Bezpečnostní střípky: EU přichází s návrhy týkajícími se strategie počítačové bezpečnosti

Přehledy, konference

Byznys okolo exploitů a mobilního malwaru má boom – Business is booming for exploits, mobile malware, na stránce najdete komentář k výsledkům ze zprávy společnosti F-Secure – Threat Report H2 2012.
Další komentáře jsou pak na stránkách:

• F-Secure declares 2012 ´Year of the Exploit´
• Bots, Zeus, Web Exploits: the Most Potent Threats of 2012

Byla vydána zpráva společnosti PandaLabs: Annual Report 2012. Výsledky zprávy (má 29 stran) jsou komentovány v článku China is world´s most malware-ridden nation. V roce 2012 se objevili 27 miliónů vzorků malwaru, současná databáze jich tedy obsahuje 125 miliónů. Globálně – jedna třetina počítačů je infikována. Největší procento počítačů, které obsahují malware, je v Číně, následují Jižní Korea a Taiwan.
Viz také komentáře:

• Nearly a third of all computers are infected with malware
• Half China´s Computers Infected by Malware, Study Finds

Dále, objevila se zpráva Microsoftu k bezpečnosti – Linking Cybersecurity Policy and Performance. Úvod k této zprávě najdete na stránce Microsoftu – Microsoft Releases Special Edition Security Intelligence Report, komentář pak je v článku Microsoft: International cyber-pacts can cut reduce malware. Státy, které podepsaly mezinárodní kyberbezpečnostní smlouvy, jsou v menší míře obětí malwaru než státy ostatní.
Další komentář je na stránce Microsoft hails effectiveness of Europe cyber security efforts.
Viz také – Microsoft´s cybersecurity report rethinks global web landscape.

Evropská Unie

Plán počítačové bezpečnosti v EU má chránit otevřený internet a svobodu a příležitosti v online prostředí – EU Cybersecurity plan to protect open internet and online freedom and opportunity. Dokument si můžete přečíst i v češtině. Komentář k němu najdete v článku EU: We´ll force power plants, Apple and pals to admit hack attacks. Další dokumenty najdete na stránce EU Cybersecurity plan to protect open internet and online freedom and opportunity – Cyber Security strategy and Proposal for a Directive, např.:

• Cybersecurity Strategy of the European Union: An Open, Safe and Secure Cyberspace
• Proposal for a Directive of the European Parliament and of the Council concerning measures to ensure a high common level of network and information security across the Union
• Executive Summary of the Impact Assessment
• Impact Assessment

Význam zveřejněných materiálů dokumentuje množství rychle se objevivších komentářů:

• EU proposes to make data breach disclosure mandatory
• Businesses forced to admit data breaches under EU cybersecurity plan
• Betreiber kritischer Infrastrukturen sollen Angriffe melden
• EU Outlines Internet Security Framework; Some U.S. Companies Concerned
• EU to order banks, energy firms to report cyber attacks

Kritická vyjádření k zveřejněným dokumentům najdete na stránce Comments on the EU Commission´s Flawed Cybersecurity Strategy.

Obecná a firemní bezpečnost IT

V uplynulém týdnu se objevilo velké množství různých bezpečnostních hrozeb – New Security Threats Keep IT Busy this Week . Jejich vybraný přehled je obsažen v článku, jehož autorkou je Jennifer LeClaire.

Na zprávu (Sandia National Laboratories) Proactive Defense for Evolving Cyber Threats, upozorňuje na svém blogu Bruce Schneier – Proactive Defense Papers. Je to vlastně soubor šesti článků (materiál má 98 stran).

Kybernetická válka právě začala – Der Cyber-Krieg hat gerade erst begonnen. Rozsáhlý článek (jeho autorem je Simon Hülsbömer) hodnotí dnešní situaci.

How to Choose and Use Seals – pečetění a jeho bezpečnost. Bezpečnostní problematika, která je v praxi široko používána a přesto se o ní málo hovoří. Bruce Schneier – Security Seals – upozorňuje na článek obsahující základní fakta a ve svém konci dvě fotografie, jedna dokumentuje širokou škálu pečetících prostředků (komerčně – v USA – dostupných), druhá poukazuje na vhodné postupy při kontrolách nenarušenosti pečetě.

