Bezpečnostní střípky: hacky na konferencích Black Hat a Defcon

Konference

Black Hat a Defcon – fotografického průvodce najdete na stránce Photos show the cultural difference between Black Hat and Defcon hacker events. Fotografie ukazují na rozdíly mezi těmito dvěma akcemi.

Komentáře k průběhu konference Defcon obsahuje článek DefCon: Hacker Conference Exposes Lax Security Of Companies, Other Hackers . Na stránce Black Hat, Defcon: All about hacking (roundup) najdete odkazy na celou sadu článků věnovaných těmto dvěma akcím (Black Hat a Defcon).

Zjištění na Defconu, co nás naučili Anonymous? Bezpečnost společností pokulhává – Defcon: The lesson of Anonymous? Corporate security sucks. Tim Greene komentuje panel odborníků, který proběhl na Defconu.

Komentář k průběhu konference Defcon 19 napsala také Deb Shinder – Deb does DEFCON: Hacking conference tackles cyberwar and civil liberties.

Na konferenci Black Hat proběhla také diskuze okolo bezpečnosti systémů SCADA SCADA Security Widely Discussed at Black Hat in Wake of Stuxnet Attack, nepochybně dopad červa Stuxnet ovlivnil zájem o toto téma.

Desítka nejvíce strašidelných hacků z konferencí Black Hat a Defcon, takovouto slideshow připravil Tim Greene – 10 scariest hacks from Black Hat and Defcon.

Summit SANS (European Digital Forensics and Incident Response Summit) se bude konat v 21. a 22. 9. 2011 v Londýně – SANS: What works.

Obecná a firemní bezpečnost IT

Web Threats, Security, and DDoS eGuide, to je příručka (16 stran), kterou připravila společnost Verisign. Vzhledem k tomu, jak se mění dnešní hrozby, je obtížné udržovat sítě společností v bezpečí. Útočníci využívají novou technologii, podvody sociálního inženýrství a prvky překvapení. Útoky DDoS trápí organizace, stále častěji se objevují takové postupy jako APT (pokročilé setrvávající hrozby) a cílený phishing. Předkládaný materiál uvádí existující nové informace, doporučení a komentáře, které mohou pomoci zabezpečit moderní podnikové IT prostředí.

Přehlížená rizika internetu jsou rozebírána na stránce The overlooked risk to the internet. V rozhovoru na otázky věnované tomuto tématu odpovídá Andreas Mauthe (Lancaster University). Konstatuje, že IT profesionálové z průmyslu na prvních místech obvykle uvádí rizika vyplývající ze sociálního inženýrství, zatímco odborníci z výzkumu zmiňují síťové útoky se škodícím záměrem (jako útoky DDoS).

Je připravováno hodnocení bezpečnosti poskytovaných cloudových služeb – Assessing the security of cloud providers. Přichází s ním iniciativa Cloud Security Alliance. „Registr CSA Security, Trust & Assurance Registry (STAR)“ bude volně dostupný a bude dokumentovat, jaké bezpečnostní kontroly provádí různí poskytovatelé cloudů. Má být spuštěn ve čtvrtém čtvrtletí 2011.

Google data ze svých evropských úložišť dává k dispozici americkým autoritám – Google also passes on European data to US authorities. To dává argument těm, co bojují za ochranu evropských dat, poznamenává závěr informace.

8 Technical Methods That Make the PROTECT IP Act Useless aneb PROTECT-IP Act – osm technických cest, jak ho obejít. Drew Wilson ukazuje, jak lze obejít „cenzuru DNS“.

Nepokoje v Londýně – hackeři chtěli donutit společnost RIM (zařízení Blackberry), aby nespolupracovala s policií – Hacker tries to blackmail RIM over riot data. Jinak zveřejní data zaměstnanců, ke kterým se hackeři dostali. Viz také – BlackBerry blog defaced and threats made over co-operation with police over #londonriots.
Podrobnosti přináší článek BlackBerry Maker Attacked From All Sides in English Riots.

Na stránce Thor’s Microsoft Security Bible si lze přečíst krátkou recenzi na stejnojmennou knihu. Kniha vyšla nyní v srpnu 2011 (nakladatelství Syngress, 336 stran) – Amazon. Jejím autorem Timothy „Thor“ Mullen.

