Přehledy
Byla vydána zpráva Symantec Website Security Threat Report (nezbytná je registrace). 24stránkový materiál je výtahem z rozsáhlejší zprávy (52 stran, duben 2012) Internet Security Threat Report, Volume 17, obsahuje některé aktualizace.
Byly zveřejněny prezentace z akce Positive Hack Days 2012 – Presentations from Positive Hack Days 2012 Published. Na stránce jsou uvedeny i odkazy na videa z vystoupení. Všechny prezentace jsou také na stránce Positive Hack Days.
Informace k samotné této akci, která se konala koncem května v Moskvě, jsou na stránce PHD.
Obecná a firemní bezpečnost IT
How to Break Into Security, Ptacek Edition aneb jak se pustit do bezpečnosti. To je zajímavé interview Briana Krebse s člověkem z praxe (Thomas Ptacek, zakladatel Matasano Security).
Aliance IT bezpečnostních skupin vydala doporučení vládám – Alliance of IT security groups issues cyber principles for government. Jedná se o dokument Recommended Government Approaches to Cybersecurity obsahující dvanáct principů. Iniciativa vychází z práce skupin z EU, USA a Japonska.
K problému ohledně ofenzivní obrany podniků se obrací stránka The Enterprise Strikes Back. V článku jsou citovány názory Dmitrije Alperovitche (co-founder and CTO at CrowdStrike) a dalších odborníků.
Summer security concerns: 4 warm-weather worries – problémy bezpečnostního léta, máme zde čtyři horké obavy. Joan Goodchild vyjmenovává olympiádu, letní prázdniny, politicky motivované útoky a hackerské konference. Vysvětluje, proč bychom těmto obavám měli věnovat pozornost.
Dokument EU (draft) General Data Protection Regulation – diskutovaným změnám je věnován článek No need to comply with data laws if it's too difficult – EU ministers. Viz dokument pdf (112 stran).
Jak se připravit na novou legislativu EU ohledně ochrany dat – Preparing for the New EU Data Protection Regulation. Rozsáhlejší materiál je součástí magazínu IT in Europe (June 2012, Vol.2, No5). Na stránkách tohoto čísla najdete i další články a odkazy na související tématiku
MI5 describes astonishing level of cyber attacks – MI5 popisuje udivující úroveň kybernetických útoků na britský průmysl. Zranitelnosti na internetu jsou nyní využívány nejen kriminální stranou, ale také státy, říká hlava MI5 Jonathan Evans.
Deset bezpečnostních problémů, které byste neměli přehlídnout – 10 Security Bugs You Should Be Watching. Ken Presti ve své slideshow vyjmenovává problémy z poslední doby.
Firmy běžně sdílí citlivá dat prostřednictvím e-mailů – Companies routinely share sensitive information via email. Článek informuje o výsledcích přehledu, který provedla společnost PhoneFactor na základě odpovědí 400 IT profesionálů.
Cloudy mohou být bankami, ale banky nejsou cloudy – Clouds Can Be Banks, But Banks Are Not Clouds. Zajímavá srovnání těchto dvou ”institucí“ přináší Chris Poulin. Mělo by to pomoci k vyjasnění si vztahu uživatelů ke cloudu.
7 Security Threats Circling Your Network – sedm bezpečnostních hrozeb, které se objevují ve vaší síti. Autorem této slideshow je Ken Presti:
- Externí hacking
- Nespokojení zaměstnanci
- Kybernetické útoky
- Cloud computing
- Incidenty vztahující se k osobním zařízením zaměstnanců (BYOD)
- Neúmyslné chyby zaměstnanců
- Únik dat
6 cest k tomu, jak udržet data vašeho malého podnikání v bezpečí rozebírá Jeanette Mulvey – 6 Ways to Keep Your Small Business Data Safe. Jsou to následující doporučení:
- Komunikujte v cloudu
- Používejte ukládání v cloudu
- Používejte na všech zařízeních kompletní šifrování disků
- Mějte k dispozici možnost vzdáleného výmazu pro všechna mobilní zařízení
- Používejte správce hesel
- Nestaňte se odpůrcem změn
Poznámka (J.P.). Hodnocení bezpečnosti cloudů ale zatím není obecně tak optimistické, jak autorka zjevně předpokládá.
Minulý týden proběhlo slyšení v americkém kongresu ohledně rostoucích kyberšpionážních hrozeb – U.S. Congress Hears Of Growing Cyber Espionage Threat To U.S.. Jako země původu jsou nejvíce často uváděny Čína a Rusko.
