Bezpečnostní střípky: hackeři se chystají na zimu

Přehledy

Komentář ke zprávě RSA Monthly Online Fraud Reports je obsažen v článku RSA online fraud report highlights phishing and brand attacks. Jsou zde charakterizovány různé dnes se vyskytující typy podvodů z hlediska četnosti jejich výskytu.

Zpráva IBM konstatuje bezprecedentní situací s (ne)bezpečností webů, informuje o ní článek IBM report reveals unprecedented state of Web insecurity. Obsahuje stručné shrnutí závěrů zprávy 2009 Midyear X-Force report (samotnou zprávu a související statistiky lze stáhnout ze stránky Latest Trend and Risk Report, nezbytná je registrace). Další komentář k této zprávě obsahuje článek An unprecedented level of malware and malicious links have been detected this year.

Obecná a firemní bezpečnost IT

Cloud computing – proč je tento přístup problematický? Ira Winkler na stránkách csoonline.com Winkler: The Real Problems With Cloud Computing uvádí celou řadu argumentů. Centrální myšlenku jeho úvah lze charakterizovat následovně : servery je sice možné chránit s dostatečnou bezpečností, to samé se však netýká uživatelských dat.

Většina průniků dat má příčinu uvnitř organizace, způsobily je chyby pracovníků. Vyplývá to z nedávného průzkumu dodavatele bezpečnostních technologií RSA. 52 procent těchto incidentů bylo přitom neúmyslných. Tato rizika jsou organizacemi podceňována a přitom jsou vlastně největší hrozbou organizacím, říká Chris Young, zástupce RSA – Insider risk problem revealed .

Východoevropský gang krade miliónů dolarů menším americkým firmám pomocí online podvodů – Businesses Reluctant to Report Online Banking Fraud . Podvodem získají přístup k online účtům firmy. Tuto činnost umožňuje útočníkům malware, které se jim podaří umístit na firemních počítačích. Útočníci pak pošlou peníze z účtu spolupachateli z USA a ten je následně přepošle samotným podvodníkům. Viz také komentář v článku – Cyber crooks increasingly target small business accounts.

Tomuto tématu (okrádání menších firem online) je také věnována diskuze na Schneierově blogu – Small Business Identity Theft and Fraud. Bruce Schneier zde poznamenává: banky problém nezajímá, ztráty jdou z účtů společností. Bezpečnostní problém (nedostatky v autentizaci) rozebírají také diskutující.

Byl publikován rozbor, který se věnuje následujícímu problému: jak ze sociálních sítí unikají osobní informace? Studie On the Leakage of Personally Identifiable Information Via Online Social Networks odhaluje, jak nedostatečně zabezpečená cookies (obvyklá i flash) s unikátním identifikátorem uživatele vedou k možnému prozrazení dat a chování uživatelů (jmenovány jsou sítě Twitter, Facebook a LinkedIn). Komentář k výsledkům studie je na stránce Social network privacy study finds identity link to cookies.

Zaměstnanci oznámili bezpečnostní problém a – dostali padáka – Employees Fired After Reporting Security Breach. Město (Lake Worth) tvrdí, že žádný takový problém neexistuje. Také se může přihodit …

Příručka (soubor článků) pomůže vybudovat strategii poskytující prevenci před ztrátou dat. Bill Brenner uvádí na stránkách csoonline.com (Unmasking DLP: The Data Security Survival Guide) v této souvislosti dvoje mluvené slovo a následujících pět článků:

• Security Analyst to DLP Vendors: Watch Your Language
• Solving the DLP Puzzle: Survival Tips from the Trenches
• Solving the DLP Puzzle: 5 Ways Employees Spill Sensitive Data
• Solving the DLP Puzzle: 5 Technologies That Will Help
• 3 Ways Pen Testing Helps DLP (and 2 Ways It Doesn't)

Přehled (zpracovaný společnostmi AVG a CMO Council) zjišťuje, že zranitelnost uživatelů sociálních sítí je nyní větší než kdy předtím – Social networking users more vulnerable than ever. Výsledky přehledu ukazují, že zatímco na většinu uživatelů mají vliv dopady bezpečnostní problémy pocházející z internetu, pouze třetina z nich provádí nějaká protiopatření. V závěru této informace je uvedeno šest doporučení společnosti AVG, která uživatelům mají napomoci uchovat svoji bezpečnost:

1. Nereflektujte na pop-up okénka anebo na nabídky SW, pokud nedisponujete webovým skenerem (něčím jako je volně dostupný AVG LinkScanner), který ověřuje každou stránku, zda neobsahuje infekci (před přístupem na tuto stránku).
2. Nikdy neposkytujte, nezveřejňujte či nesdělujte jakákoliv důvěrná osobní data (rodné číslo, bankovní podrobnosti, lékařské záznamy). Sociální sítě nevyžadují tato data (k tomu, abyste byli do nich zapojeni).
3. Obměňujte své heslo nejméně jednou měsíčně. Neměňte ho, pokud je vám to nabídnuto. Je to jeden z používaných triků a může to být podvodná stránka.
4. Nenechávejte své přátele, příbuzné, spolupracovníky atd., aby přistupovali do sociálních sítí z vašeho počítače a ani vy nevstupujte do sociálních sítí na jejich počítačích. Váš počítač může být infikován anebo vaše přihlašovací data mohou být kompromitována.
5. Nikdy nepoužívejte automatické vkládání hesla, jednou týdně (minimálně) vyčistěte svoji historii.
6. Neakceptujte požadavky přátel anebo nežádejte nic od přátel, které osobně neznáte.

