Bezpečnostní střípky: Google chce být paranoidní ve vztahu k bezpečnosti

Konference a přehledy

Minulý týden se v Barceloně konala konference Black Hat Europe 2010. Na stránce je program konference. Komentář k němu najdete v článku Jeremy Kirka – Hacker conference to address emerging Web threats

Obecná a firemní bezpečnost IT

Podnikání a IT: na které bezpečnostní aspekty je třeba obrátit pozornost v první řadě? Jamey Heary v článku Top 5 Security No Brainers for Businesses vyjmenovává následující:

• Firewall
• Bezpečný router (FW, IPS, QoS, VPN)
• Bezdrátové WPA2
• Emailová bezpečnost
• Webová bezpečnost

Viz také další článek na obdobné téma – Protect and survive (Martin Courtney).

George Campbell formuluje základní cíl bezpečnostní strategie podniku v článku na csoonline.com  – Enabling business strategy is the goal.

How security professionals monitor their kids – jak bezpečnostní profesionálové monitorují své děti? Joan Goodchild hovořila na toto téma s několika bezpečnostními specialisty (jejich jména jsou Martin McKeay, Christopher Falkenberg, Dena Haritos Tsamitis a Daniel Finger). Mobilní telefony, textovky, IM, e-mail, sociální sítě jako Facebook a MySpace – všemi těmito cestami jsou dnešní děti propojené s vnějším světem. Jak rodiče nohou získat přehled o tom, co co je obsahem těchto komunikací? Nehrozí jim někde nebezpečí?

10 online safety tips – zde najdete desítku doporučení k tomu, jak na bezpečí online – ve vztahu k dětem. Tyto tipy připravil BitDefender. Týkají se např. rodičovské kontroly, umístění PC, sociálních sítí, poučení dětí atd.

Jaká je budoucnost bezpečnosti? Budeme mít v mozku botnety? The future of security: Will our brains host botnets?  – Chad Perrin v hyperbole dovádí dohromady současné problémy informačních technologií a představy o vývoji člověka.

Schneierův blog obrací diskuzi svých čtenářů k tématu: Teroristické útoky a úměrná rizika. Bruce Schneier k tomu uvádí dvojici článků:

• Terrorist Attacks and Comparable Risks, Part 1 k článku Hardly Existential. Thinking Rationally About Terrorism 
• Terrorist Attacks and Comparable Risks, Part 2 k článku What kills you matters – not numbers

Britská tajná služba MI5 propustí zaměstnance bez znalostí sociálních sítí, článek na serveru Živě čerpá ze stránky No Mr Bond, we expect you to use wi-fi: MI5 pensions off spies who can´t use I.T..

USA : Jak jsou federální agentury připraveny reagovat na bezpečnostní hrozby? Článek How prepared are federal agencies to deal with security threats? obsahuje několik údajů z přehledu, který připravil Ponemon Institute.

Šéf NSA generálporučík Keith Alexander vystoupil před Kongresem – Military asserts right to return cyber attacks. Tříhvězdičkový generál hovořil k nezbytnosti připravenosti USA reagovat a odpovídal na otázky zformulované v 32-stránkovém dotazníku.

Jaké bezpečnostní školení si vybrat? V článku How to choose your Information Security Training je uvedeno deset otázek, na které byste si měli odpovědět před výběrem takovéhoto školení.

O obvinění bývalého vysokého úředníka NSA z prozrazení utajovaných informací si můžete přečíst na stránce Former NSA Senior Executive Charged with Illegally Retaining Classified Information, Obstructing Justice and Making False Statements. Související informace ze soudní exekutivy jsou pak na odkazu Former NSA Senior Executive Charged with Illegally Retaining Classified Information, Obstructing Justice and Making False Statements.

Software

Bezpečnost sítí – základním problémem je složitost – For network security, the devil is in the complexity. Touto otázkou se zabývá autor článku William Jackson v rozhovoru s Edwardem Amoroso (AT&T Government Solutions). Systémy, které jsou zbytečně komplikované (a to slůvko zbytečně platí bohužel až příliš často) vedou k problémům s bezpečností.

Příručka pro líného programátora: Jak na bezpečné výpočty  – The lazy programmer's guide to secure computing. Video (v délce 1 hodina 13 minut) obsahuje přednášku Marca Stiglera (Hewlett-Packard Labs).

Google nyní tvrdí: jsme paranoidní ve vztahu k bezpečnosti. A to ústy svého CEO Erica Schmidta – Google CEO: ‚We‘re now paranoid' about security. No – kéž by to byla pravda. Některým slabinami aplikací Google se zabývá článek – Google Apps needs more administrator control. Viz také článek – Google: Privacy Is Alive And Well.

