Přehledy a konference
The Good and Bad About Internet Security – na tomto odkazu najdete slideshow k stejnojmenné zprávě společnosti IBM. O samotné zprávě zde již bylo informováno minulý týden (Zpráva: 2011 Annual IBM X-Force Trend and Risk Report). Slideshow přináší výběr některých důležitých momentů zprávy.
Zpráva Organised Crime in the Digital Age konstatuje mimo jiné, že kybernetické kriminalitě nyní vévodí organizované gangy. Shrnutí výsledků tohoto výzkumu najdete na stránce Organised crime in the digital age. 80 procent internetové kriminality je nějakým způsobem koordinováno – Detica: 80 percent of internet crime is ‚co-ordinated‘. Podle studie společnosti Detica je většina těchto “činností” dílem některých organizovaných skupin a tedy ne jednotlivců.
Další komentáře k jejím výsledkům najdete na stránkách:
Ve dnech 21 a 22. března proběhlo na stanfordské universitě SINET IT Security Entrepreneur´s Forum. Slideshow ukazuje význačná fakta, která byla na této akci rozebírána.
Obecná a firemní bezpečnost IT
Americká Federal Trade Commission vydala závěrečnou podobu dokumentu Protecting Consumer Privacy in an Era of Rapid Change. Komentář k tomuto materiálu (112 stran) najdete v článku Feds issue final ´Do Not Track´ privacy recommendations.
Oficiální stanovisko k němu je zde – FTC Issues Final Commission Report on Protecting Consumer Privacy.
Viz také komentáře – FTC chairman: Do-not-track law may not be needed a FTC´s online privacy report: Breaking down the recommendations .
Federal Departments and Agencies focus Cybersecurity Activity on three Administration Priorities – Bílý dům a jeho tři priority v kybernetické bezpečnosti. Howard A. Schmidt (koordinátor Bílého domu pro kybernetickou bezpečnost) vysvětluje, jaké tři priority v tomto směru zvolil jeho úřad:
- Trusted Internet Connections (TIC)
- Continuous Monitoring of Federal Information Systems
- Strong Authentication
Komentář k jeho informaci najdete na stránce White House outlines cybersecurity priorities for federal IT systems.
TSA zabránila Bruce Schneierovi svědčit před kongresem ohledně letištních skenerů – TSA bars security guru from perv scanner testimony. Procedury, které TSA (Transportation Security Administration) uplatňuje, jsou Schneierem považovány za bezpečnostní tyjátr.
Viz jeho blog – Congressional Testimony on the TSA
Bruce Schneier se pak vrací (kriticky) k současnému stavu letištní bezpečnosti – Harms of Post-9/11 Airline Security. K jeho rozboru (vlastně malé eseji) je připojena neméně zajímavá diskuze.
Kriminálníci se pokouší distribuovat dětské porno legitimními online kanály – Exploiting legitimate online technology. Tzv. “legitimate web development technique” je hojně využívána například na prodejních webech.
Viz také komentář – Online Pedophiles Use New Trick to Hide Child Porn .
Další komentář (Bill Brenner) se objevil na stránkách csoonline.com – How child predators cover their tracks online, je zde také odkaz na zprávu, ze které jsou informace čerpány – Internet Watch Foundation´s (IWF) 2011 Annual Report.
Kdo chrání klíče? Šifrování není všechno! Autor článku Who Holds the Keys? upozorňuje na některé nedávné problémy (útoky hackerů směrovaly i na šifrovací klíče). Hovoří o existujících přístupech včetně centralizované správy klíčů a uvádí některá doporučení (odkazuje se např. na existující normu Key Management Interoperability Protocol (KMIP)).
Čína hackla každou větší americkou společnost – Richard Clarke: China has hacked every major US company. Takto stávající situaci charakterizuje Richard Clarke, dřívější poradce Bílého domu pro otázky kybernetické bezpečnosti a kybernetický terorizmus.
