Bezpečnostní střípky: jak bojovat s internetovými bezpečnostními hrozbami

Přehledy

Komentář k průběhu konference SecurityByte (6. – 9. září 2011, Bengaluru, Indie) a k některým vystoupením napsal Berislav Kucan – SecurityByte: Cyber conflicts, cloud computing and printer hacking. Jedná se o první ročník této konference. Konference běžela po třech liniích – technické, manažerské a vývojářské. Akci zahájil Dr. Whitfield Diffie. Mj. hovořil o nezbytnosti nových kryptografických mechanizmů v éře cloud computingu. Stránky konference jsou zde – Securitybyte 2011. India´s Lar­gest Information Security Conference. Fotografie z akce – Photos: The look and feel of SecurityByte 2011 a Photos: The look and feel of SecurityByte 2011, part 2.

Přehled říká, že většina šéfů monitoruje či blokuje využívání sociálních sítí v práci – Most bosses monitor or block social-network use at work. Zpráva společnosti ClearSwift Research vychází z dat od 1529 zaměstnanců a 906 manažerů z celého světa. V článku jsou uvedeny některé jeho výsledky. Například 60 procent zaměstnavatelů se obává, že svobodný přístup jejich zaměstnanců k Webu 2,0 přináší viry a červy.

Obecná a firemní bezpečnost IT

FBI varuje uživatele PlayStation – PlayStation Scam Makes FBI Warning List. A to před podvodnými e-maily oznamujícími, že jejich PS3 je nabízena v aukci a požadujícími, aby k tomu její majitel dal svolení. Pokud se dotyčný majitel PS3 bude snažit reklamu zrušit, jsou od něho vyžadovány citlivé informace.

Velká Británie: kriminální domény budou rychle „ukončovány“. Chystaný dokument počítá s rychlou procedurou, která takto umožní konat britskému národnímu internetovému registru Nominet – Criminal ‚.co.uk‘ domains to be shut in days, Nominet proposes.

Společnost Sony najala bývalého šéfa amerického ministerstva národní bezpečnosti k tomu, aby ověřil její bezpečnostní strategii – Sony Names Ex-DHS Director to Oversee Security Strategy.

Murdoch věděl o odposleších, které prováděly noviny News of the World, již v roce 2008 – Everyone knew NoTW ‚rogue reporter‘ bit was untrue. Vyšetřování, které je svým rozsahem značně nezvyklé, pokračuje.

Norton Cybercrime Report – Cyber crime now bigger than the drugs trade – počítačová kriminalita je nyní rozsahem větší než obchodování s drogami. Zpráva obsahuje čísla, která tyto skutečnosti dokumentují. Viz – Norton study.
Obdobně je situace hodnocena i v Austrálii – Cybercrime to get even bigger, expert – počítačová kriminalita přijde Australany nyní dráž než krádeže a loupeže a její objem stále narůstá (i vzhledem k rostoucímu využívání chytrých mobilů).

Tři z deseti Američanů naléhají na vládu, aby četla jejich e-maily – Three in ten Americans urge feds to read their email. A pokud se to týká e-mailů do zahraničí, vzroste toto procento na 49 procent. Univerzita v Chicagu se ptala jednoho tisíce Američanů, v článku jsou uvedeny některé další získané statistiky.

Zpráva Tenth Anniversary Report Card: The Status of the 9/11 Commission Recommendations konstatuje – deset let po jedenáctém září představují národní hrozbu kybernetické útoky – 10 years after 9/11, cyberattacks pose national threat, committee says. Takovéto útoky s katastrofickým dopadem nejsou jen pouhou science fiction. Obrana USA proti těmto útokům musí být urgentní prioritou, říká se ve zprávě.
Viz také – Three must-see 9–11–01 documentaries a 10 Years After 9/11, Are America´s Cyber­defenses Weaker?.

RSA Attack: All That Glitters Isn't China – autor článku se domnívá, že za útokem na RSA nemusela být Čína. Uvádí svá zjištění a tvrdí, že viníkem útoku je spíše skupina známá jako Russian Business Network (RBN).
O širších záměrech útočníků informuje článek RSA spearphish attack may have hit U.S. defense organizations. Podle společnosti VirusTotal útočníci používali čínskou variantu Excelu. Jak je vidět, názory, domněnky i argumenty se různí.

Také počítačová kriminalita se chystá na desáté výročí 11. září. Proto pozor na různé pastičky s malware a pokusy hackerů na sociálních sítích a v internetu vůbec, varuje BitDefender – Cybercrooks prey on 9/11 anniversary.

