Hlavní navigace

Bezpečnostní střípky: Black Hat Europe 2013

18. 3. 2013
Doba čtení: 15 minut

Sdílet

Pravidelné informace z bezpečnosti IT, které se objevily v uplynulém týdnu. Najdete zde mj. přehled hrozeb (pro podnikání) z internetu, skeptická vyjádření ohledně dosažení potřebné bezpečnosti Javy v dohledné době, popis nových útoků proti SSL. Některé články se také vrací k předchozím DDoS útokům v ČR.

Přehledy, konference

V minulém týdnu probíhala konference Black Hat Europe 2013. Program akce (její hlavní dva dny byly 14. a 15. březen 2013) najdete na této stránce Schedule.

Autor článku Black Hat Europe: 10 intriguing security briefings upozorňuje na svůj výběr zajímavých prezentací na této akci konané v Amsterodamu.

Společnost Mandiant vydala zprávu k pokročilým cíleným útokům – Mandiant threat report on advanced targeted attacks. V článku jsou shrnuty význačné momenty dokumentu. Samotná zpráva (má 32 stran) je zde – M-Trends® 2013: Attack the Security Gap™ (nezbytná je registrace).

Zpráva říká, že většina útoků proti americkým společnostem pochází z amerických zdrojů – Report: Most attacks against U.S. companies originate from American sources. Jedná se o zprávu společnosti Solutionary, v článku jsou shrnuty některé její výsledky. Samotná zpráva (má 73 stran) je na odkazu 2013 SERT. Global Threat Intelligence Report.
Viz také komentáře:

Obecná a firemní bezpečnost IT

Ve videu Bruce Schneier na konference RSA 2013, David Spark diskutuje se Schneierem okruh otázek, který nazvali ”Feudal Security“.

Nebezpečí interních pracovníků (byť nemajících škodící úmysly) jsou rozebírána v článku Overprivileged, Well-Meaning, And Dangerous. Zmíněna jsou rizika – příliš mnoha pravomocí a nedostatečné výchovy.

Přehled informačních zdrojů pro aspirující penetrační testery najdete na stránce Resources for Aspiring Penetration Testers. Scott Sutherland uvádí doporučované knihy, volně dostupná online cvičení a doporučená vyhledávání s využitím Google. Nesporně užitečný článek.

Who are the enemies of the Internet? – kdo jsou nepřátelé internetu? Článek obsahuje komentář ke zprávě, kterou připravili Reporters Without Borders. Ze zemí jsou jmenovány Bahrajn, Čína, Írán, Sýrie a Vietnam. Jsou zde také jmenovány některé společnosti (jako britská Gamma International, která prodává spyware FinFisher).

Bezpečnost: nejdříve bude hůř, pak teprve lépe. Security will get worse before it gets better – to je zajímavé zamyšlení, jeho autorem je známý komentátor v IT bezpečnosti Roger Grimes.

Blue Coat, Skype and QQ named despots' best friends – které produkty pomáhají represivním státům sledovat své obyvatele? Zpráva hovoří o Blue Coat Systems, Skype (Microsoft) a čínské IM službě QQ.

CSOs must adopt new risk management trends – bezpečnostní ředitelé musí reflektovat nové trendy ve správě rizik. To je komentář ke zprávě, kterou připravila společnost Wisegate.

Je kybernetická kriminalita větší hrozbou než terorizmus? Představitelé zpravodajských služeb si to myslí – Is cybercrime more of a threat than terrorism? – a hovořili o tom na nedávném slyšení před senátem.
Viz také komentář – Intelligence officials see cyberattacks as a top US threat.

Osm tvořivých strategií, které jsou adresovány vůči sofistikovanému útočníkovi, najdete v článku Eight creative strategies to address the sophisticated adversary. Joe Goldberg v něm radí organizacím.

