Hlavní navigace

Bezpečnostní střípky: informace z konferencí BlackHat a Defcon

Jaroslav Pinkava 10. 8. 2009

Pravidelný pondělní přehled informací vztahujících se k problematice bezpečnosti IT. Z novinek tohoto týdne lze upozornit na komentáře k situaci okolo hacknutí na Twitteru, informace k postupům vedoucím k bezpečnějším webovým aplikací a třeba na informaci k implementaci antiviru v podnikové síti.

Přehledy a konference

Média se samozřejmě ještě stále vrací k průběhu konferencí Black Hat a Defcon. V letošním roce – možná ještě více než tomu bylo v uplynulých letech – zde byla probírána celá řada zajímavých témat, objevilo se množství významných hacků. Trochu atmosféry z konference Black Hat přináší těchto dvacet pohlednic – 20 Scenes From BlackHat 2009. Dále jeden z ucelenějších pohledů na celý průběh konference Black Hat zpracoval(a) Wendy M. Grossman – All Around My (Black) Hat. A report on the proceedings at the Black Hat security conference 2009.

Top 10 of Black Hat and Defcon aneb Top 10 z konferencí Black Hat a Defcon. Iain Thomson popisuje, co ho nejvíce na těchto akcích zaujalo. Jeho žebříček:

  • 10. Internal hacks
  • 9. Federal Aviation Administration hacking
  • 8. The Feds
  • 7. SMS hacking
  • 6. Software updates
  • 5. Cloud computing
  • 4. AES hacking
  • 3. ATM hacking
  • 2. Microsoft
  • 1. Secure Socket Layer

Elinor Mills také popisuje osobní zkušenosti z účasti na DEFCON 17 (Las Vegas) v tomto roce a konstatuje, že také hackerská komunita stárne. Dále – pobyt mezi hackery, vás může učinit poněkud paranoidními – Hanging with hackers can make you paranoid.

Obecná a firemní bezpečnost IT

Bruce Schneier zpracoval esej, jejíž téma se odvíjí od velkého čínského firewallu – Building in Surveillance. Schneier zde hájí svobodný internet.

Jeff Bardin v poněkud kritickém pohledu – Top Ten Reasons You Know Your CISO Must Go – vysvětluje, co byste měli vědět o způsobu myšlení šéfů (v deseti bodech).

S kritickým pohledem přichází také Kenneth van Wyk, tentokrát je věnován neodpovědnosti na akcích Black Hat a Defcon – Irresponsibility at Black Hat, Defcon. Producenti SW byli o zranitelnostech (ve dvou případech, které autor jmenuje – Apple iPhone SMS a Computrace LoJack laptop firmware) informováni pozdě a neměli dost času na ně zareagovat.

Potom co Melissa Hathaway stáhla svoji žádost o toto místo, není jasné, kdo by měl stát na čele americké kyberbezpečnosti – Cybersecurity Czar Position Still Open.

Rezignace Melissy Hathaway zvyšuje tlak na Obamovu administrativu – Pressure on Obama to move fast on cybersecurity appointment. Nového šéfa kybernetické bezpečnosti je třeba jmenovat urychleně, říká Jaikumar Vijayan ve svém komentáři.

V dalším svém komentáři se Jaikumar Vijayan vrací k současné situaci v USA ohledně jmenování nového federálního šéfa kybernetické bezpečnosti – The cybersecurity job no one really wants. Nadpis článku je více než výmluvný, je to pozice, kterou nikdo nechce.

Podle přehledu, který zpracovala ISACA, neumí 2/3 firem změřit hodnotu svých IT investic – ISACA survey: Two-thirds of firms failing to measure IT value. Přehled byl zpracován na základě odpovědí 1217 profesionálů z devíti zemí.

Computer security – encyclopedia article about Computer security, to je internetová encyklopedie bezpečnosti IT a jeden z odkazů, ke kterým stojí za to se občas vrátit.

Nebezpečí přílišného spoléhání se na dosažené shody dokumentují Charles Cresson Wood a Kevin BeaverThe Dangers of Over-Reliance on Compliance. Zkušenosti posledního času ukazují, že i organizace, které ve svých politikách mají dosažení shody s regulačními ustanoveními a řídí se v tomto smyslu těmito politikami, jsou předmětem datových průniků.

Twitter

Nejprve, již počátkem týdne bylo konstatováno, že filtr malware na Twitteru je málo efektivní – Twitter's malware filter has ‚disappointing results‘, say security experts.

Následné informace oznámily, že Twitter se stal předmětem útoku DDoS,  – Twitter Crippled by Denial-of-Service Attack (také David Silmen – Twitter čelil masivnímu útoku). Útok DoS byl příčinou toho, že Twitter byl po několik hodin nepřístupný. Viz dále:

Předmětem útoku byl účty gruzínského uživatele Twitteru (Cyxymu = Suchumi) na Twitteru, Facebooku, LiveJournal, Google´s Blogger a YouTube, útoky byly prováděny souběžně.