Cyber-Mobbing: Kaspersky Lab gibt Sicherheitstipps – ke kybernetické šikaně. V článku jsou komentována doporučení pocházející z Kaspersky Lab a je citována studie EU – Research on Internet Addictive Behaviours among European Adolescents.

Kniha Ross Anderson: Security Engineering je nyní volně dostupná online! Po čtyřech létech od jejího vydání si lze nyní stáhnout všechny kapitoly této knihy – “Security Engineering” now available free online.

FCC – zatímco udílí rady ohledně kybernetické bezpečnosti veřejnosti, sama pohořela – While advising the public on cybersecurity, FCC failed on its own defenses. Federal Communication Commission (FCC), její počítačové systémy byly v roce 2011 předmětem průniku. Od té doby bylo na nápravu situace utraceno 10 miliónů dolarů, avšak Government Accountability Office hlásí kongresu, že vylepšení jsou ve své podstatě neužitečná. Příčinou je skutečnost, že úředníci FCC vlastně neví, co by bylo třeba zlepšit.

Počítačová kriminalita v Rakousku rychle narůstá – Computer-Kriminalität nahm 2012 in Österreich stark zu. V stručné informaci je např. konstatováno, že oproti předešlému roku vzrostlo množství IT kriminality v roce 2012 o 112,6 procent, tj. více než dvakrát.

Zpráva Symantecu říká,že mnoha zaměstnancům nevadí, že budou ukradena data společnosti – Symantec report: Many employees are OK with stealing corporate data. Celá zpráva je na tomto odkazu – What's Yours Is Mine: How Employees are Putting Your Intellectual Property at Risk (nezbytná je registrace).

Byla vydána příručka 2013 Data Protection & Breach Readiness Guide. Komentář k jejímu obsahu najdete na stránce 2013 Data Protection Agenda. Z obsahu příručky (má 33 stran):

• Data Lifecycle Management & Stewardship
• Business Impact
• Data Incident Plan Framework
• Data Governance and Loss Prevention
• Incident Response Planning
• Training, Testing & Budget
• Other Considerations
• Appendix C – Cyber Security Liability & Insurance Considerations
• Appendix D – Computer Forensics Basics
• Appendix E – Encryption Resources
• Appendix F – Sample Data Incident Plan Outline

Americká armáda potřebuje hackery jako je Gary McKinnon – US military needs hackers like Gary McKinnon, says policy analyst. Americká vláda zvažuje, že odpustí Garymu v rámci kampaně, kdy chce získat více lidí s obdobnými zkušenostmi pro svou potřebu.

Příručka Network Security Essential Guide February 2013 má 23 stran. Z jejího obsahu:

• Implementing Netwok Threat Protection
• Using SIM (security information management) for Application Monitoring
• Testing From Within

Microsoft spustil kampaň proti Gmailu (ohledně ochrany soukromí) – Microsoft launches campaign against Gmail over privacy. Jedná se o získávání informací z mailů, které jsou pak používány pro cílené reklamy.

Útoky na čelné podniky střední velikosti v roce 2013 porostou – Angriffe auf marktführende mittelständische Unternehmen werden 2013 zunehmen. V článku jsou proto obsažena některá doporučení (potřebné trendy) pocházející od Roberta Korherra (CEO der ProSoft Software Vertriebs GmbH).

Je identita novým perimetrem? Ericka Chickowski – Is Identity The New Perimeter? – se zabývá rostoucí rolí IAM (identity access management).

Pět bezpečnostních tipů pro svátek sv. Valentina připravila společnost AVG – Five safety tips for Valentine's Day.

