Hlavní navigace

Bezpečnostní střípky: fenomén posledních týdnů, hackerská skupina LulzSec

20. 6. 2011
Doba čtení: 13 minut

Sdílet

Pravidelný pondělní přehled informací vztahujících se k problematice bezpečnosti IT. Z novinek tohoto týdne upozorníme na několik článků věnovaných mobilní bezpečnosti, na návod, jak znovu získat kontrolu nad svým soukromím na Facebooku a třeba na upozornění na staronové volně dostupné bezpečnostní nástroje.

Přehledy

V květnu vzrostly aktivity virů a malware, spam zůstal na stejné úrovni – Virus, Malware Activity Increased in May, Spam Levels Flat. Článek obsahuje komentář k měsíční analýze firmy AppRiver. Podvodníci využívali důležité informace (smrt bin Ládina atd), pokračovaly útoky na weby velkých organizací a firem. Se statistikami se lze seznámit na stránce Malware activity hitting peaks of 10 million pieces per day.

Obecná a firemní bezpečnost IT

Hackeři šíří vymyšlené historky, které mají za cíl diskreditovat bezpečnostní odborníky – Hacker crims plant fake news to discredit security researchers. Podle těchto historek měli být například Mikko Hypponen a Brian Krebs uvězněni, protože byli chyceni u toho, jak prodávají ukradená data platebních karet.

Seeking Address: Why Cyber Attacks Are So Difficult to Trace Back to Hackers aneb proč je obtížné vysledovat kybernetické útoky. Larry Greenemeier rozebírá taktiky používané útočníky. K tématu se váže také diskuze na Schneierově blogu – Why it's So Difficult to Trace Cyber-Attacks.

Co vyžaduje ochrana dat v dnešní době? Devítistránkový materiál (zaměřením je pro CISO, bezpečnostní ředitele) – Data Protection 2.0: It's Not Just Names and Numbers Anymore – byl publikován společností Tripwire v únoru 2011. Vyústěním materiálu je pět okruhů doporučení:

  • Integrace požadavků
  • Povědomí o situaci
  • Inventarizace kritických dat
  • Zhodnocení rizik
  • Aktualizace kontrol

Bezpečnostním ředitelům (CISO) je také určena následující příručka:

Uniknuvší studie ukazuje, jak Pentagon dostává rady od soukromých firem ohledně kybernetických sabotáží vůči Libyi – APNewsBreak: Leaked study shows companies advised Pentagon on cyber-sabotage against Libya. Studie (Project Cyber Dawn) byla diskutována v e-mailech, ke kterým se dostala skupina LulzSec. Byly ukradeny z firmy zabývající se internetovým dohledem (Unveillance).

Evropská rada říká: tvorba hackovacích nástrojů bude kriminálním činem v celém EU – European Council: Creating hacking tools should be criminal across EU. Ministers want Europe-wide legal net for cybercrookery. Týká se to i počítačových virů. Má být v tomto směru připravena nová antihackerská směrnice, viz tisková zpráva PRESS RELEASE, 3096th Council meeting – Justice and Home Affairs, stránky 18 a 19.
Komentář si můžete přečíst zde:

USA: do zákona k povinnosti ohlašovat průniky přibyla lhůta 48 hodin – Lawmakers Add 48-Hour Rule to Data Breach Notification Bills. Článek informuje o přípravě zákona (data breach bill) a diskuzi, která k němu probíhá v americkém Senátu.

Velká Británie: ztracen byl notebook obsahující zdravotní záznamy půl miliónu pacientů – NHS laptop loss could put millions of records at risk. Přitom data téměř 9 miliónů lidí, která na něm byla uložena, byla nezašifrována. Notebook je postrádán v organizaci provádějící medicínský výzkum. Viz také – Concerns raised over lost NHS laptop that contains more than eight million records.

Opětovné volání: chcete zastavit kybernetickou kriminalitu? Sledujte peníze! Hovořil o tom Stefan Savage (z univerzity v San Diegu) na konferenci Usenix. Popisoval zde výsledky práce svého týmu, jsou rozebírány v článku – Want to stop cybercrime? Follow the money.