Podle 9/11: Attacks changed the way companies view IT se mění myšlení šéfů IT, hledají cesty k obranám před devastujícími počítačovými útoky. Problematiky obnovy po pohromě a plynulosti podnikání (business continuity) jsou jedněmi z nejrychleji rostoucích oblastí IT. Jaká poučení přineslo 11. září pro řešení problémů obnovy, o tom informuje článek 9/11: Top lessons learned for disaster recovery.

How to deal with Internet security threats aneb jak bojovat s internetovými bezpečnostními hrozbami. Sadu doporučení připravil Ian Kilpatrick (chairman of the Wick Hill Group), týkají se těchto okruhů: Risk assessment/risk management, Staff training, Staying up to date, Anti-virus/anti-spyware, Firewalls, Authentication, Remote user security, Wireless security, Encryption (including laptop and smartphone encryption).

Doporučení k ochraně před krádežemi ID pro studenty připravila společnost PrivacyGuard (Identity theft protection tips for students):

1. Vychutnejte si noční zábavu, ale přijďte domů s peněženkou
2. Pravidelně prověřujte stav svého účtu, je to užitečný nástroj kontroly
3. Dělejte si nové přátele, ale zůstávejte ve střehu
4. Sdílejte studijní doporučení, nikoliv však hesla
5. Chraňte počítače, účty

Datové toky s partnery – co je zde třeba zvažovat vzhledem k ochraně před průniky? Data breach risks: Not just the insider threat – tento šikovný materiál v přehledu uvádí potřebné otázky, na které je třeba hledat odpovědi.

Sociální sítě

Facebook maže hacknuté stránky, ničí roky práce – Facebook deletes hacked Pages, destroying years of work. Autor článku poukazuje na problém, se kterým se setkala již řada uživatelů.

Mexiko – podvržená hláška na Twitteru způsobila hromadnou paniku – Twitter users charged with terrorism for false tweets. Dva uživatelé Twitteru oznámili, že drogové gangy zaútočily na místní základní školy (v mexickém státě Veracruz). Měly přitom zranit či unést děti. Reakce veřejnosti je srovnávána s reakcí na rozhlasové vysílání Orsona Wellse v roce 1938 (hra Válka světů byla podána velice realisticky). Došlo nejméně k 28 dopravním nehodám,  jak rodiče spěchali do škol za dětmi.
O jiném podvodu na Twitteru informuje článek Bad guys want your Twitter passwords – don´t be phished via a DM attack!

S novým prostředkem pro ochranu před malware na Twitteru přichází BitDefender – BitDefender launches malware scanner for Twitter.

Hackeři na Twitteru oznámili nový útok na Ground Zero – Twitter hackers spread Ground Zero attack scare before account suspension. Bylo to na oficiálním účtu NBC News. Citace: „Breaking News! Ground Zero has just been attacked. Flight 5736 has crashed into the site, suspected hijacking. More as the story develops. Flight 4782 is not responding, suspected hijacking. One plane just hit Ground Zero site at 5:47“ – atd. Účet NBC byl již uzamčen.

Software

Subregistrační rozhraní společnosti FORPSI, byla ohlášena závažná chyba – Forpsi umožnuje převzetí kontroly nad libovolnou doménou. Rozhraní Forpsi zobrazuje MD5hash hesla k jakémukoliv NSSETu. Díky tomu bylo možné převzít kontrolu nad jakoukoliv doménou spravovanou uvedenou společností. Bližší informace jsou na serveru SOOM.cz. Chyba byla již odstraněna.

Vydána je BackBox Linux 2 for penetration testers, distribuce pro penetrační testování. Na stránce jsou shrnuty novinky, odkaz pro stažení je pak zde – BackBox Linux 2.

Speciální vydání SC Magazine je věnováno problematice cloudy a bezpečnost – Shining the Spotlight on the Cloud. Patnáctistránkové vydání (volně dostupné online) se těmto problémům věnuje z různých pohledů. Obdobným otázkám se věnuje také článek Benefits of cloud computing outweighs its risks.

NSA předá Apache open source, zabezpečenou databázi – NSA Submits Open Source, Secure Database To Apache. NSA vyvíjela interně technologii Accumulo od roku 2008. Další vývoj bude probíhat na univerzitách (např. MIT Lincoln Labs, Carnegie Mellon University).

Vydáno bylo Open SSH ve verzi 5.9. Na stránce jsou popsány novinky, stáhnout SW lze zde – Open SSH.

