Bezpečnostní střípky: jak na tom bude bezpečnost IT v roce 2010?

Obecná a firemní bezpečnost IT

Američané začali diskutovat s Rusy o bezpečnosti internetu – In Shift, U.S. Talks to Russia on Internet Security. A také s kontrolním výborem OSN. Přes rozdílné názory na to, co by mělo být předmětem těchto rozhovorů, konstatují autoři článku (JOHN MARKOFF a ANDREW E. KRAMER), že dochází k důležitému posunu po řadě let, kdy takováto komunikace neprobíhala vůbec. Tématu se také věnuje Bruce Schneier na svém blogu – U.S./Russia Cyber Arms Control Talk. Viz také komentář – U.S. and Russian officials talk cyberissues.

Jak reagovat na bezpečnostní zranitelnosti? Bruce Schneier na svém blogu uvádí k tomuto problému pět doporučení – Reacting to Security Vulnerabilities. Určitě nepřehlédněte diskuzi.

Ochrana soukromí na Facebooku: sedm věcí,na které byste měli pamatovat formuluje Brian Prince a reaguje tak na čerstvé změny politik Facebooku – Seven Facebook Privacy Facts to Remember.
 

Také Zack Whittaker podrobně rozebírá možné cesty uživatelů Facebooku k ochraně svého soukromí – Updated Facebook privacy: How to privatise your profile.

Pět hlavních důvodů bezpečnostních pochybení formuluje Adi Ruppin (Top Five Reasons For Security FAIL):

• Nejslabší článek
• Průmyslové normy versus proprietární řešení
• Správné řešení pro špatně definovaný problém
• Lidský faktor
• Uživatelská přítulnost

Autorem desetistránkové studie na téma „Co se pokazilo v konzumním digitálním světě – bezpečnost informací a ochrana dat“ (ze srpna 2008) je Rafael M. Los – Failed: Information Security and Data Protection in a Consumer Digital World. Rozebírá v ní hlavní příčiny situací, ve kterých je narušena ochrana informací:

• Spotřebitelé dávají přednost jednoduchosti před bezpečností
• Decentralizace ukládaných dat
• Konzumerizace vede k využívání nezabezpečených technologií
• Ochrana informací je obětí honby za penězi
• Spotřebitelé stále nechápou dopady kompromitací/krá­deží informací

Zveřejněno bylo varování FBI před zlodějskými bezpečnostními produkty – Pop-Up Security Warnings Pose Threats. Je třeba si dávat pozor na „bezpečnostní“ zprávy ve vyskakujících okénkách (pop-up windows). Ukáží ikony známých produktů, ve skutečnosti však odkazy vedou jinam.

Přehled dvanácti podfuků spojených s Vánoci sepsala Joan Goodchild (The 12 Cons of Christmas):

• Nabídky produktů
• Podvodné aukce a platební weby
• Hacknutá hesla
• Nebezpečné výsledky vyhledávačů
• Sezónní e-mailové podvody
• Žádosti přátel (Facebook)
• Podvodné čtečky, kamery na bankomatech
• Údaje v citlivých dokumentech (zvlášť ke konci roku je počet těchto dokumentů vyšší)
• Volně dostupné bezdrátové připojení
• Odpovědi na telefonáty z bank
• Pochybná charita
• Schémata pro práci z domu

Rizika a bezpečnost v telekomunikacích, to je čtyřdílná série článků (jejich autorem je John Savageau, Long Beach):

• Risk and Security in the Telecommunications Industry Series – Part 1
• Telecom Risk and Security Part 2 – The Carrier Hotel SuperNode
• Telecom Risk and Security Part 3 – Human Factors
• Telecom Risk and Security Part 4 – Facilities

Tato série článků je rozebírána také v diskuzi na Schneierově blogu – Telcoms Security.