Ubrání se Amerika čínským kybernetickým útokům? Richard Clarke ve svém komentáři China's Cyberas­sault on America klade otázku: Koná v tomto směru vládní administrativa vše potřebné?

NSA spolupracuje s poskytovateli internetu na vytvoření nových nástrojů – k odvrácení útoků na firmy obranného průmyslu – NSA allies with Internet carriers to thwart cyber attacks against defense firms. Program, který funguje na dobrovolném základě, byl zahájen v květnu 2011. Zmíněné nástroje mají (s uvedeným cílem) skenovat e-maily a další digitální provoz. O programu hovořil náměstek amerického ministerstva obrany William J. Lynn III na globální bezpečnostní konferenci v Paříži (tento čtvrtek).

Pentagon buduje simulátor Internetu, aby zde vyzkoušel postupy kybernetické války. Má být spuštěn příští rok – Pentagon building Internet simulator to practice cyberwar.

Sociální sítě

Jak odstranit svůj účet z libovolného webu – http://www.pcmag­.com/article2/0,2817,­2386458,00.as­p. Z některých webů to není jednoduché (Facebook, Google). Článek obsahuje podrobné instrukce k celkem 30 často používaným webům.

Zájemce o zaměstnání – jak o něm získat další informace ze sociálních sítí, několik doporučení je v tomto směru uvedeno v článku 4 tips for using Facebook legally to conduct background checks (includes video). Joan Goodchild se věnuje Facebooku a předkládá 4 tipy. K článku je přiloženo také video.

Soukromí na Facebooku. Příručku k tomu, jak nad ním opět získat kontrolu, najdete na odkazu IT Security & Network Security News & Reviews: Facebook Privacy: A How-To Guide For Taking Back Control. Formou slideshow zde jsou prezentovány příslušné obrazovky s komentáři pro vhodné postupy.

Software

More tales from the cloud – jak je to s bezpečností cloudů v praxi? Trojice článků ukazuje, s jakými problémy se zde lze setkat:

Pětici nejlepších volně dostupných bezpečnostních nástrojů najdete vyjmenovánu (spolu s krátkým rozborem vlastností) v článku Five of the best free security suites:

  • Microsoft Security Essentials 2.0
  • Avast! 6.0.1125 Free Edition
  • Comodo Antivirus 5.4
  • AVG Anti-Virus Free Edition 2011 v10.0.1375
  • BitDefender Total Security 2012 Beta

Pozor na nový „injection“ útok s hromadným záběrem – Researchers warn of mass ‚meshing injection‘ attack. Varování přichází od Wayne Huanga a výzkumného týmu Armorize. V článku jsou popsány vlastnosti a nebezpečí tohoto útoku.

Co se týká souborů útočných nástrojů, které obsahují exploity, je konstatováno, že jejich využívání roste – Use of Exploit Kits on the Rise. V daném článku jsou zmíněny takové soubory nástrojů jako Incognito, Blackhole a Eleonore. Podrobněji se tomu věnuje zpráva společnosti ZScaler – Incognito exploit kit.

Microsoft varuje před podvodnou podporou Windows – Microsoft rings alarm bell on fake Windows support calls. Ohlašuje se telefonicky a samozřejmě cílem je nasadit malware do počítače uživatele.

Na blog Google se objevila informace k zranitelnostem způsobeným skripty (mixed scripting) – Trying to end mixed scripting vulnerabilities. Mohou pak fungovat útoky (typu man-in-the-middle), pokud webová stránka nepoužívá https.

Kritická infrastruktura

Německo otevřelo (16.6.2011) v Bonnu středisko kybernetické obrany – Germany opens cyberdefence centre to protect water, electricity. Jeho činnost je zaměřena především na ochranu kritické infrastruktury. Fyzicky je součástí Spolkového úřadu pro informační bezpečnost.

Siemens záplatoval díry nalezené hackerem v systémech SCADA – Siemens fixes SCADA holes found by hacker. Článek obsahuje i hrubý popis těchto zranitelností. Poznámka: bezpečnosti systému SCADA je věnována studie The (In)Security State of SCADA Software Systems.