Objevily se spekulace (komentář Briana Krebse) – Russia-Georgia Conflict Blamed for Twitter, Facebook Outages – V pozadí útoků na Twitter a Facebook je rusko-gruzínský konflikt? K tématu se dále vrací také článek Security experts scramble to decipher Twitter attack. Je výročí tohoto konfliktu příčinou útoku?

Software

Automated updates: Why they may not be such a good idea – jsou automatické aktualizace dobrým nápadem? Michael Kassner hovoří o nedávno vyvinutém nástroji Ippon a o nebezpečích, která mohou vzniknout jeho využitím a využitím jemu podobných utilit.

Nalezeny byly nebezpečné chyby v XML – XML flaws threaten ‚enormous‘ array of apps. Finská firma Codenomico: chyby jsou obsaženy téměř v každé open source knihovně pro XML. Zneužití některých z nich může vést k spadnutí počítače nebo dokonce je následně možné na počítači dálkově spouštět škodlivý kód.

Bezpečnost webových aplikací – jak se mají firmy bránit proti hackerům – Web Application Security 101: Protecting the Enterprise against Hackers . Mandeep Khera charakterizuje současnou situaci a ukazuje na některé problémové momenty. Důležitost analýzy aktuálních rizik zdůrazňuje také Mary LandesmanSloppy risk assessment raises web fear factor.

Tomuto tématu je také věnován článek Jak zajistit bezpečnost webových aplikací. Z úvodu: Funkční a zátěžové testování výrazně zvyšuje bezpečnost webových řešení, zvláště pokud se jedná o automatizovaný systém.

Malware

ESET: Škodlivý software: celosvětově vládne Conficker, v Česku se nejvíc šíří Bredolab – podle zjištění antivirové firmy ESET se ve světě v červenci nejvíce šířila infiltrace Win32/Conficker. Česko a také Slovensko jsou výjimkou, tady už druhý měsíc vládne trojan Bredolab.

Viry

Mary Brandel v informačně obsažném článku How to Evaluate, Compare and Implement Enterprise Antivirus přináší podrobnější pohled na implementaci antiviru v podnikové síti. Výkonnost je důležitá, ale rozhodně není jediným kritériem.

Hackeři

Hacker (Righter Kunkel) na Defconu ukázal, jak lze kompromitovat letový systém, jak jednoduše narušit Federal Aviation Administration´s a­ir traffic control system – Defcon air traffic control hacker: Excuse me while I change your aircraft’s flight plan.

Nejlepší (a nejhorší) hacky na konferenci Defcon uvádí Kit Eaton v přehledu nejzajímavějších informací – The Best (and Worst) Hacks of Defcon Computer Security Conference 2009 .

Hardware

Elektronické zámky lze cracknout, také toto bylo jedním z témat přednesených na Defconu – Electronic High-Security Locks Easily Defeated at Def. Jedná se o speciální typ zámků, který je používán například ve vládních budovách, v bankách a elektrárnách.

How secure is an optical-fibre network? – jak bezpečné jsou sítě s optickými kabely? Autor článku (Dave Bailey) komentuje závěry zprávy Fibre Optic Networks: Is Safety Just an Optical Illusion?, kterou připravil Romain Fouchereau, anylytik IDC. Popisuje existující tři postupy pro získávání dat z optických sítí.

VoIP

Na Defconu bylo také ukázáno, že aktualizace Skype může přinést do vašeho počítače i malware – Using software updates to spread malware. Cestu k tomu ukázali dva pracovníci izraelské firmy Radware.

VoIP sniffer umožňuje útoky na audio a video konference – DEFCON: Attack on audio and video conferencing made easy . NA Defconu byla prezentována verze 3.0 tohoto snifferu (Jason Ostrom a Arjun Sambamoorthy).

RFID

Feds at DefCon Alarmed After RFIDs Scanned aneb skeny RFID federálních pracovníků na Defconu, to je mj.informace k panelu, který proběhl na konferenci (Meet-the-Fed panel). Na konferenci byly (proto) také prodávány kožené náprsní tašky, které slouží zároveň jako Faradayova klícka.

Forenzní analýza

De-mystifying Defrag: Identifying When Defrag Has Been Used for Anti-Forensics (Part 1 – Windows XP), forenzní analýza : Defrag, jak probíhá identifikace situací, kdy je používán pro antiforenzní účely. První část článku je věnována této problematice pro Windows XP.

Elektronické bankovnictví

Falešný bankomat oklamal i hackery, účastníky konference DEFCON – Malicious ATM Catches Hackers. Umístěn byl v hotelu, kde byli ubytováni účastníci konference. Nebylo to však nadlouho – Fake ATM doesn´t last long at hacker meet.

