Hlavní navigace

Bezpečnostní střípky: hrozby sociálního inženýrství se nevyhýbají nikomu

20. 8. 2012
Doba čtení: 16 minut

Sdílet

Pravidelný pondělní přehled informací vztahujících se k problematice bezpečnosti IT. Z novinek tohoto týdne vás upozorníme především na studii s názvem „Visual Data Security“, na další informace o špionážním malwaru a na příručku NISTu ohledně zabezpečení certifikačních autorit proti průnikům.

Přehledy a konference

Byla vydána příručka zabývající se „tiskárenskou“ bezpečností – The State of Print Security 2012. Nezbytná je registrace. Dokument má 23 stran. Z jeho obsahu:

  • Why Print Security Matters
  • Inside the Insider Threat
  • About This Survey
  • Hot Topics
  • 6 Top Risks to Print, Imaging Systems
  • How to Get a Better Handle on Print Security

Přehled říká: lidi zajímá jejich soukromí – Survey says: People do care about their privacy. Autor článku Michael Kassner komentuje výsledky přehledu Mobile Phones and Privacy (Berkeley Center for Law and Technology, dokument má 33 stran).

Slideshow na téma „momenty z Black Hat, které je vhodné si zapamatovat“, najdete na stránce Memorable Moments From Black Hat 2012.

Kaspersky Lab vydala zprávu IT Threat Evolution: Q2 2012. Komentář k ní je obsahem článku Malware targeting Android triples in second quarter.

Obecná a firemní bezpečnost IT

Byla vydána studie Visual Data Security. Komentář k tomuto 14stránkovému dokumentu si můžete přečíst v článku Biz chucks millions at anti-malware, but ignores shoulder surfers. Kouká se vám někdo přes rameno?

Více než polovina zaměstnanců chybuje při ochraně svých dat – More than half of employees fail to protect their data. V článku jsou tlumočeny výsledky šetření britské agentury ComRes, podporují výsledky výše uvedené studie Visual Data Security.

Best Practices for Protecting Laptop Data – nejlepší postupy pro ochranu dat na notebooku, to je několik doporučení (EVault), která se mohou hodit. Doporučení jsou rozdělena do čtyř fází:

  1. Definujte (či aktualizujte) bezpečnostní politiky pro zálohování a obnovou na koncových zařízeních
  2. Prosaďte kontroly na koncových bodech
  3. Ujistěte se o přijetí těchto opatření zaměstnanci
  4. Prověřujte průběžně stav nákladů na IT

Devítka populárních bezpečnostních praktik, které však nefungují, je rozebírána v článku 9 popular IT security practices that just don't work. Autor si vybral následující témata:

  1. Váš antivir nezachytí reálné zabíječe sítě
  2. Váš firewall poskytuje jen malou ochranu
  3. Záplatování není všelék
  4. Výchova koncových uživatelů
  5. Silná hesla vás nezachrání
  6. Systém pro detekci průniků neodhalí záměr
  7. Rozbité PKI
  8. Vaše zařízení jsou útočníkův sen
  9. Sandboxy poskytují přímou linku k systému pod nimi

K systému TrapWire se obrací článek Wikileaks reveals “TrapWire,” a government spy network that uses ordinary surveillance cameras. Na jeho vlastnosti upozornily WikiLeaks. Viz také články:

The security game changes when the bad guys are backed by foreign governments – bezpečnostní hrátky se mění – jestliže si ”zlé“ hochy vezmou pod svá křídla vlády. Obsáhlejší rozhovor s Peterem George (CEO společnosti Fidelis) se dotýká celé řady aktuálních otázek.

Jak se poučit z cíleného útoku – Lessons From a Targeted Attack – autor článku na příkladech uvádí situace, kdy k takovýmto útokům došlo a popisuje i jejich charakter. Je často odlišný od obecně přijímaných názorů ohledně sofistikovanosti takovýchto útoků. Cílem těchto útoků také nemusí být jen čísla platebních karet a e-mailové adresy.