K nebezpečím inteligentních rozvodných sítí se obrací článek Smart grid (in)securities. Právě jejich inteligence může být příčinou zvýšených rizik, říká ve svém komentáři George V. Hulme.

Objeveny byly zranitelnosti (obdobné těm, které využil Stuxnet) také v čínském SW, který je obdobou SW SCADA – US reveals Stuxnet-style vuln in Chinese SCADA 'ware. Tento software je hlavně používán v Číně, ale existují zákazníci i v Evropě, v Americe, Asii a Africe.

Malware

Trojan SpyEye zaútočil na zákazníky letových služeb Air Berlin a AirPlus – SpyEye Trojan attacks Air Berlin and AirPlus travelers. Útočníkům se tak mohlo podařit se dostat k osobním a bankovním datům cestujících. Viz také jiný útok prostřednictvím tohoto trojana – Virgin Media warns 1,500 customers of SpyEye infections.

Trojané útočí také na Bitcoin, digitální virtuální platební jednotku – Trojan targets Bitcoin wallets, Trojan goes after Bitcoins.

Viry

Je skutečně třeba platit za antivirový software? Autor článku Do You Really Need to Pay for Anti-Virus Software? srovnává volně dostupné a placené programy. Uvádí, pro koho je nejlepší jeden přístup, pro druhého zase jiný.

Hackeři

Recenzi druhého vydání knihy Hacking: The Art of Exploitation si můžete přečíst na stránce Review: Hacking: The Art of Exploitation, Second Edition. Je zde i odkaz na kapitolu, kterou si lze stáhnout – Exploitation.

Mezinárodní měnový fond byl zasažen sofistikovaným útokem – IMF hit by ‚sophisticated cyberattack,‘ says report. Útok byl „velmi velký“, nejasný je však jak jeho původ, tak i jaká data byla předmětem útoku a jak byla zasažena. Viz:

Průnik do MMF mohl být sponzorován některým státem – IMF Breach May Be State-Sponsored Spear Phishing Attack. Proběhl prostřednictvím cíleného phishingového útoku. Fahmida Y. Rashid v článku rozebírá okolnosti tohoto průniku.

Hackeři zaútočili na 1500 vietnamských webů – Hackers attack 1,500 Vietnamese websites. Na řadě stránek se objevila čínská vlajka.

Turecko uvěznilo 32 hackerů ze skupiny Anonymous – Turkey arrests 32 Anonymous hackers for DDoS attacks. Útok hackerů proti vládním stránkám Turecka měl prý svůj původ v zámyslu vlády filtrovat obsah internetu.

Skupina Anonymous plánuje zítra zaútočit na americkou instituci Federal Reserve – Anonymous targeting Federal Reserve in next attack. Takovýto titulek se objevil 13. června u článku, jehož autorem je Elinor Mills. Federal Reserve je ústřední bankovní systém USA (Federal Reserve System). V článku jsou také shrnuty některé poslední aktivity Anonymous. Zdali k útoku skutečně došlo, není jasné.

ČR: Hacker ukradl přes internet úřadu práce milion korun, z úvodu článku: Sokolov – Policie obvinila pětadvacetiletého počítačového hackera ze Sokolova, který údajně přes internet ukradl z účtu Úřadu práce v Sokolově téměř milion korun. Hrozí mu až pětiletý trest, informovala dnes ČTK krajská policejní mluvčí Kateřina Dohnalová.

Dopadl hackera a musel spolupracovat s FBI – What happens if you catch a hacker and must deal with the FBI?. V článku je popsán případ IT profesionála (jeho jméno je Scott Johnson), ve kterém je ukázáno, že vše neprobíhá tak, jak by si mnozí představovali.

Hackeři, kteří pronikli do systému Citigroup, využili jednoduše zjistitelnou chybu webu – Citigroup hack exploited easy-to-detect web flaw. Podrobnosti rozebírá článek v New York Times – Thieves Found Citigroup Site an Easy Entry. Je to jeden z nejvíce bezostyšných útoků na banky posledních let, takto ho charakterizuje autor článku. Došlo k úniku dat 200 000 zákazníků. Data obsahovala jejich jména, čísla účtů, e-mailové adresy a transakční historii.

