Hlavní navigace

Bezpečnostní střípky: Evropa testuje kybernetickou bezpečnost

8. 11. 2010
Doba čtení: 11 minut

Sdílet

Pravidelný přehled informací o problematice bezpečnosti IT. Z novinek týdne upozorníme na přehled americké bezpečnostní legislativy, na nástroje, které umožňují průběžné definitivní mazání souborů a na informace o dvou hackerech, kteří ukradli přístupy na účty a zneužívali sexuálně orientované obrázky.

Přehledy

Komentář ke zprávě Symantecu – October 2010 MessageLabs Intelligence Report si lze přečíst na stránce Symantec report notes increase in cyber attacks . Cílené útoky nepolevují, spam a phishing oproti předešlému měsíci nepatrně poklesly.

Obecná a firemní bezpečnost IT

Jak se vypořádat s kybernetickým útokem? John Naughton : online hrozby nejsou nyní již jen problémem jednotlivce, ale mohou být stejně nebezpečné jako nukleární útok. Jen obranné (odstrašující – deterrence) prostředky nestačí  – How do we counter cyber attack? That's the L500m question.

Přehled amerických zákonů, regulačních ustanovení a příruček, které se dotýkají bezpečnosti, je zpracován ve formě rozsáhlého článku, který obsahuje odkazy na kompletní verze dokumentů – The security laws, regulations and guidelines directory. Je rozdělen do čtyř oddílů:

  • Broadly applicable laws and regulations

  • Industry-specific guidelines and requirements

  • Key state laws

  • International laws

The New CISO: How the role has changed in 5 years – Jak se role bezpečnostního ředitele (CISO) změnila za posledních pět let? Bill Brenner (kromě odkazů na některé starší materiály) uvádí názory předních bezpečnostních manažerů.

Rusko ústy FSB pohrozilo Wikileaks – zničíme vás – Thinly Veiled Threats From the FSB Aside, WikiLeaks Still Faces Challenges in Credibly Leaking Classified Information on Russia. Zakladatel Wikileaks Julian Assange totiž oznámil, že Rusko je jeho dalším cílem, který má na mušce. Viz také komentář – WikiLeaks: Is Russia the Next Target?.

Bezpečnost IT systémů v energetice – pokračování série článků M. Kabaye je na stránce Security in the electric power industry: Riptech Report of 2001. V tomto se díle autor vrací ke zprávě společnosti Riptech z roku 2001, které poukázala na určité nedostatky bezpečnosti systémů SCADA. Konstatuje, že tato práce má svou hodnotu i v dnešní době.

Varování z USA : systémy SCADA dostupné přes internet jsou předmětem zkoumání a možných útoků – Attackers set sights on online industrial control systems. Varování vydal Industrial Control System Cyber Emergency Response Team (ICS-CERT).

Další zpřísnění prohlídek na letištích v USA se týká i intimních partií… – Airport screeners go for the groin .

Jak u vás měříte bezpečnost? Článek How do you measure IT security? These metrics offer a standardized way upozorňuje na aktualizaci standardizovaných prostředků (metrik) neziskové organizace Center for Internet Security – CIS Consensus Information Security Metrics.

Špatně nakonfigurované SCADA systémy jsou v hledáčku hackerů – Hackers tap SCADA vuln search engine. K dispozici je vyhledávač, který takové servery a další internetová zařízení umí najít. Bezpečností rozvodných sítí se věnuje rozhovor Smart grid security facts.

Britská jaderná elektrárna popírá, že přerušení její činnosti zavinil červ Stuxnet – odkaz. Neplánované přerušení práce jednoho z reaktorů má mít jiné důvody (legislativa neumožňuje zveřejnit skutečnou příčinu).

SANS a Cyber Security Awareness Month, shrnutí všech odkazů (ke každému dni měsíce jedno bezpečnostní téma) je na stránce – Cyber Security Awareness Month.

Velká Británie : Google sběrem dat z bezdrátových připojení narušil zákony o ochraně dat – UK: Google Wi-Fi collection violated data protection laws. Británie se tak připojila k řadě dalších zemi.

Evropa se otestovala – jak je připravená na kybernetické útoky – Europe attacks itself in cyber-warfare test. Test proti různým evropským organizacím prováděla European Network Security Agency (ENISA). V článku jsou zmíněny také současné problémy OECD, tato organizace se nyní dosti marně snaží po stálých útocích vyčistit své počítače. Oficiální text v češtině najdete zde – Digitální agenda: odborníci na kybernetickou bezpečnost testují obranné mechanismy při první celoevropské simulaci.
Viz také komentář s poněkud nadneseným titulkem na Novinkách – Evropa si nasimulovala totální kybernetickou válku . Poznámka: Organizátory cvičení byly ENISA a JRC (Joint Research Centre). Další komentář je zde – EU tests cyberwarfare defences in low-key simulation.

