Bezpečnostní střípky: jak na tom je software s bezpečností (celkový pohled)?

Přehledy

ENISA vydala závěrečnou zprávu k prvnímu evropskému kybernetickému cvičení – ENISA Cyber Europe 2010 Evaluation Report. Akce Cyber Europe 2010 proběhla 4. a 5. listopadu 2010. Viz komentář ke zprávě – EU Agency ENISA Issues Final Report and Video Clip on ´Cyber Europe 2010´; the First Pan-European Cyber Security Exercise for Public Bodies.

V minulém týdnu byla vydána zpráva Verizon’s Data Breach Investigations Report. Komentář k jejím výsledkům je na stránce Report: Data Breaches Rise, But Stolen Data Drops. Zpráva je rozsáhlý podrobný dokument, má 72 stran. I když v loňském roce dramaticky vzrostl počet průniků, které byly analyzovány (a o nichž byla veřejnost informována), celkový počet kompromitovaných dat klesl (a poměrně dost). Dokumentuje to ale také větší cílenost útoků.
Další komentář je zde – Data Breaches Quintuple but Compromised Record Tally Drops in 2010: Survey.

Dále byla vydána zpráva State of Software Security Report Volume 3 (Veracode). Je zapotřebí registrace. Shrnutí výsledků zprávy obsahuje článek Software industry risks and SQL injection trends. Další komentář ke zprávě je obsažen v článcích:

• Vulnerabilities in security software double in six months, as a lack of education and awareness blamed
• More Than Half of Web Apps Fail Security Audit Prior to Deployment

Kromě toho vyšla studie společnosti McAfee k problematice kritická infrastruktura a kybernetická bezpečnost – In the Dark. Crucial Industries Confront Cyberattacks. Komentář k této studii napsala Stefanie Hoffmann – Critical Infrastructure Companies Face Mounting Threat From Cyber Attacks: Report. Zjištěný dramatický nárůst útoků na kritickou infrastrukturu je komentován v článku Dramatic increase in cyberattacks on critical infrastructure. Další komentáře:

• Insufficiently prepared infrastructure firms increasingly under attack
• Power Grids, Oil Refineries Face ´Staggering´ Level of Cyberattacks 

Obecná a firemní bezpečnost IT

Obama nepřikrášleně – vládní IT je v příšerném stavu – Obama unvarnished: Government IT is ‚horrible‘. Nevypnutý mikrofon umožnil novinářům vyslechnout si tuto tvrdou kritiku.

Irán obvinil Siemens z napomáhání při útoku červa Stuxnet – Iran accuses Siemens over Stuxnet virus attack. Siemens měl pomáhat Spojeným státům a Izraeli při spuštění tohoto útoku, prohlásil to íránský vojenský velitel Gholamreza Jalali.

Obamova administrativa, objevil se určitý posun v přípravě plánů na internetové ID – Obama moves forward with Internet ID plan. Komentář se zabývá nyní vydaným dokumentem National Strategy for Trusted Identities in Cyberspace (55 stran). Viz také připojené informační video.

Problém s DRM, kdy jsou neoprávněně sbírány osobní informace, je rozebírán v článku DRM Accused Of Sending Personal Info To Help With Licensing Shakedown. Není jednoduché připravit taková uplatnění DRM, která by byla funkční a současně nezasahovala do oprávněných práv uživatelů. Svědčí o tom i případ rozebíraný v tomto článku, který se týká Transmagic´s 3-D software.

Yahoo oznámilo, že vyhledávací data bude uchovávat déle (18 měsíců) – In reversal, Yahoo will store user search data longer. Obhájci soukromí s tím spokojeni nebudou…

Počítačová bezpečnost jako profese, úvodní informaci pro potenciální zájemce (spíše tedy v USA) najdete na stránce Computer Security as a Profession.

Podvodníci opět ovlivňují výsledky vyhledávačů, které se vztahují k živelným katastrofám – Fraudsters target disaster searches again. Zneužívány jsou zejména situace v Japonsku a na Novém Zélandu.

