a bezpečnostní trendy – Security trends coming in 2010, to je komentář k seznamu předpovědí, který vydala společnost Websense:

• Útoky na Web 2.0 narostou ve své sofistikaci a budou stále více převládat
• Botnetové gangy budou provádět rivalské války
• E-mail znova bude v centru pozornosti útočníků
• Jsou očekávány cílené útoky na produkty Microsoftu, zejména IE 8 a Windows 7
• Nevěřte výsledkům vyhledávání
• Chytré mobily se stanou dalším těžištěm útoků hackerů
• Vytvářeni malwarizovaných reklam na známých stránkách bude pokračovat, vzorem je letošní úspěšný útok na stránky New York Times
• Prokáže se, že Macy nejsou odolné proti exploitům

Varování – nadcházející vánoční svátky z hlediska úniků dat mohou být nejhorší vůbec – As fake sites that sold Ugg boots and Tiffany jewellery are shut down, warnings are made that this will be the biggest Christmas ever for data loss. V článku Dana Raywooda jsou citovány názory některých odborníků. Více prodejců bude hnáno především potřebou prodat, naopak nakupující budou spěchat a nedodrží základní bezpečnostní opatření. Přitom triky podvodníků jsou stále více sofistikovanější a mohou oklamat i lidi s většími online zkušenostmi.

Climategate: byly za únikem e-mailů ruské tajné služby? Tisíce e-mailů z britské univerzity (University of East Anglia's Climatic Research Unit – CRU) se poprvé objevily na malém serveru v ruském městě Tomsku. Na druhou stranu je v článku poukazováno na známý fakt, který říká, že ruské servery jsou často využívány lidmi z celého světa, kteří chtějí něco publikovat anonymně. Ruské servery jsou k tomu vhodné, jelikož ruské úřady nejsou ochotné zkoumat původce informací. K článku (jeho autorem je James Delingpole) Climategate: the Russian distraction je připojena dlouhá řada dalších názorů.

Příručku pro zálohování a obnovu po havárii najdete na stránce Backup and Disaster Recovery. Je to vlastně soubor několika článků (celkem 24 stran), které pomohou lépe se orientovat v problematice.

Ochrana elektronických zdravotních záznamů v USA je tématem článku Can Electronic Medical Records Be Secured?. Mitch Wagner v něm diskutuje o cílech Obamovy vlády mít v roce 2014 k dispozici záznam zdravotních dat každého Američana v elektronické podobě. Autor poukazuje na řadu případů, kdy došlo k neoprávněnému přístupu k datům pacientů, celebrity přitom nevyjímaje.

Dosahování shody nelze považovat za dostatečný cíl pro zajištění bezpečnosti organizace. Řada organizací tak však činí. Tlačí na své bezpečnostní pracovníky, aby právě oni byli odpovědní za dosahování shody např. s takovými rámci jako je norma ISO 27002 anebo COBIT. Přitom se ví, že tyto rámce z hlediska bezpečnosti organizace vytváří sice určitý základ, nejsou však ekvivalentní celkové podstatě bezpečnosti. Autor článku Compliance as Security: The Root of Insanity (Jason Stradley) říká, že žádný takovýto rámec není a nemůže být postačující, tyto jsou pouhým počátkem procesu zabezpečení organizace.

Pět klíčových bezpečnostních trendů v příští dekádě, tak jak je popisuje Imperva, najdete v článku 5 key security trends for the next decade:

1. Industrializace hackingu
2. Posun od bezpečnosti aplikací k bezpečnosti dat
3. Útoky na sociální sítě a přidružené aplikace vystoupí do popředí
4. Útoky, jejichž cílem je krádež hesel
5. Přesun od reaktivní k proaktivní bezpečnosti

Sedm bezpečnostních trendů pro rok 2010 formulují bezpečnostní odborníci společnosti Unisys, viz článek – Advances in surveillance, more attacks on the horizon:

1. Konzumerizace IT
2. Kvalitní obrana
3. Proaktivní porty
4. Změna vztahu k výpočtům v oblacích
5. Biometrie na hranicích
6. IT přichází do ulic
7. Inteligentní dohlížecí systémy

Top 15 most common security attacks – patnáctku nejčastěji se vyskytujících bezpečnostních útoků najdete v tomto komentáři ke zprávě 2009 Verizon Business Supplemental Data Breach Report. Autor cituje následující:

1. Keyloggery a spyware
2. Zadní vrátka či kontrola příkazů
3. SQL injection
4. Zneužití práv pro přístup do systému
5. Neautorizovaný přístup s defaultními pověřeními
6. Narušení některé z politik
7. Neautorizovaný přístup díky slabému či nevhodně nakonfigurovanému seznamu pro kontrolu přístupů
8. Paketový sniffer
9. Neautorizovaný přístup s ukradenými pověřeními
10. Předstírání či sociální inženýrství
11. Obejití autentizace
12. Fyzická krádež aktiv
13. Útoky hrubou silou
14. RAM škrabky
15. Phishing (a nekonečné „ishing“ variace)

Threats and threat technologies in 2010 aneb hrozby v roce 2010 podle Trend Micro. Citovaný článek je komentářem ke zprávě The Future of Threats and Threat Technologies. Je zde vyjmenováno osm hrozeb:

• Nebude se jednat o globální akce, ale půjde o lokalizované a cílené útoky.
• Všechno je o penězích, takže kyberkriminalita nevymizí.
• Objeví se dopady na Windows 7, vzhledem k tomu, že tento operační systém je v základní konfiguraci méně bezpečný než Windows Vista.
• Útoky infekcemi jsou normou, stačí jedna návštěva webové stránky k tomu, abyste byli infikováni.
• Nové směry útoků se objeví ve virtualizovaných/o­blačných prostředích.
• Boti nemohou být zastaveni a budou všude kolem nás.
• Sítě společností a sociální sítě se budou otřásat kvůli datovým průnikům.
• Webové hrozby budou i dále ohrožovat uživatele internetu.

ISACA vydala krátký dokument Risk IT. Komentář k němu je na stránce Global IT-related risk framework.

Schneier: Steps to combat file-sharing are misguided, to je interview s Bruce Schneierem, tématy jsou copyright, internet atd. Schneier zde odpovídá na otázky Toma Espinera.

Software

Byla vydána verze 4.2 skeneru zranitelností Nessus – Version 4.2 of vulnerability scanner Nessus released. Především bylo kompletně přepracováno uživatelské rozhraní. Na stránce komentáře najdete také odkaz, odkud lze novou verzi stáhnout (podle vašeho OS) – Download Nessus 4.2.0.

Tématem studie Attacking the BitLocker Boot Process jsou útoky německých odborníků na BitLocker (šifrování ve Windows). Tito navrhli postupy, které umožňují obejít šifrování v současných operačních systémech Windows. Komentář ke studii je v článku Germans devise attacks on Windows BitLocker. Industrial espionage drive decryption.

Viz také – Researchers break into BitLocker.

Nové cesty k XSS v HTML5 jsou obsahem článečku Html5 New XSS Vectors. Autor v něm stručně informuje o nových vektorech XSS.

Should we be afraid of Google Public DNS? – nová služba Google – Public DNS – máme se jí obávat? Chad Perrin se snaží dopátrat toho, co si o tom vlastně máme myslet? Google nás svírá stále pevněji anebo …

Škrabky RAM aneb je zde nová hrozba na obzoru – Scammers scrape RAM for bank card data. Tyto škrabky (RAM scrapers) vlastně nejsou tak úplně novou technikou, ale nyní se dostávají do arzenálu hackerů. Tento SW útočí všude kde se v pamětích RAM objevují PINy a jiná citlivá bankovní data v otevřené podobě (a musí se tak objevovat kvůli zpracování).

Nový útok typu SQL injection zasáhl desetitisíce webů – SQL injection attack claims 132,000+. V článku je uvedena charakteristika souvisejícího malware (trojan Buzus, zadní vrátka).

Obrana proti SQL injection útokům, čtyři doporučení uvádí Brian Prince – Four Database Security Tips for Dealing with SQL Injections. Obrana proti těmto útokům vyžaduje kombinovat prostředky vnitřní a vnější bezpečnosti.

Malware

Jak analyzovat podezřelý dokument (pravděpodobně obsahující malware)? Lenny Zeltser v Analyzing Malicious Documents Cheat Sheet uvádí v přehledné tabulce všechny nezbytné podrobnosti pro analýzu takových dokumentů jako jsou z Microsoft Office – doc, xls a ppt a z Adobe pdf.

Jak ručně odstranit rootkit se dozvíte v stručném návodu od Barryho Nance – How to remove rootkits by hand. Zároveň nepřehlédněte jeho výchozí článek How to fight malware, který pojímá problematiku boje s malware komplexněji.

Německo připravuje centrum pro boj proti botnetům – Germany to set up centre to coordinate fight against botnets. Spuštěno má být v příštím roce.