Hackerské útoky na Cheong Wa Dae zesílují – Hacker Attacks on Cheong Wa Dae on the Rise. Datum summitu G20 se blíží. CHeong Wa Dae (Blue House) je oficiální rezidence jihokorejského prezidenta.

Metasploit and SCADA exploits: dawn of a new era? – Shawn Merdinger komentuje současný vývoj. Předpovídá do dalšího roku význačný nárůst nalezených zranitelností systémů SCADA.

V Japonsku došlo k úniku informací, které se týkají boje proti terorizmu – MPD antiterrorism file leak traced to Luxembourg server. Jedná se o aktivity tokijské metropolitní policie, dokumenty se objevily online přes server umístěný v Lucembursku. Pravděpodobně (nebyly nalezeny známky hackerského útoku) někdo tyto dokumenty zveřejnil záměrně.

Evropa chce zpřísnit zákony ohledně online soukromí – EU Seeks Stronger Online Privacy Laws . Je to mimo jiné i reakce na akci společnosti Google (Street View) a týká se to také požadavků vzhledem k provozovatelům sociálních sítí. Viz také – Microsoft says Cloud computing slowed by data rules.

Wikileaks bude mít konkurenci – WikiLeaks Faces New Competition. Daniel Domscheit-Berg odešel kvůli neshodám z týmu Wikileaks a zakládá nyní skupinu s obdobným zaměřením. Chce zveřejňovat dokumenty i z jiných částí světa, tj. nejen z Iráku a Afghánistánu.

10 bezpečnostních hrozeb, které připomínají hororový Halloween, je prezentováno formou slideshow na stránce Watch Out! 10 Spooky Halloween Security Threats.

Dětská pornografie – jaké tresty by měly patřit jejím tvůrcům a šiřitelům? Objevují se požadavky, aby obětem byly přisouzeny náhrady ve velikostech řádově milióny dolarů. Soudy však posuzují jednotlivé případy značně rozlišně – Child porn victims seek multimillion-dollar payouts.

Sociální sítě

Facebook se zbavil vývojářů aplikací, kteří prodávali data uživatelů – Facebook App Developers Selling User IDs Suspended. Pokud budou chtít znovu spolupracovat s Facebookem, musí projít odpovídajícím auditem.

K zranitelnostem připojení k sociálním sítím přes nechráněný bezdrát se vrací článek Facebook and Twitter Flunk Security Report Card. Digital Society prohlašuje, že je možné dostat se částečně či plně k účtům uživatelů. Facebook a Twitter nepoužívají kompletní SSL spojení (i v případě použití SSL zůstávají některé části komunikace přenášející autentizační cookie nechráněny).

České firmy řeší dilema: Mají lidem zakazovat přístup na Facebook? Michaela Mužíková: Podniky se bojí o efektivitu zaměstnanců a bezpečnost svých dat. To, co lidé v práci přes den dělají, monitoruje většina firem. Rozumný názor : „Je to jen o firemní kultuře, pokud se vyznává liberální přístup k práci a zaměstnanci jsou hodnoceni podle odvedené práce, nikoli času stráveného na pracovišti, tak sociální sítě budou zneužívány minimálně. Zaměstnanci vědí, že to za ně nikdo neudělá.“ (Marie Udal, Alcatel-Lucent)

Software

Google rozšiřuje svůj program pro vychytávání chyb – Google Extends Security Bug Bounty to Gmail, YouTube, Blogger . Bude se nyní týkat i problémů pro Gmail, YouTube, Blogger a dalších aplikací. Viz také komentář Johna Leydena – Google calls bug bounty hunters to YouTube, Blogger. Výzva společnosti Google je na této stránce – Rewarding web application security research.

Číhající nebezpečí, kromě rozšíření Firesheep je tu také evilgrade – Tired of Hearing About Sheep? The Real News: Evilgrade 2.0 is Here! . Security Monkey jednak poukazuje na nástroje, které mohou pomoci proti nebezpečím rozšíření Firesheep ale také upozorňuje na existenci nástroje evilgrade, který i plně záplatovaným systémům dokáže vnutit falešné aktualizace.