UK, další muž byl uvězněn v souvislosti s aktivitami na podporu WikiLeaks – Man arrested in crackdown on pro-WikiLeaks DDoS spree. V lednu bylo v UK pět uvězněných (z těchto příčin), v USA se odhaduje, že celkový počet příkazů k prohlídkám v dané souvislosti byl zhruba 40, další akce policie probíhaly v Nizozemsku a Francii.

Pět cest k tomu, jak se skrýt online, je popisováno na stránce 5 Ways to Stealth Yourself Online. Andy O´Donnell k online neviditelnosti rozebírá následující body:

• Use a Web Browsing Proxy Service
• Opt-out of Everything Whenever Possible
• Setup a Throwaway E-mail Account for Site Registrations and Online Purchases
• Check and Update Your Facebook Privacy Settings
• Turn on Your Router´s Stealth Mode

Viz také jiný článek téhož autora – 5 Things You Should Never Post on Facebook (pět věcí, které byste nikdy neměli zveřejňovat na Facebooku).

NSA a plány ohledně architektury pro sdílení zpravodajských informací – NSA CIO Pursues Intelligence-Sharing Architecture. Článek obsahuje interview šéfa NSA (Lonny Anderson). Dotčená problematika se zabývá také mobilními technologiemi.

Son of Kaspersky Lab's CEO ‚kidnapped‘ – byl syn šéfa KasperskyLab unesen? Zprávu o to, že vyděrači chtějí za Ivana Kasperského (20 let) celkem tři milióny euro přinesl Lifenews.ru (via Google Translate). Následně však podle dalších (nepotvrzených) zpráv z Ruska se objevilo, že syn Kasperského je již na svobodě – Kaspersky's son released, reports say.

Why do governments have trouble retaining cyber warriors? – proč americká vláda má problém získat „kybernetické válečníky? Zeljka Zorz poukazuje na to, že zatímco Číně a Rusku se toto daří, USA a vlády evropských zemí se s tím neumí vypořádat.

Útoky na systémy SCADA jsou stále častější – Stuxnet-like attacks beckon as 50 new Scada threats discovered. Autor tohoto článku informuje o analýze společnosti Idappcom. Výsledky jsou varováním. Viz také článek Cyber-Attacks Targeting Power, Gas Utilities on the Rise: Survey.

Sociální sítě

Děti v sociálních sítích neznají rizika ochrany soukromí – Children on social networks unaware of privacy risks. Přitom 77 procent dětí ve stáří 13–16 let má svůj profil na sociální síti (a 38 procent dětí ve věku 9–12 let). Přehled vydaný Evropskou komisí (jeho záběr – 25 000 dětí v 25 zemích) je dostupný na tomto odkazu – EU Kids Online. Social Networking, Age and Privacy.

Bezpečnostní firma Sophos poukazuje na to, co by měl Facebook učinit pro dostatečnou bezpečnost svých uživatelů – Security firm to Facebook: Clean up your act. Joan Goolding zde pak tlumočí tyto názory, které se dají shrnout do tří bodů:

• Soukromí jako defaultní nastavení
• Veto vývojářům aplikací
• https pro všechno

Rychle se šířící útok na Twitteru je popisován na stránce Unfollowed Me rogue application spreads virally on Twitter. Jedná se o zlodějskou aplikaci, má říci kolik má kdo přátel. Znění zprávy vypadá zhruba takto:„58 people have unfollowed me, find out how many have unfollowed you: [LINK]… “ V článku je pak vysvětleno, jak celý podvod funguje a na čem získávají podvodníci peníze.

Facebook chce používat dvoufaktorovou autentizaci – Facebook announces two-factor authentication. Také by mělo dojít k lepšímu využívání https (Facebook by se měl automaticky do tohoto spojení přepnout, jakmile uživatel vystoupí z aplikace, která ho nepodporuje).