Nenechte se zaskočit útoky SQL injection – Don't get stung by SQL Injection attacks. Autor článku (Alfonso Barreiro) rozebírá základní opatření, které mohou pomoci zmírnit tento typ hrozeb:

• Configure error handling
• Sanitize the input
• Use parameterization
• Apply the principle of least privilege and role separation

Mac desktopy – jak je to s jejich bezpečností? 20 procent Američanů soudí, že jejich Macy jsou zranitelné, zatímco u Windows to říká celá jejich jedna polovina. To však neznamená, že Macy jsou bezpečnější. Každý počítač je zranitelný ve vztahu k malware. Autor článku Mac Desktop Security: The Landscape Is Changing pak rozebírá situaci okolo problémů, které souvisí s bezpečností Maců.

Nová Java 7 přináší bezpečnostní vylepšení – New Java 7 features improve security. Využívat je nyní možné eliptickou kryptografii a lze zakázat používání slabších šifrovacích schémat.

Výzkumník bude demonstrovat útok proti systému Siemensu (využitím Metasploit) – Researcher Will Demo Crippling Siemens Attack Using Metasploit. Jedná se o „Siemens S7 (Step 7) Programmable Logic Controllers“, demonstrace bude předvedena na nadcházející bezpečnostní konferenci ve Washingtonu (2011 ICS Cyber Security Conference in Washington, D.C., 20.-22. září 2011).

Web Application Obfuscation, to je recenze stejnojmenné knihy. Jejími autory jsou Mario Heiderich, Eduardo Alberto Vela Nava, Gareth Heyes a David Lindsay. Kniha má 282 stránek a vyšla v lednu 2011. Najdete ji na Amazonu.

OpenDNSSec vychází ve verzi 1.3.1. Kromě odkazu na stránky programu jsou v článku uvedeny opravené chyby.

TrustPort nabízí placenou verzi svého program TrustPort Total Protection 2012 všem domácím uživatelům zdarma. Tato akce je časově limitovaná a je doprovázena zábavnou kryptovací hrou (www.trustpor­t.com/game). Hra je pouze v anglické verzi. Každý, kdo chce získat roční licenci placené verze programu zdarma, musí vyluštit jednoduchý kryptogram, zakódovanou větu.

Jak chránit webové aplikace před zranitelnostmi XSS – How to Secure Web Apps Against XSS Flaws. Joe Basirico rozebírá vlastnosti této zranitelnosti, na co je třeba si dát pozor. Konstatuje, že není jednoduché zranitelnost tohoto typu nalézt, ale pak ji lze jednoduše odstranit. Ukazuje postupy pro různé jazyky, ve kterých byla aplikace programována.

Wireshark 1.6.2 fixes vulnerabilities, Wireshark (analýzér síťových protokolů) přichází s verzí, která má opraveny některé chyby a zranitelnosti (v článku jsou vyjmenovány). Odkaz pro stažení – Wireshark.

What Constitutes Responsible Disclosure? aneb jak má vypadat odpovědné odhalení (zranitelnosti atd.). Stefanie Hoffman v rozsáhlejším článku provádí analýzu tohoto jistě závažného problému. Jak má postupovat ten, kde objeví nějakou chybu, nějaký závažný problém? Zda o tom vůbec informovat veřejnost a v jakém čase? A jak mají postupovat tvůrci a dodavatelé SW?

Malware

Síť Rent-a-Bot a TDSS botnet , to je téma na blogu Briana Krebse – Rent-a-Bot Networks Tied to TDSS Botnet. Autor zkoumá jejich provázanost. Cituje také zjištění Sergeje Golovanova (KasperskyLab) ohledně elektronické měny Bitcoin – mining Bitcoins – a její vazby na TDSS.
Komentář k těmto informacím je na stránce Anonymisation service uses botnet as proxies – anonymizační služba využívá botnety jako proxy.

Who’s Behind the TDSS Botnet? – kdo se skrývá za botnetem TDSS? Brian Krebs pokračuje v popisu souvislostí dotýkajících se tohoto botnetu. Zde se zabývá Rusy, kteří mají těsné vazby na operace TDSS. Vskutku detektivní práce!

Vyděrači přesvědčují uživatele Windows, že mají padělanou kopii OS a požadují 143 dolarů – Ransomware plays pirated Windows card, demands $143. Podvod (ransomware) se tváří jako hláška Microsoftu. Viz také – New trojan masquerades as Microsoft enforcement-ware.

