Hlavní navigace

Bezpečnostní střípky: byl faktorizován modul RSA v délce 768 bitů

11. 1. 2010
Doba čtení: 9 minut

Sdílet

Pravidelný pondělní přehled informací vztahujících se k problematice bezpečnosti IT. Z novinek právě uplynulého týdne lze upozornit na seriál věnovaný zabezpečení nového domácího počítače, zprávu PandaLabs k vývoji malware v roce 2009 a neznámého útočníka, který „terorizuje české a slovenské weby“.

Obecná a firemní bezpečnost IT

Soukromá vyšetřování v éře IT, jejich měnící se podobou se zabývá Richard Power v rozsáhlejším článku  – Private Investigations in the Information Age . Konstatuje nejprve, že využívání IT změnilo náhled na podobu celé řady činností a pak rozebírá problematiku soukromých vyšetřovatelů. V rozhovoru s Edem Strozem dospívají k závěru, že tato sféra nabývá nyní na významu jako nikdy předtím a uvádí k tomu argumentaci.

Zkušenosti z heartlandského průniku ukazují, že dosažení shody není dostatečným opatřením – Update: Heartland breach shows why compliance is not enough. Jaikumar Vijayan konstatuje, že po roce analýz, které souvisely s tímto průnikem, se ukazuje, že dodržení norem nestačí k tomu, aby byla zajištěna bezpečnost. Úspěšnost provedeného auditu na dodržení norem prostě v dnešních poměrech nestačí. Viz také další článek, který se zabývá obdobným tématem, tentokrát v obecnější rovině – Certifications: A false sense of security. Certifikace mohou bohužel i přinášet falešný pocit bezpečí (kromě tedy určitého užitku).

Evropa – je třeba mít jednotný přístup pro boj s kyberkrimina­litou – Expert calls for Pan-European cybercrime response. Není to první volání tohoto typu, tentokrát přichází z úst známého odborníka – Rosse Andersona (UK).

Organizovaná kyberkriminalita – kde se skrývá? Zatím vyšly dva díly chystané čtyřdílné série článků, která se zabývá dopady kybernetické kriminality na podnikání:

Digitální pirátství a e-knihy, touto problematikou se zabývá článek Digital piracy hits the e-book industry. Matt Frisch na stránkách CNN se rozebírá v současném vývoji, kdy se na trhu objevují čtečky e-knih a kdy na internetu se objevují pirátské verze knih.

V čem bychom měli hledat poučení z nedávného (nezdařeného) bombového útoku na letadlo? Ira Winkler v osmi bodech rozebírá související bezpečnostní problematiky – The Bumbling Airline Bomber, Stupid Reactions, and 8 Real Security Takeaways.

Také diskuze na Schneierově blogu je věnována vánočnímu pokusu o bombový útok na letadlo – Christmas Bomber: Where Airport Security Worked. Je skutečně otázkou, zda prevence terorismu může být prováděna výhradně přímými bezpečnostními postupy (skenery,…)?

Následně k této problematice (bombám pod šaty) napsal Bruce i esej  – Post-Underwear-Bomber Airport Security. Nejzajímavější myšlenka zde obsažená (a platí i pro bezpečnost IT), nejde se bránit jen proti postupu, který byl právě teď použit, ale je třeba celkově volit dostatečně inteligentní postupy, které by ve svém výsledku dokázaly zabránit široké škále podobných útoků.

K slovenskému „testu“ výbušnin pronášených do letadel – Test of airport security fails in Slovakia using real explosives planted on passenger. Již k tomu samozřejmě bylo dostatek vyjádření v našem zpravodajství. Tento článek jako jeden z mnoha ukazuje pohled na situaci zvenku. K leteckému terorismu proběhla také další diskuze na Schneierově blogu – Nate Silver on the Risks of Airplane Terrorism.

Establishing Federal Capability for the Timely Provision of Medical Countermeasures Following a Biological Attack – k Obamově plánu obrany proti biologickému terorismu. Tato informace nepatří tak úplně do IT, přesto je zde zmíněna jako součást širších aktivit boje proti terorismu, kam spadá i kyberterorismus.

USA: odborník na kybernetickou bezpečnost má zaměstnání zajištěno – Cybersecurity expert: Job guaranteed. Poptávka po těchto odbornících je nyní v USA veliká, reagují na to také vysoké školy a univerzity zavedením nových učebních oborů a plánů.

Online transakce – vyhněte se sedmi hříchům – Online fraud: Avoiding the seven deadly sins. Obsahově to je zaměřeno na firmy, ale i jednotlivec si může něco vzít z doporučení Ori Eisena.

Jak chránit počítač, který jste dostali pod stromeček? Rick Broida v sérii článků přichází s několika základními doporučeními.

Software

Nově byly nalezeny zranitelnosti pro Twitter a Google Calendar – Researcher Uncovers Twitter, Google Calendar Security Vulnerabilities. Umožňují krást cookies a ID uživatelů použité pro dané spojení.