Recenze další knihy je zde – Cyber Warfare: Techniques, Tactics and Tools for Security Practitioners. Autory knihy jsou Jason Andress a Steve Winterfeld, kniha vyšla v červnu 2011 (nakladatelství Syngress, 320 stran), lze jí najít rovněž na Amazonu.

Studii k taxonomii operačních kyberbezpečnostních rizik najdete na stránce A Taxonomy of Operational Cyber Security Risks. Na zajímavý materiál (47 stran, jeho autory jsou James J. Cebula a Lisa R. Young) umožňující rozlišit charakter různých rizik těchto typů upozornil Bruce Schneier – Taxonomy of Operational Cyber Security Risks.

Úspěšný CSO odpovídá na otázky – Lessons in security leadership: William Phillips. William Phillips, CNA Insurance (získal cenu 2011 CSO Compass Award) hovoří o důležitých momentech své kariéry. Obdobnému tématu (vedení v oblasti bezpečnosti) je věnován další článek na csoonline.com – Improve your security leadership with one simple lesson from improv.

Penetration Tester's Open Source Toolkit, to je recenze další knihy, tentokrát věnované penetračním testům. Tato kniha vyšla v srpnu 2011 v naklada­telství Syngress, má 464 stran, jejím autorem je Jeremy Faircloth. Najdete ji na Amazonu.

Volně dostupná služba obejde ochranné mechanismy internetových kiosků – Free web service cracks internet kiosks. Novozélandský bezpečnostní specialista Paul Craig na Defconu vystoupil s verzí 5 služby iKAT (Interactive Kiosk Attack Tool). Internetové kiosky jsou často používány v hotelech na letištích a jiných veřejných místech.

Shady RAT ukazuje na nedostatečná zaměření bezpečnostních firem – Shady RAT shows security vendors have their priorities wrong. Autor článku se v něm věnuje aktuálním hrozbám typu APT (Advanced persistent threats). Doporučuje mj. užší spolupráci bezpečnostních firem s FBI.

Britská vláda zvažuje blokování sociálních sítí během nepokojů – If the riots resume, will the UK try to block social media?. Záměrem je ztížit jejich organizaci. Naráží to však na problém občanských svobod. Viz také – Britain May Shut Down Social Media During Riots.

A Hacker Tells All, zde si lze přečíst recenzi knihy Kevina Mitnika, která se nazývá Ghost in the Wires. My Adventures as the World’s Most Wanted Hacker. Spoluautorem knihy je William L. Simon. Vychází nyní v srpnu 2011, vydává jí nakladatelství Little, Brown and Company, má 432 stran a zakoupit ji lze třeba na Amazonu. Výňatek z knihy – Prologue.
Viz také – Hacker Mitnick Duped Corporate Cyber-Cops, Cracked Wiretaps a Kevin Mitnick’s story will give new meaning to your understanding of security & business – Book Review.

Sociální sítě

Lady Gaga je mrtvá, hlásí podvodné oznámení na Facebooku – Lady Gaga Dead, Says Facebook Scam. Pokud kliknete na odkaz, dostanete se na stránku, která vypadá jako stránka BBC news s černým oknem pro video. Kliknutím na video však rozešlete přátelům hlášku „Like“ a rozmnožíte tak počet potenciálních obětí. Stefani Germanotta samozřejmě žije, ale podvodných hlášek obdobného typu se objevuje na Facebooku stále více.

Facebook testuje nový nástroj pro mobilní zařízení – Facebook Testing Anti-Bullying Tool, Password Reset on Mobile Devices. Nástroj Mobile Social Reporting má napomoci k oznamování kyberšikany a znovunastavení hesla z mobilních zařízení.

Anonymous Crosses Swords with Facebook: Will Hackers Bring It Down on Nov. 5? – hackeři zkřížili meče s Facebookem. Shodí ho 5.listopadu? Hacktivistům se prý nelíbí velké narušování bezpečnosti a prodej soukromých dat vládním agenturám.
Viz také – Hackeri z Anonymous sa chystajú zničiť Facebook (a aktualizaci v závěru).
Dále se objevují pochyby:

• Anonymous Threat Against Facebook Not an Official Attack, May Be a Hoax
• Security watchers question supposed Facebook hack
• And now, an important message from Anonymous

Viz také dva články na csoonline.com, věnované této otázce. Každý se na ni dívá z opačné strany:

• Why Anonymous won´t kill Facebook Nov. 5
• Counterpoint: Wrong about Anonymous, Facebook

Tento článek – Hacker Group Anonymous Sets Facebook Destruction Date – shrnuje dostupné informace.

