Přehledy a konference
Užitečný přehled – 10 hlavních témat konference RSA připravili SHAUN NICHOLS a IAIN THOMSON – Top 10 themes from RSA Security Conference. V přehledu se objevují taková témata jako např. Conficker, sociální inženýrství, bezpečnost end-to-end, bezpečnost aplikací, cloud computing a ekonomika.
V úterý 28. dubna proběhlo zahájení Infosecu, největší evropské obchodní akce zaměřené na bezpečnost IT – Infosec opens in new venue. Některé odkazy:
- Infosec 2009: Security must be built in from the start
- Infosec 2009: Better incentives required to stop data loss
- Infosec 2009: Experts discuss the cyber crime landscape
A také na Infosecu: provokativní označení stánku Elcomsoftu vzbudilo nevoli PGP – ElcomSoft poster provokes PGP apoplexy. Na stánku byl text „The only way to break into PGP“ (foto).
Obecná a firemní bezpečnost IT
Seven burning security questions, sedm žhavých bezpečnostních otázek, to je název článku, ve kterém známá komentátorka pro IT bezpečnost ELLEN MESSMER shrnuje výsledky odpovědí na otázky, které byly nedávno zaslány řadě odborníků.
Jak připravit efektivní bezpečnostní program pro koncové uživatele – Security training 101. LYNN HABER říká, bezpečnostní povědomí uživatelů nelze dále podceňovat. Připravila proto několik témat, podle jejího názoru klíčových. Za zmínku stojí přiložený seznam – Ten Steps to Security Safety – např.:
- Provádějte celková vyhodnocení existujících zranitelností
- Zpracujte politiku pro používání internetu a pro akceptovatelné chování uživatelů
- Vychovávejte a informujte všechny, kteří mají něco společného s informačními aktivy či jsou zapojeni do infrastruktury
- Uvědomte si, jak rozpoznat, že existuje problém a jak s ním zacházet
- Bezpečnostní povědomí uplatňujte v každém dni
Stalo se: Pražská deklarace za bezpečnější Internet, to je článek Jiřího Peterky na Lupě: Pražská deklarace, přijatá u příležitosti ministerské konference k bezpečnějšímu Internetu pro děti, narýsovala nový přístup EU k zajištění bezpečného online prostředí. Chystá se ale už i směrnice, která by měla „nový přístup“ učinit závazným. A to včetně povinného blokování konkrétního obsahu na Internetu. V Německu obdobný zákon připravili již v předstihu.
Současné americké kroky k aktivní digitální obraně, jsou obsaženy v rozsáhlejším popisu problematiky, autory tohoto popisu jsou DAVID E. SANGER, JOHN MARKOFF a THOM SHANKER – U.S. Steps Up Effort on Digital Defenses.
Šedesát dva procent organizací bylo obětí bezpečnostního průniku v posledních 12 měsících. Vyplývá to z výsledků průzkumu společnosti Forrester Consulting. Příčinou je využívání (zneužívání) zranitelností SW. Přehled byl zpracován na základě odpovědí 200 respondentů (USA a UK) – 62% of companies experienced security breaches in critical applications. Jiné zajímavé poznatky:
- Bezpečnost jako součást vývojové ho procesu není široce praktikována. Pouze 34 procent firem má v rámci vývojového procesu (SDLC – software development life cycle) integrovánu problematiku bezpečnosti aplikace.
- Více než polovina firem používá outsourcing, ale jen třetina firem přitom požaduje rigorózní bezpečnostní testy.
- Pouze 13 procent firem zná bezpečnostní kvality aplikací kritických pro jejich podnikání.
Online středisko bude pomáhat obětem kybernetické kriminality – First online center to assist victims of cybercrime. Cybercrime Response Unit – toto středisko vzniklo díky společnosti McAfee. Má napomoci uživatelům zjistit, zda se stali obětí kybernetické kriminality a poradit jim, jaké mají učinit další kroky.