Klasifikace slabin a zranitelností (The WASC Threat Classification v2.0), to je nesporně užitečný dokument, který vydalo Web Application Security Consortium (WASC). ). Cílem dokumentu je být referenční příručkou pro ty, kteří zpracovávají různé bezpečnostní zprávy, popisují bezpečnostní problémy atd. Stručný komentář je na stránce Classification of weaknesses and attacks.

Objevil se nezvykle sofistikovaný útok zneužívající nedávno objevenou zranitelnost Adobe Readeru – Adobe Reader vuln hit with unusually advanced attack. Pouze 4 z 41 antivirů umí detekovat pdf soubor s takovýmto obsahem malware, uvádí Dan Goodin.

Top 10 bezpečnostních trendů pro aplikace, takovéhoto průvodce připravila Denim Group – Top 10 application security trends.

Malware

PandaLabs vydaly svoji zprávu za rok 2009 (k vývoji malware) – Annual Report pandalabs 2009. Komentář k této zprávě (má 22 stran) je obsažen v článku 25 million new malware strains in one year. Nejaktivnějším podílem malware byly v tomto období různé typy bankovních trojanů (66 procent!). Je zde také ukázán žebříček jednotlivých zemí, jak byly tyto ovlivněny infekcemi malware. Na prvním místě je Taiwan, následovaný Ruskem a Polskem. Z vybraných zemí na tom bylo nejlépe Švédsko.

Zeus, tento kousek malware je nyní obsažen v každém desátém botnetu – Zeus software behind one-in-ten botnets . Zeus je nyní také součástí botnet kitů prodávaných za 400 – 700 amerických dolarů (lowend). Zeus je uzpůsoben na krádeže finančních informací.

Hackeři

České a slovenské weby terorizuje neznámý hacker. Z úvodu článku na Novinkách: Na tuzemské internetové scéně se na začátku prosince objevil nový hacker, který v kybernetickém světě vystupuje pod přezdívkou Igigi. Tento útočník hledá bezpečností díry na českých a slovenských webech, aby do nich mohl následně proniknout. Napadnout se mu podařilo například stránky pojišťovny Union, či mobilního operátora Orange. Počet obětí navíc každý den přibývá.

Hacker hacknutému Azetu: Píšete hlúposti. Zverejnil heslá vedenia. Z úvodu: Hacker Igigi, ktorý hackol Azet.sk, tvrdí že slovenská webová jednotka používateľov o útoku zavádza. Zverejnil pôvodné heslá vedenia spoločnosti, ktoré by už mali byť zmenené a tiež najčastejšie heslá používateľov.

A tématu se věnuje i další článek – Čo odhalil „prípad igigi“, s podtitulem: Zbavte sa ilúzií, že dodávatelia webových aplikácií automaticky dbajú na bezpečnosť.

Autorem recenze knihy: Hacking: The Next Generation je Zeljka Zorz. Kniha autorů Nitesh Dhanjani, Billy Rios a Brett Hardin vyšla v září 2009, má 296 stran a lze si ji objednat například na Amazonu – Hacking: The Next Generation.

Anatomie interního protivníka (špatní hoši nechodí vždy v černém), to je téma článku The Anatomy of an Insider: Bad Guys Don’t Always Wear Black . Šestistránková studie společnosti Imperva uvádí některé význačné příklady (mezinárodní špionáž), zabývá se různými motivacemi takovýchto lidí, rozebírá tři možné cesty, kterými lze tyto interní vetřelec identifikovat. Užitečný je také závěrečný souhrn.

Děravé databáze: věčná láska hackerů, Lukáš Tomek na Lupě: Jedním z klasických útoků na webovou stránku, aplikaci či server je SQL Injection. O tom, že tato zranitelnost je stále hojně využívána pro útoky, svědčí statistika, podle které je na prolomení náchylných 17 % všech webů na Internetu. Jak SQLi funguje a jak se bránit?

Šéf komunistů Filip má na facebooku propracované pirátské stránky. Z úvodu článku: Zneužívání internetu v politickém boji před volbami nabírá obrátky. Obětí podvodu na facebooku se stal i šéf komunistů Vojtěch Filip. Na sociální síti funguje profil, který se tváří jako Filipův oficiální. Jde o další podvod po vzniku falešných webových stránek zemanovské Strany práv občanů a TOP 09.

Mr. Bean šéfuje Evropě – Mr Bean ousts PM from Spain's official website. Zpráva proběhla i v našich televizních zprávách, na stránce máte kopii hacknutého webu. Dále – došlo také ke kompromitaci oficiálního webu iránského prezidenta Ahmadinejada – Cross-site scripting vulnerabilities see two political websites hacked.

Hardware

Certifikované USB flash disky se šifrováním byly cracknuty – NIST-certified USB Flash drives with hardware encryption cracked. Firma SySS našla relativně snadnou cestu, jak se dostat k zašifrovaným datům (přestože byl použit algoritmus AES s délkou klíče 256 bitů). Slabinou byl mechanismus pro vkládání hesla. Autor článku se v závěru oprávněně ptá: Jak mohly disky s takovouto dosti zřejmou chybou získat tak vysokou certifikaci (FIPS 140–2 Level 2)?