Kriminalita na Facebooku se stává sofistikovanější – Facebook Cybercrimes Getting More Sophisticated. Autor článku varuje, množství kriminálních aktů roste. Uvádí několik příkladů.

Google+ bude prosazovat politiku reálných jmen – Google to Enforce Real Name Policy After 4 Days. Čtyři dny – to je doba, do které se musí uživatel odpoutat od svého pseudonymu, přezdívky, jinak jeho účet bude odpojen.

Panika! Facebook Messenger je… jenom další díra do soukromí, Daniel Dočekal s trochu bombastickým titulkem na Lupě: Uživatelé Facebooku se navzájem varují před Messenger aplikací a zásahem do soukromí v podobě přenosu čísel vašich kontaktů z telefonu na Facebook. Skutečnost je ale taková, že jde o funkčnost, která je už dlouho základem Facebooku. A také nepochopení toho, co vlastně Facebooku uživatelé dovolí a co mu svěří.

Software

Bezpečnosť na LAN pod lupou: DHCP spoofing , Matej Zuzčák: Útočník sa vďaka DHCP Spoofingu môže ľahko vydávať za bránu resp. smerovač, či DNS server. Prostredníctvom útoku totiž podvrhne ich sieťové adresy. Týmto spôsobom jednoducho zachytí sieťovú prevádzku, môže ju pozmeniť, ale aj presmerovať. Pre plné pochopenie článku je potrebné naštudovať si prvú časť seriálu:

• Bezpečnosť na LAN pod lupou: Úvod a útok ARP cache poisoning

Druhý díl seriálu je zde:

• Bezpečnosť na LAN pod lupou: Port stealing a MAC flooding

Mozilla bude blokovat nežádoucí doplňky Firefoxu – Mozilla to automatically block unwanted Firefox add-ons. Chce tak přispět lepším bezpečnostním vlastnostem svého prohlížeče. Viz také – Firefox 8 to block unapproved add-ons.

Cain & Abel 4.9.42 released – Cain & Abel, tento nástroj pro rozkrytí hesel systémů Microsoftu je ve verzi 4.9.42.

Malware

Hromadná kompromitace stránek WordPress vede k otráveným výsledkům vyhledávání pro Google Image – Mass WordPress hijack poisons Google Image well. Uživatelé jsou přesměrováni na servery, které se pokouší infikovat jejich počítače. Je záhadou, jakou cestou byly stránky WordPressu kompromitovány, a to včetně těch, kde běží aktuální verze WordPress. Podrobnosti uvádí Denis Sinegubko – Hacked WordPress Blogs Poison Google Images.

Čína byla v roce 2010 zasažena téměř půl miliónem trojanů – China Hit by Nearly 500K Trojans in 2010 With U.S. As Largest Culprit. Jejich původ měl být v USA. Informuje o tom státní informační agentura Xinhua.
Viz také komentář – China Hit By 480,000 Trojan Horse Attacks in 2010.

Malware, který byl použit v útoku proti RSA (a dalším) – jeho původ byl vystopován do Číny – Malware Behind RSA Breach, Other Attacks Traced Back to Chinese Networks. Pracovníci Dell SecureWorks identifikovali na základě své analýzy několik sítí v Číně (Peking, Šanghaj).

Rootkit gangs fight for control of infected PCs, probíhají boje o kontrolu nad infikovanými PC. John Leyden informuje o bandách stojících za různými verzemi rootkitu TDL (TDL3 a ZeroAccess). Skupina stojící za ZeroAccess zabudovala funkčnost, která umožňuje odstranit TDL3 prostřednictvím speciálního modulu Anti-TDL.

Botnet Harnig se vrací, ale bez Rustocku – Harnig Botnet Returns, But Without Rustock. O těchto nových aktivitách informují pracovníci firmy FireEye.

Viry

Symantec zpřístupnil bezplatný antivir pro Android – Symantec Unveils Free Anti-Virus App for Androids. Jedná se o produkt Norton Mobile Security Lite.

Hackeři

AntiSec hackers dump data after hacking police websites – AntiSec a ukradená policejní data. 10 Gbytů dat bylo získáno byl získáno během útoku na více než 70 maloměstských agentur USA. Anonymous pak zveřejňují ukradená data i v dalších zemích. Anonymous dump 7.4 GB of US law enforcement web sites. Jedná se o data z USA (law enforcement agencies), Brazilie (Operation Satiagraha)a Ecuadoru (osobní data policistů). Dotčení policisté (USA) to ještě často nevědí – Many Sheriff´s Deputies Unaware of Massive Hacktivist Data Breach.