Jaké jsou bezpečnostní výzvy pro společnosti v roce 2013? Dmitriy Ayrapetov (Dell SonicWALL) v článku Cybersecurity challenges in 2013 rozebírá trojici výzev, které vychází z následujících okruhů problematik:

• Nárůst kitů s exploity
• Nárůst kyberbezpečnostních hrozeb vztahujících se k mobilním zařízením
• Nárůst sofistikovanosti hrozeb

Legislativa, politika

ENISA dostala nové kompetence – EU-Sicherheitsagentur ENISA erhält mehr Befugnisse. Mimo jiné dostala na starosti CERTy (Computer Emergency Response Teams). Nová pověření budou od září platit sedm let.

Obama může přikázat provést preventivní kybernetický útok, pokud USA bude v ohrožení – Obama can ‚order pre-emptive cyber-attack‘ if U.S. faces threat. The New York Times měly pod zárukou anonymity získat tuto informaci od zdroje z administrativy prezidenta.
Viz také komentář – President can order preemptive cyberattacks if needed.
Možný vývoj americké legislativy ohledně kybernetické bezpečnosti je komentován v článku ´Privacy killer´ CISPA is coming back, whether you like it or not.

The poster child for cybersecurity done right: How Estonia learnt from being under attack – jak se Estonsko poučilo z toho být předmětem kybernetických útoků. Článek informuje o řadě probíhajících iniciativ.

Sociální sítě

Uživatelé Twitteru se stále přihlašují hesly, které měli před průnikem – Twitter clients stay signed in with pre-breach passwords. Chybí výzva ke změně hesla, konstatuje autor článku. Aplikace pak i po změně hesla připouští přihlášení pod starým heslem.

Zavedení bezpečnostních pravidel pro sociální sítě nevyřeší existenci průniků – Security rules for social networks won't resolve breaches. Jamie Yap tlumočí v tomto směru názory řady odborníků.

Software

Velice rychlý růst CVE (Common Vulnerability & Exposures) je neveselým faktem současnosti – Flaw Flood Busts Bug Bank. Organizace The MITRE Corp., která index obhospodařuje, zvažuje rozšíření číslování až na jeden milión ročně (zatím je tento počet omezen na 10 000).
Viz také tématice se věnující stránku Vulnerability Threat Trends (NSS Labs).

Zabezpečte své kódy, 17 bezpečnostních tipů pro vývojáře připravil Peter Wayner – Safeguard your code: 17 security tips for developers.

Desítka volně dostupných bezpečnostních nástrojů pro malé a střední podnikání, takovouto slideshow připravila Ericka Chickowski – 10 Free SMB Security Tools. Obsahuje následující nástroje:

• Kismet
• PDQ Deploy
• AVG SMB Boot Camp
• Microsoft Security Essentials
• Malwarebytes
• ComboFix
• pfSense
• SSIM
• Nagios
• Qualys FreeScan

Google nabízí bezpečnostní tipy pro bezpečnější internet – Google Offers Security Tips for Safer Internet. Společnost doplnila své stránky – Good To Know. A guide to staying safe and secure online. Další bezpečnostní doporučení najdete na odkazech dole na stránce.

Zjištěné bezpečnostní zranitelnosti americké kritické infrastruktury – nárůst o 600 procent od roku 2010 – Security vulnerabilities in critical infrastructure up 600%. V článku jsou citována zjištění obsažená ve zprávě NSS Labs Vulnerability Threat Trends.

Zranitelnosti dávají hackerům možnost kontrolovat budovy, zámky, elektřinu, výtahy a další – Vulnerability Lets Hackers Control Building Locks, Electricity, Elevators and More. Na akci Kaspersky Security Analyst Summmit o tom hovořili Billy Rios a Terry McCorkle (Cylance). Zranitelnosti se týkají platformy Tridium Niagara AX Framework, která je použita v miliónech systémů po celém světě.

Systemanalyse und Troubleshooting – když jsou Windows pomalá. V rozsáhlejším článku uvádí autoři cesty, kterými je možné situaci napravit.

Adobe vydal pohotovostní záplaty pro Flash Player – k blokování kybernetických útoků – Adobe Issues Emergency Flash Player Patches to Block Cyber-Attacks.

Oracle vydá ještě další záplaty pro Javu – Oracle to release yet more patches for Java. Tuto informaci zveřejnila společnost na svém blogu – Updates to February 2013 Critical Patch Update for Java SE.