WikiLeaks je opět online – Cloud support brings WikiLeaks back online – a to díky podpoře z cloudu.

V článku je také informace o tom, že Ecuador garantuje azyl Julianu Assange (viz – Julian Assange will be granted asylum, says official).

Odvolají Britové diplomatický statut ekvádorského vyslanectví v Londýně? Názory (poté co Ecuador prohlásil, že Assangemu poskytne asyl) ohledně toho, co bude dál, se dávají do pohybu – Assange asylum bid: UK ‚threatens to assault‘ Ecuador embassy in London. Viz také komentáře:

Rozhovory USA – Čína se týkají kybernetických zbraní, nikoliv kybernetické špionáže – U.S., China Talks Address Cyber-Weapons, Not Cyber-Spying. V oblasti kybernetické špionáže k žádné dohodě nedošlo.

Nová společnost – SecurityStarfish – chce být centrem pro informace o kybernetických útocích – Startup envisions CISO collective to share cyberattack information. Bezpečnostní ředitelé by do tohoto centra měli diskrétně sdělovat své informace o kybernetických útocích a naopak by obdrželi anonymizované informace odjinud (v reálném čase).

Podvodníci vyzískali miliardy z ”divokého západu“ čínské e-komerce – Fraudsters nick BILLIONS from China's e-commerce Wild West. Příslušné statistiky zveřejnila skupina China Electronic Commerce Association (CECA).

Je iCloud bezpečnostním rizikem? Jednu z dalších reakcí na Honanův incident najdete v článku iCloud: security risk?

Gartner říká, cloud computing, to je nejvíce nadhodnocený (overhyped) termín – Gartner: Cloud computing's most over-hyped terms. Za termínem cloud se skrývá mnohé, až příliš mnohé. Článek je komentářem ke zprávě společnosti Gartner (viz stránky – The Why of Cloud).

Interní bezpečnostní audity hrají kritickou roli ve vztahu k odvrácení datových průniků – Internal Security Audits Play Critical Role in Preventing Breaches: PwC, to je komentář k nové studii společnosti PwC – Fortifying your defenses – The role of internal audit in assuring data security and privacy.

UK: o výcvikovém táboru pro trénink armády kybernetických bojovníků informuje článek UK's first cyber security camp aims to train an army of cyber warriors. Bude v něm probíhat pětidenní trénink cca 30 mladých (do 25 let) profesionálů.

Jak dosáhnout toho, aby správa rizik byla efektivní? Ericka Chickowski – 5 Views On Achieving Business ROI Through Risk Management – rozebírá následující body:

  • Make Risk Management Holistic
  • Don´t Forget All Your Quantifiable Returns While Determining ROI (Return On Investment)
  • Match Risk Management To Business Performance Objectives
  • Consistency Leads To Value-Chain-Based IT Management
  • GRC (governance, risk, and compliance) Can Reduce Gaps In IT, Increase Business Agility

Chcete začít s bezpečnostními metrikami? Přečtěte si desítku doporučení, jejich autorem je Joe Gottlieb – 10 Tips for Getting Started With Security Metrics.

Sociální inženýrství

How to Secure Data by Addressing the Human Element aneb jak chránit data ve vztahu k lidskému elementu. Jestliže se jedná o bezpečnost, pak člověk je tím nízko visícím ovocem, které lze snáze utrhnout – říká nadpis jednoho z odstavců. Autorovým cílem je varovat před technikami sociálního inženýrství. Dává také několik doporučení.

Hrozby sociálního inženýrství se nevyhýbají nikomu – Social engineering threat affects all. Honanův případ vedl autorku článku k varováním uživatelům i společnostem.