Nedalo mi to, musím upozornit na zase jeden matoucí výklad – Šifrování dat mýtů zbavené (2). Autor zjevně příliš dobře nechápe pojem certifikát (správněji digitální certifikát, ale to ještě lze odpustit), co tento obsahuje a k čemu vlastně digitální certifikát slouží.

Software

Podrobný výklad k CSRF chybě Facebooku si lze přečíst na stránce Facebook CSRF attack – Full Disclosure, komentář k tomu je pak v článku Researcher details Facebook CSRF flaw. Facebook již chybu opravil, problém byl ve vlastnosti stránek známé jako „Automatic Authetication“.

Google’s Safe Browsing – pomáhá proti malware, ale také napomáhá získat o vás informace – Google Safe-Browsing and Chrome Privacy Leak. Tento SW (Google’s Safe Browsing) je součástí prohlížečů Chrome a Firefox.

80 procent uživatelů brouzdá se zranitelnou verzí Flashe – 80 per cent of users surf with vulnerable versions of Flash. Vyplývá to ze zprávy poskytovatele bezpečnostních služeb Trusfeer – Flash Security Hole Advisory.

O nebezpečných zranitelnostech Google Chrome informuje Ryan Naraine – High-risk vulnerabilities hit Google Chrome.

Úvod k forenzní analýze flash cookies najdete na stránce Flash Cookie Forensics. Na začátku své informace se autor (Chad Tilbury) odkazuje na výborný článek Flash Cookies and Privacy. Uvádí některá základní fakta a rozebírá vlastnosti těchto cookies z pohledu LSO (local Shared Objects), zejména pak, jakého typu informace jsou zde uchovávány.

Malware

Vládce botů prohlašuje: vše je nyní o infekcích a pak prodávání velkých balíků botů – Botmaster: It's All About Infecting, Selling Big Batches of Bots. Cena botu se na trhu pohybuje od 10 do 25 centů (amerických) za jeden počítač.

Na infikovaných stránkách si lze vybrat – malware pro OS X či Windows – Malware Writers: Will That Be OS X, or W? . Např. nová varianta trojana (který mění DNS, DNS Changer Trojan) testuje, zda návštěvník přistupuje na stránku z počítače s Windows či z Maca.

Je vaše PC infikováno botnetem? Robert Vamosi na Computerworldu rozebírá jeden z aktuálních problémů dneška – Is Your PC Bot-Infested? Here's How to Tell. I když vám antivir nic nehlásí, neznamená to vůbec, že váš počítač je čistý, tj. neobsahuje malware. Antiviry prostě za množstvím hrozeb zaostávají. Autor v této souvislosti poukazuje na možnost využití volně dostupného nástroje společnosti Microsoft – Malicious Software Removal Tool anebo na další volně dostupný program Bothunter.

Formování úspěšné antimalwarové strategie bylo tématem interview Stevena Foxe s Andrew D. Hayterem na konferenci Black Hat. První jeho část je na stránce Building a Successful Anti-Malware Strategy.

Podrobnosti k botnetu, který byl řízený přes Twitter, obsahuje stránka Twitter-based Botnet Command Channel. Najdete zde několik detailů a rozsáhlou diskuzi.

Viry

And the best free Anti-Virus program is… – A nejlepší volně dostupný antivir je … diskuze, která nepochybně zaujme.

Hackeři

Ruští hackeři poškodili servery obsluhující azerbájdžánský plynovod – Russian hackers vandalized BTC pipeline data servers . Plyn tak nemohl jít do Evropy cestou, která nejde přes Rusko.

Objevila se nová hrozba dodavatelům ropy – hackeři. GREG GRANT v článku The New Threat to Oil Supplies: Hackers popisuje problémy těžebních společností, které těží ropu z mořského dna.

55 000 webů hacknuto a rozdává koktejl z malware – 55,000 Web sites hacked to serve up malware cocktail. Zatím není jasné, jaká byla použita zranitelnost. Mimo jiné se útok týká programů jako Adobe Flash, Adobe PDF Reader, Apple’s QuickTime, WinZip a RealPlayer. Záplatujte včas.

ScanSafe raises alarm about thousands of compromised Web pages  – ScanSafe: jak je to s nejnovějšími infekcemi webů? Michael Kassner komentuje informace z blogu této firmy – Up to 55k Compromised by Potent Backdoor/Data Theft Cocktail. Počet infikovaných stránek narůstá, podle autora jich včera bylo již téměř 100 000, v článku Auto SQL injection co-opts thousands of sites se uvádí, že v úterý jich bylo již 130 000.