Symantec vycouvává ze spolupráce z čínským gigantem Huawei – Spooked spooks made Symantec end Huawei fling – new claim. Příčinou jsou obavy, že Huawei by se takto dostal k utajovaným informacím USA. Viz článek v New York Times – Symantec Dissolves a Chinese Alliance.
Komentář je také na stránce The New China Syndrome, as seen in Symantec-Huawei split.
Metasploit: The Penetration Tester´s Guide, to je recenze stejnojmenné knihy. Jejími autory jsou David Kennedy, Jim O’Gorman, Devon Kearns a Mati Aharoni. Kniha má 328 stran, vydalo ji nakladatelství No Starch Press v červenci 2011 a najdete ji na Amazonu.
Za útokem na společnost RSA byla Čína, říká šéf NSA – NSA Chief: China Behind RSA Attacks. Gen. Keith Alexander vystoupil před senátním výborem pro armádní služby.
Vystoupení šéfa NSA a odezvám na něj se věnují články:
- NSA Director Says Agency Should Not Monitor Private Networks
- NSA Director: Cyber Security Challenged by Lack of Information Sharing (je zde i odkaz na video)
Oxford otevřel nové středisko – Cyber Security Centre – Oxford Uni chucks big brains at ivy-covered cybersecurity hub. Jeho úkolem je napomoci akademickému výzkumu v oblasti kybernetické bezpečnosti.
Evropské středisko European Cybercrime Centre by mělo začít fungovat v lednu – Europe to assemble crack cyber-intelligence nerve centre. A to ve spolupráci s Europolem. K jeho úkolům (citace):
“The centre proposed by the European Commission will focus on thwarting online banking fraud, attacks against smartphones, and large-scale coordinated assaults on public services and infrastructure. Other priorities will include protecting social network profiles, halting ID theft and combating the sexual exploitation of children online.”
Viz také komentář – Kommt das “EU-Zentrum zur Bekämpfung der Cyberkriminalität”?.
Schválen byl draft doplňku EU legislativy, podle kterého se hackování IT systémů stává kriminálním deliktem – Hacking IT systems to become a criminal offence. Stejně tak se to týká distribuce hackovacího SW a nástrojů. Viz komentář:
- Europe-wide draft law seeks to criminalise hacking (je zde zmíněn známý problém nástrojů, které mají “dvojí použití”)
Nový počin Google vám umožňuje zjistit to, co o vás a vašich aktivitách Google ví – New Google Account Activity lets you know what Google knows about you. Společnost Google oznámila, že za tímto účelem vytvořila novou vlastnost Account Activity. Jednou měsíčně bude uživatelům zaslána zpráva k jeho aktivitám ve vztahu k službám Google.
FBI – současný přístup k tomu, jak jednáme s kyberkriminálníky, je neudržitelný – FBI Official: Current Approach for Dealing with Cybercriminals is „Unsustainable“. Vláda a soukromý sektor jsou nyní bezbranné, co se týče ochrany dat a sítí před kybernetickou kriminalitou, říká funkcionář FBI Shawn Henry.
Všechno, co si myslíte, že víte o kyberkriminalitě, je omyl – Everything you thought you knew about cybercrims is WRONG. Z výsledků výzkumu, který provedl Dr Michael McGuire (The John Grieve Centre for Policing and Security at London Metropolitan University) vyplývá, že většina podvodníků je středního věku a má jen elementární znalosti o IT. Více kybernetických podvodníků je nad padesát let (11 procent) než teenagerů mezi 14 a 18 roky (těch je jen 8 procent). V článku jsou uvedena další zajímavá čísla (velikost a složení kyberkriminálních gangů, atd.).
Sociální inženýrství ve filmové produkci – Big-screen con artists: 7 great movies about social engineering. V slideshow je ukázáno sedm filmů, kde tyto techniky jsou scénářem využívány. Viz komentáře k těmto filmům – Social engineering goes to the movies.
Sociálnímu inženýrství je věnován také článek Social Engineering: Hacking The Human Mind.
Sociální sítě
Facebook vystupuje proti tomu, aby jeho uživatelé předávali svá přihlašovací data zaměstnavatelům – Facebook Pushes Back Against Employers Wanting Passwords. V tomto směru je snad i chystána odpovídající legislativa (USA).