Další obětí bezpečnostní chyby Hlášek Google se stal člen Obamova týmu – Google Buzz Privacy Flaw Snags Another Victim: White House Deputy CTO Andrew McLaughlin. White House Deputy CTO Andrew McLaughlin a také přívrženec Google, Hlášky vyzvonily všechny jeho kontakty …

XSS zranitelnosti jsou také na stránkách McAfee a Symantecu – Symantec XSS Defacement. Jediná připojená poznámka: To je sranda…

Eraser secure deletion tool updated – Eraser je v nové verzi – 6.0.7. Eraser je volně dostupný program pro bezpečné smazání dat na pevném disku, najdete ho na této stránce – Eraser.

Skener zranitelností Nessus vychází ve verzi 4.2.2 – Nessus 4.2.2 released. V článku jsou uvedeny některá z jeho nových vylepšení.

Nástroj k rozbití šifrování Office v několika minutách byl prezentován na konferenci Black Hat (Eric Filiol – Analyzing Word and Excel Encryption. An operational solution). Slabost použitého šifrování je již známa delší dobu, nyní však byl předveden konkrétní nástroj, který jí umí prakticky využít – Tool for cracking Office encryption in minutes .

Malware

Scareware nyní tvoří 15 procent všeho malware – Google: Scareware accounts for 15 percent of all malware. Definici scareware najde čtenář například na Wikipedii – Scareware. Dancho Danchev v článku seznamuje čtenáře s předběžnými výsledky studie společnosti Google.

Botnet Zeus využívá nezáplatovanou chybu pdf – Zeus botnet exploits unpatched PDF flaw. Gregg Keizer se obrací k současné technice, kterou k svému šíření Zeus nyní používá. Společnost Adobe zveřejnila cestu k obraně zde – PDF „/Launch“ Social Engineering Attack. Viz také – New Zbot malicious campaign.

Antiviry

Brian Krebs varuje před lištami (toolbars), které antivirové firmy přidávají ke svým produktům – TrendMicro Toolbar + Long URL = Fail. Přímo v titulku svého článku poukazuje na jeden z možných zádrhelů.

Reklama na Facebooku vás zavede k falešnému antiviru – Update: Malicious Facebook ad redirected to fake antivirus software. Oběť je postupně přesměrovávána, až skončí na stránce, kde se prodává falešný antivir.

Společnost Google se vyjádřila k nárůstu falešných antivirů – The Rise of Fake Anti-Virus. Niels Provos z bezpečnostního týmu Google uvádí studii, která obsahuje jejich analýzy a která bude přednesena na workshopu v San José – The Nocebo Effect on the Web: An Analysis of Fake AV distribution. Viz také komentář – Google to Reveal Research into Fake AV Operations.

Hackeři

GIFAR, to je hackerský koncept sdružující obrázky GIF a archivační soubory Javy JAR – Exploring Below the Surface of the GIFAR Iceberg. Ron Brandis se obrací v této studii ke konceptu, který se poprvé objevil v roce 2008 na konferenci Black Hat.

Hackují teenageři? Podle přehledu jeden ze šesti ano – Do teens hack? Survey says 1 in 6 do. Dancho Danchev zde komentuje přehled Teenage Hacking Habits (jeho základem je vzorek odpovědí 1 000 teenagerů z New Yorku). Viz také – Many teenagers hack and rarely get caught.

Clickjacking – na konferenci Black Hat byly ukázány nové metody – Researcher shows new clickjacking methods at Black Hat. Jeremy Kirk v článku přichází s informací k vystoupení Paula Stone (bezpečnostní konzultant společnosti Context Information Security in the U.K.).

Angry Romanian hackers deface Telegraph for Top Gear toss. ‚Gypsies aren‘t Romanians, morons'  – rumunští hackeři: Nejsme cikáni! A provedli defacement webových stránek britských novin The Daily Telegraph jako odvetu.

Dvanáctku bílých (White Hat) hackerů, které byste měli znát, uvádí Ellen Messmer v slideshow – 12 „White Hat“ hackers you should know . Najdete zde např. tato jména: Dan Kaminsky, Joanna Rutkowska, Joe Stewart a další.

Byl hacknut server Apache Software Foundation – Apache project server hacked, passwords compromised. Jsou na něm uchovávány údaje o chybách v SW. Hackeři získali přístup do nezašifrované databáze, kde jsou uložena jména a hesla uživatelů.

Hardware

Co se týká bezpečnosti zdravotnických implantátů, poukazuje Bruce Schneier na v tomto směru zajímavou studii – Patients, Pacemakers, and Implantable Defibrillators: Human Values and Security for Wireless Implantable Medical Devices. Problematice jsou věnovány následující dvě diskuze na jeho blogu:

• Security for Implantable Medical Devices
• Storing Cryptographic Keys with Invisible Tattoos

Fyzikové tvrdí, že mají nyní zařízení produkující skutečně náhodnou posloupnost – Nothing left to chance. Zařízení vychází z principů kvantové mechaniky a zatím není v takové podobě, která by byla vhodná pro praktické aplikace.

