Hlavní navigace

Bezpečnostní střípky: DDoS útoky zaměstnávají média

Jaroslav Pinkava

Pravidelný pondělní přehled informací vztahujících se k problematice bezpečnosti IT. Z novinek právě uplynulého týdne lze upozornit na diskuse k bezpečnostním vlastnostem OS Chrome společnosti Google, studii k bezpečnosti operačního systému Symbian a třeba na přehled častých chyb správců sítí.

Obecná a firemní bezpečnost IT

Deset nejhloupějších chyb, které dělají správci sítě, je popsáno v článku – The 10 dumbest mistakes network managers make. Jejich přehled vznikl na základě rozboru firmy Verizon Business (získán byl analýzou 90 velkých bezpečnostních průniků):

  1. Nevymění defaultní hesla u všech síťových zařízení.
  2. Je sdíleno (použito) heslo pro více síťových zařízení.
  3. Neumí najít chyby v kódování SQL.
  4. Nejsou správně nakonfigurovány seznamy kontrol přístupů.
  5. Je umožněn nezabezpečený vzdálený přístup.
  6. Nejsou testovány nekritické operace z hlediska základních zranitelností.
  7. Adekvátní cestou nejsou chráněny servery před malware.
  8. Nejsou vhodně nakonfigurovány routery k ochraně před nežádoucím výstupním provozem.
  9. Nevědí, kde jsou uložena data zákazníků k platebním kartám a jiná jejich citlivá data.
  10. Nejsou aplikovány požadavky příslušných bezpečnostních norem (Payment Card Industry Data Security Standards).

Jsou ve vaší organizaci správně chápána interní rizika? Michael Kassner se v Insider risk or threat: Which are you? ptá, zda správně rozlišujeme rizika a hrozby, zda umíme podchytit ta nebezpečí, která vznikají v důsledku (neúmyslných) chyb zaměstnanců a nebezpečí pocházející od záměrných aktivit zaměstnance.

Security issues surrounding the incoming head of MI6 prove more education on social networking sites is needed aneb budoucí šéf MI6 a výchova uživatelů sociálních sítí. Článek kromě konstatování bezpečnostního pochybení manželky tohoto funkcionáře poukazuje na nevhodná bezpečnostní nastavení těchto sítí.

Stacy Collett napsala článek How to Stop Fraud (jak se bránit podvodům), který je určen zejména bezpečnostním ředitelům (CSO). Rozebírá v něm celou řadu nezbytných opatření. Za zmínku stojí určitě i odkazovaný článek z roku 2004 – Anatomy Of A Fraud.

Recenzi knihy Beautiful Security: Leading Security Experts Explain How They Think najdete na Slashdotu. Autory knihy jsou Andy Oram a John Viega, kniha má 300 stran a vydalo ji nakladatelství O´Reilly v květnu 2009. Najdete ji na Amazonu.

Identifikace příchozích hrozeb a formování adekvátních odpovědí, to je problém, kterým se zabývá článek Identifying and Addressing Evolving Threats. Proč potřebujete bezpečnostní strategii a jak ji zformovat, vysvětlují Nalneesh Gaur a Mike Heindl.

Rozlišení pojmů riziko, hrozba a zranitelnost je provedeno v článku Understanding risk, threat, and vulnerability. Tyto pojmy hlouběji objasňuje Chad Perrin.

Země, kde je největší počítačová kriminalita, takovýto žebříček najdete na stránce Countries with the Most Cybercrime (zpracováno podle Symantecu). Je zde uvedeno prvních 20 zemí, první tři místa: 1. USA, 2. Čína, 3. Německo. Česko v tomto žebříčku nefiguruje (zatímco třeba Polsko ano).

Dvě třetiny britských organizací čelily problému s průnikem do svých dat – Two-thirds of organisations hit by data breach in last year. Informace vychází z výsledků průzkumu společnosti Ponemon.

Deset největších rizik bezpečnosti v pojetí Microsoftu je popsáno v osmistránkové studii. Jejím autorem je Royce Howard – The 10 Most Dangerous Risks to Microsoft Security.