Who is behind the hacks? (FAQ) aneb Kdo se skrývá za hackerskými skupinami (FAQ)? Elinor Mills si vzala na paškál tři prominenty dnešního hackerského světa: Anonymous, LulzSec a Idahc. Zmiňuje také další nedávné útoky.

Pakistánský hacker oznámil útok na Hewlett-Packard Co. – Pakistani hacker claims HP systems attack. Měl získat přístup k 9 GB dat. Není zatím příliš jasné, o jaká všechna data se jednalo, zda se např. týkají bankovních účtů atd. V článku jsou ukázány některé zveřejněné obrazovky týkající se ukradených dat.

LulzSec

Proč tajně milujeme LulzSec – Why we secretly love LulzSec. Zajímavý komentář, a něco na něm je pravdivé. Viz diskuzi na Schneierově blogu – Two Good Rants. Následuje série hacků:

Skupina LulzSec zaútočila na pornostránky – LulzSec hits 50+ porn sites, exposes user data. Infiltrovala 56 webů s pornografickým obsahem, ukradla zveřejnila administrativní e-maily a a dále zveřejnila 26 000 e-mailů a hesel uživatelů pron.com.

LulzSec znovu v akci: americký senát a Bethesda – Lulzsec sets sights on U.S. Senate and game-maker Bethesda. Společnost Bethesda je tvůrcem série počítačových her The Elder Scrolls. Viz také:

K jiným aktivitám hackerů:

LulzSec útočí na stránky herních společností – jen tak, pro legraci – LulzSec attacks gaming sites … just for laughs. Skupina tento svůj útok nazvala Titanic Takeover Tuesday. Viz také další informace obdobného charakteru – BioWare latest hack victim.

LulzSec se hlásí k útoku na stránky CIA – LulzSec claims responsibility for CIA.gov outage. Stránky cia.gov byly ve středu odpoledne dostupné jen s obtížemi. Pravděpodobně se jednalo o útok DDoS. Viz také – LulzSec claims CIA website hack.
V další zprávách:

Viz také informaci – LulzSec´s stupid hack request line – podle které lze na jistou telefonní linku vkládat tipy na další cíle.

LulzSec vs. Anonymous: Doing hactivism wrong – jsou LulzSec a Anonymous – rivalové? Skupina LulzSec veřejně zaútočila na skupinu Anonymous – Hit the deck: LulzSec and Anonymous start trading blows. Je to počátek vzájemné války?
Mimochodem – objevilo se podezření, zda za aktivitami LulzSec není americká vláda – Lulzsec takes down the US CIA.
Viz také komentář – Who´s afraid of the LulzSec hackers?.

Poté, co LulzSec zveřejnil e-maily a hesla, začaly podvody – Fraud starts after LulzSec group releases email, passwords. Hacky této skupiny nejsou tedy jen neškodné, jak by si někdo mohl myslet.

Hardware

Elektronika ve vozu Nissan LEAF, bylo zjištěno, že z ní unikají data do RSS – Nissan LEAF cars leak speed, position, destination to RSS feeds. Týkají se rychlosti, pozice a cílů.

Mobilní telefony

The security-approved smartphone! aneb skutečně bezpečný chytrý mobil. No, nekupte to!

Nejlepší postupy pro ochranu mobilních dat obsahuje devítistránková studie (Arcsight) – Best Practices for Mobile Data Protection. Rozebírá těchto pět postupů:

  • Uzamčení mobilního zařízení
  • Možnost vzdáleného výmazu dat z mobilního zařízení
  • Zjištění umístění mobilního zařízení a sledování jeho pohybu
  • Šifrování dat uložených na mobilním zařízení
  • Monitoring a audit mobilních aktivit

It's All About Securi – vše je to o bezpečnosti. Krátká studie (9 stran) společnosti Sybase si klade za cíl popsat to podstatné, co je třeba znát při využívání chytrých mobilů a tabletů v organizaci. Jednotlivá témata:

  • Mobilita zvyšuje produktivitu
  • Seznam příslušných rizik
  • Faktory, které rizika zvyšují
  • Útoky prostřednictvím aplikací
  • Ochrana zařízení a dat
  • Politika pro mobilní zařízení
  • Rozložení a bezpečnostní konfigurace
  • Prosazování bezpečnosti
  • Schválené zabezpečené aplikace pro mobilní zařízení

Závěr studie obsahuje sérii doporučení.
Viz také článek Mobile phone security: What are the risks? s obdobným zaměřením.