70 procent teenagerů ukrývá své chování online – 70% of teens hide their online behavior, a to především před rodiči. V článku jsou citovány informace z přehledu společnosti McAfee. Je zde například seznam deseti cest, kterými teenageři maskují před rodiči své chování online (výmaz historie prohlížeče atd.).
Britská mládež dává přednost zábavě před ochranou soukromí a bezpečností – Lithe British youngsters prioritise fun over privacy and security. Článek informuje o výsledcích přehledu, který byl sponzorován společností Check Point Software (1 200 respondentů).
Děti a internet – k výsledkům přehledu, který provedl Microsoft se obrací článek Microsoft survey exposes online bullying threat. Více než polovina dětí – z celého světa (54 procent) byla na internetu oklamána:
Společnost ZoneAlarm připravila infografiku věnovanou generačním rozdílům ve vztahu k počítačové bezpečnosti – Infographic: Generation gap in computer security.
Cristiano Ronaldo is the most dangerous player in cyberspace – Cristiano Ronaldo je nejnebezpečnější hráč – v kyberprostoru. Pracovníci společnosti McAfee provedli analýzu rozebírající jména hráčů v souvislosti s riskantními weby. V článku je uveden jimi sestavený žebříček.
Sociální sítě
Facebook bez povolení změnil e-maily celému světu. Opravte si ten svůj. Z úvodu: Bez upozornění změnila v pondělí sociální síť Facebook viditelné e-maily všech svých uživatelů. Místo původního e-mailu se ukazuje pouze adresa ve formě přezdívka@facebook.com. Oprava je jednoduchá, ale nenadálý krok to nijak neomlouvá.
Software
PayPal platí za nahlášené zranitelnosti – PayPal to pay security researchers for reported vulnerabilities. Viz vyhlášení společnosti na stránce PayPal “Bug Bounty” Program for Security Researchers (je zde i kategorizace odesílaných zpráv do čtyř okruhů).
Nmap je zde v nových verzích – Nmap.org. Přehled provedených změn obsahuje changelog.
EU chce stejně jako Microsoft vlastnost Do Not Track v IE 10 – EU regulators side with Microsoft in IE10's ‚Do Not Track‘ controversy. Je však otázkou, jaký bude v tomto směru nakonec závěr W3C (Worldwide Web Consortium).
Interview s tvůrcem NoScript (Giorgio Maone) najdete na stránce An interview with Giorgio Maone, creator of NoScript. V odpovědích na otázky se dozvíte mj. co tento nástroj umí a jak se během roků vyvíjel.
O chystaném vystoupení k bezpečnosti HTML5 na konferenci Black Hat si můžete přečíst v článku Researcher to Talk HTML5 Security at Black Hat. Shreeraj Shah (founder of application security vendor Blueinfy Solution) konstatuje, že HTML5 se stává páteří webových aplikací. V prezentaci (její název je – HTML5 Top 10 Threats –Stealth Attacks and Silent Exploits) bude upozorněno na bezpečnostní problémy s využíváním HTML5 související.
Chrome ve verzi 20 záplatuje 23 bezpečnostních děr – Chrome 20 closes 23 security holes. Aktualizace Chrome probíhají obvykle automaticky.
K projektu File Disinfection Framework, který bude prezentován na konferenci Black Hat USA, se obrací článek Black Hat: Developer Aims To Make Attack Recovery More Intelligent. Má se jednat o lepší cestu k dezinfekci kompromitovaných systémů.
4 Signs That Apple's Sharpening Its Security Game aneb čtyři známky toho, že Apple se nyní pouští do bezpečnosti. Autor článku diskutuje tyto:
- Safari browser now disables unpatched Adobe Flash plug-ins
- Macs “don´t get viruses” claim is no longer on the Mac website
- Apple helped derail the Flashback botnet
- OS X Mountain Lion to get automatic updates
86 procent čelných webů vystavuje návštěvníky sledovacím cookies třetích stran – Study: 86% of top websites expose visitors to third-party tracking cookies. Vyplývá to z výsledků analýzy, kterou provedla společnost Keynote Systems.
Disk Wipe: Trvalé a bezpečné odstranění dat z disku, z úvodu: Prodáváte svůj pevný disk, poskytujete jej někomu jinému, nebo vám hrozí nezvaná návštěva, která by mohla chtít vytahovat citlivá data z počítače? Nenávratně vše smažte.
Volně dostupný nástroj automaticky otestuje, zda vaše aplikace jsou záplatovány – Free tool inspects all your personal 'ware automatically. Secunia vydala novou verzi svého nástroje pro záplatování – Secunia Personal Software Inspector (PSI) ve verzi 3.0.