Americká akademie věd se také vyjádřila ke stavu kybernetické bezpečnosti v USA – US military's cyberwar rules ‚ill-formed,‘ says panel. And ‚undeveloped.‘ And ‚highly uncertain‘. Článek je komentář k rozsáhlé zprávě, jejíž shrnutí si lze přečíst na tomto odkazu.
Working with INTERPOL to fight cybercrime – tématem článku je boj proti počítačové kriminalitě a spolupráce s Interpolem. ALLAN TAN v něm popisuje rozhovor s Kathy Bostick (Senior Director, Legal and Corporate Affairs, Microsoft Asia Pacific), který se týkal spolupráce Microsoftu s Interpolem.
Software
Jak bezpečně aktualizovat svůj software – Master the Software Updating Process to Keep Your PC Safe and Stable. ROBERT VAMOSI zde radí, jak postupovat u nejdůležitějších aplikací (včetně Windows).
RSA (nyní bezpečnostní divize EMC) nabízí bezplatně toolkit pro šifrování – RSA Offers Encryption Toolkit Free To Developers. Je to nesporně užitečný krok, který může napomoci řadě vývojářů.
Byly nalezeny další dvě zranitelnosti pro Adobe Acrobat Reader – Two New Vulnerabilities in Adobe Acrobat Reader. F-Secure i proto nadále doporučuje používat některou z alternativ k Acrobat Readeru. Viz také:
- JavaScript flaw reported in Adobe Reader
- Demo exploits for new vulnerabilities in Adobe Reader
- Security researchers fret over Adobe PDF flaw
Také MICHAEL KASSNER se rozebírá v aktuálním problému okolo oznámené zranitelnosti – Adobe Alert: Sure enough, another vulnerability.
Microsoft upouští od funkce Autorun – Microsoft retires AutoRun (kinda, sorta). Windows 7 již nebudou Autorun zobrazovat při připojení přenositelných médií. Důvodem jsou častá zneužití, tedy bezpečnost. Viz také – Microsoft doctors AutoRun in Windows 7 to stymie Conficker.
Byl vydán Microsoft Office 2007 SP – Microsoft Office 2007 SP2 released. Mimo jiné Office nyní podporuje i takové formáty jako PDF a ODF.
IE8 je šířen pomoci Windows Auto Update – Microsoft Pushing Out IE8 Through Auto Update. Všimněme si zejména funkce SmartScreen Filter. Pokud se týká blokace stránek, uživatelé se nyní budou setkávat s tím, že na některé stránky bude přístup ztížený (podle nastavení IE8, např. musel jsem změnit prvotní nastavení tak, abych se vůbec dostal na svoji e-mailovou schránku na Atlasu).
Malware
Swine Flu Spam and Phishing Attacks aneb prasečí chřipka a aktivity typu phishing, malware a spam, TONY BRADLEY zde uděluje několik jednoduchých rad a uvádí pak v této souvislosti pár užitečných odkazů.
Facebook a iPhone, to jsou nové cesty pro malware, říká JOHN EDWARDS, když komentuje současný vývoj – Malware's New Frontier.
Viry
Virus Conficker.E má údajně autodestruktivní podobu, článek MARTINA NOSKY na Computerworldu: Počítačový virus Conficker již řadu měsíců sužuje internet a neustále přichází s novými podobami. Poslední verze, označovaná písmenem E, má v sobě mít podle řady výzkumných pracovníků sebedestruktivní kód, který se zaktivuje v úterý, 5. května.
IAIN THOMSON a SHAUN NICHOLS připravili široce okomentovaný přehled virů, které se vryly do paměti počítačových odborníků a uživatelů – Top ten worst viruses (desítka nejhorších počítačových virů).
Hackeři
Jak je možné ukrást mobilní připojení? Hijacking Mobile Data Connections – tento útok bude prezentován na konferenci Black Hat Europe 2009:
Francouzský hacker získal přístup k administrátorskému panelu pro Twitter – French hacker gains access to Twitter's admin panel. Twitter tento neautorizovaný přístup potvrdil (podstatou úspěchu hackera bylo úspěšné sociální inženýrství ve vztahu k jednomu ze zaměstnanců Twitteru).