Bezdrát

Veřejný bezdrátový přístupový bod – jak zůstat v bezpečí? Autoři článku How to Stay Safe on Public Wi-Fi podrobně rozebírají celou situaci a uvádí sadu doporučení. V závěru článku je pak rekapitulace – 6 základních bodů.

RFID

ENISA ve své zprávě rozebírá rizika cestování v letadlech při použití přicházejících technologií (IoT – Internet of things/RFID) – Future air travel security risks, privacy and social implications. Ve zprávě Flying 2.0 – Enabling automated air travel by identifying and addressing the challenges of IoT & RFID technology jsou pak uvedeny čtyři sady doporučení (pro zpracování politik, pro výzkum, pro legislativu a pro Evropskou komisi).

Mobilní telefony

Aplikace, která má otevřít iPhone, ve skutečnosti kompromituje PC – DNS Trojan poses as iPhone unlocking utility. Poisoned Apple. John Leyden se ve svém textu odvolává na informace pocházející ze společnosti Bit Defender a z blogu Dancho Dancheva. Malware mění DNS nastavení napadeného počítače.

Spam

Množství G-mail spamu roste – Gmail spam uses fake addresses to spread malware. Jsou přitom používány podvržené adresy (jakoby pocházející z G-mailu).Viz také – Spammers use the familiar to inspire action.

Elektronické bankovnictví

Krádež dat ze švýcarské banky se týkala trojnásobného množství zákazníků než uvedla banka původně – Swiss HSBC data breach victim count trebles. How deep does the rabbit hole go?. Celkem se podle vyšetřování má únik dat týkat 79 000 zákazníků a 127 000 účtů těchto zákazníků.

Autentizace, hesla

Please do not change your password aneb používání hesel a ztráta vašeho času. Autor reaguje na výsledky studie Microsoftu (jejím autorem je Cormac Herley). Viz také článek – Passwords, security protocols cost more than they save, says Microsoft researcher. Samotná studie je na tomto odkazu – So Long, And No Thanks for the Externalities: The Rational Rejection of Security Advice by Users.

Krádeže ID znepokojují Američany stále ve větší míře – Identity theft fears weigh on Americans. Tim Greene informuje o zjištěních z přehledu společnosti Unisys.

Phishing

Google chce bojovat proti phishingu – Google is obsessed with phishing, thankfully a Michael Kassner se rozebírá v těchto jeho snahách.

10 zásad ochrany před phishingem, Pavel Satrapa na Lupě: Raději bych tento článek psal bez osobní zkušenosti, ale je třeba si přiznat, že kvalitní phishing dorazil do českého Internetu. TU v Liberci byla díky úspěšnému rhybolovu v posledních týdnech opakovaným hostem spamerských seznamů. Jako reakci jsme mimo jiné sestavili doporučení pro uživatele, jak se nenechat napálit. Myslím, že by mohlo být zajímavé pro širší okruh uživatelů.

Elektronický podpis

Špion uprostřed cesty – The Spy in the Middle, to je článek, ve kterém se Matt Blaze zamýšlí nad výsledky studie Certied Lies: Detecting and Defeating Government Interception Attacks Against SSL (jejími autory jsou Christopher Soghoian a Sid Stamm). Ukazuje se, že hrozby, které se zdály být víceméně jen teoretické se mohou transformovat do praktické podoby. Zaručují digitální certifikáty vždy bezpečí? 

Viz také – Man-in-the-Middle Attacks Against SSL.

• Removing the Risks of SSL – Part 1 of 2
• Removing the Risks of SSL – Part 2 of 2

Datové schránky: bez časového razítka to nepůjde! II., Jiří Peterka na Lupě: Až dosud oficiálně převažoval názor, že když orgán veřejné moci vyprodukuje nějaký elektronický dokument, stačí když ho opatří uznávaným elektronickým podpisem či značkou, ale časové razítko už přidávat nemusí. Nyní už i ministerstvo vnitra připouští, že k právním účinkům takového dokumentu je třeba, aby časové razítko připojeno bylo. Peterka navazuje na svůj článek z července 2009 – Datové schránky: bez razítka to nepůjde!.

Biometrie

Schneierův blog se v diskuzi obrací k pokusu oklamat zařízení pro biometrii obličeje – Makeup to Fool Face Recognition Software (student newyorkské univerzity v ročníkové práci …).

Různé

Přehled vychází z průběžně publikovaných novinek na Crypto – News.