Největší americké tři kyberbezpečnostní zranitelnosti leží podle autora článku America's 3 Biggest Cybersecurity Vunerabilities v těchto oblastech:

  • Rozvodná síť elektřiny
  • Finanční instituce
  • Vládní služby

Záplatování průmyslové kybernetické bezpečnosti je neefektivní – Patching for industrial cyber security is a broken model. Ukazují to výsledky současných analýz.

Špionážní agentury budou mít přístup k financím amerických občanů – Spy agencies to be granted access to US citizen finances. Příslušný návrh připravuje Obamova administrace.

Byla zveřejněna nová esej Bruce Schneiera: Nationalism on the Internet. Schneier ukazuje na dnešní projevy nacionalizmu na internetu. Konstatuje, že situace se zhoršuje.

USA – zdravotnický průmysl je předmětem útoků čínských hackerů – Medical Industry Under Attack By Chinese Hackers. Kelly Jackson Higgins cituje vyjádření odborníků, jsou to Rich Barger (CyberSquared) a Richard Bejtlich (Mandiant). Hovoří se v nich o několika aktivních hackerských skupin z Číny, které se těmito aktivitami zabývají.

Zveřejněna byla studie Resilient Military Systems and the Advanced Cyber Threat. Komentář k neutajované verzi tohoto dokumentu (má 146 stran) najdete v článku DoD security panel calls for new cyber-defense, offense. Materiál na základě získaných výsledků obsahuje některá doporučení pro americkou administrativu. Hlavní kapitoly dokumentu:

  • Introduction
  • Understanding the Cyber Threat
  • Defining a Resilience Strategy for DoD Systems
  • Measuring Progress
  • Maintaining Deterrence in the Cyber Era
  • Collecting Intelligence on Peer Adversaries’ Cyber Capabilities
  • Developing World-Class Cyber Offensive Capabilities
  • Enhancing Defenses to Thwart Low- and Mid-Tier Threats
  • Changing DoD’s Cyber Culture to Take Security More Seriously
  • Building a Cyber Resilient Force
  • Order of Magnitude Cost Estimates
  • Summary of Study Recommendations

10 Web Threats That Could Harm Your Business – desítka hrozeb z internetu – ty, co mohou narušit podnikání. Robert Lemos ve svém přehledu rozebírá následující:

  1. Bigger, Subtler DDoS Attacks
  2. Old Browsers, Vulnerable Plug-Ins
  3. Good Sites Hosting Bad Content
  4. Mobile Apps And The Unsecured Web
  5. Failing To Clean Up Bad Input
  6. The Hazards Of Certificates
  7. The Cross-Site Scripting Problem
  8. The Insecure ´Internet Of Things´
  9. Getting In The Front Door
  10. New Technology, Same Problems

Legislativa, politika

Spojené státy vyzývají Čínu, aby zastavila kybernetické útoky ze své země – White House warns China to crack down on cyberattacks. Vystoupil s tím Tom Donilon, bezpečnostní poradce prezidenta Obamy.

Odborníci se vyjadřují k tomu, co lze očekávat po vydání nové americké kyberbezpečnostní vyhlášky – Experts: What to expect after cybersecurity executive order. Jedná se mj. o pomoc společností vládním organizacím při přípravě nových bezpečnostních norem. Vedoucím činitelem v tomto směru má být NIST. Cílem je dosáhnout menší zranitelnosti kritické infrastruktury.

CISPA a hledání jeho podoby, to je boj mezi otázkami soukromí a otázkami bezpečností – CISPA pits privacy against security: A closer look at the issues. Michael Kassner zde upozorňuje na probíhající diskuze k CISPA (Cyber Intelligence Sharing and Protection Act) a připomíná rozebírané jeho úpravy.

Írán blokuje většinu služeb, které využívají VPN – Iran blocks most virtual private network (VPN) services. Podle oficiálních míst mohou být využívány pouze legální a registrované VPN.

Do podzimu 2015 vytvoří Pentagon 13 ofenzivních týmů – k obraně kybernetické bezpečnosti země proti hrozbám přicházejícím ze zahraničí – Pentagon creating teams to launch cyberattacks as threat grows. Kongresu to oznámil generál Keith Alexander.