Top 10 botnetů a jejich dopad, seznam, který byl zpracován společností Message Labs, najdete na stránce Top 10 botnets and their impact. Ať počítám, jak počítám, napočítal jsem jich 11:

1. Rustock
2. Cutwail
3. Bagle
4. Bobax (aka Kraken)
5. Grum
6. Maazben
7. Festi
8. Mega-D
9. Xarvester
10. Gheg
11. Donbot

Služby v oblacích Amazonu zneužity jako C&C server pro Zeus botnet – Zeus bot found using Amazon's EC2 as C&C server. Po upozornění byl použitý kanál EC2 vypnut.

Hackeři

Byly hacknuty stránky NASA – Hacker scalps NASA-run websites. Pulling a McKinnon. Má to být podpora McKinnona (britský hacker, který zřejmě už zanedlouho bude předán do rukou amerických soudů)? Viz také – NASA websites hacked.

Podvody, které využívají e-mailový trojan Zeus, se nyní objevují stále častěji – Email Zeus trojan scams on the rise. Některé takovéto e-maily k vám mohou přijít i z jinak zcela důvěryhodných zdrojů, to je v článku citované varování SecureWorks.

Rumunský hacker nalezl bezpečnostní zranitelnost na webu Pentagonu – Hacker Exposes Unfixed Security Flaws In Pentagon Website. Informuje o tom Kelly Jackson Higgins, útočník zranitelnost může využít k XSS útoku.

Bezdrát

Nová služba v oblacích krade hesla pro bezdrát – New Cloud-based Service Steals Wi-Fi Passwords. Službu WPA Cracker spustil Moxie Marlinspike (viz také diskuze ke zprávičce tady na Rootu).

Volně dostupný skener bezdrátové sítě nSSIDer je určen pro Windows Vista a Windows XP – viz komentář Free Wi-Fi network scanner for Windows.

Mobilní telefony

Odborník říká: datový model iPhone povede k malware – Researcher says iPhone data model could lead to malwareResearcher says iPhone data model could lead to malware. V tomto článku Jeff Porten komentuje prezentaci Nicholase Seriota iPhone Privacy. Viz také Experts Not Surprised By iPhone Malicious App Report. To, že škodlivé aplikace mohou existovat, potvrdilo nerado i Apple.

Crackování GSM je zase věnován článek Open-Source Effort to Hack GSM. John Blau v něm informuje o aktivitách Karstena Nohla, který na rozdíl od jiných odborníků, kteří se zabývají tímto problémem, hodlá své výsledky dát k dispozici veřejnosti.

Spam

Jak na tom byl spam v roce 2009? V článku Looking back at spam in 2009 komentuje Zeljka Zorz průběh letošního roku.

Forenzní analýza

Forenzní analýze počítačů s OS Windows 7 je věnován příspěvek Windows 7 Computer Forensics. Rob Lee na stránkách institutu SANS napsal několik úvodních poznámek a uvádí použitelné nástroje.

Elektronické bankovnictví

Spořitelna varuje před další vlnou útoků na karty klientů, z úvodu: Vyšší intenzitu monitoringu bankomatů nasadila Česká spořitelna (ČS), která jich u nás provozuje nejvíce. Lze totiž podle ČS předpokládat, že blížící se Vánoce a rostoucí nákupy „budou inspirací pro další kriminální skupiny a existuje tedy možnost dalších útoků na bankomaty a platební karty v Česku.“

Phishing

How many people fall victim to phishing attacks? – kolik lidí se stalo obětí phishingového útoku? Dancho Danchev zde komentuje výsledky rozboru společnosti Trusteer – Measuring the Effectiveness of In-the-Wild Phishing Attacks.
Viz také článek Johna Leydena One in 200 success rate keeps phishing economy ticking over.

Phisheři koukají po administrátorech webových stránek – Phishers angling for Web site administrators. Podvodnými maily (jakoby z hostingové společnosti) se snaží od nich vylákat hesla k ftp.

Biometrie

Číňanka obelstila japonské úředníky, do země se dostala s „falešnými prsty“. Sedmadvacetiletá Číňanka Lin Žung dokázala obelstít japonské imigrační úředníky, když si za čtvrt milionu korun nechala přeoperovat bříška svých prstů. I když měla vstup do Japonska zakázaný, s falešnými doklady a novými prsty prošla bez problémů kontrolami na mezinárodním letišti Kansaj.

Různé

Přehled vychází z průběžně publikovaných novinek na Crypto – News.