Přehledy
Přehled 2011 CyberSecurity Watch Survey připravil CSO Magazine (sponzorem byla společnost Deloitte) – 2011 CyberSecurity Watch Survey: Organizations Need More Skilled Cyber Professionals to Stay Secure. Na jeho přípravě se podílelo více než 600 respondentů. Organizace k tomu, aby zůstaly chráněné, potřebují zkušenější bezpečnostní profesionály, útoky zevnitř způsobují nyní větší škody – to jsou jen některé ze závěrů zprávy. Samotný dokument (v kompletní podobě) si lze vyžádat na e-mailové adrese uvedené v článku. Viz také komentář Billa Brennera – Report: Insider attacks costly, but there's a silver lining.
Obecná a firemní bezpečnost IT
Egypt na čas opustil internet – Egypt Leaves the Internet. Podle dostupných informací nařídila egyptská vláda uzavření všech internetových připojení. Všechny egyptské instituce, banky, firmy, vyslanectví, vládní úřady atd. byly odříznuty díky této bezprecedentní akci od zbytku světa.
Švédský poskytovatel zřizuje anonymní připojení k internetu – aby obešel novou evropskou směrnici – UK ISPs Moot Anonymous Internet Solution to Circumvent New Data and Piracy Laws . Jedná se o dokument s názvem European Data Retention Directive. Zmíněný poskytovatel hostí také stránky WikiLeaks.
How Egypt did (and your government could) shut down the Internet aneb jak vlastně Egypt zavřel internet. Iljitsch van Beijnum se pokouší rozebrat se v technické a administrativní složitosti procesu. Viz také How Was Egypt´s Internet Access Shut Off?
EFF exposes extensive FBI violations – stížnosti EFF směřují také také proti FBI. V roce 2009 Electronic Frontier Foundation vedla řadu soudních sporů s federálními agenturami. Týkají se nevhodných postupů jejich zaměstnanců. Podle některých závěrů pracovala FBI takto s některými osobními informacemi.
Jaký je rozdíl mezi diskrétností a soukromím (jakožto bezpečnostními koncepty)? Anglická slovíčka označující tyto pojmy jsou : secrecy a privacy. Chad Perrin se v článku pokouší vymezit odlišnosti v chápání jejich obsahu. Diskrétnost se týká pokusů skrýt informaci, ke které se lze dostat shromážděním dostupných faktů. Oproti tomu soukromí chrání komunikaci mezi partnery před odposlechnutím. Tato pojetí pak Perrin objasňuje na příkladech – The difference between secrecy and privacy as security concepts.
Připojte se sami k internetu (pokud vám vaše vláda tento přístup uzavře) – Get Internet Access When Your Government Shuts It Down. Samozřejmě, článek je napsán jako reakce na situaci v Egyptě. Autoři vysvětlují, jaké nástroje potřebujete a jak je použít.
Vzhledem k situaci v Egyptě senátoři znovu předkládají zákon pro „internet kill switch“ – Internet ‚kill switch‘ bill reintroduced as Egypt remains dark. Zákon by měl dát takovéto právo americkému prezidentovi. Tento komentář – The Internet kill switch that isn´t – objasňuje situaci podrobněji.
Velká Británie: ministr varuje, kybernetický teroristický útok v UK je velmi pravděpodobný – Minister warns that cyber terrorist attack on UK is highly likely. Bezpečnostní ministr Baroness Pauline Neville-Jones v tomto smyslu hovořila na konferenci k online džihádu.
Flexibilní myšlení vás ochrání lépe než nejlepší bezpečnostní postupy – Why a lively imagination may bolster security more than best practices. Chad Perrin vysvětluje na řadě příkladů, proč je tomu tak.
Podívejte se na video, které pro vás připravila NSA – Trusted Computing Technology Demonstration. Defending Against Cyber Threats. Angličtina bude někomu na překážku, ale obsah za to stojí. Doplňkový text najdete zde – HAP Brochure.
EU připravuje zákon k ochraně spotřebitelů, kteří nakupují online – EU struggles with online consumer rights. Má nahradit existující, ale diskutabilní směrnici – Consumer Rights Directive.
Jakému poskytovateli cloudů důvěřovat? David Taber v první části uvádí sedm základních faktorů, kterých bychom si měli všimnout. Jeho rozbor pokračuje pak druhou částí, ve které se věnuje kontrole přístupů:
Internet totálně anonymní je totální anarchií – The Internet Should Not Be Anonymous. Roger Grimes se zamýšlí nad cestou americké vlády, která chce zavést národní Internet ID.
Evropská komise chce mít data leteckých pasažérů – E.C. wants personal data on air passengers. A to všech bez ohledu na národnost a ať už letí do Unie či z ní ven. Data budou ověřována a ukládána národními policejními složkami (obsahují domácí adresy, číslo mobilního telefonu, informace k platební kartě a e-mailovou adresu).
