Hlavní navigace

Bezpečnostní střípky: iPhone má své vlastní červy

Jaroslav Pinkava 30. 11. 2009

Pravidelný pondělní přehled informací vztahujících se k problematice bezpečnosti IT. Z informací, které přinesl tento týden lze upozornit na doplněný Security Starter Kit, odkazy věnované online bankovnictví a již se začínají objevovat varování souvisejí s předsvátečními online nákupy.

Obecná a firemní bezpečnost IT

Pět zpráv (novinek) z bezpečnosti IT, kterým bychom měli věnovat pozornost – Five security news items that should get your attention. Chad Perrin vybral pětici informací, které si to podle jeho názoru nejvíce zaslouží:

  • NSA pomohlo Microsoftu s bezpečností Windows 7. Diskutuje se o tom, zda by NSA zde mohla mít vytvořena zadní vrátka.
  • Kompromitována byla stránka NSA
  • Společnost IBM oznámila, že má k dispozici prostředek, který umí pracovat se zašifrovanými daty – bez nutnosti je dešifrovat (autorem tohoto nového algoritmu je Craig Gentry).
  • V Takoma Park jako první použili kryptografický hlasovací systém (voting system) MIT.
  • V záři se objevil první červ pro reddit (stránka pro novinky v sociálních sítích, hlasuje se o jejich významu).

McAfee – jaké typy podvodných e-mailů můžeme očekávat s blížícími se Vánoci? V článku McAfee warns about ‚12 Scams of Christmas‘ jich pracovník společnosti McAfee David Marcus identifikoval 12, jsou zde vyjmenovány, např.:

  • podvodné e-maily, které zdánlivě mají charakter charity
  • falešná oznámení od zásilkových služeb
  • žádosti přátel ze sociálních sítí
  • falešné luxusní šperky
  • bezpečné sváteční nákupy (je vaše bezdrátová síť dostatečně zabezpečena?)
  • podvodné maily spojené s hledáním zaměstnání
  • podvodné maily, které se snaží z vás vylákat hesla k účtům či jiná citlivá data
  • vyděračské soubory

Bill BrennerChecklist: 11 Security Tips for Black Friday, Cyber Monday zase uvádí jedenáct bezpečnostních doporučení pro online nákupy před svátky (USA – Den díkůvzdání):

  • Ujistěte se, že máte zapnutý bezpečnostní software
  • Chraňte uživatele před jejich vlastními chybami, jinak řečeno zvyšujte jejich bezpečnostní povědomí
  • Monitorujte síť
  • Segmentujte sítě
  • Stop pro malware v mobilních zařízeních
  • Odevzdávejte hotovost
  • Důvěřuj, ale prověřuj
  • Ověřujte podpisy
  • Transakce opírající se o PIN jsou lépe chráněny
  • Uchovávejte co nejméně dat ke kartám (nechte to na odpovědných institucích)
  • Šifrujte

So Long, And No Thanks for the Externalities: The Rational Rejection of Security Advice by Users aneb jaké mohou být racionální důvody pro zamítnutí bezpečnostních doporučení. Tento méně tradiční pohled na řešení bezpečnostních otázek je také diskutován na Schneierově blogu – Users Rationally Rejecting Security Advice.

Byla vydána zpráva U.S.-China economic and security review commision. Komentář k tomuto rozsáhlému dokumentu (381 stran) je v článku, jehož autorem je Thomas Claburn – China Cyber Espionage Threatens U.S., Report Says. Co se týká nebezpečnosti čínské kybernetické špionáže, je zde v letošním roce konstatován význačný posun těchto aktivit oproti rokům 2008 a 2007.

Americká vláda – je třeba zpřísnit požadavky na pracovníky IT bezpečnosti – FY 2009 FISMA Evauazion Report. Komentář k této zprávě amerického ministerstva vnitra je obsažen v článku Feds To Sharpen Cybersecurity Job Policies.

Proč musíte mít své hlavní uživatele pod kontrolou? na tuto otázku odpovídá Bob Tarzey v článku Why you must rein in your power users. Říká, že privilegovaní uživatelé musí být kontrolováni nejméně tak jako běžní uživatelé, ale spíše více. Pokud oni zapříčiní škodu, nebývá to škoda malých rozměrů.