  1. Fyzická bezpečnost
  2. Politika pro práci s hesly
  3. Privilegované účty a sociální inženýrství
  4. E-mailové útoky
  5. Červy
  6. Stále více škodlivější malware
  7. Neoprávněné síťové přístupy
  8. Neaktualizace SW (záplaty)
  9. Aplikace třetích stran
  10. Lidský faktor

Lepší bezpečnost a jak ji lze dosáhnout bez utrácení velkých sum peněz – Security on a Budget. James Michale Stewart formuluje v tomto směru některé myšlenky, které si lze ověřit v každé organizaci.

NSA buduje velké datové centrum v státě Utah – NSA Building Massive Data Center in Utah. Viz také – Utah will host new $1.9 billion NSA spy center.

Software

Společnost Postini byla koupena Googlem před dvěma lety, monitoruje nyní 3 miliardy e-amilových zpráv denně. Článek Postini: Google's take on e-mail security přináší některé informace vztahující se k této společnosti a bezpečnosti G-mailu.

Informaci k novému útoku na uživatele Internet Exploreru najdete na této stránce – Microsoft confirms attacks against IE6, IE7. Imunní se zdá být IE7 pod Windows Vista a také IE8.

Encrypting Files with WinZip, to jsou doporučení NSA pro šifrování souborů s programem Winzip. Pokud Winzip k těmto účelům používáte, nepřehlédněte.

Kon-Boot na USB flash disku – obejde přihlašovací hesla Windows a Linuxu – Using Kon-Boot from a USB Flash Drive: Bypass those pesky Windows and Linux login passwords completely. Autor upravil nástroj původně připravený pro spouštění z CD pro využití i na USB flash disku.

Nový operační systém Google budí obavy ve vztahu k soukromí uživatelů – Google's new OS raises privacy, antitrust concerns. Vzroste nepochybně množství osobních dat, které bude moci Google sbírat.

Dále – Bruce Schneier zpochybňuje vyhlášení Google (o tom, že jeho OS Chrome bude bez virů) – Making an Operating System Virus Free. Diskutující zde rozebírají, zda je něco takového vůbec možné, a v zásadě se k názoru Schneiera připojují. Viz také článek Roberta Vamosiho – Will Google´s OS Make the Desktop Safe?.

John Edwards v VPN: The Pros and Cons rozebírá z různých pohledů vlastnosti VPN, klady a zápory této technologie

Praktická příručka pro efektivní správu záplat připravila společnost Del, nezbytná je registrace – Patch management. A practical guide to building an effective patch management process.

Malware

Darren Grabowski uvádí několik doporučení k tomu, jak eliminovat rostoucí hrozby botnetů – How to Mitigate the Increasing Botnet Threat.

Snahy zabránit dalšímu šíření červa Conficker jsou popisovány na stránce Researchers thwart Conficker worm spread. Pracovníci bonnské univerzity připravili některá řešení, která těmto snahám mají pomoci.

Hackeři

Online útok na vládní stránky Spojených Států, weby USA a jižní Koreje zaměstnával v uplynulém týdnu media :

Útok botnetu byl založen na desetitisících infikovaných PC (zřejmě jednou z verzí červa MyDoom) a byl typu DDoS (distributed denial of Service), tj. napadené stránky byly zahlcovány množstvím příchozích dat. Podle posledních zpráv měl v pátek vyvrcholit útok tím, že červ stojící za útokem zašifruje data na infikovaných PC anebo přeformátuje pevný disk. Uživatelé takto postižených PC mají přijít o svá data.

Podle studie lze také čísla sociálního pojištění používaná v USA hacknout – Study: Social Security Numbers May Be Hack. Většinu čísel sociálního pojištění lze podle bezpečnostních odborníků (Carnegie Mellon University, Pittsburgh) odvodit z jména a data a místa narození. Do budoucna se předpokládá, že bude zaveden systém, kdy čísla sociálního pojištění budou volena náhodně.

Ukrajinští hackeři ukradli šerifovi z amerického zapadákova 415 000 dolarů – Darn them Dukenko boys! Ukrainian hackers steal $415,000 from podunk sherriff. Pomocí trojana (keyloggeru) získali potřebné bankovní informace a chytrou cestou najali několik dobrovolníků a s jejichž pomocí převedli peníze na Ukrajinu.