Dále, objevila se informace, že bankomaty v Las Vegas asi obsahují malware – Security analyst: Las Vegas ATMs may have malware. The U.S. Secret Service is looking into the situation (Jeremy Kirk). Několik bankomatů prý odepíše požadované peníze z účtu, ale nevydá je. Vznikaly různé dohady, např. zda neexistuje souvislost se zrušenou prezentací k slabinám bankomatů (Black Hat a Defcon).

Avšak – s bankomaty v Las Vegas to nakonec bylo asi jinak – Gaming execs: Despite reports, hackers didn’t touch ATMs. Podle této informace nebyly bankomaty v hotelích napadeny hackery, ale byly deaktivovány z ochranných důvodů – právě kvůli probíhající konferenci Defcon…

Autentizace, hesla

Amazon je kritizován kvůli bezpečnosti ztracených hesel – Amazon criticised for security of lost passwords. Nepoužívá dostatečně bezpečnou metodu.

Velká Británie : nová identifikační karta hacknuta během 12 minut – ID card hacked, cloned in 12 minutes. IT specialista Adam Laurie k tomu použil notebook a mobil Nokia. Byl schopen zkopírovat všechna data na kartě, vytvořit klon karty a změnit informace na tomto klonu. Viz také – Home Office shrugs off ID card hack demo.

Elektronický podpis, SSL

Článek sslsniff je věnován nástroji sslsniff. Jeho verze 0.6 umožňuje útok „null-prefix“, který autor demonstroval na konferencích Black Hat a Defcon.

Normy a normativní dokumenty

Americký NIST minulý týden vydal dva dokumenty, jsou to

Kryptografie

Na konferenci Black Hat bylo také prezentováno rychlé generování MD5 kolizí pomocí grafických karet ATI – MD5 CHOSEN-PREFIX COLLISIONS ON GPUS. BLACK HAT USA 2009. Samotná prezentace (Marc Bevand) je pak zde – MD5 ChosenPrefix Collisions on GPUs.

Různé

Přehled vychází z průběžně publikovaných novinek na Crypto – News.

Našli jste v článku chybu?

11. 8. 2009 0:42

limit_false (neregistrovaný)

Slidy a prezentace k Computrace BIOS „rootkitu“

http://www.co­resecurity.com/con­tent/Deactiva­te-the-Rootkit

10. 8. 2009 7:34

Jaroslav Pinkava (neregistrovaný)

Všechny prezentace mají být na stránkách konference do 14 dnů, samozřejmě pak dám odkaz.

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Root.cz: Telegram spustil anonymní blog Telegraph

Telegram spustil anonymní blog Telegraph

Lupa.cz: Kdo pochopí vtip, může jít do ČT vyvíjet weby

Kdo pochopí vtip, může jít do ČT vyvíjet weby

DigiZone.cz: ČT má dalšího zástupce v EBU

ČT má dalšího zástupce v EBU

DigiZone.cz: ČRo rozšiřuje DAB do Berouna

ČRo rozšiřuje DAB do Berouna

Vitalia.cz: Jsou čajové sáčky toxické?

Jsou čajové sáčky toxické?

Vitalia.cz: I církev dnes vyrábí potraviny

I církev dnes vyrábí potraviny

Lupa.cz: Proč firmy málo chrání data? Chovají se logicky

Proč firmy málo chrání data? Chovají se logicky

120na80.cz: Vitaminová abeceda

Vitaminová abeceda

120na80.cz: Co všechno ovlivňuje ženskou plodnost?

Co všechno ovlivňuje ženskou plodnost?

Vitalia.cz: Láska na vozíku: Přitažliví jsme pro tzv. pečovatelky

Láska na vozíku: Přitažliví jsme pro tzv. pečovatelky

Podnikatel.cz: Babiše přesvědčila 89letá podnikatelka?!

Babiše přesvědčila 89letá podnikatelka?!

Měšec.cz: Golfové pojištění: kde si jej můžete sjednat?

Golfové pojištění: kde si jej můžete sjednat?

Lupa.cz: Insolvenční řízení kvůli cookies? Vítejte v ČR

Insolvenční řízení kvůli cookies? Vítejte v ČR

Měšec.cz: U levneELEKTRO.cz už reklamaci nevyřídíte

U levneELEKTRO.cz už reklamaci nevyřídíte

Podnikatel.cz: Podnikatelům dorazí varování od BSA

Podnikatelům dorazí varování od BSA

DigiZone.cz: ČRa DVB-T2 ověřeno: Hisense a Sencor

ČRa DVB-T2 ověřeno: Hisense a Sencor

Vitalia.cz: Paštiky plné masa ho zatím neuživí

Paštiky plné masa ho zatím neuživí

Lupa.cz: Teletext je „internetem hipsterů“

Teletext je „internetem hipsterů“

Měšec.cz: Air Bank zruší TOP3 garanci a zdražuje kurzy

Air Bank zruší TOP3 garanci a zdražuje kurzy