Software
Případovou studii k zabezpečení webových aplikací najdete na stránce Case Study: Securing Web Applications. Své nedávné zkušenosti sděluje Alan Wlasuk.
SMB BootCamp, volně dostupný nástroj od AVG naučí bezpečnostnímu myšlení – Free online tool teaches IT security procedures. Témata kurzů jsou následující:
Analyse your business; Understand the threat landscape; The threat within – employees; Hardware; Cloud; Mobile; Social Media; and Create your own security policy.
Odkaz k samotnému nástroji – SMB BootCamp.
Kolik stojí exploit pro zranitelnost nulového dne? Kupodivu k tomu funguje (snad) legální byznys – How much does a 0-day vulnerability cost? . Viz také článek – Shopping For Zero-Days: A Price List For Hackers´ Secret Software Exploits a komentář Report: iOS vulnerability sold for $250,000.
Apple iOS – i zde se objevily některé bezpečnostní problémy – Cracks Start to Appear in the Face of Apple's iOS Security. Tento článek je určitým přehledem informací dostupných v tomto směru, obsahuje i řadu dalších odkazů.
Že ftp je zdroj bezpečnostních problémů, o tom se ví již delší dobu. Přesto nedávný přehled ukázal, že více než polovina podniků stále tento typ spojení využívá – FTP Ubiquitous And Dangerously Noncompliant.
Addressing Security Concerns in Open Source Components – byla vydána zpráva k problematice zranitelností v open source SW. Dokument se jmenuje Executive Brief: Addressing Security Concerns in Open Source Components, má šest stran. Komentář k němu napsal Brian Prince – Open Source Security Vulnerabilities Plague Large Organizations. The Facts, The Issues, and Practical Solutions, další komentář je pak na stránce Widespread use of vulnerable open source components.
Havij, to je nástroj pro automatizaci SQL injection útoků – Cybercrime's Love Affair With Havij Spells SQL Injection Trouble. Vznikl někde v Íránu v roce 2010. Často ho používají Anonymous.
BlackHole exploit kit – poslední verze cílí na využití chyby v Javě – Underground Toolkit Arms Hackers For Java Flaw. Zmíněnou chybu zřejmě ještě mnoho uživatelů internetu nemá záplatovánu, říkají odborníci. Společnost Rapid 7 uvádí, že 60 procent instalací Javy není nikdy aktualizováno na nejnovější verzi.
Viz také – Oracle Java Vulnerability Exploit Rolled into BlackHole Kit, Security Pros Urge Patch.
Six ways to improve SCADA security – šest cest, jak zlepšit bezpečnost systémů SCADA. Amol Sarwate (Security Research Manager at Qualys) ve stručnosti rozebírá následující body, uvádí související doporučení:
- A SCADA network is inadvertently connected to a company’s IT network or even to the internet
- ´Data presentation and control´ now runs off-the-shelf software
- Control systems not patched
- Authentication and authorization
- Insecure ´datacommunication´ protocols
- Long life span of SCADA systems
Wireshark je v nových verzích – Wireshark updates fix DoS vulnerabilities. Open source analyzér síťových protokolů můžete stáhnout z tohoto odkazu.
Malware
Microsoft shodil botnety Zeus – Microsoft takes down ZeuS botnets. Přesněji, v pátek shodil klíčové servery (command-and-control) spojené s nechvalně známými botnety Zeus a SpyEye.
Viz také:
- Microsoft Takes Down Dozens of Zeus, SpyEye Botnets (komentář Briana Krebse)
- Microsoft leads seizure of Zeus-related cybercrime servers
- Microsoft, Financial Partners Seize Servers Used In Zeus Botnets
Pozdější komentář:
Understanding the Bot Threat – k pochopení hrozeb, které přichází od botnetů. Čtyřstránkový materiál vysvětluje fungování botnetu a možné cesty k obraně.