Hackeři stále častěji využívají vyhledávačů (e). DAVID SILLMEN: Internetová kriminalita je na postupu a dostává nové formy. Hackeři si v poslední době oblíbili zejména zmanipulované a škodlivé stránky, které uživatelům vyjedou klasicky ve vyhledávačích.
Americký kongres chce ustavit tým hackerů, jehož úkolem by byla aktivní penetrace vládních sítí – US Congress wants hack teams for self-penetration. While girding power grid. Hovoří o tom připravovaná legislativa. Viz také komentář:
Hardware
Obamovo BlackBerry je bezpečnější, pomohlo NSA – Obama to Get Back BlackBerry at Last, Toughened by NSA.
Britové chtějí kontrolovat dodávky IT z Číny pro British Telecom – Blunkett to press for cyberwar probe of BT's Chinese kit. Kill button fear. Důvodem návrhovaného programu testů je pochopitelně kybernetická bezpečnost. Britové také chtějí zabezpečit průběh olympiády v roce 2012.
Mobilní telefony
Tři jednoduché kroky stačí k hacknutí chytrého mobilu – 3 Simple Steps to Hack a Smartphone (Includes Video). JOAN GOODCHILD popisuje obsah svého setkání s firmou Trust Digital, Která se specializuje na mobilní bezpečnost. Je zde přiloženo také video, kde Meir Machlin (Trust Digital) demonstruje, jak pomocí SMS lze chytrý mobil hacknout. Meir Machlin říká, stačí mi jenom vizitka s číslem mobilu. Z napadeného mobilu lze získat v něm uložené informace či měnit jeho nastavení.
Spam
Z ukradených účtů Webmailu je rozesílán spam – Spam From Hijacked Webmail Accounts. Jeho obsahem je inzerce stránek čínských obchodníků s elektronikou.
Elektronické bankovnictví
Je chystána nová norma pro šifrování dat přenášených z platebních karet – New standard for encrypting card data in the works; backers include Heartland. Normu chystá organizace Accredited Standards Committee X9. Nesporně k tomu přispěly i některé nedávné problémy (obchodních řetězců jako Heartland).
Autentizace, hesla
CAPTCHA – jaká je její budoucnost? Článek přináší zamyšlení CHRISE WILSONA – I'm Human, Computer, I Swear!.
Komentář k nedávno vydané příručce NISTu pro správu hesel v organizacích je obsahem článku Guide to enterprise password management drafted . MICH KABAY v něm upozorňuje na tuto příručku (je zatím v podobě draftu).
Phishing
Co se týká phishingu, jak poznám, zda nejsem na podvržené stránce? MICHAEL KASSNER zde vysvětluje, čeho je třeba si všímat – Phishing: Is that Web site real or not?.
Kryptografie
Computer hackers R.I.P. – making quantum cryptography practical aneb je zde rychlejší kvantová kryptografie. Článek se věnuje výsledku, který publikovali vědci z Toshiby a z Cambridgské university (Cavendish Laboratory) v New Journal of Physics (Practical gigahertz quantum key distribution based on avalanche photodiodes).
Na kvantové počítače je třeba se připravit s předstihem, PAVEL HOUSER k článku ze ScienceDaily – Fighting Tomorrow's Hackers: Keeping Encryption Safe From Future Quantum Computers. S poslední jeho poznámkou „Nakonec, i kdyby ale u kvantových počítačů opravdu došlo v příštím desetiletí k podstatnějšímu pokroku, skutečně je polynomiální výpočetní složitost faktorizace sama o sobě zárukou prolomení šifry RSA? (Pokud například stupeň polynomu bude vysoký…)“ ovšem nelze souhlasit. Shorův algoritmus je přeci jen o něčem jiném, viz třeba v článku citovaný odkaz na úryvky z knihy George Johnsona.
Různé
Přehled vychází z průběžně publikovaných novinek na Crypto – News.
ČLÁNKY DO MAILU