Představitelé zpravodajských služeb vidí kybernetické útoky jako vrcholnou hrozbu pro USA – Intelligence officials see cyberattacks as a top U.S. threat. Hovořili o tom na slyšení před zpravodajským výborem senátu.

Severní Korea obviňuje USA z kybernetického útoku – NORKS says USA attack took it offline … as if anyone could tell. Dva dny neměly být dostupné severokorejské weby – KCNA accuses US, allies of cyberattacks.
Viz také komentář – North Korea´s Internet returns after 36-hour outage.

Software

Bezpečnostní aplikace obsahují množství bezpečnostních problémů – Security appliances are riddled with serious vulnerabilities, researcher says. Vystoupil k tomu na Black Hat Europe 2013 penetrační tester Ben Williams (NCC). Většina bezpečnostních aplikací se nedokáže vypořádat na linuxových systémech s nainstalovanými aplikacemi, které obsahují bezpečnostní chyby.

Společnost Groundwork odmítá kritiku své platformy (je poukazováno na kritické bezpečnostní nedostatky) – Hitachi and Siemens data-stalking firm not bugged by security bods' report. V odpovědi na kritiku společnost Groundwork říká, že její uživatelé chtějí raději snadné používání technologie než maximální bezpečnost. Záplatu nevydá (!) – v dnešní době přístup, který jistě nevzbuzuje mnoho důvěry.

Zeptejte se potenciálního poskytovatele cloudu na těchto deset bezpečnostních otázek – Ask potential cloud vendors these 10 security questions. Připravil je Dominic Vogel.

K aktualizacím Microsoftu z minulého týdne najdete informace na stránce- Black Tuesday patchfest: A lot of digits plug security dykes. Celkem bylo opraveno 20 zranitelností včetně několika kritických.

Java's security problems unlikely to be resolved soon, researchers say – je málo pravděpodobné, že bezpečnostní problémy Javy budou brzy vyřešeny. Společnost Oracle měla v tomto směru jednat již dříve, říkají odborníci.

Společnost Apple aktualizovala OS X – Apple tears itself away from iThings to squash Mac OS X bugs. Bylo opraveno více než dvacet bezpečnostních problémů. Seznam všech oprav je zde.

Researchers resurrect and improve CRIME attack against SSL – tato informace se týká aktualizace útoku CRIME proti SSL. Nové útočné postupy popsali Tal Be´ery a Amichai Shulman ze společnosti Imperva. Provedení útoku je nyní dokonce snadnější.
Viz také komentář – Erneuter Krypto-Angriff auf SSL/TLS-Verschlüsselung.
Dnešním útokům na SSL/TLS je věnován článek Two new attacks on SSL decrypt authentication cookies.
Viz také komentář – HTTPS cookie crypto CRUMBLES AGAIN in hands of stats boffins.

Database security is too complex to implement – je příliš složité implementovat bezpečnost databází. Podle v článku citovaných výsledcích přehledu společnosti GreenSQL to tvrdí 31,4 procent bezpečnostních profesionálů.

Malware

Podzemní trh vyrukoval s novým rootkitem – New ZeuS source code based rootkit available for purchase on the underground market. Vychází ze zdrojového kódu malwaru ZeuS.
Viz také komentář – New ZeuS-based modular rootkit offered to cybercriminals.

Špionážní malware

MiniDuke nepřichází pouze jen e-mailem – MiniDuke does not come only via email. Pracovníci Kaspersky a CrySyS Lab objevily dva dosud neznámé mechanizmy, jejichž prostřednictvím infekce probíhá. Jedná se o využívání zranitelností, které existují na webech. Viz – Miniduke: web based infection vector.
Viz také komentáře:

Volně dostupný nástroj umožní odstranit všechny varianty MiniDuke – Kostenloses Standalone-Entfernungs-Tool entfernt alle aktuell bekannten Varianten von MiniDuke. Nabízí ho společnost Bitdefender.