Malware stále častěji zneužívá DNS – Malware To Increasingly Abuse DNS?. Vzrůstá použití protokolu k tomu, aby pomáhal kriminálníkům komunikovat s kompromitovanými systémy. Bohužel řada firem svůj provoz DNS si nehlídá.
Nově oživlý botnet Kelihos byl opět “zmrazen” – Staggering Kelihos zombie army smacked down AGAIN. Podrobnosti k této operaci jsou na blogu společnosti Kaspersky – Botnet Shutdown Success Story – again: Disabling the new Hlux/Kelihos Botnet.
Viz také komentář – Kaspersky Knocks Down Kelihos Botnet Again, But Expects Return.
Následné informace však říkají, že Kelihos-B botnet je bohužel stále aktivní – Kelihos.B is still live and social. A to i po akci, kterou proti jeho aktivitám podnikly společnosti CrowdStrike a Kaspersky Labs. Viz komentář – Kelihos lives on thanks to Facebook trojan.
Dále pak – Kelihos gang building new botnet, researchers say (gang buduje nový botnet).
Duqu
Face to Face with Duqu malware aneb tváří v tvář malware Duqu. Najdete zde shrnutí současných poznatků k tomuto malware.
K návratu Duqu se obrací článek Duqu malware resurfaces after four-month holiday. V komentářích k Duqu je mj. vyzdvihováno vysoké zacílení tohoto malware. Podle společnosti Kaspersky bylo zatím identifikováno 21 infekcí, z toho 52 procent bylo v Íránu.
Viry
Pozor na nový falešný antivir – Windows Risk Minimizer intended to minimize your wallet, warns Symantec. Windows Risk Minimizer zminimalizuje akorát vaší peněženku, říká Symantec.
K technologii Do Not Track, kterou zavádí AVG, najdete informaci v článku AVG nukes stalking ads at press of BIG SHINY BUTTON. AVG je první antivirové řešení, které takto postupuje.
Proč antivirová ochrana je klíčem k počítačové bezpečnosti – Why Antivirus Protection Is Key to Computer Security. Kromě základní argumentace obsahuje článek i následující zajímavou poznámku. Německý úřad (BSI) doporučuje následující tři volně dostupné antiviry: Avira Free Antivirus, Microsoft Security Essentials a Avast Free Antivirus.
Volně dostupný antivir Ad-aware byl vydán ve verzi 10 – Ad-Aware 10 released. Obsahuje nové rozhraní, celý program byl přepsán – novinky jsou v článku popsány. Odkaz na samotný program na stránkách společnosti Lavasoft – Ad-Aware Free Antivirus+.
Hackeři a jiní útočníci
Útok DDoS narušil průběh voleb – Election poll shot down by DDoS-ers, i takovéto jeho použití je možné, jak ukázala volba šéfa univerzity v Hongkongu.
O probíhajícím hromadném útoku typu SQL injection informuje Dancho Danchev – Tens of thousands of web sites affected in ongoing mass SQL injection attack. Jeho obětí se staly stovky až tisíce legitimních webů. Danchev vysvětluje podrobnosti k útoku.
Spoluzakladatel Microsoftu Paul Allen se stal obětí krádeže ID – Microsoft co-founder Paul Allen victim of ID theft. Obviněn z ní je americký voják z Pittsburghu. Pokoušel se ukrást peníze z Allenova bankovního účtu u Citibank. Nelegální cestou (podvodným telefonátem) se dostal k platební kartě na Allenovo jméno a provedl s ní transakce v objemu 15 000 dolarů.
Infografiku na téma „Nárůst hacktivismu“ najdete na stránce The Rise of Hacktivism [Infographic]. Relevantní informace jsou zde na přehledném plakátu.
Anonymous a spol.
Anonymous vyhrožují YouTube kvůli odstraněnému videu – Hackers threaten Youtube over Anonymous video takedown. Ironicky – samotná výhrůžka byla zveřejněna na YouTube.
Lulz Sec se vrací jako LulzSec Reborn – ukradena byla data z webu MilitarySingles.com – Return of Lulzsec, Dump 170937 accounts from Military Dating Site. Jsou to jména, uživatelská jména, hesla a samotné e-maily z celkem 170 937 účtů, ukradená data se objevila na Pastebin. Společnost ESingles, které web patří, však existenci útoku popírá.