Aktualizace WordPress na verzi 3.4 záplatuje důležitou bezpečnostní díru – WordPress 3.4 update closes important security hole. Potřebné odkazy (popis změn atd.) jsou obsaženy v článku.
Weby obsahují nyní méně chyb – Website flaws are decreasing, report finds. V článku jsou komentovány výsledky zprávy WHITEHAT SECURITY WEBSITE STATISTICS REPORT. How Does Your Website Security Stack Up Against Your Peers? (tento dokument má 32 stran).
Malware
Trojan.Milicenso bombarduje tiskárny – Printers are spewing reams of garbage thanks to ‚print bomb‘ malware. Podle grafického znázornění (zpráva Symantecu) míst rozšíření tohoto trojana, se (zatím) naší republice vyhnul – Trojan.Milicenso: A Paper Salesman’s Dream Come True.
Viz také komentář – Malware infection forces printers to print garbled data, researchers say.
Ruská policie uvěznila operátora jednoho z největších botnetů – Massive botnet shut down after botmaster's arrest. 22letý mladík si provozováním botnetu vydělal okolo 4,5 miliónu dolarů.
Další komentáře:
- Russian botnet operators infected 6 million computers
- Russian K-force operatives cuff suspected Carberp trojan bank raider
Útoky prostřednictvím komponent malware typu ”webinject“ jsou v podzemí předmětem komerce – Cyber-Underground Takes Buffet Approach to Selling Bank Fraud Malware. Objednat si dříve bylo možné takové komponenty, které jsou již nasměrovány na požadovaný cíl útoku. Nyní se objevují univerzální podoby těchto nástrojů, které si ”zákazník“ může sám konfigurovat. V článku jsou uvedeny příklady cen takovýchto nástrojů.
Ransomware si přivlastňuje logo bezpečnostní firmy, resp. policie – Ransomware appropriates security company logo. Zmíněno je logo společnosti McAfee, viz některá – doporučení.
Zeus, jaká jsou nebezpečí jeho nejnovější varianty? Zeus malware strain infecting 1 in 50 PCs – jeho konfigurační soubor je šifrován, což znesnadňuje detekci. V článku jsou popsány čtyři cesty, kterými Zeus útočí.
Nové crimeware – bot Zemra – slouží jako nástroj pro útoky DDoS – New Crimeware Bot Zemra behind DDoS Attacks. Další informace jsou v článcích:
Trojan DNSChanger je stále na množstvích počítačů – DNSChanger Trojan Still in 12% of Fortune 500. Přitom 9. červenec se neúprosně blíží. Infikované počítače budou pak odpojeny od internetu.
Trojan pro Macy cílí na ujgurské aktivisty – Mac-based Trojan targets Uyghur activists. Informuje o tom Kaspersky Lab na svém blogu – New MacOS X backdoor variant used in APT attacks.
Viz také komentář – Mac, Windows Malware Campaign Targets Uyghur Activists.
Flame, Stuxnet, Duqu
Malware Flame umí provádět počítačové sabotáže, ničit soubory – Flame virus capable of computer sabotage, Symantec says. Společnost Symantec o tom informuje na základě nových zjištění ve své analýze.
Stuxnet měl v sobě zabudované datum, kterým končí svoji misi – Stuxnet Includes Expiration Date to Halt Spread of Malware. Tímto datem byl 24. červen 2012 a od této doby se Stuxnet již dále nešíří (program sám mrtvý není). Informují o tom pracovníci Kaspersky Lab.
Hackeři a jiní útočníci
Comparing Data Breaches Year over Year – srovnání datových průniků rok po roce, autor uvádí hlavní postupy, které jsou hackery pro datové průniky používány a některá srovnání roků 2010 a 2011.
Útočníci na weby přebírají triky od botnetů – Web attackers borrow domain generation tricks from botnets. V článku je řeč o technikách označovaných jako domain-generation. Jejich využitím je prodlužována doba útoku. Viz informace na blogu Symantecu – Blackhole Exploit Kit Gets an Upgrade: Pseudo-random Domains.
Další komentář – Malware Kits Use Pseudo-Random Domain Generation to Thwart Security Fixes.
Příběh jednoho obviněného hackera najdete na stránce The Tale of an Accused Hacker. Norský hacker Jarand Moen Romtveit je mezi 24 zadrženými v nedávné akci FBI.
Doporučení CISO k tomu, jak se vyvarovat takových průniků, jako byl ten, co postihl LinkedIn najdete v článku Protection Tips. Mathew J. Schwartz jich uvádí devět (jak CISO může nejlépe pomoci podnikání ve vztahu k provozování vysoce efektivních programů informační bezpečnosti).