6 more great movies about social engineering and con artists – šest významných filmů, kde se objevuje problematika sociálního inženýrství, připomíná je článek navazující na předešlý (témuž věnovaný) – Big-screen con artists: 7 great movies about social engineering . Viz také jinou slideshow – 15 social media scams.

Jak bojovat s útoky sociálního inženýrství? Toto téma je aktuální nyní a bude nepochybně i v budoucnu. Grant Taylor (VP, Cryptzone Europe) uvádí několik doporučení – How To Defeat Social Engineering Attacks.

Sociální sítě

Inside Social Media's Black Market – šedá ekonomika uvnitř sociálních médií. Podle posledních výzkumů její význam roste. V článku je poukázáno na existující nebezpečí. Přehlednou informaci podává přiložená infografika.

Software

Švýcaři vyvinuli algoritmus, který umožní lokalizovat spammery a zdroje virů či malware – Swiss scientists develop algorithm to sniff out source of malware, spam attacks. Zdroj je přitom nacházen prověřením jen malého procenta provozu sítě. O technologii se zajímají bezpečnostní firmy.
Viz také komentář – Scientists create algorithm for tracking down sources of online attacks.
Je zde i odkaz na studii – Locating the Source of Diffusion in Large-Scale Networks.

Oracle záplatuje bezpečnostní díry oznámené na konferenci Black Hat – Oracle Patches Database Security Flaw Disclosed at Black Hat. Zákazníci Oracle by měli použít tyto záplaty co nejdříve.

Vydán byl BackTrack 5 R3. Přidáno bylo více než 60 nových nástrojů.

Organizacím chybí protokoly pro ochranu dat v cloudu – Organizations lack protocols to protect data in the cloud. V článku jsou uvedena čísla z přehledu společnosti Kroll Ontrack, kterého se zúčastnilo 367 podniků a poskytovatelů služeb.

Co udělaly Windows 8 pro zlepšení bezpečnosti – What Windows 8 has done to improve security. Nové vlastnosti popisuje Patrick Lambert.

Jak neutralizovat některé populární nástroje pro DDoS útoky – White hats publish DDoS hijacking manual, turn tables on attackers. Zajímavý návod publikovali ”white hats“. Viz také komentáře:

Velké množství identických DNS serverů je nebezpečím pro internet – Experts argue over whether shallow DNS gene pool hurts web infrastructure. Čtyři pětiny DNS serverů jsou v podstatě identické, říká poskytovatel systémů Domain Name společnost Secure64. To vede k té možnosti, že takto ”geneticky“ omezená populace je zranitelná vůči jediné ”nemoci“.

Google nabízí dva milióny dolarů za rozbití Chrome – Google offers up to US$2 million to break Chrome. Jedná se tedy o celkovou sumu určenou pro výzvu Pwnium 2.

Budou mít velké firmy povinnost zabudovat zadní vrátka do svého softwaru? Diskutován je návrh, se kterým přišla FBI, a který by se měl týkat takových společností jako Facebook, Google, Microsoft a Twitter – FBI Surveillance Backdoor Might Open Door to Hackers. Oponenti poukazují na fakt, že je otázkou, zda takto nebude umožněna i cesta pro hackery.
Viz také komentář – FBI surveillance backdoor might be open to hackers.

Malware

Inside a ‘Reveton’ Ransomware Operation, Brian Krebs přichází z řadou podrobných informací ohledně malware Reveton gangu, hodně z nich pochází od francouzského výzkumníka s přezdívkou Kafeine (botnets.fr).

Trojan Citadel cílí na VPN na velkém mezinárodním letišti – Citadel Trojan Targets VPN Credentials at Airport. Společnost Trusteer nejmenuje dotčené letiště (má obsloužit více než 30 miliónů pasažérů ročně). Trojan Citadel vychází ze zdrojového kódu bankovního malware Zeus.
Viz také informace v článcích:

Syrian dissidents targeted by malware attacks – na syrské disidenty útočí malware. Jeho cílem slídění za aktivitami těchto skupin.