Viz komentáře:
- Zombie LulzSec brags of exposing loved-up privates
- Reborn LulzSec claims hack of dating site for military personnel (skupina se hlásí ještě k hacku csscorp.com)
- LulzSec redux dumps data after raiding military dating site
- Military dating website says LulzSec hack didn´t happen (rozporné názory přichází z obou stran)
Attacked by Anonymous: How to defend against a denial-of-service – útoky Anonymous. Jak se bránit proti DoS? Alfonso Barreiro v článku popisuje primární zbraně Anonymous (LOIC, Hping a Slowloris) a opatření, která lze proti nim použít.
AnonAustria chce kompromitovat rakouské politiky a úřady – AnonAustria will österreichische Politiker und Behörden blamieren. Zveřejňovány budou obsahy e-mailových účtů různých politiků. Má to být reakce na nově (od 1. dubna) zavedené uchovávání dat.
Anonymous China pozměnili stránky čínské vlády – Anonymous Takes Down And Defaces Chinese Government Web Sites. Což zase je součást operace #GlobalRevolution.
Hardware
CIA: budeme vás sledovat prostřednictvím vaší televize – CIA Chief : We will Spy on You Through Your TV aneb co vše mohou umožnit nové technologie.
Ze starého X-boxu lze snadno získat data k vaší platební kartě – Your Old Xbox Could Be Stealing Your Credit Card. Proto vyndejte disk a prostřednictvím počítače použijte nějaký skutečně kvalitní SW pro výmaz obsahu disku, radí pracovníci Drexel University.
Mobilní zařízení
Android security from the ground up – bezpečnost Androidu od základů. Rozhovor s penetrační testerkou Georgií Weidman přináší i řadu doporučení vývojářům aplikací pro Android.
Správci hesel pro mobilní zařízení, jsou sami dostatečně zabezpečeny? Michael Kassner rozebírá existující zranitelnosti v rozhovoru s dvěma odborníky. Užitečná jsou závěrečná doporučení – Mobile password managers: Cracking the security mechanisms.
Video ukazuje, jak snadno a rychle lze hacknout váš chytrý mobil – Video Shows How Easy It Is to Hack Into Your Smartphone. Video na YouTube zveřejnila švédská společnost pro mobilní forenzní analýzu Micro Systemation A.B. (MSAB). Viz také komentář – iPhone Passcodes Can Be Cracked as Quickly as XRY.
Aplikace pro Android “The Roar of the Pharaoh” obsahuje trojana – Fake ‚The Roar of the Pharaoh‘ Android app latest Trojan scam. Tento sbírá citlivé informace a odesílá je autorům malware.
Jak efektivní jsou antiviry na chytrých mobilech? Patrik Lambert – How effective is antivirus software on smartphones? – poukazuje na omezené možnosti fungování antivirů v těchto zařízeních, spíše je třeba si dávat pozor na různé zlodějské aplikace.
Forenzní analýza
Jak digitální forenzní analýza může napomoci při odhalování online podvodů – How Digital Forensics Can Help Reveal Online Fraud. Digitální záznamy, jejich analýza, stále častěji vstupují do situací, kdy mohou sloužit jako důkazový materiál. Jaké cesty jsou k tomu používány, popisuje daný článek.
Elektronické bankovnictví
VISA – k bezpečnosti datového centra této společnosti – Top secret Visa data center banks on security, even has moat. Popisovaná zde jsou důkladná zabezpečení nového centra – doufejme, že budou stačit. Viz také komentáře:
Contactless payment cards raise security concern – but is there a much older problem? – bezkontaktní karty, jejich uživatelé mohou být okradeni, aniž o tom ví? Popisovaná situace se týká miliónů zákazníků bankovnictví Barclay. Informace hovoří o problému technologie Near Field Communication (NFC). Autor článku však vysvětluje, že situace není tak problémová, jak uvedly zprávy britské televize (Channel 4 News).