Desetiletá „hackerka“ našla chyby v hře pro mobily – 10-year old hacker finds flaw in mobile games. Vystoupila s tím na Defconu. Fotka této šikulky je zde – 10-year-old hacker finds zero-day flaw in games.

Syrští hackeři zaútočili na sociální síť Anonymous – Syrian hackers retaliate, deface Anonymous' social network. Je to odveta za útok Anonymous na syrské ministerstvo obrany.

O posledních útocích Anonymous (AntiSec) informuje článek Anonymous dumps US law enforcement, Brazil´s Federal Police data, hacks Syrian MOD website.
Viz také:

• AntiSec hackers dump data after hacking police websites
• Anonymous ups the ante against police in new attack claim
• Anonymous Hackers Expose Sensitive Law Enforcement Data
• Hackers release vast amounts of US police information

Byly zveřejněny další podrobnosti ohledně operace Shady RAT – Digging Deeper into Operation Shady RAT. Brian Prince v tomto článku informuje o zjištěních firmy Symantec.

Hackeři oznámili, že crackli e-mailové účty (dva) norského masového vraha – Hackers claim to have cracked Norway mass-murderer's email. Získané informace předali novináři na volné noze (Kjetil Stormark), který je předal policii. Viz také – Hacking gang breaks into Norwegian killer's email accounts.

Na Defconu proběhl úspěšný útok proti 4G a CDMA – 4G and CDMA reportedly hacked at DEF CON. Útok MITM (man-in-the-middle) umožnil hackerům získat přístup do jádra některých zařízení s Androidem a PC. Útočníci mohli krást data a monitorovat konverzaci. Viz zpráva – DEF CON 19 – hackers get hacked!.

Objevila se informace o napadené sítí univerzity ve Wisconsinu – Security Breach Hits Wisconsin University Server Storing Student, Faculty SSNs. Kompromitována byla zřejmě osobní data (studentů a pracovníků školy), ale hlavním cílem útočníků měla být snaha dostat se k výsledkům výzkumu.

O jiném průniku informuje článek Lush hack let slip 5,000 people´s bank details – byla prozrazena bankovní data 5000 zákazníků firmy Lush.

Hardware

Vyvarujte se Maců v podniku, říkají bezpečnostní konzultanti – Beware of Macs in enterprise, security consultants say. Varování se objevilo v jednom z vystoupení (iSec Partners) na konferenci Black Hat.

Defcon: zámek certifikovaný pro americké obranné kapacity lze odemknout kouskem drátu – Lock certified for U.S. defense facilities opened with wire. Švýcarský zámek Access Control E-Plex 5800 měl být prvním zámkem, který splňuje požadavky amerického ministerstva národní bezpečnosti. Marc Weber Tobias říká, problém je v tom, že tvůrci zámků přemýšlí jako inženýři nikoliv jako hackeři.

Polovina organizací ztratila informace na USB discích – Half of organizations lost information on USB drives. Článek informuje o výsledcích nedávné studie, kterou připravil Ponemon Institute.

Dětská hračka umí narušit drahou komunikaci FBI – Security flaw found in feds' digital radios. Dokáže to věcička od Mattela – GirlTech IMME – růžovoučké zařízení pro holčičky do deseti let. Informuje o tom Matt Blaze na konferenci Usenix. Viz také komentář – Children´s toy can jam FBI radios, researchers say.

Chcete někoho dopadnout při činu? Postavte si kamerovou past – Build a Camera Trap (video návod, pro technicky trošku zdatnější jedince).

Bezdrát

Jak fungovala bezdrátová síť na konferenci Black Hat? V takto „nepřátelském“ prostředí to neměla lehké. V článku A look into Black Hat's wireless network je popsáno několik statistik. Viz také komentář – Aruba Networks´ Military-Grade Wireless Blocks Hacker Attacks at Black Hat.

VoIP

Defcon: VoIP je vhodnou platformou pro kontrolu botnetů – Defcon: VoIP makes a good platform for controlling botnets. Itzik Kotler a Iftach Ian Amit (společnost Security Art) při demonstraci využili open source SW Moshi Moshi.