Hackeři se chystají na zimu – bude fůra práce. Kelly Jackson Higgins (Dark Reading) informuje o výsledcích ankety, která byla provedena mezi hackery na nedávných konferencích Black Hat a Defcon – Message From Hackers: Enjoy The Summer Break Because Winter Attacks Will Be Harsh.

Tři velké útoky typu SQL injection mají zřejmě téhož původce – Web attacks across globe appear linked, security researcher says . Jako výsledek těchto útoků vznikly tři botnety – 80 000 webů v Číně, 67 000 ve Spojených Státech a 40 000 webů v Indii. V této souvislosti Mary Landesman (ScanSafe) kritizuje stávající systém registrace domén, který umožňuje používat zcela smyšlená data.

Hardware

Simtec Entropy key, to je informace o USB disku, který podle popisu umí generovat kvalitní náhodná čísla.

Obsahují notebooky zaslané americkým guvernérům malware? Vyšetřuje to nyní FBI. Objevila se nová cesta k distribuci malware? Je pravda, že dnes často data obsažená v počítači mají výrazně větší cenu než samotný počítač – FBI investigating laptops sent to US governors. There may be a new type of Trojan Horse attack to worry about. Problému je také věnována diskuze na Schneierově blogu – The Security Risks of Accepting Free Laptops.

Bezdrát

Nový útok rozbije šifrování bezdrátu (WPA) během jedné minuty – New attack cracks common Wi-Fi encryption in a minute. Japonští odborníci vylepšili útok z listopadu loňského roku a dovedli ho do prakticky využitelné podoby.

Mobilní telefony

Chystaný open source projekt má cracknout šifrování mobilních telefonů – Cracking GSM phone crypto via distributed computing. Jedná se o algoritmus A5/1, zde v Evropě je používána jeho silnější verze A5/2. Další komentáře:

• Public call to crack GSM encryption: Appropriate or not? (Michael Kassner)
• Mobile operators pooh-pooh universal phone-snooping plan (Dan Goodin)

Byl zveřejněn kód trojana, který umožňuje odposlech hovorů Skype – Source code of Skype covert tap released. Publikoval ho švýcarský vývojář Ruben Unteregger na svých stránkách – Skype trojan sourcecode available for download. Trojan zaznamená audio data hovoru a odešle je ve formátu MP3 na příslušný server.

Elektronické bankovnictví

Bruce Schneier konstatuje, dnes se kradou soubory s milióny dat k platebním kartám – Stealing 130 Million Credit Card Numbers. Možná i data k vaší kartě již byla takto ukradena. Je třeba se však bát? Schneier o tom pochybuje. Někteří diskutující s ním však nesouhlasí.

Trojan odesílá zjištěná bankovní data pomocí IM – Trojan zaps banking credentials via IM. Instant gratification. Dochází takto k tomu, že podvodníci mají k dipozici tato data v reálném čase (data jsou odesílána okamžitě, jakmile jsou zjištěna). Díky tomu mají problém i systémy, které používají k autentizaci jednorázová hesla.

Britské banky jsou kritizovány, nebojují dostatečně proti internetovým podvodům – UK banks ‚not doing enough‘ on internet fraud. Which? lists security saints and sinners. John Leyden komentuje výsledky přehledu, který připravil Which? Computing. Je konstatováno, že mezi přístupy jednotlivých bank jsou velké rozdíly.

Autentizace, hesla

Velká Británie – vláda nechá znovu otestovat připravovanou ID kartu – Tech industry could get crack at ID card security. Toto vyhlášení je reakcí na prohlášení Adama Laurie, který řekl, že umí kartu hacknout.

Phishing

Phishing emails dry up as fraudsters switch tactic aneb o aktuální situaci ohledně phishingu. Podle Kaspersky Lab jeho objem klesá. Příčinou jsou lepší cesty obran proti těmto útokům. Podvodníci tak přechází na jiné metody.

Normy a normativní dokumenty

Americký NIST vydal dva drafty (NIST Computer Security Division ):

• NIST IR 7621 Small Business Information Security: The Fundamentals
• Special Publication 800–81R1 Secure Domain Name System (DNS) Deployment Guide 

Různé

Házení mincí není úplně náhodné – Non-Randomness in Coin Flipping. Schneier uvádí odkaz na článek, kde je prezentován takovýto výzkum a uvádí na svém blogu jeho závěry.

Stopujeme vlastní texty na cizí weby, Martin Malý na Lupě: Na Internetu se na autorská práva moc nehledí, i když se v posledních letech situace trochu zlepšuje. A to nemluvíme jen o známých a mediálně proslulých případech, tj. stahování hudby a software. Co takové kopírování obsahu z webů? Tím jsou porušována autorská práva taky, a leckdy i z nevědomosti. Jaké jsou možnosti pasivní a aktivní ochrany proti takovému chování?

Přehled vychází z průběžně publikovaných novinek na Crypto – News.