Nejlepší nástroje k bezpečnému surfování po internetu, slideshow připravil Ramon Schwenk – Die besten Tools zum sicheren Surfen.

Malware

DNSChanger a klikací podvody – Estonec stojí před soudem – ‚Broke‘ Estonian suspect pleads guilty to DNSChanger click fraud scam. Trojan infikoval 4 milióny počítačů různě ve světě a způsobil škody v rozsahu 14 miliónů dolarů. Valerij Aleksejev (32 let) se ke svým činům přiznal.

Co myslíte? Vaše oblíbené webové stránky jsou pravděpodobnějším šiřitelem malwaru než porno stránky – Guess what? Your favorite websites are more likely to serve malware than p0rn sites. Michael Kassner komentuje výsledky zprávy 2013 Cisco Annual Security Report.

Microsoft a Symantec zastavili kriminální gang – Exclusive: Microsoft and Symantec disrupt cyber crime ring. Byly shozeny servery, které kontrolovaly statisíce infikovaných počítačů. Organizátoři této kriminality využili botnet, který je označován jako Bamital.
Viz také komentáře:

• Microsoft, Symantec take down Bamital click-fraud botnet
• Bamital botnet take-down scores a first as Microsoft notifies infected victims

Malware s digitálním certifikátem

Tenhle trojan má digitální certifikát – Crooks, think your Trojan looks legit? This one has a DIGITAL CERTIFICATE. Bankovní malware (trojan označený jako Spyware.Banker.FakeSig, keylogger) je podepsán certifikační autoritu DigiCert. Ta certifikát vydala legálnímu brazilskému podniku Buster Paper Comercial Ltda. Je otázkou, jak to, že k zneužití došlo tak snadno (je to přitom podruhé, stejná situace byla již před třemi měsíci). Celý popis útoku najdete na stránce Digital certificates and malware: a dangerous mix.
Viz také komentáře:

• Digital certificates and malware: a dangerous mix
• Front company used to sign malware

Podvodníci ukradli klíč bezpečnostní firmy, podepisují s ním malware – Crooks steal security firm's crypto key, use it to sign malware. Hackeři pronikli do sítě bezpečnostní firmy Bit9 a použili jeden z jejích kryptografických certifikátů k infikování alespoň tří zákazníků firmy malwarem – omlouvám se za přesný překlad nepřesných formulací v článku (nemohli použít certifikát, ale použili podpisový klíč příslušející k tomuto certifikátu. Nepřesnost mrzí vzhledem k tomu, že podpisový klíč není veřejně dostupný, zato jeho digitální certifikát ano a není třeba ho krást).

Jako první přišel s touto informací Brian Krebs – Security Firm Bit9 Hacked, Used to Spread Malware.

• Bit9 says network hacked, blames itself
• Security Firm Bit9´s Own Software Used Against Itself

Špionážní malware

Trojan Citadel – od kriminality ke špionáži – Citadel Trojan Moves from Crime to Espionage. Článek obsahuje komentář ke zjištěním společnosti McAfee – Inside the World of the Citadel Trojan. Mezi oběťmi má být i firma z České republiky.

Testy ukázaly, že Flame, Duqu lze přeprogramovat pro jiné útoky – A Flame, Duqu Test-Drive. Na akci Kaspersky Security Analyst Summit 2013 to ukázal Boldizsar Bencsath (CrySys Lab).

Tipy pro ochranu před takovými hrozbami jako je Red October, obsahuje článek Cyberspionageabwehr: Tipps für den Schutz gegen Bedrohungen wie „Red October“. Na stránce jsou citována doporučení společnosti F-Secure:

• 1. Výchova zaměstnanců
• 2. Správně nakonfigurovaný aktuální software
• 3. Microsoft EMET
• 4. Microsoft Applocker
• 5. DNS Whitelisting

Hackeři a jiní útočníci

Hackerangriffe stellen die größte IT-Gefahr für die deutsche Wirtschaft dar – studie konstatuje, že hackerské útoky jsou velkým nebezpečím pro německé hospodářství. V krátké informaci jsou citovány výsledky studie, kterou připravil Nifis – Nationale Initiative für Informations- und Internet-Sicherheit e.V.