Zeměpisné umístění (GPS) bezdrátových routerů lze vysledovat – Hacker pilfers browser GPS location via router attack. Pokud brouzdáte internetem prostřednictvím takovéhoto bezdrátového připojení, pak hacker Samy Kamkar umí najít vaši zeměpisnou lokaci. Bezdrátové přístupové body jsou totiž zranitelné vůči útokům XSS.

NSA certifikovala telefon Sectera Viper Universal Secure Phone pro utajené komunikace – NSA certifies Sectera Viper phone for classified communications, a to pro použití ve veřejných telefonních sítích.

Mobilní telefony

FAQ: Používejte svůj chytrý mobil bezpečnou cestou – Using your smartphone safely (FAQ). Elinor Mills na této stránce odpovídá na některé základní otázky, které se týkají bezpečné práce s chytrými mobily (jaké zde existují hrozby).

Forenzní analýza

Forenzní analýza, pro její cíle je možné také sledovat připojovaná zařízení (USB disky, mobily, MP3 přehrávače) podle sériových čísel – Tracking users, malware and data leaks via the USB serial numbers on flash drives, smart phones and MP3 players. Toto číslo mají jen některá zařízení, není jich však málo. Autor se zamýšlí nad jejich využitelností ve forenzní analýze.

Antiforenzní nástroje lze využít i pro ochranu vašich dat – How to Protect Your Privacy from Computer Forensics. Prodáváte starý počítač nebo se zbavujete pevného disku? Brandon Gregg vysvětluje použití tří nástrojů, jejichž použití vám zajistí, že vaše data jsou skutečně smazána:

Elektronické bankovnictví

Účet za loupež dat: Čechům zmizely z karet statisíce, z úvodu článku: Už několik desítek případů zneužití platebních karet českých klientů zaznamenala Česká spořitelna v souvislosti s loňským únikem dat ve Španělsku. Konkurenční ČSOB sice díky preventivní blokaci všech ohrožených karet zaznamenala jen osm případů, i tak ale z účtů zmizelo 350 tisíc korun.

Problémy německých bankomatů se ukazují jako závažné – Problems obtaining cash from German ATMs – Update. Nové čipy měly problém se zpracováním, chyba byla v softwaru, vztahovala se k roku 2010. Zdá se, že nepůjde o ojedinělý problém tohoto typu – The year 2010 is causing IT problems, postihlo to i Windows Mobile SW, Symantec a Cisco. Problému se také věnuje článek EC card problem persists.

K problémům německých karet přihlásila svoji odpovědnost francouzská firma – EC card disaster: French manufacturer Gemalto takes responsibility. Společnost Gemalto nyní intenzivně ve spolupráci s bankami hledá řešení, které by co nejméně „bolelo“.

Autentizace, hesla

V rámci prevence krádeže vašeho ID sestavil Erin Earley (Lavasoft) sadu doporučení – How to prevent identity theft:

  • Monitorujte pečlivě svůj účet
  • Udržujte si záznamy vašich finančních údajích a transakcích
  • Nainstalujte si bezpečnostní software (firewall, antivir, antispyware)
  • Používejte aktualizovaný prohlížeč
  • Pozor na přílohy e-mailů a odkazy v e-mailech a IM
  • Ukládejte citlivá data chráněnou cestou
  • Skartujte dokumenty (papírové i elektronické), které obsahují osobní či finanční informace.
  • Chraňte svou PII (personally identifiable information, informace, které lze identifikovat ve vztahu k vaší osobě)
  • Seznamujte se s nejnovějšími podvody

Kryptografie

Cryptographic showdown, Round 2: NIST picks 14 hash algorithms, k 14 semifinalistům výzvy NISTu k nové hashovací normě. Jsou to: BLAKE, BLUE MIDNIGHT WISH, CubeHash, ECHO, Fugue, Grostl, Hamsi, JH, Keccak, Luffa, Shabal, SHAvite-3, SIMD a Skein. Informace k nim lze nalézt na stránce Cryptographic Hash Algorithm Competition. William Jackson opakuje tyto informace ze září 2009 (vydána zpráva – Status Report on the First Round of the SHA-3 Cryptographic Hash Algorithm Competition) a shrnuje – volba pěti finalistů bude provedena na podzim roku 2010.

UX DAy - tip 2

Bylo faktorizováno číslo RSA-768! Na výsledku – Factorization of a 768-bit RSA modulus – se podílela celá řada známých odborníků, byla použita metoda NFS (number field sieve). Číslo RSA-768 bylo převzato z nyní již neplatné výzvy společnosti RSA. Autoři konstatují, že tento výsledek ukazuje, že do deseti let bude nejspíš provedena i faktorizace čísla v délce 1024 bitů. Viz komentář – RSA crypto defiled again, with factoring of 768-bit keys.

Různé

Přehled vychází z průběžně publikovaných novinek na Crypto – News.

Byl pro vás článek přínosný?