Obraťme se k „hacknutí“ amerických bezpilotních letadel. O softwaru za 26 dolarů (SkyGrabber ruské firmy Sky Software) se nyní píše všude… V článku je mimo jiné poukazováno na to, že letecké síly USA (Air Force) nyní nakupují novější verze těchto letadel (nesou označení Reaper, starší verze se jmenuje Predator). Ale všech těchto nakupovaných 375 kusů trpí týmž problémem – videa jimi vysílaná lze odchytit. Viz články:

• Insurgents Hack U.S. Drones
• Not Just Drones: Militants Can Snoop on Most U.S. Warplanes 
• Iraqi insurgents hack US drones with $26 software

Velká zrada Facebooku – takto označuje autor článku (Ryan Tate) nedávné úpravy politik této sociální sítě. Nová bezpečnostní nastavení jsou příčinou toho, že vše co si uživatel na Facebooku uloží, může spatřit veřejnost. Skutečným cílem provozovatelů Facebooku není ochrana soukromí uživatelů, ale jeho růst a zisk – Facebook´s Great Betrayal.

Robert McMillan sepsal v článku Five Things to Know About Social Engineering pět věcí, které byste měli vědět o sociálním inženýrství:

• Sociální inženýrství – narůstá jeho využívání
• Roste množství cílených útoků
• I šířeji plánované útoky se vyplácí
• Volně dostupné záležitosti vás mohou přijít draho
• Lidé věří svým (hacknutým) přátelům

Recenzi knihy Cloud Security and Privacy: An Enterprise Perspective on Risks and Compliance (Theory in Practice) najdete na stránce New book: „Cloud Security and Privacy“. Jejími autory jsou: Tim Mather, Subra Kumaraswamy a Shahed Latif. Kniha vyšla v září 2009, má 334 stran a lze ji najít na – Amazonu.

Bezpečnostní předpovědi pro rok 2010

Top 10 bezpečnostních předpovědí formuluje Michael Sutton (Zscaler) – Top 10 security predictions for 2010. Optimistou bych pana Suttona nenazval.

Obdobně nazvanou sérii předpovědí Billa Brennera najdete na csoonline.com  – 10 Predictions for 2010: Kaminsky and Weatherford.

Autorem dalších předpovědí je Andreas M. Antonopoulos – Hot security predictions for 2010. Za rok je chce opět vyhodnotit na stránkách Computerworldu.

Pět trendů, které budou bezpečnosti v roce 2010 dominovat – Top 5 trends that will dominate the security landscape. Analytici z Lavasoft Malware Labs říkají, že to budou následující:

• Útoky malware na Windows 7
• Exploity zranitelností aplikace
• Scareware a další zlodějské (falešné) bezpečnostní produkty
• Kompromitace jiných platforem než jsou Windows
• Mobilní malware

Top 10 bezpečnostních předpovědí pro rok 2010 v podobě deseti slajdů najdete na stránce Top 10 Security Predictions For 2010:

• Sociální inženýrství pro sociální sítě
• Hackeři v oblacích
• Více útoků na MAC
• Windows 7 a hackeři
• Zneužití výsledků vyhledávačů (Google, Bing)
• Data zneužitelná k vydírání
• Útoky na Android
• Retro útoky
• Google Wave
• Kyberkriminálníci jsou stále více zkušení

Software

Správa zranitelností a 8 cest, jak s nimi bojovat – Vulnerability Management. Všechny organizace by měly mít zaveden program pro správu zranitelností. V citovaném dokumentu jsou rozebrány stěžejní body takovéhoto programu:

1. Detekce zranitelnosti
2. Zhodnocení externí zranitelnosti
3. Zhodnocení interní zranitelnosti
4. Frekvence
5. Testování aplikace
6. Skenování politiky
7. Náprava
8. Konfigurace

Aplikace, které byly v roce 2009 nejvíce zranitelné, jejich seznam je zveřejněn na stránce Top vulnerable applications in 2009. Bit9 vidí na prvních čtyři místech: Adobe Acrobat, Flash Player, Reader a Shockwave.