Hackeři zveřejnili zranitelnosti na tuctech amerických vládních a vojenských webů – Hacker discloses vulnerabilities in dozens of Military and Pentagon websites. Jedná se o zranitelnosti typu SQL injection. Hacker také oznámil, že hacknul databázi Pentagon.mil.

Hackeři pronikli do sítí amerického ministerstva pro energetiku – Hackers breach U.S. Energy Department networks. Hackeři penetrovali 14 serverů a 20 pracovních stanic umístěných přímo na ministerstvu. Zatím prý nebyla v průběhu útoku ohrožena žádná důvěrná informace (ukradeny byly osobní informace).
Viz také komentáře:

• Energy Dept. Reportedly Latest Target of Hackers
• US Department of Energy: Which bright spark just hacked us?

Čínský malware cílil na průmysl bezpilotních letadel – Chinese malware targeted US drone secrets, security firm alleges. S touto informací přichází společnost FireEye. Mělo se jednat o tzv. Operation Beebus. Viz také komentář v článku Chinese malware targeted US drone secrets, security firm alleges

Útoky DDoS probouzí obavy ve vztahu k slabinám infrastruktury – DDoS Attacks Spur Concerns Over Infrastructure Weaknesses.

Je sbíráno stále více dat o útočnících, ale jejich připsání (původcům) je nadále sporné – More Data On Attackers, But Attribution Still Dodgy. Jaký je nynější stav těchto problémů, popisuje ve svém článku Robert Lemos.

E-maily rodiny George Bushe se objevily online, kdosi hacknul účty bývalých prezidentů – George Bush's family emails, pics ransacked – and spewed online. Má za tím být hacker s označením Guccifer.
Viz také komentář – Hacker accesses Bush family emails, photos, report says.
Bylo zahájeno vyšetřování – Probe Launched Over Email Hacking of Bush Family.

Útoky na americké noviny

Chinese hackers suspected in attack on The Post’s computers, k útoku na Washington Post. I zde podezření padá na čínské hackery.

Wall Street Journal – Číňané nás i nadále hackují – ‚Chinese still hacking us,‘ says Wall Street Journal owner. Ani přes provedená opatření (kompletní prohlídka sítě) nedokáží noviny hackery zastavit.

Čínští odborníci odmítají americká obvinění z hackingu – Chinese experts slam U.S. hacking accusations.

Hacknutí Naw York Times bylo součástí široké války proti médiím – Ex-US Army man: NYT hacks part of wider war on western media firms. Rich Barger, dřívejší analytik americké vojenské rozvědky, poukázal na shodu postupu útoku s postupy útoku na čínskou mediální službu (sídlící v USA) spojenou s čínským duchovním hnutím Falun Gong (nelegálním v Číně). To je častým kritikem čínské politiky a zneužívání lidských práv. Podle Bargera je shoda použitých nástrojů dostatečným důkazem toho, že za útoky proti novinám stojí Čína.
Situaci s hackery se také zabývá článek Pentagon expands cyber defense amid daily attacks věnovaný vystoupení amerického ministra obrany (Leon Panetta).

Také Bruce Schneier se obrací k hacknutí New York Times – New York Times Hacked by China. Po připomínce řady odkazů Schneierem následuje široká diskuze.

Anonymous

Anonymous zveřejnili přístupová data 4 000 bankovních výkonných šéfů – Anonymous posts over 4000 U.S. bank executive credentials. Má to být součástí Operation Last Resort. Zatím nebyla zveřejněná data zpochybněna.
Viz také komentář – Anon claims ‘d0×’ on bank execs.

Bezdrát

9 Tips to Stay Safe on Public Wi-Fi – jak zůstat v bezpečí na veřejném bezdrátovém připojení. Devět tipů ve formě slideshow připravil Daniel Berg.

Mobilní zařízení

Odblokování (jailbreak) iOS 6 bylo zveřejněno – iOS 6 untethered jailbreak released, Cydia app store flooded.