Skupina Anonymous po Tunisku a Egyptu útočí nyní na vládní stránky v Jemenu – Hackers Set Sights on Yemen After Egypt. V minulý čtvrtek byla nedostupná stránka jemenského presidenta Ali Abdullah Saleha.
Sociální sítě
Které informace o vás sociální sítě vydají? Zajímavý a z hlediska obsahu užitečný přehled zpracoval Michael Kassner – Social networking sites: What information will they release about you?
Obíhá podvodná hláška „Facebook closing all accounts“. Zpráva jakoby pochází od samotného Marka Zuckerberga. Nabízený odkaz vede k požadavku vyplnit jeden z uvedených přehledů (touto cestu pak útočník přichází k penězům) – „Facebook closing all accounts“ scam hits users.
Byla nalezena chyba v autentizačních postupech Facebooku – Facebook plugs gnarly authentication flaw. Chyba umožňovala krádež soukromých dat uživatelů, fungovala pouze při návštěvě webu se škodlivým obsahem. Chybu již pracovníci Facebooku opravili.
Soukromé informace na Facebooku jsou stále častěji využívány soudy – Private info on Facebook increasingly used in court. Autor článku v souvislosti s vývojem této situace uvádí některé příklady.
Software
Comodo zadarmo zabezpečí počítač od hlavy až k patě, Technet.cz: Antivir, firewall, šifrování disku a další bezpečnostní úkoly zvládnou programy od jedné společnosti. Firma Comodo je navíc nabízí bezplatně.
Bezplatná služba detekuje XSS chyby – Free XSS flaws detection service. Jedná se o Veracode Free XSS Detection Service. V článku je tato služba ve stručnosti uvedena a je vysvětleno, jak funguje. Podle OWASP patří XSS do desítky největších rizik.
Microsoft vydal varování ohledně IE XSS chyby – Microsoft warns of Internet Explorer XSS flaw in all versions of Windows. Jeho doporučení si lze přečíst na stránce Vulnerability in MHTML Could Allow Information Disclosure.
Nalezena nová kritická zranitelnost VLC Media Player – New critical vulnerability in VLC Media Player. Minulý týden byly vydána aktualizace na verzi 1.1.6., ale nyní se objevila informace o další nalezené chybě. Oprava nedávno vydané verze přišla však rychle – VLC Media Player 1.1.7 addresses critical vulnerability.
Také Cain & Abel je po týdnu v nové verzi 4.9.38 – Cain and Abel 4.9.38. V článku jsou stručně vysvětleny funkčnosti tohoto SW a uváděné změny.
DDoS útoky mají díky nevhodnému nastavení firewallů větší dopad – DDoS attacks made worse by firewalls, report finds. Vyplývá to ze zprávy, kterou vydala společnost Arbor Network.
K dispozici je volně dostupná příručka: Bezpečnost webových aplikací – Web Application Security — How to Minimize Prevalent Risk of Attacks. Nezbytná je registrace. Komentář k obsahu příručky je v článku Free guide: Web application security. Z obsahu:
- Primer on Web App Security
- Types of Web App Vulnerabilities
- Detecting Web App Vulnerabilities
- … Automates Detection of Vulnerabilities
- Protect Your Web Applications
Google nabízí 20 000 dolarů tomu, kdo hackne Chrome – Google offers $20,000 prize in annual hack-off. Jedná se o výzvu Pwn2Own, tato soutěž má proběhnout příští měsíc.
Top 10 volně dostupných open source nástrojů pro administrátory sítí najdete na stránce Top 10 free open source tools for network admins. High Mobley vyjmenovává a popisuje následující nástroje (ve skutečnosti jich je dvanáct):
- Dig (součást Bind Project)
- Nmap
- KeePass
- IPplan
- Tcpdump
- Wireshark
- RANCID
- OpenNMS
- Cacti
- My TraceRoute
- PHP Weathermap
- Ntop
Malware
Analytici se dostali do vnitřku botnetu Waledac. Mj. našli půl miliónu hesel k e-mailům – Researchers pry open Waledac, find 500,000 email passwords. Tyto informace publikovala bezpečnostní firma Last Line – Calm Before the Storm? Insights into Waledac 2.0. Navíc zde byla nalezena přístupová data celkově k 123 920 jednotlivých ftp spojení.
Útoky DDoS (botnet Darkshell) a konkurenční boj v potravinářském průmyslu, to je téma článku DDoS bot infests food processing firms. Obětí popisovaného útoku je v USA 23 a v Číně 65.
Zlodějský SW začíná zneužívat názvy legitimních antivirů – Rogueware starts misusing names of legitimate AV. F-Secure hlásí, že se to týká antiviru AVG.
Vývoji okolo fúze trojanů ZeUs a SpyEye se věnuje Brian Krebs v článku Revisiting the SpyEye/ZeuS Merger. Komentuje v něm současný (bouřlivý) vývoj. Další informace jsou v přiložených odkazech. Viz také jiný komentář – Next-generation banking malware emerges after Zeus.