Jaký je současný stav vývoje amerických vojenských kybernetických sil, k tomuto tématu vystoupil jejich šéf (US 24th Air Force, Lackland v Texasu) generálmajor Richard Webber na sympoziu v Los Angeles – US Military cyber forces on the defensive in network battle.

Kybernetické průniky jsou utajovány – Cyber breaches kept secret. V článku agentury Reuters se uvádí, že na zveřejněné případy datových průniků připadá mnohem více takových případů, kdy se o uskutečněných datových průnicích mlčí. Někdy není informována ani FBI (je popisována situace v USA).

Software

Čtyři možnosti, jak relativně lacino monitorovat síť – s cílem sbírat důkazy, uvádí ve svém článku Brandon Gregg – 4 Cheap Options to Monitor Networks for Evidence. Je zde také několik odkazů na další články se související problematikou.

Co se týká top 100 https stránek, jen 24 z nich je zabezpečeno proti poslednímu útoku na TLS – 24 of the 100 top HTTPS sites now safe from TLS renegotiation attacks. Tedy útoku, který je označován jako TLS renegotiation attack. Anil Kurmus demonstroval na příkladu Twitteru, jak využitím této zranitelnosti lze krást hesla.

Cloud computing pros and cons – výpočty v oblacích (cloud computing), jaké jsou jejich klady a zápory, to je komentář ke zprávě Cloud Computing: Business Benefits With Security, Governance and Assurance Perspective, kterou připravila ISACA.

Seznam přání ohledně bezpečnostních vlastností IE 9 připravil Brian Prince – A Security Wish List for Microsoft Internet Explorer 9. Je to reakce na informaci Microsoftu, který v ní uvedl některé podrobnosti k nové verzi prohlížeče Internet Explorer (ohledně novinek, které se vztahují k bezpečnosti, však nebyla žádná zmínka).

MS unleashes legal attack dogs to lick up COFEE spill – jaké jsou současné snahy Microsoftu vzhledem k uniklému nástroji MS COFEE? COFEE (Computer Online Forensic Evidence Extractor) je nástroj určený k sběru digitálních důkazů, není určen veřejnosti. Nyní je v pozměněné podobě dostupný na torrentech.

Exploit pro Internet Explorer byl zveřejněn online, týká se verzí IE 6. a IE 7. Viz komentáře:

O chybě IE 8 zase informuje článek

Jak si správně vybrat bezpečnostní software, nad tím, jaké možnosti mají uživatelé, se zamýšlí Nick Mediati – Picking the Right Security Software. Mezi doporučeními se objevují např. G-Data Antivirus (nedávno úspěšný v testech) a ZoneAlarm.

Strategie, která vede k přesměrování DNS pro chybné požadavky může vést k škodám na internetu – DNS redirect requests can harm the Internet, ICANN says. Mikael Ricknäs komentuje sdělení ICANN (Internet Corporation for Assigned Names and Numbers), které kritizuje často zaužívanou praxi, kdy po chybně zadané adrese někteří operátoři odešlou požadavek na jinou IP adresu (NXDOMAIN substitution), často jí je nějaký informační portál.

Security Starter Kit byl nově doplněn pro rok 2010 – Security Starter Kit. Bezplatně dostupné bezpečnostní programy v něm obsažené (ke každému z nich je uvedena stručná informace):

Komentář k aktualizaci tohoto seznamu je na stránce Big changes in Security Starter Kit 2010.

Malware

Některá rozšíření Firefoxu lze zneužít pro instalaci malware – Some Firefox extensions may be exploited to install malware. Michael Kassner informuje o výsledcích výzkumu, který provedli pánové Suggi Liverani a Freeman (to druhé jméno je pochopitelně pseudonym).

Viry

Viry skryté v antivirech, Ondřej Bitto na Živě: Jednou z moderních hrozeb jsou podvodné aplikace, v čele s falešnými antiviry. Poslední dobou jejich počet stoupá – jak fungují a jak se proti nim úspěšně bránit?