Množství útoků na americkou kritickou infrastrukturu dramaticky roste – U.S. Critical Infrastructure Cyberattack Reports Jump Dramatically. Konstatuje to zpráva od U.S. Industrial Control System Cyber Emergency Response Team (ICS-CERT).
Anonymous a spol.
Členové LulzSec přiznali svou vinu ohledně útoků na Sony, CIA a další – LulzSec members plead guilty to DDoS attacks on Sony, CIA, others. Přesněji: ze čtyř obviněných dva vinu přiznali, dva ji popírají.
V Japonsku byl schválen antipirátský zákon, odveta Anonymous na sebe nedala dlouho čekat – Anonymous turns ire on Japan after anti-piracy law passes. Na paškál si vzali weby politických stran a vládních ministerstev. Další DDoS útoky prý budou pokračovat.
Deset největších ”zásahů“ od Anonymous a LulzSec, takovouto rekapitulaci formou slideshow připravil Bill Brenner – Anonymous and LulzSec: 10 greatest hits.
Anonymous vyhrožují bulharské televizi – Anonymous droht bulgarischem TV-Sender. Žádají omluvu, která se týká dle jejich názoru jednostranného pohledu vysílání televize na demonstraci z minulého týdne (ohledně životního prostředí).
Hardware
Otestováno: GPS dronů může být skutečně hacknuto – Drone Hacking Test Reveals GPS as Weak Link. Odborníkům (University of Texas at Austin) k tomu stačilo vybavení v ceně 1000 dolarů. Viz také článek Drones can be hijacked by terrorist, Researchers says Vulnerability Exist.
Bylo oznámeno – token RSA SecurID 800 – rozbit vědci, dostali se ke kryptografickým klíčům – Scientists crack RSA SecurID 800 tokens, steal cryptographic keys. Výsledky studie popisující nový útok (Efficient Padding Oracle Attacks on Cryptographic Hardware) budou prezentovány na konferenci CRYPTO 2012 v srpnu.
Viz také komentáře:
- Researchers break RSA SecurID 800 token in 13 minutes
- Researchers devise practical key recovery attack against smart cards, security tokens
Společnost RSA reaguje – RSA SecurID token není cracknut – Don’t Believe Everything You Read…Your RSA SecurID Token is Not Cracked. Pozice společnosti je na stránce rozepsána podrobně do jednotlivých bodů. Viz také – RSA Dismisses Researchers´ SecurID Attack Claims.
Výsledky zmíněné studie se dočkaly řady komentářů, například – Researchers steal keys from RSA tokens.
Odborníci k útoku na Crypto tokeny říkají: útok je vážný, nikoliv však katastrofický – Experts Say Attack on Crypto Tokens is Serious, But Not Catastrophic.
Bezdrát
Pětice volně dostupných nástrojů pro správu vaší bezdrátové sítě, jejich popis najdede v slideshow Five free tools for managing your wireless network. Jedná se o tyto nástroje:
- CommView for WiFi
- inSSIDer
- Wireless Wizard
- Wireless Key Generator
- WeFi
How to Keep Your Wi-Fi Safe While Traveling aneb jak na cestách zajistit bezpečnost vašemu bezdrátovému připojení. Meg Shannon uvádí v tomto směru několik doporučení.
Mobilní zařízení
Android app store, informace o jeho bezpečnostních problémech přináší článek Researchers Beat Up Google's Bouncer. Pracovníci společnosti Trustwave (Nicholas Percoco a Sean Schulte) budou o výsledcích svých šetření informovat na bezpečnostní konferenci Black Hat v Las Vegas příští měsíc. Chtějí ukázat techniku, která skryje své škodící postupy před aplikací Bouncer.
10 cest k tomu, jak vhodnou politikou zabránit hrozbám zařízení BYOD – Security Defenses: 10 Ways To Circumvent Threats With a Sound BYOD Policy. Slideshow připravil Chris Preimesberger.
Viz také jiný článek na obdobné téma – Removing the fear factor from BYOD.
Volně dostupná aplikace šifruje, maže zprávy z mobilů – Free App Encrypts, Destroys Mobile Messages. Aplikace je určena pro iPhone, iPad a iTouch. Poskytuje kvalitní šifrování (AES, 256 bitů) a ničení textu, videa a obrázků. Viz také komentáře:
- Want to hide digital traces? Try using mobile privacy app Wickr
- New Wickr App Enables Secure, Self-Destructing Text Messages
Spam
Photo.zip – Stolen nude photos and police investigations. Malware attack spammed out – k spamu, který odkazuje na nahé fotky a s tím souvisejícím trikům spammerů. Photo.zip v příloze obsahuje malware. V článku je poukázáno na vynalézavost šiřitelů tohoto otráveného spamu, existující množství variant doprovodných e-mailů.