Software

Jak na největší problémy uživatele Windows 7? Lincoln Spector v článku Fix the six biggest Windows 7 nightmares rozebírá následujících šest bodů:

• Vaše PC nechce nabootovat
• Nedaří se získat přístup k pevnému disku
• Pravidelně se na vašem PC objevuje modrá obrazovka smrti
• Nikdo nemá administrátorské heslo k PC
• Soudíte, že PC je infikováno
• Zmizel důležitý soubor

Také prohlížeč Chrome je předmětem útoků kriminální strany – Cybercriminals Put Google Chrome in Crosshairs. Nezbytný dopad rostoucí popularity, který se musí projevit.

Malware

Problém s infikovaným kouskem SW, který pochází od třetí strany, to je téma článku Security Manager's Journal: Keeping in-house code safe. Je zde obsažen nepochybně zajímavý pohled na to, co se může přihodit v praxi při vývoji SW.

Microsoft Safety Scanner, vydán volně dostupný nástroj pro Windows, oskenuje a odstraní malware. Popis k němu najdete na stránce Anti-virus to go: Microsoft makes portable anti-virus tool available to download, stáhnout si ho lze pak z této stránky – Microsoft Safety Scanner.

Nový rootkit pracuje s falešnou pamětí – Memory Forging Attempt by a Rootkit. Na tyto vlastnosti rootkitu TDL4 (novější verze TDL3) upozorňuje rozbor společnosti McAfee (Rachit Mathur).

Viry

AV-Comparatives vydala výsledky nového testu antivirů – AV-Comparatives.org. Viz k tomu také komentář – České a slovenské antiviry na špičku ztrácí. V testu selhala i známá jména.

Hackeři

Anonymní hacker pronikl do energetického systému – Anonymous hacker claims he broke into wind turbine systems. Zatím (?) žádné škody nezpůsobil, jeho cílem bylo ukázat, že je to v jeho silách. Prý to má být odveta za nezákonné propuštění. Může to být také hoax. Viz k tomu komentář – Experts agree: Wind turbine ´hacker´ is a fake.

Čínští hackeři útočí na západní firmy – China's Cyber Hackers Target Western Firms. Video ze Sky News je doplněno komentářem, kde se autor vyjadřuje k možnostem čínských hackerů – považuje je za velmi zdatné a podle jeho názoru nepochybně spolupracují s čínskou vládou. Nebezpečně zní závěr článku, pokud by došlo ke konfliktu s Čínou, tito hackeři dokáží shodit elektrické rozvody. Celá území by byla bez elektřiny. Nebezpečí čínských útoků je rozebíráno také v článku ´Byzantine Hades´ shows China´s cyber chops.

WikiLeaks: data uniklá z diplomatických kabelů svědčí o dlouhých prstech čínské armády hackerů – Leaked US cables finger Chinese army hackers for cyber-spying. John Leyden se ve svém komentáři věnuje informacím o útoku, který dostal název Byzantine Hades (proběhl v létech 2008 až 2008). Jeho obětí byly jak americké vládní agentury, tak i soukromé firmy. Viz:

• Speciální zpráva: v soubojích kybernetické špionáže má Čína navrch
• WikiLeaks Cable about Chinese Hacking of U.S. Networks (diskuze na Schneierově blogu)

European Space Agency informuje o tom, že byla hacknuta – European Space Agency plays down hack impact. ESA však ohledně datového úniku říká, že se jednalo o méně významná data (?). Viz také:

• Royal Navy hacker claims to have broken into space agency site
• European Space Agency (ESA.INT) Hacked

Společnost HBGary vydala po měsících zprávu k hacku, který ji poškodil – HBGary: Silence, Sloppy Reporting Hyped Anonymous Hack . Situaci komentuje Brian Donohue. HBGary se zaštiťuje tím, že říká, že ukradeny byly pouze e-maily. Kdosi v diskuzi (Anonymous?) však poukazuje na fakt, že právě e-maily rozkryly podstatu aktivit této společnosti. Obsahovaly kontakty této společnosti na vládní organizace, CIA a další firmy. Viz také komentář – HBGary´s open letter: full of denials that don´t hold water.