Hackeři

Japonská stránka Symantecu se stala další obětí rumunského hackera Unu – Symantec Japan website bamboozled by hacker. Plaintext passwords revealed. John Leyden informuje o nalezené zranitelnosti typu Blind SQL Injection.

A jeden speciální hack – stránky kláštera Shaolin – Hacks of Chinese temple were online kung fu, abbot says. Představený shaolinského kláštera to charakterizoval jako online kung fu.

Co znamená únik e-mailů k změnám klimatu ve vztahu k trendům hacktivismu? V článku Climate Change E-mail Leak Indicates ‚Hacktivism‘ Trend se Stefanie Hoffman pokouší zařadit tento únik dat do širších souvislostí. Viz také článek

Mobilní telefony

Malware na iPhone je žhavým tématem posledních dní. První skutečně škodlivý červ se objevil v Holandsku – IT: First Malicious iPhone Worm In the Wild on Saturday November 21, @03:37PM . Viz také komentář Johna Leydena – First malicious iPhone worm slithers into wild.

Nový červ pro iPhone krade bankovní data, staví botnet – New iPhone worm steals online banking codes, builds botnet. Rychlost, se kterou se vyvíjí situace s malware pro iPhone, je varující. Viz také – New iPhone password: „ohshit“.

Elektronické bankovnictví

Jaké jsou bezpečnostní hrozby online financím v roce 2010? Ori Eisen v Online financial security threats: What can we expect in 2010? ukazuje na pětici v tomto směru největších hrozeb a v druhé pětici poukazuje na to, kde bychom měli být především opatrní.

  • Další rozšíření phishingu a objevení se SMShingu
  • Na scéně budou podvody
  • Nábor soumarů
  • Útoky botů
  • Otevírání online účtů (Demand Deposit Accounts – DDA) bude poskytovat podvodníkům další výhody.

A tedy čeho se v roce 2010 obávat:

  • Vzdálené depozity
  • Mobilní bankovnictví
  • Podvody běžící vícekanálově (např. kombinace informací získaných online s bankomatovými podvody)
  • Maskování citlivých dat
  • Objeví se více trojanů typu „URLZone“

Současným bankovním trojanům se v článku New Banking Trojan Horses Gain Polish věnuje Robert Vamosi. Popisuje vlastnosti těchto typů malware a uvádí jejich příklady – URLzone, Silentbanker, Zeus a Clampi.

Používejte pro online finanční transakce PC, které je určeno jen k těmto účelům – Take a tip from the Feds. FBI advice to use a dedicated PC for online transactions is both practical and low cost. Martin Courtney komentuje doporučení, které pochází od FBI. I domácí uživatelé mohou někde v garáži vyhrabat staré zaprášené PC, stačí vlastně, aby na něm fungoval prohlížeč.

ENISA zpracovala dokument k online bankovnictví prostřednictvím evropských eID karet  – Privacy and Security Risks when Authenticating on the Internet with European eID Cards. Celý název materiálu (41 stran) je Privacy and Security Risks when Authenticating on the Internet with European eID Cards. Komentář k němu je na stránce Online banking security risks through European eID cards.

Pět doporučení pro zabezpečení komunikace se zákazníky zpracoval Chad Perrin – Five guidelines for secure customer communication. Ideální politika by měla obsahovat pětici charakteristik, které jsou dále popsány, týkají se kryptografických digitálních podpisů, používání standardních šifrovacích protokolů, využívání prostředků pro verifikaci digitálních podpisů, používání zabezpečených webových stránek s přístupem TLS a konstatování, že je třeba nevyhovět těm zákazníkům, kteří (z důvodů vlastní pohodlnosti) nejsou ochotni podřídit se zaužívaným bezpečnostním postupům.

Elektronický podpis

Do datových schránek se dá vloupat, tvrdí odborníci, z úvodu: Datové schránky nejsou bezpečné, pohodlně se do nich dostanou tisíce poskytovatelů internetového připojení, tvrdí odborníci z bezpečnostní firmy 4 Safety. Na důkaz v úterý pod dohledem novinářů vnikli do čerstvě zaregistrované datové schránky.