Elektronické bankovnictví
Policie dopadla Bulhary, kteří okrádali uživatele pražských bankomatů, z úvodu: Policisté v Praze zadrželi dvě bulharsky mluvící skupiny, které kradly lidem peníze z bankovních účtů. Společně s takzvanými skimmery, kteří dávají speciální čtečky na bankomaty, zadrželi i výrobce jednotlivých čtecích zařízení. Kromě toho u nich policisté navíc nalezli drogy a zbraně.
O zatýkání okolo fóra Carderprofit informuje na svém blogu Brian Krebs – ‘Carderprofit’ Forum Sting Nets 26 Arrests. Výsledkem dvouletého vyšetřování je zatčení 26 lidí, kteří se podíleli na obchodování se statisíci ukradených účtů platebních karet.
Viz také komentář – 4 arrested in international online ´carding´ crackdown.
Další komentáře:
- FBI arrests: was UGNazi a target or an instrument?
- International Cyber Crime Takedown Said to Be Largest of Its Kind
Hoteliér narušil zákony chránící data zákazníků – Hotelier faces FTC data breach lawsuit. V letech 2008 až 2010 bylo kompromitováno více než 600 000 účtů, karetní informace byly odesílány na servery v Rusku. FTC nyní žaluje hotelového operátora Wyndham Worldwide pro nedostatečnou ochranu karetních dat (nebyla používána dostatečně silná hesla a data byla uložena v otevřeném tvaru).
Viz také komentář – FTC files lawsuit over data breaches at Wyndham Worldwide.
Operace High Roller útočí na bankovní systémy na celém světě – Operation High Roller achieves ‚organized crime‘ status. V článku je komentována zpráva, kterou spolu připravily společnosti McAfee a Guardian Analytics – Dissecting Operation High Roller.
Další komentáře k této zprávě jsou na stránkách:
- Racket drains ”high roller“ bank accounts in automated style
- ´High Roller´ Online Financial Fraud Ring Robs Big Money Bank Accounts
- Cybercriminals build massive banking fraud system in the cloud
- Bank hack: ´Operation High Roller´ has netted $78M – so far
- Massive crime ring automates bank fraud, steals tens of millions
- McAfee, Guardian Uncover Crime Ring Bilking European Banks
How UK banks are flirting with IT disaster aneb jak si britské banky pohrávají s IT pohromami. Článek přináší kritický pohled na připravenost britských bank i v souvislosti s nedávnými incidenty (NatWest, Ulster Bank a další).
Autentizace, hesla
Společnost Trustwave prozkoumala hesla, která se objevila v internetu z průniku eHarmony – Users still slack about passwords: Trustwave. Výsledkem analýzy je pesimistický obrázek, málo lidí dbá o používání bezpečných hesel. Viz informaci Trustwave SpiderLabs – eHarmony Password Dump Analysis.
Je třeba dvoufaktorovou autentizaci opravit? Ve světle nedávných útoků je to skutečně aktuální otázka. Ellen Messmer hledá odpověď s pomocí odborníků – Does two-factor authentication need to be fixed?
Elektronický podpis
Jak budou fungovat elektronické podpisy po 1. červenci?, Jiří Peterka na Lupě:Při přípravě nové prováděcí vyhlášky k elektronickému podpisu zvítězila snaha vydat ji včas před snahou napsat ji správně. Výsledkem pak je další rána celé problematice elektronického podpisu.
Poznámka (J.P): S hodnocením Jiřího Peterky musím souhlasit nejméně v jednom směru. Tak, jak byla kdysi postavena směrnice EU o elektronickém podpisu (EP), jednalo se v ní na jednom z předních míst o podchycení jednotného přístupu k EP v členských zemích EU. V současné době však existující odchylky praxe EP v jednotlivých zemích tomu nenapomáhají. Je také otázkou, jestli v tomto směru nezaspala samotná EU.
Různé
Is SETI at risk of downloading a malicious virus from outer space? – SETI – je zde riziko, že si stáhneme škodlivý vir z vnějšího kosmického prostoru? Téma je možná trochu pro odlehčení. I když podle odborníků (říká se v článku) je riziko reálné.
Přehled vychází z průběžně publikovaných novinek na Crypto – News.