Malware

Autorem recenze pro volně dostupný Spyware Terminator ve verzi 2.6.5.111 je Zeljka Zorz – A closer look at Spyware Terminator 2.6.5.111.

Hackeři

Bližší pohled na etický hacking a hackery sepsala Marilyn Leathers – A Closer Look at Ethical Hacking and Hackers. Autorka ve své studijní práci shrnuje a rozebírá některé definice.

Hackeři získali přihlašovací data 30 miliónů uživatelů RockYou – RockYou hack exposes names, passwords of 30M accounts. SQL injection flaw blamed for intrusion at social networking app vendor. RockYou Inc. je tvůrcem aplikací pro sociální sítě. Hesla a jména v kompromitované databázi byla uložena v otevřeném tvaru a uživatelská jména jsou defaultně táž jako pro webmaily (G-mail, Hotmail atd.). 

Viz také – RockYou explains how a hacker stole 32 million passwords — and what it’s doing about it.

A slovenský komentář Rastislava Turka – Miliony hacknutých účtů v ohrožení. I v Česku.

New book: „Hacking: The Next Generation“, to je recenze knihy s tímto názvem. Autory knihy jsou Nitesh Dhanjani, Brett Hardin a Billy Rios. Kniha vyšla v srpnu 2009 a lze ji nalézt na Amazonu.

Minulý pátek byl proveden DNS útok na Twitter – DNS attack hijacks Twitter. Stránky samotného Twitteru zůstaly nedotčeny, ale jeho uživatelé byli přesměrováni jinam. Jednu chvíli to proto vypadalo, že servery Twitteru byly ovládnuty kýmsi, kdo si říká Iranian Cyber Army.

Hackeři se dostali k vojenským plánům (společných Jižní Koreje a USA) – Hackers access US-South Korea military plan. Zjevně se jedná o hackery ze Severní Koreje, v Pchjong-jangu má být nejméně 500 profesionálních hackerů (zřejmě s vazbou na severokorejskou vládu).

Hardware

Data na fyzických médiích mažte náležitou cestou – Properly Erase Your Physical Media. Asi 40 procent disků na eBay obsahuje snadno obnovitelná osobní data. Jason Fitzpatrick v tomto článku znovu ukazuje uživatelům, jaké cesty pro mazání dat na discích by měli používat. Mj. za zmínku stojí odkaz na bootovací utilitu:

• Darik´s Boot and Nuke

VoIP

Zranitelnostem VoIP je věnována osmistránková studie společnosti McAfee – VoIP Vulnerabilities. Komentář k jejím výsledkům najdete v článku VoIP vulnerability trends. Studie obsahuje přehled existujících hrozeb a doporučení pro zabezpečení VoIP sítě.

Spam

Symantec se vyjadřuje k predikci vývoje spamu – The future of spam: 2010 and beyond. Bohužel neobjevíme zde žádný optimismus, spíše naopak, se spamem se budeme setkávat ve vydatné míře i nadále. V roce 2009 tvořil 87 procent e-mailů spam, jak Symantec informuje – In 2009 87% of emails are spam.

Další informace o situaci se spamem přináší projekt Honey Pot – Honeynet research lifts the lid on spam trends.
Celkovou zprávu tohoto projektu si lze přečíst zde – 1 Billion Spammers Served.

Forenzní analýza

Hackeři vydali nástroj DECAF, který zjistí přítomnost aktivit forenzního nástroje MS COFEE – Threat Level Privacy, Crime and Security Online Hackers Brew Self-Destruct Code to Counter Police Forensics . COFEE, to je vlastně soubor cca 150 utilit, který společnost Microsoft připravila k forenzním účelům. Někdo však se minulý měsíc zasloužil o to, že tento nástroj byl zveřejněn na internetu (Cryptome). DECAF, pokud zjistí přítomnost COFEE v počítači (připojení USB flash diskem), okamžitě začne provádět protiopatření.

