Bezpečnostní střípky: čtyři roky webového malware

Přehledy

Zpráva společnosti McAfee o Shady RAT je kritizována (Kaspersky) jako poplašná – ‚Shady RAT‘ report called alarmist, flawed. Podle Kasperského (říká, že provedli vlastní analýzu) se realita velice odlišuje od popisu ve zprávě. Viz také komentář – Eugene Kaspersky dismisses Shady RAT report and likens malware to ´a lame piece of homebrew´.

Podle studie společnosti Kaspersky je největším rizikem software společnosti Adobe – Kaspersky study finds Adobe software is biggest security risk . Článek komentuje výsledky zprávy IT Threat Evolution: Q2 2011. Tyto výsledky jsou rozebírány také v článku Kaspersky Report: Most PCs Contain 12 Vulnerabilities (většina PC obsahuje 12 zranitelností).

Obecná a firemní bezpečnost IT

Can Data Breaches Kill? – mohou datové průniky zabíjet? Ericka Chickowski říká, že odpověď zní ano, za určitých podmínek mohou úniky dat vést k rizikům, které ohrožují životy lidí. Příkladem je nedávný únik dat 70 různých agentur (označovaných jako zákony prosazujících agentur) v USA. K rizikům může vést třeba prozrazení jména osoby, která je členem nějaké tajné organizace atd.

Sedm chyb, které mohou vést k neodpovídajícím výsledkům auditů – Seven Mistakes That Make Compliance Efforts Fail. Zformulovala je Ericka Chickowski:

• Manažeři nepřemýšlí jako auditoři
• Zdroje nevyhovují požadavkům
• Organizace ignorují lidskou povahu
• Vynaložená úsilí nejsou vztažena i k budoucím nárokům
• Shoda a IT jsou odděleny
• Podnikání toho spolyká více, než je schopné přežvýkat
• Politiky nejsou provázány s hodnoceními

Velká Británie říká: Google se potřebuje dále zlepšit v oblasti ochrany soukromí – UK says Google needs further privacy improvements. Činnost společnosti Google byla posuzována britským úřadem ICO (Information Commissioner´s Of­fice). Bylo však konstatováno, že Google ve svém úsilí zlepšit se pokročila.

Bývalý zaměstnanec (IT pracovník) zničil většinu IT infrastruktury farmaceutické firmy – Fired techie created virtual chaos at pharma company. Přihlašoval se z restaurace (McDonald), smazal 88 serverů firmy, jeden po druhém. Pracoval u americké pobočky japonské firmy Shionogi.

Svoboda na internetu, to je dnešní problém západní demokracie – Repressing the Internet, Western-Style. Zamyšlení Jevgenije Morozova rozebírá jednak problém z celkového hlediska a také rozebírá nedávné aktivity legislativy ve Velké Británii a v USA. Autor klade otázku, nevede vše k určité krizi demokracie?

Australský bombový vyděrač se dopustil technické chyby – The collar bomber's explosive tech gaffe. Dotyčný, který navlékl bombový nákrčník středoškolské studentce, dostal nápad, že vyděračský dopis nechá na USB klíčence zavěšené na jejím krku. Neuvědomil si ale, že hluboko v jeho paměti je také uloženo majitelovo jméno… Podle forenzního odborníka – i kdyby pachatel věděl, že na klíčence je jeho jméno, měl by velký problém s tím ho odstranit.

Není tu možnost volby, nastala doba, kdy společnosti musí pojímat bezpečnost „defaultně“ – Not an option: time for companies to embrace security by default. Zajímavý článek poukazuje na současné bezpečnostní problémy (VoIP, internetové připojení). Problematika je také diskutována na Schneierově blogu – Security by Default.

Human Compromise: The Art of Social Engineering, to je recenze stejnojmenné knihy. Jejím autorem je Mike Murr, kniha má 324 stran, vydává jí nakladatelství Syngress a vyjde 15. listopadu 2011. Předobjednat si ji lze na Amazonu.