Evercookie – jak s ním bojovat – The next front in the cookie wars: Fighting the Evercookie . Michael Kassner nejprve objasňuje samotný pojem cookie a potom popisuje svůj rozhovor se Samy Kamkarem na téma Evercookie. Ukazuje se, že odstranit ho není (pro řadového uživatele) jednoduchou záležitostí. Jsou zde však uvedeny odkazy na dva využitelné nástroje. Není však (jak se zdá) zatím cesta k jednoduché jeho detekci, jediným snadno použitelným doporučením je vypnout JavaScript.

Jak na disku, se kterým pracuji, mazat soubory tak, aby je nešlo obnovit? Autor článku How Do I Permanently Delete Files From My Hard Disk? doporučuje používat dva programy:

Tvůrce Firesheepu bojuje za jeho legalitu – Firesheep not evil, says snooping tool's maker. Microsoft detekuje Firesheep svým antivirem, rovněž tak někteří právníci soudí, že je nástrojem „mimo zákon“. Nástroj byl ze stránek autora stažen již více než půl miliónem zájemců. Eric Butler hájí svůj SW, nástroj upozorňuje na bezpečnostní problémy (nešifrovanou komunikaci mezi uživatelem a webovou službou).

Evilgrade je aktualizován – ‘Evilgrade’ Gets an Upgrade. Tento SW nyní umí zachytit aktualizační proces více než 60 aplikací.

Microsoft varuje ohledně nové zranitelnosti nulového dne Internet Exploreru – Microsoft Warns of Attacks on Zero-Day IE Bug. Chybu objevili pracovníci Symantecu, týká se IE6 a IE7 ale i IE8, ale zde v omezené míře v závislosti na konfiguraci systému.

Malware

Uplynulo již pět let od skandálu s rootkitem společnosti Sony – Sony BMG rootkit scandal: 5 years later. Bob Brown se proto vrací k tomuto významnému milníku historie malware.

Antivirový SW nepomohl v útoku malware nulového dne na elektrárnu  – Antivirus software didn't help in zero-day malware attack on power plant. Ellen Messmer se vrací k dopadům viru Here You have na dodavatele elektřiny a vody v Arizoně (Salt River Project). Oběti klikali na přílohy v e-mailu, který přicházel od někoho, koho znali. Vše se stalo uprostřed září 2010, článek popisuje následné dění ve společnosti.

Hackers use SEO poisoning Halloween tricks to lure PC users aneb Halloween a otrávené výsledky vyhledávačů. Hackeři používají za obdobnými účely techniky SEO (Search Engine Optimization).

The Business of Botnets , to je diskuze na Schneierově blogu k byznysu okolo botnetů. Schneier cituje : Avanesov vydělával okolo 100 000 euro měsíčně za pronájem a prodej svých botnetů (jen právě pro spam).

ZeuS – je také špionem, který sleduje zaměstnance? Autor (Uri Rivner) článku Zeus Snooping on Employees? říká, je velká část kódu, o které nevíme, co vlastně provádí. ZeuS nemusí být jen bankovní trojan. Např. může být vstupní bránou do uživatelova počítače pro jiné aktivity.

Každý osmý útok na počítače proběhne prostřednictvím USB zařízení – AutoRun feature on USB devices are often the cause of multiplying malware . Klíčovým místem je funkce AutoRun. Sken zařízení, která mají velký objem paměti, trvá hodiny. Situace ještě zhorší zavedením USB 3.0.

Hackeři

Student informatiky se měl nabourat do e-mailů a vydírat dívky jejich fotkami. Z úvodu: Policisté dopadli 20letého studenta informatiky z okresu Nymburk, kterého podezírají, že od loňského září šmejdil v e-mailových schránkách uživatelů počítačů v České republice i v zahraničí. „Hledal v nich fotografie a videa se sexuální tématikou. Následně jejich prostřednictvím vydíral mladé dívky,“ informoval novináře v pondělí v Olomouci kriminalista Petr Kolísek.

DDoS útoky na stránky RIIA a Anonymous, má to být pomsta za akce proti Limewire (P2P služba ukončená v posledním říjnovém týdnu) – RIAA and Anonymous sites both downed by DDoS assaults.

Vítěz Tour de France obviněn z hackování – Disgraced Tour winner Landis to stand trial for hacking. Američan Floyd Landis (vyhrál Tour v roce 2006, pak byl oznámen pozitivní výsledek dopingového testu) je spolu se svým koučem podezřelým z nelegálního přístupu k dokumentaci z French Anti-Doping Laboratory.