Slovensko: Hackerom za útok núkali dohodu. Je to informace k vývoji situace týkající se útoku na NBÚ v roce 2006: Polícia chce obžalovať dvoch hackerov pre útok na Národný bezpečnostný úrad. Dohodu o vine a treste dvaja muži odmietli. Vyjadrovať sa nechcú.

Možnému DNS hacku největšího irského poskytovatele internetového připojení se věnuje autor článku Possible DNS Hack at Ireland's Largest ISP. Zákazníci Eircomu byli během víkendu při požadavcích na řádnou adresu přesměrování na stránky s reklamou.

Příručku, která má napomoci orientovat se v boji proti hackerům, hoaxům a jiným internetovým hororům, najdete na stránce . Network Box white paper: Hacks, Hoaxes and Horrors. Stručný komentář k příručce je v článku Guide to common hoaxes, hacks and Internet horrors.

Centrální registr exekucí napadl hacker, z úvodu: Na Centrální evidenci exekucí České republiky zaútočil hacker. Útok byl údajně proveden z Rumunska a Exekutorská komora ČR se kvůli němu rozhodla podat trestní oznámení na neznámého pachatele. Podle vedení firmy NeutriCS, která evidenci technicky zajišťuje, nebyla žádná data ohrožena a útok se udál už dříve.

Mobilní telefony

Bezpečnosti mobilů s operačním systémem Symbian je věnována 40stránková studie From 0 to 0Day on Symbian. Jejím autorem je Bernhard Müller. Článek Security on Symbian mobiles: Early signs of crumbling shrnuje její výsledky.

Elektronické bankovnictví

Bankovní podvodníci přichází s trikem, ke kterému jim stačí pouze telefon – High Crimes Using Low-Tech Attacks. Zavolají oběti s tím, že má nějaký problém s účtem a že ji přepojí na specialistu. Zavolají pak skutečně do banky a spojí s ní oběť. Zatímco je zákazník bankou autentizován, podvodník je mlčící (a poslouchající) stranou na lince. Často se takto dostanou k cenným datům (např. heslo, PIN, číslo sociálního pojištění, množství peněz na účtu atd.).

Robert Lemos diskutuje situaci okolo stažení prezentace (jejímž autorem je Jack Barnaby, Juniper) z konference Black Hat, která se týkala vážné zranitelnosti bankomatu (s dalekosáhlými dopady pro uživatele – podle komentáře společnosti Juniper) – Flaw Opens ATMs to Hackers.

Autentizace, hesla

Brandon Gregg ukazuje na některé možnosti vedoucí k cestám pro identifikaci anonymních zdrojů na internetu – Tools To Identify Anonymous Users Online.

Bruce Schneier uznává, že v otázce maskování vkládaného hesla mohl chybovat – Schneier says he was ‚probably wrong‘ on masked passwords. Security guru gets a bit carried away by the moment. Maskování vkládaného hesla: ano či ne? Existují argumenty pro obě odpovědi.

Phishing

Komentář ke zprávě společnosti Fortinet Threatscape Report – June 2009 Edition popisuje mj. rekordní útoky phisherů v červnu 2009 – Phishing attacks hit record high in June.

Normy a normativní dokumenty

Desetistránkový dokument amerického NISTu The Transitioning of Cryptographic Algorithms and Key Sizes je věnován úpravám kryptografických algoritmů (délek klíčů) v jednotlivých normách, které NIST vydává.

Kryptografie

High-speed cryptography and DNSCurve – DNSSec versus DNSCurve – co je bezpečnější? Prezentace známého odborníka D.J. Bernsteina je věnována kritice nedostatečného využívání kryptografie v internetových protokolech. Zejména proti sobě staví dvě pojetí bezpečnosti DNS – DNSSec a DNSCurve (poslední se opírá o využití eliptické kryptografie).

QTRU – nový kryptografický systém s veřejným klíčem je rezistentní proti starým útokům – QTRU: A Lattice Attack Resistant Version of NTRU. PKCS Based on Quaternion Algebra. QTRU vychází ze známého kryptosystému NTRU, používá však algebru kvaternionů (která je nekomutativní).

Problematice FPGA a kryptografie je věnován článek Turn FPGAs Into „Key“ Players In The Cryptographics Field. Mandel Yu vysvětluje některé vlastnosti PUF (physical-unclonable-function) obvodů a jejich možnosti.