K pátrání po tom, jak by šlo cracknout bojové hlavičky mysteriozního malwaru – Puzzle box: The quest to crack the world’s most mysterious malware warhead. Dan Goodin popisuje problém, nad kterým si lámou hlavy přední odborníci. Jedná se o malware označovaný jako Gauss a analýzu jeho struktury.

25 zemí používá v Německu vyvinutý spyware, informuje článek Researchers find 25 countries using German-made spyware to steal data. Jedná se o trojana FinFisher.

Viry

Stručný popis výsledků AV-Test Award 2013 najdete na této stránce – AV-Test Award 2013: Auszeichnungen für die besten IT-Schutzlösungen.

Hackeři a jiní útočníci

Centrální australská banka byla hacknuta – Hackers breach Reserve Bank. Reserve Bank of Australia měla být (využitím e-mailového phishingu) napadena v listopadu 2011. Útok měl přijít z Číny.
Viz také komentář – Australia´s central Bank hoses down Chinese hack report.

Kybernetická ochrana Česka je sto let za opicemi, tvrdí hacker, z úvodu článku: Podle hackera, kterého oslovily Novinky, byl koordinovaný kybernetický útok z minulého týdne dílem profesionálů. Muž, který si přál zůstat v anonymitě, tvrdí, že tak rozsáhlý útok mohl přijít také proto, že mnoho firem podceňuje svou ochranu.

PwC: Škody firem po útocích hackerů nepřesáhly deset milionů Kč, z úvodu: Ušlé zisky webových serverů, bank a telekomunikačních operátorů za dobu hackerského útoku minulý týden nepřesáhly deset milionů korun. Firemní interní náklady spojené přímo s bojem s hackery pak byly nižší než jeden milion Kč. Vyplývá to z analytické studie poradenské společnosti PwC.
Viz také informace v článku – Správce českých domén: Vyšetřování kyberútoku na Česko komplikují Rusové.

Hackeři napadli web UniCredit Bank. Administrátor měl prý heslo Banka123, z úvodu: ”Unicreditgang: Vítejte na nových stránkách. S lítostí musíme oznámit, že se nám veškeré vaše peníze někam ztratily.“ Takový text umístila česká hackerská skupina na web banky UniCredit. Nešlo o zahlcení serveru jako při útocích minulý týden, ale skutečné hackerské proniknutí.

Kyberútoky na státní systémy by způsobily daleko větší škody, tvrdí právník Polčák, z úvodu: Policie dnes není připravena na krizovou situaci, kdy by musela vyhodnocovat údaje z různých sítí a koordinovat obranu s několika firmami, tvrdí Radim Polčák, právník specializující se na kybernetické hrozby.

Indický hacker ”Godzilla“ shodil vládní pakistánské weby – Godzilla wreaks revenge on Pakistani government web sites. Jednalo se celkem o 15 webů. Viz informace na stránce Pakistan Government servers messed up after security breach.

Colin Powell – hacknuta byla jeho stránka na Facebooku – Colin Powell Has Facebook Page Hacked. Zřejmě to bylo dílem téhož útočníka, který nedávno zaútočil na Bushovu rodinu.

Avast Německo hacknut, uniklo 20 000 osobních dat (s platebními informacemi) – Avast Germany Hacked & 20,000 Credentials leaked with payment information. Informuje o tom turecká hackerská skupina Ajan.

Společnost AVAST říká, že není odpovědná za průnik do webu jejího německého prodejce – PayPal privates exposed after breach on SECURITY shop. Hacknuté stránky nejsou oficiálními stránkami a nepatří společnosti Avast Software (web provozuje společnost Procello).

Finanční data amerických celebrit, politiků zveřejněna na zlodějském webu – Oops, they did it again? Britney Spears, Paris Hilton ‚LAID BARE ALL OVER THE WEB‘. Jedná se o celou řadu osobností.
Viz také komentář – Free credit report site appears to be source for celebrity data.