Android: Google ví, kde jste byli a možná má k dispozici i váš šifrovací klíč – Google knows where you've been and they might be holding your encryption keys. Donovan Colbert napsal článek věnovaný otázce, jak Android sdílí informace se společností Google. Popisuje v něm své zkušenosti. Touto otázkou se zabývá také článek Exclusive: Google´s Web mapping can track your phone.

O nástroji „Android map“ se můžete informovat na stránce android map – by samy kamkar. Nástroj odkrývá data, která Google sbírá virtuálně ze všech zařízení s Androidem (patří k nim také „street view“). Pomocí tohoto nástroje lze lokalizovat libovolný router ve světě, stejně tak i pozici mobilů iPhone a Android.

Forenzní analýza

Ve studii: How 3 Cyber Threats Transform the Role of Incident Response jsou rozebírány tři následující hrozby (na bázi skutečných případů): cílené útoky, exploit systému a krádež dat. Je zde ukázáno, jak mohou pomoci forenzní nástroje (v originále cyberforensics tools).

Elektronické bankovnictví

Aktualizováno: Citigroup hlásí – komromitována byla data k 360 000 pla­tebních karet – Citigroup reveals breach affected over 360,000 cards. Týká se to účtů vedených v USA. Oproti původně ohlášeným 200 000 dat to je téměř dvojnásobek. Krádež vznikla díky často se vyskytující zranitelnosti:

Banky hledají pro svou ochranu pomoc „etických hackerů“ – Analysis: Banks seek cybershelter with „ethical hackers“ . Profesionální hacker Nicholas Percoco dostal nabídku od bankovní instituce – chcete nám pomoci, abychom se nestali příští Citigroup Inc.? Není to první požadavek tohoto typu.

Autentizace, hesla

Nejčastěji používané PINy (pro iPhone) byly zjištěny aplikací Big Brother Camera Security (firma Amitay, aplikace byla odstraněna z App Store pro narušení soukromí) – Top 10 PIN Codes Picked by iPhone Users. Nejvíce časté PINy jsou: 1234, 0000, 2580, 1111, 5555, 5683, 0852, 2222, 1212 a 1998.

Phishing

Byla vydána APWG Web Vulnerabilities Survey (za červen 2011). Komentář k této zprávě je obsažen v článku Web host victims repeatedly exploited by cybercriminals. Tentokrát se materiál mj. zabývá otázkou: Proč prostředí hostingu láká počítačovou kriminalitu?

Autoři cílených phishingů získavají zkušenosti, jejich útoky nabývají nebývalé síly – Spear phishers sharpen skills, craft ‚incredible‘ attacks, say experts. Autor článku představuje názory Dave Jevanse, šéfa Anti-Phishing Working Group (APWG) a Kevina Haley ze Symantecu na současný vývoj této problematiky (i v reakci na nedávný hack Mezinárodního měnového fondu). Obdobnou tématikou (současné útoky) se zabývá i další článek na Computerworldu – High-profile attacks highlight need for defenses against targeted threats. Jaikumar Vijayan se pokouší postihnout možné cesty obran.

root_podpora

Kryptografie

Differential Cryptanalysis of GOST , tato studie obsahuje diferenciální kryptoanalýzu GOST (to je ruská norma pro šifrování). V letošním roce bylo nalezeno několik cest, které ukazují, že tato norma není dostatečně bezpečná. Autoři (Nicolas T. Courtois a Michal Misztal) ukazují jednu z nich.

Různé

Přehled vychází z průběžně publikovaných novinek na Crypto – News.

Byl pro vás článek přínosný?