Článek na blogu společnosti HBGary je věnován hrozbám typu APT – Inside an APT Covert Communications Channel. Zde popisovaný zajímavý popis postupů útočníků je komentován také v článku APT Attackers Hiding In Plain Sight.

Coding for Penetration Testers, to je recenze knihy, jejíž celý název je Coding for Penetration Testers: Building Better Tools. Autory knihy jsou Jason Andress a Ryan Linn, Kniha má 320 stran, vychází v nakladatelství Syngress 15. října 2011, lze si ji objednat na Amazonu.

Konkurenční boj: firma oznámila, že ukradená databáze konkurenční firmy je na prodej – Outsourcer says rivals faked stolen database offer. E-maily informující o této skutečnosti však byly podvrhem. Datové průniky, jak se zdá, vstupují i do takovýchto oblastí.

Chybám společností Citigroup, Epsilon a Sony, které vedly k průnikům, šlo předejít – It's Not Just about Credit Card Numbers Anymore. Říká to zpráva společnosti Protegrity. Viz komentář – Protegrity Report Finds Citigroup, Epsilon, Sony Data Breaches Preventable.

Důvěra v online obchodníky klesá – Confidence in online retailers sinks. Článek shrnuje výsledky šetření, které provedla společnost McAfee.

5 Most-Ignored IT Security Best Practices aneb pětice nejvíce ignorovaných nejlepších bezpečnostních postupů. Robert Strohmeyer vybral nejčastěji se vyskytující nedostatky tohoto typu:

• Výměna klíčů SSH ročně
• Školení uživatelů ohledně nejlepších praktik
• Šifrování dat pro cloud
• Používání dostatečně silných šifrovacích klíčů
• Mít plán pro náhradu CA, které podlehly průniku

Čínský podíl na budování počítačové laboratoře budí špionážní obavy – Computer lab’s Chinese-made parts raise spy concerns. Jedná se přitom o americkou laboratoř se superpočítači pro utajovaný armádní výzkum.

Prevence IT sabotáže ve vaší firmě – co je k tomu třeba udělat – How To Prevent IT Sabotage Inside Your Company. Todd R. Weiss reaguje mj. i na zprávu z nedávných dní (o pomstě zaměstnance americké pobočky japonské firmy). Uvádí doporučení několika odborníků.

Japonsko chce hrát aktivní roli v boji proti kybernetickým útokům – EDITORIAL: Japan should play active role against cyber attacks. V úvodníku známého japonského deníku je poukazováno mj. na to, že zatímco USA, Rusko a Čína mají pro tento boj vyčleněny i speciální vojenské složky, je Japonsko v převážné míře cílem těchto útoků, finance z rozpočtu na tyto úkoly jsou minimální. Je proto apelováno na vládu, aby tuto situaci změnila.

Sociální sítě

How Anonymous Could Attack Facebook – If It Really Wants To aneb jak Anonymous mohou zaútočit na Facebook – pokud to vůbec chtějí udělat. Autor článku zvažuje možnosti takovéhoto útoku (i když sám, jak říká, v něj příliš nevěří).

Facebook pomohl muži okrást sousedy o 35 000 liber. Dotyčný využil informace zveřejněné na stránkách Facebooku souseda, posbíral takové údaje jako data narození, jméno matky za svobodna atd. a použil je k obejití bezpečnostních otázek banky – Facebook Helps Man Steal $57,000 from Neighbors.Celkový pohled na charakter a závažnost obdobných problémů přináší článek Internet Users Unknowingly Risk Identity Theft: Report.

Facebook vydal svoji oficiální bezpečnostní příručku – A Guide to Facebook Security. 14stránkový dokument má podtitul „For Young Adults, Parents, and Educators“. Jednotlivé body jeho obsahu:

• Protecting Your Facebook Account
• Avoiding the Scammers
• Scammers Who Target Facebook
• Using Advanced Security Settings
• Recovering a Hacked Facebook Account
• Stopping Imposters
• Securing Your Future
• Top Tips for Staying Secure on Facebook

Recenzi této příručky zpracoval Bill Brenner na csoonline.com – A review of Facebook´s security guide for teens, parents, teachers. Podle jeho mínění nejlepší částí příručky je ta, která hlouběji rozebírá postupy pro silnější autentizaci.