Mobilní malware

Malware pro Android umí instalovat zadní vrátka na počítači – Android malware with ability to install Backdoor on Computers. Kaspersky Lab: dvě aplikace (Super Clean a DroidCleaner, v podstatě identické) obsahující takovýto malware byly nalezeny na Google Play.
Bezpečnostní doporučení v tomto směru přináší Dancho Danchev – Android security tips and Windows AutoRun protection.
Viz také komentář – Android-App versuchte Windows-Systeme zu infizieren.

Elektronické bankovnictví

Hacknut byl web U.S Federal Reserve – Federal Reserve confirms its Web site was hacked. Jedná se o jeden z interních webů. Není jasné, zda to souvisí s nedávným útokem na osobní data bankovních šéfů.
Viz k tomu také komentář – Fed confirms but downplays Anonymous Super Bowl banker hack.
Další informace k hackům z tohoto týdne obsahuje článek Roberta Lemose Federal Reserve, DOE Confirm Hackers Breached Servers, Stole Data.
Viz také komentář – Anonymous Claims Wall Street Data Dump.

Celou situaci rozsáhle komentuje Tracy Kitten:

• Federal Reserve Breach: What Happened?

Viz také – Fed stays secretive after Anonymous hack.

Autoři bankovního malwaru se vrací k starým technikám, jako je phishing – Banking malware returns to basics, researchers say. Je to reakce na nová bezpečnostní opatření bank. Phishingem se útočníci snaží získat přístupové informace. O aktuálních změnách postupů hackerů informuje společnost Trusteer.

Autentizace, hesla

Passwörter: Tipps für anwenderfreundliche und sichere Zugangscodes – aby hesla byla uživatelsky přívětivá a přitom bezpečná. Doporučení pochází od PSW Group.
Viz také článek – 5 Tipps vom HPI für sichere Passwörter.
Další článek věnovaný této problematice najdete na stránce – How to create a strong password in wake of Twitter hack episode.
Ochranou hesel se zabývá článek Password protection for everyone.

Phishing

Learn by doing: Phishing and other online tests – aktivní výuka – phishing a další online testy. Materiál obsahující další odkazy připravila Zeljka Zorz.

Elektronický podpis

Poučení z dřívějších útoků na SSL/TLS. Hrubá chronologie útoků a slabin – Lessons Learned From Previous SSL/TLS Attacks. A Brief Chronology Of Attacks And Weaknesses. Patnáctistránková studie (jejími autory jsou Christopher Meyer a Jörg Schwenk) obsahuje následující odstavce:

• Introduction
• Attacks on the Handshake Protocol
• Attacks on the Record and Application Data Protocols
• Attacks on the PKI
• Various Attacks
• Conclusion

TLS – byla nalezena nová slabina – Unlucky for you: UK crypto-duo ‚crack‘ HTTPS in Lucky 13 attack. Kenny Paterson a Nadhem Alfardan říkají, že dokáží cracknout šifrovaný provoz TLS útokem man-in-the-middle. Podrobnosti jsou ve studii Lucky Thirteen: Breaking the TLS and DTLS Record Protocols.
Viz také komentáře:

• Researchers Attack TLS, DTLS Protocol Vulnerability
• Researchers devise new attack techniques against SSL
• TLS stolpert über die „Glückliche 13“ Update

Normy a normativní dokumenty

Americký NIST vydal v minulém týdnu dva dokumenty:

• draft: SP 800–63 –2, Electronic Authentication Guideline (částečná aktualizace)
• finální draft: Special Publication 800–53, Revision 4, Security and Privacy Controls for Federal information Systems and Organizations (na stránce jsou uvedeny implementované změny)

Vyšel nový draft IETF – The TLS Multiple Certificate Status Request Extension.

Různé

Why Is Quantum Computing So Hard? – proč jsou kvantové výpočty tak obtížné? Bruce Schneier uvádí do diskuze na svém blogu odkazy na články, jejichž autory jsou Ross Anderson a Robert Brady.

Přehled vychází z průběžně publikovaných novinek na Crypto – News.