Příručka pro přežití – The DDoS attack survival guide, 2013 edition, Bill Brenner posbíral dlouhou řadu článků, o kterých soudí, že jsou v tomto směru užitečné.

Alladyn2 hackuje stránky polských čelných představitelů – Kancelaria Premiera, MSZ, MON i Kancelaria Prezydenta zhackowane. Wiemy kto stoi za tymi włamaniami.. Zkouší i kancelář prezidenta – Polish President´s computer network attacked by hackers.

Co vám hrozí, když se váš počítač zapojí do DDoS útoku třeba na banku, z úvodu: Nedávné útoky na banky a české zpravodajské servery byly vedeny z podvržených IP adres. Možná se na něm podílely běžné, špatně zabezpečené domácí počítače. Teoreticky třeba i ten váš. Hrozí vám jako majiteli nezabezpečeného stroje něco? Je možné vystopovat skutečného útočníka?

Obdobnému tématu se věnuje článek Je váš počítač součástí botnetu? Jak to poznat a co dělat

Americký NIST, byla hacknuta jeho databáze zranitelností – US national vulnerability database hacked. Na dvou webových serverech NISTu byl zjištěn malware.
Viz také komentář – Downed US vuln catalog infected for at least TWO MONTHS.

Společnost Google nabízí pomoc, rady vlastníkům hacknutých webů – Google Offers Help, Advice for Hacked Website Owners. Jedná se o celou řadu článků, viz Help for hacked sites.
Viz také – Videos and articles for hacked site recovery.

Hardware

Byla nalezena záludná zadní vrátka v routerech od společnosti TP-Link Treacherous backdoor found in TP-Link routers. Popisuje je polský odborník Michał Sajdak (Securitum).

VoIP

Zranitelnost Cisco IP telefonie – hackeři mohou převzít kompletní kontrolu nad zařízeními – Cisco IP Phones Vulnerable. Diskutuje se k tomu i na blogu Bruce Schneiera – Cisco IP Phone Hack.
Viz také komentář – Tech Insight: Securing Cisco IP Telephony.

Rusové odposlouchávají hovory na Skypu – Russische Behörden hören Skype-Gespräche ab. Ruské ministerstvo vnitra a tajná služba FSB to umí již několik let a využívají to, říká se v článku.

Mobilní zařízení

15 procent společností nemá politiku pro BYOD (USA) – 15 percent of companies have no BYOD policy. V článku jsou tlumočeny výsledky studie společnosti ThreatMetrix.

Jak odstraňovat data z mobilních zařízení, několik tipů připravila společnost AVG – Tips for removing data from mobile devices.

Spyphony cílí na nástroje podnikové správy mobilních zařízení – Mobile enterprise management tools are targeted by spyphones, researchers warn. Tyto systémy (mobile device management – MDM) neposkytují dostatečné bezpečí a mohou být předmětem útoků tzv. spyphonů, varovali na konferenci Black Hat v Amsterodamu Daniel Brodie a Michael Shaulov (Lacoon Security).

Spam

Za současným obrozením spamu jsou staré i nové botnety – Old and new botnets behind spam resurgence. Botnetů, které tímto směrem působí, není málo, v článku je větší část z nich zmíněna.

O projektu EU pro boj s botnety hovoří článek Kampf gegen Bot-Netze: eco koordiniert Advanced Cyber Defence Center mit Unterstützung der EU.

Po předchozím poklesu nastal zvrat, množství spamu se v únoru zdvojnásobilo – Spam back with a vengeance in February. V článku jsou komentovány výsledky Number of the Month (Eleven Research Team). Zprávu společnosti (v němčině) najdete na stránce February report.

Elektronické bankovnictví

Uživatelé nevěří bankám ve vztahu ke svým osobním datům – Consumers don't trust banks with personal data. Společnosti Avaya a Sabio provedly průzkum, kterého se zúčastnilo 2 000 britských spotřebitelů. V článku jsou uvedena některá jeho zjištění.