Software

10 věcí, kterými můžete právě teď vylepšit svou webovou stránku popisuje Justin James – 10 things you can do to improve your Web site right now. Některá opatření (nejsou to taková, která vyžadují kompletní přepracování webu) pomohou – a to včetně bezpečnostních charakteristik webu.

K technice nesmazatelných cookies se obrací článek Man reveals secret recipe behind undeletable cookies. Firma Kissmetrics může s pomocí této techniky podrobně rekonstruovat historii prohlížeče i v situacích, kdy uživatel se pokouší chránit. Článek informuje o výsledcích studie Flash Cookies and Privacy II: Now with HTML5 and ETag Respawning.
Viz také diskuzi na Schneierově blogu – New, Undeletable, Web Cookie.

Internet Explorer chrání nejlépe – Internet Explorer is Best At Protecting Against Drive-By Downloads. Článek informuje o testech, které provedly NSS Labs – NSS Labs Performs International Tests of Web Browsers Against Socially Engineered Malware, Web Browser Group Test Socially-Engineered Malware Q3 2011.
Viz také komentáře:

• Report finds Microsoft Internet Explorer 9 ahead of Google Chrome and Apple Safari in blocking malicious pages

Mediggo – volně dostupný nástroj pro detekci slabin kryptosystémů – Mediggo – Tool To Detect Weak Or Insecure Cryptosystems Using Generic Cryptanalysis Techniques. Mediggo je open source (LGPL) knihovna obsahující implementace některých kryptoanalytických technik.

Mozilla vydala Firefox 6 – Mozilla ships Firefox 6, patches 10 vulnerabili­ties. Záplatováno je 10 zranitelností. Podle ohlasů z médií však velké nadšení nad novou verzí nevládne.

Zaplaťte si hackera pro větší bezpečnost vašeho SW – Bug Bounties: Why Paying Hackers Makes You Safer. Autor doporučuje následovat velké firmy jako jsou Google a HP, které platí za nalezení chyb v SW.

Nine (and a half) signs your vulnerability management program is failing aneb devět (a půl) známek toho, že váš program spravující zranitelnosti je neúspěšný. Gary McCully v rozsáhlejším článku na csoonline.com vyjmenovává momenty, které jsou známkou toho, že s vaší správou zranitelností je něco v nepořádku.

Útočníci nyní disponují novými postupy pro automatizované vyhledávání zranitelností – Botnets And Google Dorks: A New Recipe For Hac. To je komentář ke zprávě společnosti Imperva – Hacker Intelligence Summary Report – The Convergence of Google and Bots: Searching for Security Vulnerabilities using Automated Botnets.
Viz také další komentář – Search engine hack innovation

Nevhodné implementace SSL ponechávají weby otevřené útokům – IT Security & Network Security News Improper SSL Implementations Leave Websites Wide Open to Attack . K problematice se diskutovalo na několika vystoupeních na konferenci Black Hat. Autor článku shrnuje fakta, o kterých se zde hovořilo.

Srovnání bezpečnosti Maců a Windows, otázka – který systém je bezpečnější? Roger Grimes říká, že tato otázka není již dnes relevantní – No Contest: Mac vs. Windows Secu. Posuny v technologiích jsou nyní neustálé a hrozby se neomezují na konkrétní platformy.

Pomoc administrátorům osCommerce – Help for osCommerce administrators. Krátký článek informuje o příručce Rapid relief for osCommerce administrators.

Malware

Spiegel si pro jeden ze svých článků vybral téma Izrael a červ Stuxnet – Stuxnet Virus Opens New Era of Cyber War. Holger Stark označuje Mossad jako zdroj útoku na Írán červem Stuxnet. Rozsáhlejší článek obsahuje řadu zajímavých podrobností.
Jiný zajímavý rozbor najdete na odkazu How Digital Detectives Deciphered Stuxnet, the Most Menacing Malware in History. Objevují se dohady, že Stuxnet zavinil problémy se zálohováním v systémech jaderné elektrárny ve Fukushimě (?) – Cracking Stuxnet.