Kalifornie: Hacker vystavil ukradené sexuálně orientované fotky na Facebooku – Cops: Hacker posted stolen X-rated pics on Facebook . Podařilo se mu dostat se do e-mailů více než 3000 žen. Použil k tomu následující cestu. Hádal odpovědi na bezpečnostní otázku, kterou e-mailové služby kladou v případě zapomenutého hesla. Mimochodem – již dlouhou dobu je upozorňováno na tuto reálnou bezpečnostní slabinu, přesto je stále používána. Postup hackera je podrobněji objasněn v tomto článku – Perverted Facebook hacker targeted women, viz také – Sinister scams ´sextort´ social networkers.

DDoS útok na Myanmar (Barma) byl patnáctkrát větší než byl útok na Estonsko – DDoS attacks take out Asian nation . 10 dní útoku DDoS paralyzovalo části infrastruktury této země. Zřejmě se jedná o dosud největší útok tohoto typu – politicky motivovaný. Kdo stál za útokem, není jasné.

Bezdrát

The unvarnished truth about unsecured Wi-Fi aneb nepřikrášlená pravda o nezabezpečeném bezdrátu. Elinor Mills – statistiky ukazují, že více než 28 procent bezdrátových sítí je nechráněných (Wigle.net). Útočníci mohou získat přístup ke všem vašim datům a komunikacím (včetně těch, které jsou jakoby zabezpečeny prostřednictvím SSL resp. TLS).

Mobilní telefony

Objevily se podrobnosti k zranitelnosti hesla pro IPhone – Enormous Security Flaw In IOS 4.1. existenci zranitelnosti jsme již informovali před týdnem. V tomto článku je objasněn podrobný postup, jak obejít neznalost hesla.

Android – velké množství bezpečnostních chyb nelze přehlédnout – Serious Security Bugs Found In Android Kernel. Matthew Broersma upozorňuje na výsledky analýzy Coverity Scan Open Source Integrity Report. Viz také – Study: 359 Android code flaws pose security risks.

Software pro útoky na Android bude k dispozici online – Researcher releases Web-based Android attack. Týká se to některých mobilů s Androidem. Google k tomu říká, že použitá zranitelnost se týká jen některých starších verzí prohlížeče Androidu. Nemá dopad na verzi 2.2 a novější.

Spam

Halloween: Strašidla a zombie možná i ve vaší poště, z úvodu: Poslední říjnový den se nesl v duchu Halloweenu, jednoho z nejslavnějších svátků. Šance se chopili také útočníci, vlna podvodného spamu přišla v očekávaném přívalu.

Elektronické bankovnictví

Bankomatové podvody: na prvním místě je tzv. skimming – ATM Fraud: Skimming is #1 Threat . Tím se míní okopírování dat karty (z magnetického proužku) a zneužití těchto dat. Je čas přestat tyto magnetické proužky používat (v Evropě se již přechází na karty mající pouze čip).

Policie podezírá tři Bulhary, že v Praze kopírovali údaje z platebních karet, z úvodu: Policisté zadrželi tři lidi, kteří podle nich nainstalovali na bankomaty v Praze desítky takzvaných skimmovacích zařízení, jež umožňují zkopírovat elektronické údaje z platebních karet. Dva muže a ženu z Bulharska obvinili z trestného činu neoprávněné opatření, padělání a pozměnění platebního prostředku, za což jim v případě odsouzení hrozí až osm let vězení.

Nalezeny byly bezpečnostní díry v mobilních bankovních aplikacích (Bank of America a další) – Firm finds security holes in mobile bank apps. Elinor Mills popisuje k tomu některé podrobnosti.

Autentizace, hesla

Co se týká práce z hesly – několik rozumných myšlenek lze najít v článku Fixing weak passwords. Tradiční téma je zde pojato kapánek šířeji, tj. nejedná se pouze o délku hesla.

Elektronický podpis

Datové schránky: první výročí po 16 měsících, Jiří Peterka na Lupě: O datové schránky se na ministerstvu vnitra stará již třetí tým, pod třetím ministrem. A míra zájmu a péče o datové schránky jako by s každou výměnou slábla. Jaká je skutečná podstata návrhu NERVu na využití datových schránek pro veřejné zakázky? Jak funguje nový formulář pro ověřování elektronických podpisů? Pomůže „portable“ verze 602XML Filleru?

root_podpora

Kryptografie

Americká civilní organizace bojující za práva občanů se připravuje na novou válku o krypto – US civil rights organisation prepares for new ‚crypto war‘ . EFF připravuje žalobu na tři agentury amerického ministerstva spravedlnosti.

Různé

Přehled vychází z průběžně publikovaných novinek na Crypto – News.

Byl pro vás článek přínosný?