Rostoucí dopady průniku do systémů společnosti Epsilon konstatuje komentář Epsilon Breach: The Growing Impact. Narůstá seznam společností, které tento průnik ovlivňuje. Varování před možnými pochybnými e-maily přichází ze všech stran.

Německo: hackeři prošli obranami dodavatele bezpečnostních technologií – Hackers breach security vendor's defences. Německá společnost Ashampoo informovala svých 14 miliónů zákazníků o datovém průniku, při kterém hackeři získali přístup do databáze zákazníků. Platební informace (čísla účtů a karet) snad ale prozrazeny být neměly (jsou na jiném serveru). Bylo vydáno varování před phishingem a podezřelými přílohami v e-mailech. Viz také – Ashampoo warns customers of data breach.

Nejhorší počítačový hacker v historii USA, nyní říká, že byl placeným informátorem federální vlády – Worst Computer ‘Hacker’ in U.S. History Reveals He Was Paid Informant for Federal Government. Albert Gonzalez tvrdí, že tajná služba sankcionalizovala jeho aktivity.

Hardware

K hacknutí RSA SecurID se obrací článek RSA SecurID: Hacked but Not UnWitnessed. Jack E. Gold na základě kusých informací od společnosti RSA se pokouší rozebrat v tom, jak to s tímto hackem vlastně je. Vysvětluje, proč pomohou monitoring v reálném čase a odpovídající rozbory.

VoIP

Skype opravil zranitelnost své verze pro Android – Skype Fixes Android App Vulnerability. Jednalo se o problém s osobními daty (jména, data narození, informace o lokaci, hodnoty v účtu, telefonní čísla, e-mailové adresy a další), která byla uchovávána v nechráněné podobě.

Mobilní telefony a zařízení

Aplikace v chytrých mobilech vás odposlouchávají – Snooping: It's Not a Crime, It's a Feature!. Mike Elgan komentuje neradostnou stránku vývoje těchto technologií.

A obdobně: aplikace chytrých mobilů a odposlechy, to je problém, který se nyní objevil v popředí diskuzí a bohužel i některých nekalých praktik, rozebírá Michael Kassner – Smartphone apps: They may be listening. Konkrétně se rozebírá v aplikaci, kterou označil jménem Shopkick.

8 otázek, které byste si měli zodpovědět, dříve než postavíte mobilní aplikaci pro svou firmu zformuloval John Dickson – 8 security questions to ask before building mobile applications. Poptávka po těchto aplikacích roste. Ne však vždy jsou zvážena všechna rizika s nimi související.

Smartphone security follies: A brief history – historie problematických momentů chytrých mobilů, to je pěkný (i když stručný) přehled, který připravil Brad Reed. Začíná v srpnu 2006 (první trojan pro BlackBerry) a končí dubnem 2011 (úniky dat, s kterými pracuje Skype).

iPhone tajně sleduje vaše kroky – iPhones secretly track ‚scary amount‘ of your movements. A ukládá je v sobě v nechráněné podobě. Data jsou takto dostupná komukoliv s fyzickým přístupem k zařízení. Problém se týká i iPadu. Viz také:

• iPhone keeps record of everywhere you go
• iPhone secretly tracks user location, say researchers
• Got an iPhone or 3G iPad? Apple is recording your moves
• Why Apple Tracks You Via iPhone: It´s Not Why You Think

Policie může tuto vlastnost využít:

• No, iPhone location tracking isn´t harmless and here´s why

Přečtěte si, jak prozkoumat lokační data z iPhone na svém počítači – Find Stored iPhone Location Data on your Computer. V tomto článku jsou obsaženy postupy pro Apple, verze pro Windows je zde – nphonetrack.

Policie se dostane k datům z mobilu během dvou minut – State Police can suck data out of cell phones in under two minutes. Článek informuje o možnostech zařízení typu Universal Forensic Extraction Device (UFED).