Zdrojový kód pro trojana SpyEye se objevil na internetu, to znamená, že jsou na obzoru nové exploity – Source Code For SpyEye Trojan Published; More Exploits On The Horizon, Researcher Says. Toto nebezpečné malware je nyní přístupné miliardám, konstatuje se v článku. Viz také komentář – Cracked SpyEye cheers, worries researchers. Free bot program undermines criminals and provides information to security firms, but will mean more attacks.

Malware mints virtual currency using victim's GPU – trojan Badminer a virtuální měna Bitcoins. Dan Goodin komentuje zjištění společnosti Symantec – Trojan.Badminer. Trojan využívá potenciál grafických karet ke generování této měny tzv. ražbou (minting – řešení obtížných kryptografických problémů a získání za to odměny – 50 Bitcoins).

Hacktivismus a trojan spojený s hrou pro Android (Dog wars) – Hacktivist Trojan Targets ‚Dog Wars‘ Android Game – článek popisuje zajímavá zjištění společnosti Symantec ohledně vlastností tohoto trojana.

Jak reagovat na malware. Šest kroků k tomu je popsáno v článku Six stages of malware response: Streamline your approach. Dominic Vogel je sice nováček v IT bezpečnosti, ale to mu umožnilo svým způsobem formalizovat svůj přístup k problémům s malware. Rozlišuje šest stádií:

• Zhodnoťte závažnost hrozby
• Proveďte analýzu logů antivirového systému společnosti a hledejte souvislosti
• Zeptejte se svých kolegů na další informace
• Vyčistěte infikovaný počítač
• Zaznamenejte vše co jste našel
• Opravte bezpečnostní systém společnosti a její politiky

Čtyři roky webového malware – Four Years of Web Malware. Lucas Ballard a Niels Provos z bezpečnostního týmu společnosti Google shrnují podstatné momenty ze zprávy Trends in Circumventing Web-Malware Detection.
Viz také komentář (Jeremy Kirk, Computerworld) – Google highlights trouble in detecting web-based malware.

Viry

Malý přehled bezplatných nástrojů známých společností najdete na stránce FREE Online SCANNERS. Jedná se o volně dostupné online skenery.

Hackeři

Hackeři, zaznamenaný posun od drobného vandalismu ke krádežím velkého objemu dat je komentován v článku Hackers Shift From Petty Vandalism to Massive Data Theft. Fahmida Y. Rashid hovoří o změnách taktik hacktivismu, které se promítly do „výsledků jejich práce“. Popisuje postupy používané skupinami Anonymous a LulzSec.

Milióny webových stránek jsou minovým polem hackerů – Millions of Web Pages Are Hacker Landmines. Okolo osmi miliónů webových stránek se toto léto stalo předmětem útoku hackerů a je nyní jimi kontrolováno. Článek informuje o výsledcích analýzy, kterou provedla bezpečnostní firma Armorize (specializovaná na bezpečnost webů).

FBI rozšiřuje své pátrání ohledně hacků mobilů (a odposlechu) obětí 9.září Murdochovými News Corp – FBI widens its US inquiry into News Corp beyond 9/11 hacking. FBI šetří škody, které způsobily hackerské aktivity reportérů.

Zombíci – nejdražší jsou v USA a ve Velké Británii – US and UK zombies demand top dollar. Článek informuje o výsledcích výzkumu zveřejněných ve studii, kterou připravil tým vedený Juanem Caballero (IMDEA Software Institute at the University of California at Berkeley).

Desítka hackerů, kteří otřásli světem – The World's Top 10 ‚Groundbreaking‘ Hackers. Tuto slideshow připravil Fahmida Y. Rashid.