Hackeři
Hacker dostal šest let za pokus vysát 3,2 miliónu z účtů České spořitelny, z úvodu : Krajský soud v Ostravě uložil šest let vězení Lumírovi Heričovi. Podle obžaloby se naboural do účtů osmi desítek klientů České spořitelny. Pokusil se z nich převést přes 3,2 milionu korun. Zásah banky ale finančním operacím buď zcela zabránil, nebo byly peníze urychleně vráceny na účty majitelů.
Pět nových online hrozeb, před kterými byste měli být na pozoru, vyjmenovává Bill Snyder – 5 New Online Security Threats to Avoid. Popisuje následující hrozby:
- Clickjacking
- Fake surveys
- Rogue applications
- Amazon vulnerability
- Spearphishing
Hackers target network printers aneb hackeři a síťové tiskárny. Autor krátké informace se ještě vrací k jednomu vystoupení na konferenci Shmoocon 2011. Tiskárny, které jsou připojeny na internet a nejsou dostatečně zabezpečeny, mohou být zdrojem neoprávněných přístupů do sítě organizace. Příslušný hackovací program se nazývá Praeda, zneužívá takové chyby jako jsou ponechaná defaultní hesla.
Rok 2010 byl rokem DDoS útoků – Will DDoS Attacks Take Over the Internet?. Článek široce komentuje závěry zprávy společnosti Arbor Networks – Network Infrastructure Security Report. Objem DDoS útoků vzrostl od roku 2005 o 1000 procent.
Hardware
Jak spravovat spotřební zařízení ve vaší síti – How to manage consumer devices on your network. Chytrých mobilů a zařízení typu iPad přibývá. Linda Musthaler přichází s některými doporučeními.
Nový SW pro Sony PS3 hacknut během 24 hodin – Newest PS3 firmware hacked in less than 24 hours . Sony se podle této informace v této verzi (3.56) prý pokouší skenovat konzoli zda neobsahuje jiný než autorizovaný SW.
Společnost Sony při upgrade firmwaru pro PS3 rootkit zřejmě nepoužila – Sony PS3 rootkit rumours rubbished. V tomto smyslu se vyslovil Chris Boyd, odborník ze společnosti GFI Security.
Bezdrát
Toto není nová připomínka, věnujte se bezpečnosti svého bezdrátu – Consumers urged to step up wireless security. Používejte šifrování WPA2 a silná hesla, říká Wi-Fi Alliance.
Mobilní telefony
Soundminer: A Stealthy and Context-Aware Sound Trojan for Smartphones aneb trojan pro chytré mobily, který krade peníze. Trojan pro mobily s OS Android vyhledává čísla platebních karet a odesílá informace kontrolující straně. Je to zatím jen poukázání na možnou existenci (proof of concept) takovéhoto malware, ale nemylme se, co není… Viz komentář Bruce Schneiera – Trojan Steals Credit Card Numbers a diskuzi na jeho blogu.
Video, které ukazuje, jak lze hacknout chytrý mobil, najdete na stránce How to hack a smartphone . Meir Machlin a Joan Goodchild v diskuzi na obrazovce objasňují existující možnosti.
Spam
Článek Rustock, Phishing Scams Boost Spam in January informuje o nárůstu objemu spamu v druhé polovině ledna 2011. Příčinou jsou nové kampaně se škodícím obsahem a návrat botnetu Rustock.
Elektronické bankovnictví
Bankomatová udělátka pro podvody, která se nikdy nedotknou bankomatu, Brian Krebs doplňuje svůj seriál k bankomatovým podvodům – ATM Skimmers That Never Touch the ATM. Zrcátka, kamery atd., v článku vše dokumentuje názornými fotografiemi. Viz k tomu diskuzi na Schneierově blogu – ATM Skimmer on Bank Door Lock.
Phishing
Zkouší čínští špioni cílený phishing na americké diplomaty? Článek – Chinese spies attempted to spear-phish US diplomats? – popisuje případ, ve kterém figuroval jistý Bruce Stokes – Chinese Spies May Have Tried to Impersonate Journalist Bruce Stokes.
Normy a normativní dokumenty
Americký NIST vydal drafty dvou příruček, které se týkají problematiky cloud computingu (CC). Jsou to:
- DRAFT NIST Special Publication 800–144 (přehled problemů okolo bezpečnosti a soukromí ve vztahu k CC a zároveň jsou zde uvedena doporučení organizacím)
- DRAFT NIST Special Publication 800–145
Komentář k vydaným příručkám si lze přečíst v článku NIST report aims to help U.S. agencies deploy cloud apps.
Kryptografie
The Thomas Beale Cipher – šifra Thomase Beala. Pusťte si desetiminutové video a najděte 16 skrytých zpráv. Tajemství Thomase Beala (Beale ciphers) zůstává nevyřešeno.
Různé
Přehled vychází z průběžně publikovaných novinek na Crypto – News.