Saudský naftový gigant zablokoval svou síť po tajemném útoku malware – Saudi oil giant seals off network after mystery malware attack. Podle firmy však nemá incident dopad na dodávky ropy.
Viz také informace na stránce New Targeted Attack Destroys Data At Middle East Energy Organization. Zde se hovoří o útoku s označením Shamoon, kdy podle dostupných informací měl kdosi využít zdrojový kód Wipera (ten byl použit na jaře tohoto roku, mazal soubory) pro útok obdobného charakteru – výmazem souborů. Souvislost tohoto útoku s útokem na výše uvedenou saudskou společnosti nebyla potvrzena.
Viz také komentář – Saudi Aramco hacked; company confirms disruption.

Trojan MyAgent cílí na technologicky orientovaný průmysl – MyAgent Trojan Targets Key Technology-Related Industries. Informuje o něm FireEye Malware Intelligence Lab. Šíří se prostřednictvím pdf souborů v e-mailech.

Flame, Gauss

Malware Gauss lze identifikovat prostřednictvím fontu Palida Narrow – Gauss Malware Detected Through Unique Palida Narrow Font . Z nezjištěných důvodů malware na infikovaném počítači instaluje tento font.

Trojan Gauss vede ke vzniku mnoha teorií, ale k žádným odpovědím – Gauss Cyber-Spy Trojan Gives Rise to Many Theories, No Answers. Wayne Rash shrnuje existující dohady okolo tohoto malware. Gaussovi se věnují i tyto komentáře:

Can YOU crack the Gauss uber-virus encryption? – dokážete rozbít šifrování v Gaussovi? Potřebné informace najdete na blogu společnosti Kaspersky – The Mystery of the Encrypted Gauss Payload.
Komentáře:

Analysis Reveals Flame Malware's Process Injection Tricks, to je komentář k novému příspěvku k analýze Flame. Nové podrobnosti k Flame zveřejnila CERT Polska – More human than human – Flame´s code injection techniques.

FinFisher

Kdo používá komerční kyberšpionážní nástroj FinFisher? V popisu – Who is using the commercial cyberespionage tool FinFisher? – jsou charakterizovány vlastnosti tohoto malware (zaznamenává chaty, obrazovky, stisky kláves a další informace z infikovaných systémů, zasílá je operátorům, dokáže se skrýt před více než 40 antivirovými produkty).
Tomuto malware je také věnován článek v New York Times – Elusive FinSpy Spyware Pops Up in 10 Countries.

Vyjádření společnosti Gamma Group je komentováno v článku Company Denies Role in Recently Uncovered Spyware. Podle něho někdo jiný modifikoval program společnosti.

Shamoon

Symantec soudí, že všechny ropné společnosti v energetickém sektoru mohou být cílem tohoto ”mazacího“ malware – Malicious Windows malware ‚Shamoon‘ deletes computer contents, prevents reboot . Viz také informace na stránkách:

Celkovou situaci s těmito novými typy malwaru (Stuxnet, Flame, Shamoon atd.) hodnotí autor článku A Sinister New Breed of Malware is Growing. Další komentáře:

Viry

NSS Labs testovala antiviry, jen čtyři (z třinácti) uspěly – NSS Labs Tests Top Consumer Anti-Virus Products for Protection Against New Critical Microsoft Vulnerabilities. Jedná se o produkty společností Trend Micro, Kaspersky Lab, McAfee a Avast. Pro přístup ke kompletním výsledkům testů je zapotřebí registrace. Komentář k nim najdete v článku Antivirus suites struggle to defend against recent exploit-based attacks.

How to Spot Fake Antivirus Software aneb jak rozpoznat falešný antivir. V článku najdete několik poučných faktů. Jinak ale, vždy je lépe obrátit se k antiviru známé společnosti.

