Přehledy a konference
Média se samozřejmě ještě stále vrací k průběhu konferencí Black Hat a Defcon. V letošním roce – možná ještě více než tomu bylo v uplynulých letech – zde byla probírána celá řada zajímavých témat, objevilo se množství významných hacků. Trochu atmosféry z konference Black Hat přináší těchto dvacet pohlednic – 20 Scenes From BlackHat 2009. Dále jeden z ucelenějších pohledů na celý průběh konference Black Hat zpracoval(a) Wendy M. Grossman – All Around My (Black) Hat. A report on the proceedings at the Black Hat security conference 2009.
Top 10 of Black Hat and Defcon aneb Top 10 z konferencí Black Hat a Defcon. Iain Thomson popisuje, co ho nejvíce na těchto akcích zaujalo. Jeho žebříček:
- 10. Internal hacks
- 9. Federal Aviation Administration hacking
- 8. The Feds
- 7. SMS hacking
- 6. Software updates
- 5. Cloud computing
- 4. AES hacking
- 3. ATM hacking
- 2. Microsoft
- 1. Secure Socket Layer
Elinor Mills také popisuje osobní zkušenosti z účasti na DEFCON 17 (Las Vegas) v tomto roce a konstatuje, že také hackerská komunita stárne. Dále – pobyt mezi hackery, vás může učinit poněkud paranoidními – Hanging with hackers can make you paranoid.
Obecná a firemní bezpečnost IT
Bruce Schneier zpracoval esej, jejíž téma se odvíjí od velkého čínského firewallu – Building in Surveillance. Schneier zde hájí svobodný internet.
Jeff Bardin v poněkud kritickém pohledu – Top Ten Reasons You Know Your CISO Must Go – vysvětluje, co byste měli vědět o způsobu myšlení šéfů (v deseti bodech).
S kritickým pohledem přichází také Kenneth van Wyk, tentokrát je věnován neodpovědnosti na akcích Black Hat a Defcon – Irresponsibility at Black Hat, Defcon. Producenti SW byli o zranitelnostech (ve dvou případech, které autor jmenuje – Apple iPhone SMS a Computrace LoJack laptop firmware) informováni pozdě a neměli dost času na ně zareagovat.
Potom co Melissa Hathaway stáhla svoji žádost o toto místo, není jasné, kdo by měl stát na čele americké kyberbezpečnosti – Cybersecurity Czar Position Still Open.
Rezignace Melissy Hathaway zvyšuje tlak na Obamovu administrativu – Pressure on Obama to move fast on cybersecurity appointment. Nového šéfa kybernetické bezpečnosti je třeba jmenovat urychleně, říká Jaikumar Vijayan ve svém komentáři.
V dalším svém komentáři se Jaikumar Vijayan vrací k současné situaci v USA ohledně jmenování nového federálního šéfa kybernetické bezpečnosti – The cybersecurity job no one really wants. Nadpis článku je více než výmluvný, je to pozice, kterou nikdo nechce.
Podle přehledu, který zpracovala ISACA, neumí 2/3 firem změřit hodnotu svých IT investic – ISACA survey: Two-thirds of firms failing to measure IT value. Přehled byl zpracován na základě odpovědí 1217 profesionálů z devíti zemí.
Computer security – encyclopedia article about Computer security, to je internetová encyklopedie bezpečnosti IT a jeden z odkazů, ke kterým stojí za to se občas vrátit.
Nebezpečí přílišného spoléhání se na dosažené shody dokumentují Charles Cresson Wood a Kevin Beaver v The Dangers of Over-Reliance on Compliance. Zkušenosti posledního času ukazují, že i organizace, které ve svých politikách mají dosažení shody s regulačními ustanoveními a řídí se v tomto smyslu těmito politikami, jsou předmětem datových průniků.
Nejprve, již počátkem týdne bylo konstatováno, že filtr malware na Twitteru je málo efektivní – Twitter's malware filter has ‚disappointing results‘, say security experts.