Doplnění informace, zmíněný problém se týká všech karet VISA (nejen těch, co vydala Barclay) – ALL Visa cards blab punters´ names – not just Barclaycards.
Viz – Fraud Fears grow over contactless bank card technology.
USA – MasterCard a VISA vydaly varování ohledně průniku do systému zpracovatele – MasterCard, VISA Warn of Processor Breach. Nebude to žádná maličkost, může se to týkat až 10 miliónů platebních karet. Získané informace lze použít k vytváření padělaných karet. Viz komentáře:
- Visa and MasterCard warn of credit card data breach
- Visa, MasterCard acknowledge data breach
- The PCI effect – for better or worse – following fresh breach of MasterCard, VISA
- MasterCard investigates credit card data breach
- Massive payments data breach originating with Central American gang through NYC garage?
Autentizace, hesla
Studie našla velké slabiny systémů single-sign-on – Study finds major weaknesses in single sign-on systems. Odborníci (Indiana University Bloomington and Microsoft Research) říkají, že našli řadu problémových míst v Open ID, v systému single-sign-on, který používá Facebook a také v implementacích těchto systémů na řadě populárních webů.
Milióny uživatelů internetu věří slabým heslům – Millions of internet users trust weak passwords, research reveals. To je komentář k výsledkům analýzy, kterou provedli pracovníci univerzity v Cambridge – The science of guessing: analyzing an anonymized corpus of 70 million passwords.
Phishing
Peněžní soumaři jsou ty skutečné oběti phishingu, říká (poněkud kontroverzně) Microsoft – Money mules are REAL victims of phishing, says Microsoft iconoclast.
K některým konkrétním případům se vrací Brian Krebs (a diskuze pod článkem) – Hacked Inboxes Lead to Bank Fraud.
Elektronický podpis
Podle společnosti McAfee množství digitálně podepsaného malware narůstá – blog. Citát: “200,000 new and unique malware binaries discovered in 2012 have valid digital signatures” (!).
Viz komentář – McAfee: Digitally-signed malware numbers jump.
Zjištění ohledně podepsaného trojana Mediyes vede k novému varování ohledně vhodné správy klíčů – Mediyes trojan underscores need for proper key management. Trojan je podepsán platným podpisem patřícím švýcarské společnosti Conpavi, která spolupracuje se švýcarskou vládou. Takovéto klíče by měly být uchovávány využitím HW řešení (v certifikovaném modulu HSM), nikoliv jen využitím SW.
Biometrie
Americká armáda chce rozumět řeči těla teroristů – Military Wants to Detect Terrorist Body Language, k výzkumu, který provádí U.S. Air Force Research Laboratory's . S jeho výsledky by například drony (bezpilotní letadélka) dokázaly identifikovat a sledovat teroristu.
Kryptografie
Španělsko a Velká Británie se dohodly na výměně historických šifrátorů – Spain donates Enigma gear that kick-started Brit code-breaking. Do UK (Bletchley Park a GCHQ) putuje dvojice šifrátorů Enigma, které byly používány v občanské válce ve Španělsku. Zařízení byla objevena před několika lety v utajované místnostní španělského ministerstva obrany (spolu s dalšími). Obráceně Velká Británie posílá do španělského armádního muzeu v Toledu německý čtyřrotorový šifrátor Naval Enigma.
Ve dnech 17. a 18. března proběhla ve Washingtonu konference 2012 SHARCS (Special-Purpose Hardware for Attacking Cryptographic Systems). Prezentace jsou k dispozici online.
Objevují se pochybnosti o tom, zda skutečně je zapotřebí SHA-3 – Doubts over necessity of SHA-3 cryptography standard. Soutěž a více než 400 vědeckých článků a testů ukázalo ve svém výsledku, že SHA-2 je rychlejší než kterýkoliv z pěti finalistů (Blake, Grostl, JH, Keccak a Skein) – pro mnoho úloh. SHA-3 je na tom lépe jen ve vztahu k MAC (Message Authentication Code).
Různé
Přehled vychází z průběžně publikovaných novinek na Crypto – News.