Spam

Vývoj spamu za poslední měsíc je předmětem článku Rise in ZIP file attachments in spam emails lead to Bredolab malware. Jeho autor Mat Nisbet (Symantec.cloud) upozorňuje na následující momenty: pád botnetu Rustock, naopak nástup botnetu Cutwail a konečně varuje před zazipovanými soubory v příloze e-mailu, které obsahuji malware Bredolab. Viz také komentář – Spam perseveres, despite Rustock takedown.

Forenzní analýza

Software on the Witness Stand: What Should It Take for Us to Trust It? aneb software jako důkaz. Zajímavá studie (jejími autory jsou Sergej Bratus, Ashlyn Lembree a Anna Shubina), která je diskutována také na Schneierově blogu – Software as Evidence.

Phishing

Nigerijští podvodníci se prezentují v e-mailu jako Kadáfiho manželka – Nigerian Cyberscammers Pose as Gadhafi’s Wife in Email. V závěru článku (kde autor mj. upozorňuje na tento čerstvý trik) je konstatováno: občas bývají tito podvodníci úspěšní. Vytáhli například z britské ženy 130 000 dolarů, když tvrdili, že komunikace pochází od amerického vojáka v Iráku.

Přísně tajná americká laboratoř byla infiltrována prostřednictvím cíleného phishingu – Top-secret US lab infiltrated by spear phishers – again. Zaměstnanci Oak Ridge National Laboratory se nechali nachytat na hruškách, phisherský e-mail umožnil útočníkům využít zranitelnost IE a krádež některých dat ze serverů laboratoře. K vlastní akci – 530 zaměstnanců obdrželo onen e-mail a 57 (!) z nich kliklo na kritický odkaz. Viz také:

• Oak Ridge National Lab shuts down Internet, email after cyberattack

Ironií osudu je zřejmě fakt, že právě tato laboratoř se měla podílet na vývoji červa Stuxnet – U.S. federal lab linked to Stuxnet breached.

Phishing se stává velkým nebezpečím pro firmy a organizace – Phishing emerges as major corporate security threat. Phishing, ještě dosud považovaný některými odborníky za metodu nepříliš profesionální (z hlediska hackingu) začíná být hrozbou, které je třeba věnovat potřebnou pozornost.

Spotřebitelé jsou nedostatečně informování ohledně toho, co phishing může přinést a jak může vypadat – Phishing: Consumer Education Lacking. To je další z článků, který reaguje na současné problémy a hrozby.

Elektronický podpis

EV SSL certifikáty, uplynuly již čtyři roky jejich existence – Extended Validation SSL certificates: 4 years of growth. Stále však tvoří jen 2,3 procenta všech SSL certifikátů, říká každoměsíční přehled společnosti Netcraft (je dostupný za peníze). V článku jsou komentovány jeho výsledky v dubnu 2011.

Normy a normativní dokumenty

V uplynulém týdnu vydal americký NIST následující dokument:

• Draft NIST Special Publication 800–76–2, Biometric Data Specification for Personal Identity Verification

Kryptografie

Geekdad Challenge of the Week: The Clumsy Cryptographer – malá kryptografická hádanka – pokud máte zájem, pocvičte se. Zkuste vyřešit šifru, máte šanci získat dárkový certifikát v hodnotě 50 dolarů.

Al-Qaeda´s Code Book, bez komentáře.

Dosud nejrychlejší kryptografický algoritmus s veřejným klíčem byl schválen pro používání ve finančních službách – Meet the fastest public-key algorithm few have even heard of. Jedná se o algoritmus NTRU, má být pětkrát rychlejší než RSA a třikrát rychlejší než kryptosystémy založené na využití eliptických křivek. Jeho popis obsahuje norma ANSI X9.98.

Deciphering PKI. How encryption, digital signatures, and digital certificates work aneb jak funguje PKI, to je úvod pro ty, kdo se s tímto pojmem setkali teprve nedávno.

Různé

Velikonoční hádanka: Tetromino vs.Sudoku – Dr. Sudoku Prescribes: Tetromino Minesweeper. Pokud vás hádanka zaujala, na blogu The Art of Puzzles najdete novou každý pátek.

Přehled vychází z průběžně publikovaných novinek na Crypto – News.