USA: spolu s bankami se obětí útoku DDoS stala také jedna městská elektrárna – DDoS Attacks Spread Beyond Banking. U nejmenované služby byl napaden web a také jeho platební systém. Není jasné, zda původcem i tohoto útoku byla také skupina Izz ad-Din al-Qassam Cyber Fighters (nyní probíhá třetí fáze jejích útoků na americké banky).
Útokům na americké banky je věnován také článek Hacktivists Expand Bank DDoS Attacks as Security Pros Monitor Source.

Obchodník žaluje VISA o 13 miliónů dolarů – za to, že byl hacknut – Retailer Sues Visa Over $13 Million ‘Fine’ for Being Hacked. Je to první takový případ, který se dotýká karetních společností.
Viz také komentáře:

Banka JPMorgan Chase, její web nefungoval, příčinou byl útok DDoS – JPMorgan Chase is latest US bank in MYSTERY web savaging, další informace k tomu, jak skupina Izz ad-Din al-Qassam Cyber Fighters útočí na velké americké banky.
Dále pak, útoky DDoS – šest amerických bank bylo zasaženo v týž den DDoS: 6 Banks Hit on Same Day. Botnet Brobot, který je za útokem, stále roste a je větší a větší.

Zprávy o úvěrech lze na podzemním internetu levně koupit – Credit Reports Sold for Cheap in the Underweb. Příklady uvádí Brian Krebs.
Viz také komentář – Free credit report site appears to be source for celebrity data.

Autentizace, hesla, ID

Is two-factor the savior for secure logins?, jsou dva faktory spasitelem bezpečného přihlašování? V poslední době nabízí možnost dvoufaktorové autentizace při přihlašování celá řada společností – Facebook, Google, Dropbox, Amazon, Microsoft, PayPal a Yahoo. Není pochyb, že dvoufaktorová autentizace zvýší bezpečnost uživatelé, není však sama o sobě všelékem, konstatuje se v článku.

Desítka případů, kdy byla prozrazena databáze hesel, takovouto slideshow připravila Ericka Chickowski – Slide Show: 10 Password Database Fails.

Phishing

Phishing-Attacken in sozialen Netzwerken – Ziel: Malware-Links anklicken und persönliche Informationen preisgeben – cíle phishingových útoků na sociálních sítích jsou dosáhnout kliknutí oběti na malwarový odkaz a získání jejích osobních informací. Hovoří o tom nedávná zpráva (Vipre Report) od společnosti GFI Software.

Elektronický podpis

Digitální certifikáty ukrývají malware – Digital Certificates Hide Malware. Fraudsters' Fake Companies Fool Cert Authorities. Zaregistrovaná fiktivní brazilská společnost (Buster Paper Comercial Ltda) byla ustavena čistě z důvodu vytváření ověřitelných digitálních certifikátů. Podepsání souboru a ověření tohoto podpisu není garancí bezpečnosti tohoto souboru, říká Jerome Segura (Malwarebytes).

Různé

NSA zpřístupnila čísla svého interního magazínu Cryptolog (1974–1997) – Cryptologs. Dokumenty jsou ve formátu pdf.

UX DAy - tip 2

Vyšel (IN)SECURE Magazine Issue #37. Z jeho obsahu:

  • Becoming a malware analyst
  • Review: Nipper Studio
  • Five questions for Microsoft's Chief Privacy Officer
  • Application security testing for AJAX and JSON
  • Penetrating and achieving persistence in highly secured networks
  • Report: RSA Conference 2013
  • Social engineering: An underestimated danger
  • Review: Hacking Web Apps
  • Improving information security with one simple question
  • Security needs to be handled at the top
  • 8 key data privacy considerations when moving servers to the public cloud

Přehled vychází z průběžně publikovaných novinek na Crypto – News.

Byl pro vás článek přínosný?