Následné informace oznámily, že Twitter se stal předmětem útoku DDoS, – Twitter Crippled by Denial-of-Service Attack (také David Silmen – Twitter čelil masivnímu útoku). Útok DoS byl příčinou toho, že Twitter byl po několik hodin nepřístupný. Viz dále:
- Hacker attacks silence Twitter, slow Facebook
- Researcher: Twitter attack targeted anti-Russian blogger
- DDoS attack that downed Twitter also hit Facebook
- Twitter, Facebook attack targeted one user
- Georgian blogger claims he has been made a scapegoat for the Twitter denial-of-service attack as emails sent claim to be from him
Předmětem útoku byl účty gruzínského uživatele Twitteru (Cyxymu = Suchumi) na Twitteru, Facebooku, LiveJournal, Google´s Blogger a YouTube, útoky byly prováděny souběžně.
Objevily se spekulace (komentář Briana Krebse) – Russia-Georgia Conflict Blamed for Twitter, Facebook Outages – V pozadí útoků na Twitter a Facebook je rusko-gruzínský konflikt? K tématu se dále vrací také článek Security experts scramble to decipher Twitter attack. Je výročí tohoto konfliktu příčinou útoku?
Software
Automated updates: Why they may not be such a good idea – jsou automatické aktualizace dobrým nápadem? Michael Kassner hovoří o nedávno vyvinutém nástroji Ippon a o nebezpečích, která mohou vzniknout jeho využitím a využitím jemu podobných utilit.
Nalezeny byly nebezpečné chyby v XML – XML flaws threaten ‚enormous‘ array of apps. Finská firma Codenomico: chyby jsou obsaženy téměř v každé open source knihovně pro XML. Zneužití některých z nich může vést k spadnutí počítače nebo dokonce je následně možné na počítači dálkově spouštět škodlivý kód.
Bezpečnost webových aplikací – jak se mají firmy bránit proti hackerům – Web Application Security 101: Protecting the Enterprise against Hackers . Mandeep Khera charakterizuje současnou situaci a ukazuje na některé problémové momenty. Důležitost analýzy aktuálních rizik zdůrazňuje také Mary Landesman v Sloppy risk assessment raises web fear factor.
Tomuto tématu je také věnován článek Jak zajistit bezpečnost webových aplikací. Z úvodu: Funkční a zátěžové testování výrazně zvyšuje bezpečnost webových řešení, zvláště pokud se jedná o automatizovaný systém.
Malware
ESET: Škodlivý software: celosvětově vládne Conficker, v Česku se nejvíc šíří Bredolab – podle zjištění antivirové firmy ESET se ve světě v červenci nejvíce šířila infiltrace Win32/Conficker. Česko a také Slovensko jsou výjimkou, tady už druhý měsíc vládne trojan Bredolab.
Viry
Mary Brandel v informačně obsažném článku How to Evaluate, Compare and Implement Enterprise Antivirus přináší podrobnější pohled na implementaci antiviru v podnikové síti. Výkonnost je důležitá, ale rozhodně není jediným kritériem.
Hackeři
Hacker (Righter Kunkel) na Defconu ukázal, jak lze kompromitovat letový systém, jak jednoduše narušit Federal Aviation Administration´s air traffic control system – Defcon air traffic control hacker: Excuse me while I change your aircraft’s flight plan.
Nejlepší (a nejhorší) hacky na konferenci Defcon uvádí Kit Eaton v přehledu nejzajímavějších informací – The Best (and Worst) Hacks of Defcon Computer Security Conference 2009 .
Hardware
Elektronické zámky lze cracknout, také toto bylo jedním z témat přednesených na Defconu – Electronic High-Security Locks Easily Defeated at Def. Jedná se o speciální typ zámků, který je používán například ve vládních budovách, v bankách a elektrárnách.