Jiný vyděračský trik používá ruská počítačová kriminalita – Russia-Based Child Porn Scam Hijacks Computers – na vašem počítači bylo nalezeno dětské porno. Trojan, kterým je podvod šířen, ale také brání práci operačního systému. Oběti mají zaplatit (do 12 hodin) 500 rublů (asi 17 dolarů), nebo budou oznámeny policii a veškerá jejich data budou blokována či smazána.

Co se týká botnetů v první polovině 2011, dominuje SpyEye – SpyEye Dominates Malicious Botnet Activity in 2011 First Half: Survey. Fahmida Y. Rashid napsal komentář k výsledkům zprávy společnosti Damballa. Z obsahu zprávy:

• Desítka největších botnetů v první polovině 2011
• První pohled na nárůst C&C aktivity mobilního malware
• Desítka nejvíce zneužívaných TLD

Viz k tomu také – New Damballa Labs Threat Report Analyzes Internet Crime Trends for First Half of 2011 a Study tracks first signs of Android botnet infections.

Avast varuje před novým trikem hackerů k maskování malware – Hackers flip characters to disguise malware. Maskují soubory typu „.exe“ jako soubory „.jpg“ či „.doc“. Tento exploit je označen jako Unitrix, přepisuje pořadí viditelných znaků (místo zleva doprava obráceně zprava doleva). Například soubor gpj.exe uvidí uživatel jako zdánlivě neškodnou fotografii _D18727_Colle­xe.jpg.

Hackeři

DNS hack hits 200 major websites: Vodafone, UPS, Acer, Microsoft sites affected – turecký hacker a DNS Hack, zasaženo více než 200 důležitých webů, např. Vodafone, UPS, Acer, Microsoft. Hacknuty byly také stránky theregister.co.uk, na které se zde často odkazujeme. Úplný seznam hacknutých stránek je zde – courtesy by Zone-H.
Viz také komentář – Turkish hackers strike websites with DNS hack.

Útok na DNS servery přesunul provoz z velkých stránek – Attack on NetNames DNS Servers Shifts Web Traffic Away From Major Websites. Fahmida Y. Rashid se obrací k hodnocení dopadů tohoto útoku tureckého hackera. Jiný pohled přináší článek Israeli-Turkish Cyberwar Begins.

Britská policie zatkla dvojici mužů, která má být spojena s hacknutím HBGary – British Police Nab Men Believed Linked to HBGary Breach. Muži jsou uvězněni a jejich počítačové vybavení je podrobeno analýze.

Bývalý zaměstnanec hacknul systémy dodavatele americké armády – Ex-employee hacks US military contractor's com­puter systems. David Palmer se pomstil svému zaměstnavateli. Po propuštění se přihlásil do bezdrátové sítě a vymazal data zákazníků

LulzSec hacker Kayla uvězněn britskou policií – Alleged LulzSec Hacker ‚Kayla‘ Arrested By UK Police. Souběžně s tím bylo provedeno uvěznění další dvojice podezřelých mladíků.

Desítka notorických hackerů, kteří nakonec šli pracovat „pro lidi“, je prezentována v následující slideshow – IT Security & Network Security News & Reviews: 10 Notorious Hackers Who Went to Work for ‚The Man‘. Najdete zde řadu známých jmen.

Hacktivismus – kam bude směrovat po LulzSec? Zamyšlení Rika Fergusona – After LulzSec just where is hacking heading? – poukazuje na Anonymous jako na součást přirozeného vývoje protestních hnutí.

Hardware

Hackování automobilů je reálným problémem, říká zpráva společnosti McAfee. Článek Embedded Devices Pave Way For Future Car Hacking: McAfee Report (Stefanie Hoffman) je komentářem ke zprávě Caution: Malware Ahead. An analysis of emerging risks in automotive system security.
Viz také další komentáře – Car Hacking: Researchers Highlight Emerging Risks and Lack of Security in Automobiles a Automotive Navigation, Entertainment Systems Susceptible to Hackers: McAfee.

Kybernetičtí lupiči jsou nebezpečím pro letadla, vlaky a automobily. Článek Cyberhijackers Pose Threat to Planes, Trains and Automobiles obsahující celou řadu dalších odkazů, hovoří o zranitelnostech těchto systémů. Teroristy současnosti mohou být i skrytí hackeři.
Čeho se obávat v nových autech od hackerů – Disaster fears as hackers tackle technology in cars (komentář ke zprávě společnosti McAfee).
Viz také – Obama wants teen hackers treated like gangsters – Obama chce, aby se s hackery-teenagery jednalo jako s gangstery.