Hackeři a jiní útočníci

AntiLeaks zablokovali WikiLeaks – AntiLeaks boss: We'll keep pummeling WikiLeaks and Assange. Nelíbí se jim rozhodnutí Ecuadoru poskytnout azyl Julianu Assange.
Novější informace říká – WikiLeaks repels DDoS attacks, returns online.

Chcete se stát etickým hackerem? O zaměstnání budete mít postaráno – So you want to be an ethical hacker? Co k tomu ale patří?

Znalostní hacking: Jak jsem se prolomil do svého Gmailu, Jakub Čížek na Živě: Poslední dny rozvířila klidnou hladinu letního kybersvěta aféra s ukradeným účtem novináře z magazínu Gizmodo. Vyzkoušel jsem něco podobného se svým Google účtem.

Stránky médií se připravují na útoky hacktivistů (v souvislosti s nadcházejícími prezidentskými volbami v USA) – Media sites prepare for hactivist attacks. Politicky motivované útoky lze očekávat, zejména se to může týkat útoků DDoS.

Blogovací platforma Reuteru byla znova hacknuta – Reuters’ blogging platform hacked (again), company stays mum on the attack. Není jasné, kdo je za útokem. Viz informace na stránce Reuters hacked to announce death of Saudi foreign minister.

Former Hacker: Today’s Hacks Are All About the Money, aneb je dnešní hackerská scéna jen o penězích? V článku své názory vysvětluje bývalý hacker (Mike Calce). S některými jeho názory vyslovuje svůj nesouhlas Bill Brenner – Today´s hacking scene is not all about money.

Východoevropští hackeři ukradli data k půl miliónu platebních karet z Austrálie a podvody tak přišli k 25 miliónům dolarů – Australian accounts hacked in $25m splurge, says AFP. Vyšetřování probíhá. Stejná skupina hackerů může být i za dalším obdobným útokem na americké restaurace v prosinci roku 2011 – Half a million credit cards stolen from Aussie business.

AntiWikiLeaks skupina zaútočila na stránky Russia Today – WikiLeaks haters launch DDoS assault on Russia Today. Útok nejspíše souvisel s odsouzením členek skupiny Pussy Riot.

DDoS protection service: Top vendors in the field – top žebříčku společností, které poskytují ochrany proti útokům DDoS. Není to P.R článek, tyhle informace se v dnešní době mohou hodit.

Podvodný ”antihackerský“ nástroj útočí na syrské aktivisty – Bogus anti-hacking tool targets Syrian activists. Viz podrobnější informace na stránce Pro-Syrian Government Hackers Target Activists With Fake Anti-Hacking Tool.

Anonymous

Anonymous zaútočili na australské zpravodajce – Anonymous Targets Australian Spy Agency. V pátek oznámili, že shodili server patřící agentuře ASIO (Australian Security Intelligence Organisation).

Anonymous 2 nebudou. Článek Anonymous 2 won’t happen, says Commander X obsahuje komentář k vystoupení Christophera Marka Doyona (AKA Commander X, the Peoples Liberation Front).

Hardware

Securing Medical Devices From Attacks – k ochraně medicínských zařízení před útoky. Článek je věnován akci 3rd Usenix Workshop of Health Security and Privacy, která proběhla v minulých dnech.

Mobilní zařízení

Potřebuje skutečně vaše dítě mobil již na základní škole? V článku Does Your Middle-School Child Really Need a Cellphone? se objevuje tento názor – dítě by mělo mít svůj mobil až ve věku 12 let. Je zde také v závěru uvedena sada bezpečnostních doporučení.

Jaká jsou rizika, jejichž zdrojem je ztracené či ukradené mobilní zařízení? Na stránce najdete užitečné zamyšlení doplněné infografikou – The Risks from a Lost or Stolen Mobile Device.

Bezpečnostní politiky pro mobilní zařízení by měly být zkoumány a revidovány často – Mobile device security policies should be revisited and revised often. Vynucují si to trendy okolo BYOD. Článek se odkazuje na čísla z přehledu Security.com – Smartphone, BYOD security risks fuel interest in MDM platforms, survey finds.