Objevila se však informace, která říká, že DECAF byl zamýšlen jako výchovný prostředek – DECAF. Podle této stránky není již nyní žádná kopie DECAF funkční. Zajímavý člověk – soudě podle jeho vyjádření na této stránce.

Elektronické bankovnictví

Bezpečnostní odborník byl konsternován taktikami banky proti podvodům – Bank's antifraud tactics stun security expert. Roger Thompson (AVG) chtěl zaplatit svojí VISA kartou hotel v Londýně, vzhledem k tomu, že však neoznámil (!) své bance, že cestuje do zámoří, byly mu služby odmítnuty pro podezření, že karta byla ukradena. Následně v telefonickém hovoru byl dotazován na informace, které bance nikdy nesdělil (jméno své snachy za svobodna), banka zřejmě tyto informace získala z Facebooku.

Jak se bránit proti podvodům s padělanými platebními kartami? Michael Kassner (Counterfeit credit/debit card fraud: Let's stop it now) rozebírá doporučení Toma Pattersona z článku 5 counter-fraud tips you've never been told.

Žádné dva magnetické proužky nejsou identické, toho využívá MagTek ve svém řešení – technologie MagnePrint. Spojuje osobní data uživatele karty a signaturu pásku k vytvoření jedinečného digitálního identifikátoru. Chytré řešení, ale praktická realizace naráží na problémy – např. jen v USA by bylo třeba mít obrovské množství nových čteček – MagnePrint Technology for Credit/Debit Cards.

Autentizace, hesla

Gartner konstatuje – dvoufaktorová autentizace se nesetkala s úspěchem – 2-Factor Authentication Falling Short for Security, Gartner Says. Brian Prince v tomto článku komentuje novou zprávu Gartnera – Where Strong Authentication Fails and What You Can Do About It (nezbytná je registrace). Je v ní poukázáno na řadu úspěšných útoků proti bankám a jejich klientům.
Další komentář k této zprávě je na stránce Attacks on strong authentication factors need new defenses.

Objevil se nový útok na reCAPTCHA společnosti Google – Google's reCAPTCHA busted by new attack. Significant success rate (komentář Dana Goodina). Autorem útoku je Jonathan Wilkins a popisuje ho v tomto dokumentu – Strong CAPTCHA Guidelines. v 1.1.

Phishing

Blížící se svátky: 15 podob phishingových útoků a další varování najdete na stránce 15 Holiday Phishing Attacks. Jsou ukázány a popsány pomocí 15 slajdů.

Joan Goodchild na csoonline.com napsala rozsáhlé varování – The 12 Cons of Christmas. These holiday cons can lead to identity theft or infection of your computer and make the most wonderful time of the year quite woeful.

Lékař podlehl phishingovému podvodu, unikly záznamy 600 pacientů – Uni warns patients after doctor gets phished. Reagoval na podvodný e-mail pocházející jakoby z univerzity (University of California at San Francisco) ohledně aktualizace interního serveru. Zjistil to auditor.

Biometrie

Secure USB drive relies on recognising faces, objevil se USB disk pracujícíc s biometrií obličeje. Funguje to tedy jen na počítačích s webovou kamerou.

Normy a normativní dokumenty

NIST – vydána revize (pro kryptografické aplikace významného) draftu FIPS 140–3:

• The Revised Draft FIPS 140–3

Komentář k vydání této revize je v článku Comments sought on NIST updated draft of standards for cryptographic modules.

Dále americký NIST vydal v minulém týdnu dokument:

• draft SP 800–126 Revision 1, The Technical Specification for the Security Content Automation Protocol (SCAP): SCAP Version 1.1.

Kryptografie

Na světě je první plně homomorfní šifra (první tohoto typu vůbec) – Fully Homomorphic Encryption over the Integers. IBM již dříve tento objev svých pracovníků inzerovala, nyní je konečně k dispozici odborná studie.

Různé

Přehled vychází z průběžně publikovaných novinek na Crypto – News.