Nová technika pomůže ochránit nositele pacemakerů před hackery – New Jamming Tech Could Protect Pacemakers from Hack Attacks. Článek informuje o řešení, které pochází z MIT a University of Massachusetts a o kterém jeho autoři infomovali na akci SIGCOMM Communications Conference v Torontu. Prototyp byl sice velikosti notebooku, ale řešení lze miniaturizovat.

Zachází pořizování nahých fotek zlodějů notebooků příliš daleko? Jeden americký soudce si to myslí – Is Taking Nude Photo of Laptop ‚Thieves‘ Too Much?

Mobilní telefony

If You Use It, Mobile Malware Will Come aneb o malware v mobilních zařízeních. Autor komentuje výsledky zprávy společnosti McAfee McAfee Labs´s quarterly threat report a hodnotí také celkovou situaci na tomto poli.

Ne, váš chytrý mobil nevyléčí vaše akné – FTC: No, your smartphone can't heal acne. O reakci FTC (U.S. Federal Trade Commission) na reklamu pro dvě mobilní aplikace. Na co všechno různí šikulové nepřijdou…

Pětici podstatných doporučení vzhledem k bezpečnosti mobilů najdete na stránce 5 Essential Mobile Security Tips. Robert Lemos rozebírá následující doporučení:

• Uzamkněte zařízení
• Vyhněte se zpochybnitelným aplikacím
• Akceptujte záplaty
• Zálohujte svá data
• Zůstaňte v bezpečí za dveřmi – varování před hackováním (jailbreak)

Elektronické bankovnictví

Nová varianta červa Zeus cílí na banky z celého světa – New Zeus-based variant targets banks around the worl. Analytický tým společnosti Trend Micro říká, že byl vytvořen verzí 2.3.2.0 souboru nástrojů (Zeus toolkit). Další podrobnosti si lze přečíst na blogu Trend Micro – ZeuS Gets Another Update.

Volně dostupný nástroj detekuje bankovní malware – Free Security Tool Detects Banking Malware. Nástroj s názvem DeBank připravila finská firma Fitsec. Program umí detekovat téměř všechny varianty SpyEye, Zeus, CarBerp, Gozi a Patcher.

Shylock – další nové finanční malware útočí na velké finanční instituce – New financial malware attacks global financial institutions. Takovéto varování vydala společnost Trusteer. V článku jsou popsány některé unikátní mechanismy tohoto malware.

Phishing

Nové triky phisherů popisuje článek Fake Offers with Fake Trust Seals. Stránka podvodníků se maskuje jako stránka SW společnosti, která nabízí podstatné slevy na SW produkty. Uživatelé pak jsou odesláni na stránku, kde mají sdělit své osobní informace (včetně dat, která se týkají platební karty)…
Doporučení:

• Neklikejte na podezřelé odkazy v e-mailových zprávách
• Neposkytujte jakékoliv osobní informace, když odpovídáte na e-mail
• Nikdy nevkládejte osobní informace do vyskakujících okének či obrazovek
• Pokud vkládáte osobní či finanční informace, ujistěte se, že webová stránka je zašifrována využitím SSL certifikátu (hledejte zámeček, https či zelený adresový řádek)
• Pravidelně aktualizujte svůj bezpečnostní software (který vás ochrání před online phishingem)

Různé

Akademie CZ.NIC / Problematika infrastruktury veřejných klíčů (PKI). Pro velký zájem se kurz Problematika infrastruktury veřejných klíčů (PKI) opakuje již v září!
Termín: 21.- 22.9.2011 09:00–17:00
Garant: Pavel Vondruška
Pozor – zájemci z řad registrovaných čtenářů e-zinu Crypto-World mají možnost získat 50% slevu.
Na vyžádání zašleme slevový kód, který lze při registraci využít. Napište si o něj na adresu, ze které jsou zasílány údaje ke stažení e-zinu.
Kurz je pořádán v rámci Akademie CZ.NIC
Časová náročnost: dvoudenní kurz
Cíle kurzu:

• porozumět principu asymetrických šifer
• znát základní informace k budování PKI a CA
• znát vybrané aspekty zákona o el. podpisu (typy certifikátů, podpisů, certifikačních autorit atd.)
• umět vygenerovat certifikát a zacházet s ním a s odpovídajícím soukromým klíčem
• obecné informace k podpisování a ověřování PDF, DOC a XML dokumentů
• pochopit princip důvěry v PKI a certifikáty !
• mít základní přehled o možných útocích na PKI a použité šifry

Cena: 4 000,00 Kč

Přehled vychází z průběžně publikovaných novinek na Crypto – News.