Rychlodráha (Bay Area Rapid Transit – BART) v San Franciscu – protest hacktivistů odnesli nevinní pasažéři – Innocent passengers targeted to protest subway agency. Anonymous po hacknutí stránek MyBart.org zveřejnili jména, adresy, e-mailové adresy a hesla 2400 lidí, kteří zde měli účet. Viz také – Anonymous breaches San Francisco´s public transport site.

Hackeři dále zveřejnili osobní data 102 policistů ze San Francisca (v rámci jejich kampaně ohledně rychlodráhy) – Hackers breach website for SF transit agency police. Zveřejněna byla na Pastebin.com. Viz také – Anonymous claims release of BART police officers´ data. Podle článku BART Police Association site hacked – Anonymous not involved to však byla akce jednotlivce (francouzské ženy?) nikoliv Anonymous.

K Anonymous (nejen v této souvislosti) se obrací autorka článku Anonymous Targets BART, But What Exactly is „Anonymous“ Anyway?.

Výňatek z nové knihy Kevina Mitnicka si lze přečíst na stránce Book Excerpt: Ghost in the Wires — My Adventures as the World’s Most Wanted Hacker. Mitnik zde popisuje rok 1992, své vyšetřování okolo tajemného hackera s přezdívkou Eric.

Hackeři „zabili“ premiéra Quebecu, takovouto zprávu přinesly hacknuté noviny Le Devoir. – Canada: Hackers ‘Kill’ Quebec Premier.

Kriminální skupiny mají nový nástroj pro DDoS – DDoS Attack Tool Spreads Among Criminal Undergroups. Stefanie Hoffman zmiňuje nástroj Dirt Jumper s jehož pomocí, jak bylo nejprve zjištěno (Arbor Networks), byl nedávno proveden útok proti dvěma ruským webům (herní web a stránky společnosti, která prodává chytré mobily). Dále pak bylo zjištěno, že toto malware bylo použito i v útocích na jiné weby.

Hackeři uložili na účet muže z Floridy skoro jednu miliardu dolarů – WATCH: Hackers put nearly $1 billion in man's account. Video zaujme, je zmiňováno na spoustě webů, ale další zprávy k tomu se, jak se zdá, zatím neobjevily.

Anonymous v rámci kampaně Anonymous pronikly do sítě armádního dodavatele Vanguard – Anonymous AntiSec Breaches Defense Contractor Vanguard Network. Pro útok byl využity zranitelnosti Wordpress, VDI (Vanguard Defense Industries) včas nezáplatovalo. Byl ukradeny dokumenty ze systému Wordpress a e-maily starší exekutivy. Viz také – Anonymous breaches another US defense contractor a AntiSec Carves Another Notch in Its Keyboard With Defense Contractor Hack.

Hardware

APCO Project 25 dvoucestný radio systém – studie k jeho bezpečnostním vlastnostem – Why (Special Agent) Johnny (Still) Can’t Encrypt: A Security Analysis of the APCO Project 25 Two-Way Radio System. Byla připravena pro konferenci Usenix. Viz také minulé Bezpečnostní střípky a jeden z dalších komentářů $25 toy radio used to knock out feds.

Mobilní telefony a zařízení

K průniku do serverů BlackBerry lze použít obrázky – Images used to break into BlackBerry servers . BlackBerry Enterprise Server obsahuje zranitelnost, kterou mohou zneužít útočníci. Speciální soubory PNG či TIFF jako přílohy e-mailů či na webových stránkách, které uživatel BlackBerry prohlíží mohou být použity k infekci malware. Z článku nevyplývá, zda k takovémuto narušení již skutečně došlo, ale je to pravděpodobné.

Dropbox pro Android má bezpečnostní problém – Dropbox for Android security bypass vulnerability. Informuje o něm Tyrone Erasmus (MWR InfoSecurity). Zranitelnost je opravena ve verzi 1.1.4.

Google s Motorolou pravděpodobně nestvoří bezpečnější Android – Google, Motorola Deal Unlikely to Produce a More Secure Android. Fahmida Y. Rashid rozebírá dopady této fúze i z pohledu bezpečnostních charakteristik jejich produktů.