How secure is an optical-fibre network? – jak bezpečné jsou sítě s optickými kabely? Autor článku (Dave Bailey) komentuje závěry zprávy Fibre Optic Networks: Is Safety Just an Optical Illusion?, kterou připravil Romain Fouchereau, anylytik IDC. Popisuje existující tři postupy pro získávání dat z optických sítí.
VoIP
Na Defconu bylo také ukázáno, že aktualizace Skype může přinést do vašeho počítače i malware – Using software updates to spread malware. Cestu k tomu ukázali dva pracovníci izraelské firmy Radware.
VoIP sniffer umožňuje útoky na audio a video konference – DEFCON: Attack on audio and video conferencing made easy . NA Defconu byla prezentována verze 3.0 tohoto snifferu (Jason Ostrom a Arjun Sambamoorthy).
RFID
Feds at DefCon Alarmed After RFIDs Scanned aneb skeny RFID federálních pracovníků na Defconu, to je mj.informace k panelu, který proběhl na konferenci (Meet-the-Fed panel). Na konferenci byly (proto) také prodávány kožené náprsní tašky, které slouží zároveň jako Faradayova klícka.
Forenzní analýza
De-mystifying Defrag: Identifying When Defrag Has Been Used for Anti-Forensics (Part 1 – Windows XP), forenzní analýza : Defrag, jak probíhá identifikace situací, kdy je používán pro antiforenzní účely. První část článku je věnována této problematice pro Windows XP.
Elektronické bankovnictví
Falešný bankomat oklamal i hackery, účastníky konference DEFCON – Malicious ATM Catches Hackers. Umístěn byl v hotelu, kde byli ubytováni účastníci konference. Nebylo to však nadlouho – Fake ATM doesn´t last long at hacker meet.
Dále, objevila se informace, že bankomaty v Las Vegas asi obsahují malware – Security analyst: Las Vegas ATMs may have malware. The U.S. Secret Service is looking into the situation (Jeremy Kirk). Několik bankomatů prý odepíše požadované peníze z účtu, ale nevydá je. Vznikaly různé dohady, např. zda neexistuje souvislost se zrušenou prezentací k slabinám bankomatů (Black Hat a Defcon).
Avšak – s bankomaty v Las Vegas to nakonec bylo asi jinak – Gaming execs: Despite reports, hackers didn’t touch ATMs. Podle této informace nebyly bankomaty v hotelích napadeny hackery, ale byly deaktivovány z ochranných důvodů – právě kvůli probíhající konferenci Defcon…
Autentizace, hesla
Amazon je kritizován kvůli bezpečnosti ztracených hesel – Amazon criticised for security of lost passwords. Nepoužívá dostatečně bezpečnou metodu.
Velká Británie : nová identifikační karta hacknuta během 12 minut – ID card hacked, cloned in 12 minutes. IT specialista Adam Laurie k tomu použil notebook a mobil Nokia. Byl schopen zkopírovat všechna data na kartě, vytvořit klon karty a změnit informace na tomto klonu. Viz také – Home Office shrugs off ID card hack demo.
Elektronický podpis, SSL
Článek sslsniff je věnován nástroji sslsniff. Jeho verze 0.6 umožňuje útok „null-prefix“, který autor demonstroval na konferencích Black Hat a Defcon.
Normy a normativní dokumenty
Americký NIST minulý týden vydal dva dokumenty, jsou to
- Draft Special Publication (SP) 800–126, The Technical Specification for the Security Content Automation Protocol (SCAP)
- Special Publication 800–53, Revision 3, Recommended Security Controls for Federal Information Systems and Organizations. Special Publication 800–53, Revision 3
Kryptografie
Na konferenci Black Hat bylo také prezentováno rychlé generování MD5 kolizí pomocí grafických karet ATI – MD5 CHOSEN-PREFIX COLLISIONS ON GPUS. BLACK HAT USA 2009. Samotná prezentace (Marc Bevand) je pak zde – MD5 ChosenPrefix Collisions on GPUs.
Různé
Přehled vychází z průběžně publikovaných novinek na Crypto – News.