Top 5 Mobile Security Threats – jakých je top 5 mobilních bezpečnostních hrozeb? Pro přístup k dokumentu je nezbytná registrace. Autor rozebírá následující hrozby:

  • Klamavé aplikace
  • Útoky s využitím rootových exploitů
  • Útok zombií
  • Falešné antivirové aplikace
  • Únik dat

Deset tipů k tomu, abych udržel svůj mobil s Androidem v bezpečí – 10 Tips to Keep Your Android Phone Safe. S doporučeními obsaženými v této slideshow přichází Katie Gatto.

Chyba v systému iPhone umožňuje zasílání podvodných SMS – Serious Security Flaw : iPhone Bug Allows SMS Spoofing.

Spam

Ožil spamovací botnet Festi – Festi spamming botnet surges as Grum declared dead. Po uzavření jiného spamovacího botnetu (Grum) převzal Festi jeho aktivity.

Elektronické bankovnictví

Virtuální banka Bitcoinica půjde k soudu – Bitcoinica sued for $460,000 by ‚out-of-pocket‘ punters. Čtyři uživatelé tvrdí, že jim banka dluží více než 460 000 dolarů.

Phishing

Podvržené varování ”MS Cyber-Crime Department“ vede k phishingu. Objevuje se ve schránkách celého světa – Bogus „MS Cyber-Crime Department“ warnings lead to phishing.

Alarms sound as hackers ‘pharm’ for fresh blood – pharming v Jižní Koreji. Oficiální orgány (Financial Supervisory Service a National Police Agency) k tomu vydaly varování.

Elektronický podpis

NIST: jak se připravit a reagovat na průnik do certifikační autority – NIST: How To Prepare For And Respond To A Certificate Authority Breach. Kelly Jackson Higgins komentuje vydání příručky NISTu (devítistránkový dokument):

Certification Authority Browser (CA/B) Forum – chcete se o něm něco dozvědět? Ellen Messmer – Intellectual property rights squabble erupts in industry group – seznamuje čtenáře s aktuální děním: proč došlo k redukci počtu členů a jaké debaty okolo IPR (intellectual property rights) jsou nyní vedeny.

Nová aktualizace Microsoftu říká, že minimální délka klíče RSA u dig. certifikátu je nyní 1024 bitů – Microsoft Releases Update That Forces Minimum Certificate Key Length of 1024 Bits. Co se slabými certifikáty – vysvětluje to stránka Microsoft Security Advisory: Update for minimum certificate key length.

Kryptografie

V pondělí 19.8. zahajuje konference – CRYPTO 2012. Na stránce Program CRYPTO 2012 najdete seznam jednotlivých vystoupení – spolu s abstrakty, někde jsou i kompletní verze.

root_podpora

Různé

Vyšel: BOTNET – The Hacker News Magazine August 2012 Edition. Z jeho obsahu:

  • Are You Part of the Zombie Army ?(Mohit Kumar)
  • The Dynamic Evolution of the Botnet
  • For the Lulz Of IT, I Apologize To Lulzsec (Ann Smith)
  • Botnet around Us. Are we nodes of the Matrix? (Pierluigi Paganini)
  • Botnet. Recruitment of unintended robots (attackers / blags) – (Himanshu Chaudhary)
  • Botnets. How To Defeat The Zombie Army (Peter Kipp, Security Specialist at AVG)
  • Support Your Local InfoSec Professional (John Shinaberry)
  • The Rapid Rise of The Botnet (Lee Ives)
  • The Top 50 #911Truth #WTFacts Campaign. 50 Days of Crazy Facts, Rumors and Questions (John Shinaberry)

Přehled vychází z průběžně publikovaných novinek na Crypto – News.

Byl pro vás článek přínosný?