Byla vyvinuta aplikace pro Android zaznamenávající vkládané znaky (jakýsi keylogger) – Android app logs keystrokes using phone movements. Jsou k tomu využity senzory chytrého mobilu, které zaznamenávají umístění uživatelova klepnutí na obrazovku. Viz také – Shake ´n´ Spy: Smartphone Motion Sensors Can Tell What You´re Typing a Accelerometer used to log smartphone keystrokes.

GingerMaster – nové nebezpečné malwar pro Android – New Android ‚GingerMaster‘ Malware Infects Smartphones. Matt Liebowitz – malware napadá poslední verze Androidu, ukradená data jsou odesílána na vzdálený server. Autor komentuje zprávu KasperskyLab – GingerMaster Malware Seen Using Root Exploit for Android Gingerbread.

Spam

Nedávný proud spamu vede k tomu, že znovu byla dosažena úroveň té doby, kdy fungoval Rustock – Recent Spam Outbreak Hits Pre-Rustock Takedown Levels. Současnou situaci komentuje Fahmida Y. Rashid. Viz také – Brace for email-attachment malware spree.
Dále pak komentář ke zprávě společnosti M86 Security je obsažen v článku – Report: Spam is at a two-year high. Blog M86 security – Massive Rise in Malicious Spam.
Viz také – Security labs record surge in malicious spam over past week. Reasons unknown – dvě bezpečnostní laboratoře zaznamenaly prudký nárůst spamu minulý týden. Příčina není známa.

Pharma Wars, Part II – lékárenské války, odchycená diskuze spammerů. Brian Krebs rozebírá odchycený archiv (166 MB) chatů (Stupin, Gusev). Rozhovory poskytují zajímavý pohled na toto IT „odvětví“.

Forenzní analýza

Digital Forensics for Legal Professionals, to je recenze stejnojmenné knihy, jejími autory jsou Larry Daniel a Lars Daniel, kniha (368 stran) vychází v nakladatelství Syngress 15. září 2011. Viz – Amazon.

Elektronické bankovnictví

Termální kamery mohou být využívány při bankomatových podvodech (skimming) pro krádeže PINů – Better ATM skimming through thermal imaging. Hovořilo se o tom na konferenci Usenix – Heat of the Moment: Characterizing the Efficacy of Thermal Camera-Based Attacks.

Útočníci přišli na to, že je snadné oklamat pracovníka banky, aby prozradil heslo – Cyber-Attackers Find It's Easy to Trick Bank Workers to Divulge Passwords. Vyzkoušeli si to auditoři ze společnosti Trace Security. V článku je popsána další řada jejich zjištění.

Normy a normativní dokumenty

Americký NIST vydal v minulém týdnu dva dokumenty

• Draft NIST Special Publication 800–38F, Recommendation for Block Cipher Modes of Operation: Methods for Key Wrapping
• Special Publication 800–128, Guide for Security-Focused Configuration Management of Information Systems

Kryptografie

Plně homomorfní šifrování nad celými čísly s krátkým klíčem, tomuto tématu je věnována vysoce zajímavá studie francouzských autorů – Fully Homomorphic Encryption over the Integers with Shorter Public Keys . Její výsledky byly prezentovány na konferenci Crypto (Santa Barbara, srpen 2011)

Advanced Encryption Standard – byla nalezena první chyba (?) – Researchers identify first flaws in the Advanced Encryption Standard. V článku jsou komentovány výsledky studie Biclique Cryptanalysis of the Full AES (autorů Andrej Bogdanov, Dmitrij Chovratovič a Christian Rechberger).
Viz komentář Dana Goodina – ´Groundbreaking´ attack breaks AES crypto a diskuzi na Schneierově blogu – New Attack on AES.

Konference CRYPTO 2011 probíhala v minulém týdnu v Santa Barbaře, na stránce Program CRYPTO 2011 najdete přehled jednotlivých vystoupení.

Různé

Přehled vychází z průběžně publikovaných novinek na Crypto – News.