Co je nedostatečně bezpečné? Datové schránky nebo osvěta?, Jiří Peterka na Lupě: Podcenění základních principů bezpečnosti, stejně jako podcenění potřeby kvalifikované osvěty, se autorům a provozovatelům datových schránek nyní vrací jako bumerang zpět na jejich hlavu. Společnost 4Safety v úterý názorně předvedla novinářům, k čemu toto podcenění může vést. Aneb: jak se nechat oblafnout, i když přesně dodržíte to, co vám stát (bohužel nesprávně) radí.

Normy a normativní dokumenty

Americký NIST vydal v uplynulém týdnu dokument:

Kryptografie

Rozbitá tajná šifra Al-Kajdy – Bruce Schneier přichází se zajímavým námětem pro diskuzi na svém blogu – Al Qaeda Secret Code Broken.

Na stránkách Cryptology ePrint Archive se objevily tyto zajímavé odborné studie věnované problematice kryptografického párování:

Různé

Přehled vychází z průběžně publikovaných novinek na Crypto – News.

Našli jste v článku chybu?

30. 11. 2009 18:20

JP (neregistrovaný)

V odstavci hackeři máte hned dva odkazy na články, které se tímto problémem zabývají. Přeji pozornější oko a správnou míru nesouhlasu :-) Něco totiž je třeba omezovat či korigovat, problém nastává, když je třeba určit, co konkrétně a v jakém rozsahu. U globálních problémú bede existovat pochopitelně velice rozsáhlá škála názorů, týká se to všech a každý do toho chce kecat. Já nevěřím na extrémy ani v jednom ze dvou protipólů.

Vitalia.cz: Baletky propagují zdravotní superpostel

Baletky propagují zdravotní superpostel

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Měšec.cz: Zdravotní a sociální pojištění 2017: Připlatíte

Zdravotní a sociální pojištění 2017: Připlatíte

Podnikatel.cz: Vrátí zvýhodnění, ale výrazně omezí paušály

Vrátí zvýhodnění, ale výrazně omezí paušály

Měšec.cz: U levneELEKTRO.cz už reklamaci nevyřídíte

U levneELEKTRO.cz už reklamaci nevyřídíte

Vitalia.cz: Jsou čajové sáčky toxické?

Jsou čajové sáčky toxické?

DigiZone.cz: ČT má dalšího zástupce v EBU

ČT má dalšího zástupce v EBU

Vitalia.cz: Mondelez stahuje rizikovou čokoládu Milka

Mondelez stahuje rizikovou čokoládu Milka

Podnikatel.cz: Babiše přesvědčila 89letá podnikatelka?!

Babiše přesvědčila 89letá podnikatelka?!

DigiZone.cz: Recenze Westworld: zavraždit a...

Recenze Westworld: zavraždit a...

Měšec.cz: Air Bank zruší TOP3 garanci a zdražuje kurzy

Air Bank zruší TOP3 garanci a zdražuje kurzy

DigiZone.cz: Rádio Šlágr má licenci pro digi vysílání

Rádio Šlágr má licenci pro digi vysílání

120na80.cz: Rakovina oka. Jak ji poznáte?

Rakovina oka. Jak ji poznáte?

Podnikatel.cz: Babiš: E-shopy z EET možná vyjmeme

Babiš: E-shopy z EET možná vyjmeme

120na80.cz: Pánové, pečujte o svoje přirození a prostatu

Pánové, pečujte o svoje přirození a prostatu

Měšec.cz: Jak vymáhat výživné zadarmo?

Jak vymáhat výživné zadarmo?

Root.cz: Certifikáty zadarmo jsou horší než za peníze?

Certifikáty zadarmo jsou horší než za peníze?

Podnikatel.cz: Chaos u EET pokračuje. Jsou tu další návrhy

Chaos u EET pokračuje. Jsou tu další návrhy

120na80.cz: Horní cesty dýchací. Zkuste fytofarmaka

Horní cesty dýchací. Zkuste fytofarmaka

Lupa.cz: Insolvenční řízení kvůli cookies? Vítejte v ČR

Insolvenční řízení kvůli cookies? Vítejte v ČR