Kryptografie v zabudovaných systémech je zase předmětem dvoudílné série článků. V její první části Understanding Crypto Performance in Embedded Systems: Part 1 Geoff Waters diskutuje faktory, které ovlivňují výkonnost kryptografických operací v zabudovaných systémech. Druhá část článku je pak na tomto odkazu – Understanding Crypto Performance in Embedded Systems: Part 2. Autor zde uvádí metodologie, které umožní měření výkonnosti kryptografických operací v zabudovaných systémech.

Bruce Schneier se vyjadřuje na svém blogu k objevu homomorfního šifrování (Gentry, IBM) Homomorphic Encryption Breakthrough . Obsaženy jsou zde pochybnosti k těmto P.R. aktivitám IBM.

Různé

Přehled vychází z průběžně publikovaných novinek na Crypto – News.

Našli jste v článku chybu?

14. 7. 2009 18:18

Jaroslav Pinkava (neregistrovaný)

Mě ten odkaz funguje (nyní, jak to bylo ráno nevím).

14. 7. 2009 9:38

petr (neregistrovaný)

A copak se stalo s timto clankem?
"Bruce Schneier se vyjadřuje na svém blogu k objevu homomorfního šifrování (Gentry, IBM) Homomorphic Encryption Breakthrough . Obsaženy jsou zde pochybnosti k těmto P.R. aktivitám IBM.

http://www.schneier.com/…hic_enc.html uz neexistuje… zeby se to nekomu nelibilo? :-/


Lupa.cz: Kdo pochopí vtip, může jít do ČT vyvíjet weby

Kdo pochopí vtip, může jít do ČT vyvíjet weby

Podnikatel.cz: Změny v cestovních náhradách 2017

Změny v cestovních náhradách 2017

Podnikatel.cz: K EET. Štamgast už peníze na stole nenechá

K EET. Štamgast už peníze na stole nenechá

Lupa.cz: Teletext je „internetem hipsterů“

Teletext je „internetem hipsterů“

DigiZone.cz: TV Philips a Android verze 6.0

TV Philips a Android verze 6.0

DigiZone.cz: Rádio Šlágr má licenci pro digi vysílání

Rádio Šlágr má licenci pro digi vysílání

Vitalia.cz: Když přijdete o oko, přijdete na rok o řidičák

Když přijdete o oko, přijdete na rok o řidičák

Vitalia.cz: Láska na vozíku: Přitažliví jsme pro tzv. pečovatelky

Láska na vozíku: Přitažliví jsme pro tzv. pečovatelky

Podnikatel.cz: Snížení DPH na 15 % se netýká všech

Snížení DPH na 15 % se netýká všech

120na80.cz: Horní cesty dýchací. Zkuste fytofarmaka

Horní cesty dýchací. Zkuste fytofarmaka

Podnikatel.cz: Chaos u EET pokračuje. Jsou tu další návrhy

Chaos u EET pokračuje. Jsou tu další návrhy

Vitalia.cz: Mondelez stahuje rizikovou čokoládu Milka

Mondelez stahuje rizikovou čokoládu Milka

Vitalia.cz: Pamlsková vyhláška bude platit jen na základkách

Pamlsková vyhláška bude platit jen na základkách

Měšec.cz: mBank cenzuruje, zrušila mFórum

mBank cenzuruje, zrušila mFórum

Vitalia.cz: Spor o mortadelu: podle Lidlu falšovaná nebyla

Spor o mortadelu: podle Lidlu falšovaná nebyla

120na80.cz: Na ucho teplý, nebo studený obklad?

Na ucho teplý, nebo studený obklad?

Měšec.cz: Zdravotní a sociální pojištění 2017: Připlatíte

Zdravotní a sociální pojištění 2017: Připlatíte

Měšec.cz: Jak levně odeslat balík přímo z domu?

Jak levně odeslat balík přímo z domu?

Root.cz: Certifikáty zadarmo jsou horší než za peníze?

Certifikáty zadarmo jsou horší než za peníze?

Lupa.cz: Propustili je z Avastu, už po nich sahá ESET

Propustili je z Avastu, už po nich sahá ESET