Mobilní telefony a zařízení

Blackberry může být v Indii zakázáno – India cracks down on the Blackberry. Společnost Research in Motion nedokázala vyhovět přísným požadavkům indické legislativy. Jedná se o zde již dříve zmíněný problém spojený se šifrováním.

Android: nalezená chyba vytváří hrozby prostřednictvím vyskakujících okének – Developers warn of pop-up threat on Android. Okénka mohou být zneužita k phishingu anebo k nepříjemným reklamám. Zjištění bylo prezentováno na Defconu.

Oznámeno bylo prolomení šifrování pro mobilní sítě GPRS – Hackers crack crypto for GPRS mobile networks. Známý „aktivista“ v tomto směru, německý odborník Karsten Nohl (Security Research Labs, Berlín) to vysvětluje nedostatečně bezpečnou implementací GPRS. Bude k tomu hovořit na akci Chaos Communication Camp 2011.
Viz také – Hacker to Demonstrate ´Weak´ Mobile Internet Security.

Consumers failing to take mobile security seriously says Sophos – uživatelé mobilních telefonů si je nechrání, říká nedávný přehled společnosti Sophos. Na stránce je také uveden odkaz na volně dostupný nástroj společnosti – Mobile Security Toolkit.
Viz také komentáře:

• Survey says 70% don´t password-protect mobiles: download free Mobile Toolkit
• Mobile Apps Fail to Secure User Names, Passwords, User Data: Survey

Mobilní aplikace nejsou zabezpečeny proti krádežím účtu – Mobile Missteps: Smartphone Apps Leave Users Open to Account Theft. V článku jsou komentovány výsledky studie společnosti ViaForensics – appWatchdog. Je jim také věnován článek Mobile Apps Fail Big Time at Security, Study Says.

Aplikace pro Android (test lásky) je zdrojem malware – Love lure malware turns up at Android marketplace, další z řady, tato je prodávána v Číně. O jiné aplikaci hackující Android informuje článek Israeli Student´s Android Hacking App Could Hijack Computers.

Spam

Úředníci FBI jako cíl spamu – FBI officials become spam targets. Spam je zasílán na jméno činitele FBI spolu s jeho služebním zařazením (!). Je mu v něm oznamován příchod velké sumy peněz, atd. Vše je samozřejmě podvod.

Autentizace, hesla

Bude video CAPTCHA neprorazitelná? V článku Video CAPTCHAs target cyberbaddies informuje John Leyden o nové technologii.

Cipherspaces/Dar­knets: An Overview Of Attack Strategies aneb anonymizační sítě a jejich nebezpečí. Na stránce podrobně rozebírá tuto problematiku Adrian Crenshaw (Iron Geek).

Phishing

Cílený phishing, obnoveny byly útoky na Gmailové účty amerických vládních úředníků – Spear phishers renew attack on feds' Gmail. Cílem útočníků je monitoring soukromé pošty lidí pracujících na citlivých pozicích ve vládě a v armádě. Viz také – Obama-Favored Think Tank Used as Bait in Spear Phishing Attacks.

Elektronický podpis

Black Hat: objevil se nástroj, s jehož pomocí lze obejít SSL certifikačních autorit – Black Hat Researcher Releases Tool to Bypass SSL Certificate Authorities. Známý odborník Moxie Marlinspike přišel s pluginem (add-on) pro Firefox, ten nahradí certifikační autority. Viz Convergence. Podle autora návrhu se jedná o bezpečnější postup.

A Study of What Really Breaks SSL. HITB Amsterdam 2011. – slabiny SSL, Ivan Ristič o nich znovu hovořil na konferenci Black Hat – What really breaks SSL? Video – SSL Labs: Researching the technology that protects the Internet.

Kryptografie

Kvantová kryptografie – podrobný úvod do problematiky najdete na stránce Chapter 5. Quantum Cryptography. Jedná se o pátou kapitolu (16 stran) chystané knihy „A Multidisci­plinary Introduction to Information Security“. Jsou zde vysvětleny srozumitelnou cestou teoretické základy problematiky. K materiálu je připojena řada dalších odkazů.

Útočníci v operaci Shady RAT využívali steganografii – ‚Operation Shady RAT‘ Attackers Employed Steganography. Kelly Jackson Higgins zde informuje o zjištěních společnosti Symantec.

Různé

Přehled vychází z průběžně publikovaných novinek na Crypto – News.